Udostępnij za pośrednictwem

Scenariusz: Konfigurowanie dostępu typu punkt-lokacja na podstawie użytkowników i grup — uwierzytelnianie identyfikatora Entra firmy Microsoft

  • Artykuł

W tym artykule przedstawiono scenariusz konfigurowania dostępu na podstawie użytkowników i grup dla połączeń sieci VPN typu punkt-lokacja (P2S), które korzystają z uwierzytelniania identyfikatora Entra firmy Microsoft. W tym scenariuszu ten typ dostępu jest konfigurowany przy użyciu wielu niestandardowych identyfikatorów aplikacji odbiorców z określonymi uprawnieniami i wielu bram sieci VPN typu punkt-lokacja. Aby uzyskać więcej informacji na temat protokołów P2S i uwierzytelniania, zobacz About point-to-site VPN (Informacje o sieci VPN typu punkt-lokacja).

W tym scenariuszu użytkownicy mają inny dostęp na podstawie uprawnień do łączenia się z określonymi bramami sieci VPN punkt-lokacja. Na wysokim poziomie przepływ pracy wygląda następująco:

  1. Utwórz aplikację niestandardową dla każdej bramy sieci VPN P2S, którą chcesz skonfigurować dla sieci VPN P2S przy użyciu uwierzytelniania identyfikatora Entra firmy Microsoft. Zanotuj identyfikator aplikacji niestandardowej.
  2. Dodaj aplikację klienta sieci VPN platformy Azure do konfiguracji aplikacji niestandardowej.
  3. Przypisz uprawnienia użytkowników i grup na aplikację niestandardową.
  4. Podczas konfigurowania bramy na potrzeby uwierzytelniania P2S VPN Firmy Microsoft Entra ID określ dzierżawę identyfikatora Entra firmy Microsoft i identyfikator aplikacji niestandardowej skojarzony z użytkownikami, którzy mają zezwalać na nawiązywanie połączeń za pośrednictwem tej bramy.
  5. Profil klienta sieci VPN platformy Azure na komputerze klienckim jest skonfigurowany przy użyciu ustawień z bramy sieci VPN punkt-lokacja, do której użytkownik ma uprawnienia do nawiązywania połączenia.
  6. Gdy użytkownik nawiązuje połączenie, jest uwierzytelniany i może łączyć się tylko z bramą sieci VPN punkt-lokacja, dla której ma uprawnienia.

Zagadnienia do rozważenia:

  • Nie można utworzyć tego typu szczegółowego dostępu, jeśli masz tylko jedną bramę sieci VPN.
  • Uwierzytelnianie identyfikatora Entra firmy Microsoft jest obsługiwane tylko w przypadku połączeń protokołu OpenVPN® i wymaga klienta sieci VPN platformy Azure. *Należy dokładnie skonfigurować każdego klienta sieci VPN platformy Azure z odpowiednimi ustawieniami konfiguracji pakietu profilu klienta, aby upewnić się, że użytkownik łączy się z odpowiednią bramą, do której mają uprawnienia.
  • W przypadku korzystania z kroków konfiguracji w tym ćwiczeniu najłatwiej będzie uruchomić kroki dla pierwszego niestandardowego identyfikatora aplikacji i bramy przez cały czas, a następnie powtórzyć dla każdego kolejnego niestandardowego identyfikatora aplikacji i bramy.

Wymagania wstępne

  • Ten scenariusz wymaga dzierżawy firmy Microsoft Entra. Jeśli nie masz jeszcze dzierżawy, utwórz nową dzierżawę w usłudze Microsoft Entra ID. Zanotuj identyfikator dzierżawy. Ta wartość jest wymagana podczas konfigurowania bramy sieci VPN P2S na potrzeby uwierzytelniania identyfikatora Entra firmy Microsoft.

  • Ten scenariusz wymaga wielu bram sieci VPN. Można przypisać tylko jeden niestandardowy identyfikator aplikacji na bramę.

    • Jeśli nie masz jeszcze co najmniej dwóch działających bram sieci VPN zgodnych z uwierzytelnianiem microsoft Entra ID, zobacz Tworzenie bramy sieci VPN i zarządzanie nią — Azure Portal , aby utworzyć bramy sieci VPN.
    • Niektóre opcje bramy są niezgodne z bramami sieci VPN punkt-lokacja, które używają uwierzytelniania identyfikatora Entra firmy Microsoft. Podstawowe typy jednostek SKU i sieci VPN oparte na zasadach nie są obsługiwane. Aby uzyskać więcej informacji na temat jednostek SKU bramy, zobacz About gateway SKUUs (Informacje o jednostkach SKU bramy). Aby uzyskać więcej informacji na temat typów sieci VPN, zobacz Ustawienia usługi VPN Gateway.

Rejestrowanie aplikacji

Aby utworzyć niestandardową wartość identyfikatora aplikacji odbiorców, która jest określona podczas konfigurowania bramy sieci VPN, należy zarejestrować aplikację. Rejestrowanie aplikacji. Aby uzyskać instrukcje, zobacz Rejestrowanie aplikacji.

  • Pole Nazwa jest dostępne dla użytkownika. Użyj czegoś intuicyjnego, który opisuje użytkowników lub grupy, które łączą się za pośrednictwem tej aplikacji niestandardowej.
  • W przypadku pozostałych ustawień użyj ustawień przedstawionych w artykule.

Dodaj zakres

Dodaj zakres. Dodawanie zakresu jest częścią sekwencji konfigurowania uprawnień dla użytkowników i grup. Aby uzyskać instrukcje, zobacz Uwidacznianie interfejsu API i dodawanie zakresu. Później przypiszesz użytkownikom i grupom uprawnienia do tego zakresu.

  • Użyj czegoś intuicyjnego dla pola Nazwa zakresu, takiego jak Marketing-VPN-Users. Wypełnij pozostałe pola w razie potrzeby.
  • W obszarze Stan wybierz pozycję Włącz.

Dodawanie aplikacji klienckiej sieci VPN platformy Azure

Dodaj identyfikator klienta aplikacji klienckiej sieci VPN platformy Azure i określ zakres Autoryzowany. Podczas dodawania aplikacji zalecamy użycie identyfikatora aplikacji klienta sieci VPN platformy Azure zarejestrowanej przez firmę Microsoft dla publicznej platformy Azure, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 jeśli jest to możliwe. Ta wartość aplikacji ma globalną zgodę, co oznacza, że nie trzeba jej ręcznie rejestrować. Aby uzyskać instrukcje, zobacz Dodawanie aplikacji klienckiej sieci VPN platformy Azure.

Po dodaniu aplikacji klienckiej sieci VPN platformy Azure przejdź do strony Przegląd i skopiuj i zapisz identyfikator aplikacji (klienta). Te informacje będą potrzebne do skonfigurowania bramy sieci VPN punkt-lokacja.

Przypisywanie użytkowników i grup

Przypisz uprawnienia do użytkowników i/lub grup łączących się z bramą. Jeśli określasz grupę, użytkownik musi być bezpośrednim członkiem grupy. Zagnieżdżone grupy nie są obsługiwane.

  1. Przejdź do identyfikatora Entra firmy Microsoft i wybierz pozycję Aplikacje dla przedsiębiorstw.
  2. Z listy znajdź zarejestrowaną aplikację i kliknij ją, aby ją otworzyć.
  3. Rozwiń węzeł Zarządzaj, a następnie wybierz pozycję Właściwości. Na stronie Właściwości sprawdź, czy opcja Włączone dla użytkowników do logowania ma wartość Tak. Jeśli nie, zmień wartość na Tak.
  4. W polu Wymagane przypisanie zmień wartość na Tak. Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Właściwości aplikacji.
  5. Jeśli wprowadzono zmiany, wybierz pozycję Zapisz w górnej części strony.
  6. W okienku po lewej stronie wybierz pozycję Użytkownicy i grupy. Na stronie Użytkownicy i grupy wybierz pozycję + Dodaj użytkownika/grupę, aby otworzyć stronę Dodawanie przypisania.
  7. Kliknij link w obszarze Użytkownicy i grupy , aby otworzyć stronę Użytkownicy i grupy . Wybierz użytkowników i grupy, które chcesz przypisać, a następnie kliknij pozycję Wybierz.
  8. Po zakończeniu wybierania użytkowników i grup wybierz pozycję Przypisz.

Konfigurowanie sieci VPN typu P2S

Po wykonaniu kroków opisanych w poprzednich sekcjach przejdź do sekcji Konfigurowanie bramy sieci VPN typu punkt-lokacja dla uwierzytelniania microsoft Entra ID — zarejestrowana przez firmę Microsoft aplikacja.

  • Podczas konfigurowania każdej bramy należy skojarzyć odpowiedni niestandardowy identyfikator aplikacji odbiorców.
  • Pobierz pakiety konfiguracji klienta sieci VPN platformy Azure, aby skonfigurować klienta sieci VPN platformy Azure dla użytkowników, którzy mają uprawnienia do łączenia się z określoną bramą.

Konfigurowanie klienta sieci VPN platformy Azure

Użyj pakietu konfiguracji profilu klienta sieci VPN platformy Azure, aby skonfigurować klienta sieci VPN platformy Azure na komputerze każdego użytkownika. Sprawdź, czy profil klienta odpowiada bramie sieci VPN punkt-lokacja, z którą użytkownik ma nawiązać połączenie.

Następne kroki