Поделиться через

Настройка VPN-подключения пользователя P2S для проверки подлинности идентификатора Microsoft Entra ID — зарегистрированное корпорацией Майкрософт приложение

  • Статья

В этой статье показано, как настроить VPN-подключение "точка — сеть" для Виртуальная глобальная сеть, использующего проверку подлинности идентификатора Microsoft Entra ID и новый идентификатор vpn-приложения Azure, зарегистрированного в Microsoft Azure.

Примечание.

Действия, описанные в этой статье, применяются к проверке подлинности идентификатора Microsoft Entra с помощью нового идентификатора vpn-приложения Azure VPN-приложения и связанных значений аудитории. Эта статья не относится к более старым, вручную зарегистрированным VPN-приложением Azure для вашего клиента. Инструкции по настройке VPN-клиента Azure вручную см. в статье Настройка VPN-подключения пользователя P2S с помощью зарегистрированного вручную VPN-клиента.

Виртуальная глобальная сеть теперь поддерживает новый идентификатор приложения, зарегистрированный корпорацией Майкрософт, и соответствующие значения аудитории для последних версий VPN-клиента Azure. При настройке VPN-шлюза VPN-шлюза пользователя P2S с использованием новых значений аудитории вы пропустите процесс регистрации приложения VPN-клиента Azure вручную для клиента Microsoft Entra. Идентификатор приложения уже создан, и клиент автоматически может использовать его без дополнительных шагов регистрации. Этот процесс безопаснее, чем вручную регистрация VPN-клиента Azure, так как вам не нужно авторизовать приложение или назначать разрешения через роль глобального администратора.

Ранее вам требовалось вручную зарегистрировать (интегрировать) приложение VPN-клиента Azure с клиентом Microsoft Entra. Регистрация клиентского приложения создает идентификатор приложения, представляющий удостоверение приложения VPN-клиента Azure и требует авторизации с помощью роли глобального администратора. Чтобы лучше понять разницу между типами объектов приложений, см. сведения о том, как и почему приложения добавляются в идентификатор Microsoft Entra.

По возможности рекомендуется настроить новые VPN-шлюзы пользователей P2S с помощью идентификатора vpn-приложения VPN-приложения Microsoft Azure и соответствующих значений аудитории вместо того, чтобы вручную зарегистрировать приложение VPN-клиента Azure в клиенте. Если вы ранее настроили VPN-шлюз P2S, использующий проверку подлинности идентификатора Microsoft Entra, можно обновить шлюз и клиенты, чтобы воспользоваться новым идентификатором приложения, зарегистрированным корпорацией Майкрософт. Обновление шлюза P2S с новым значением аудитории необходимо, если требуется, чтобы клиенты Linux подключались. VPN-клиент Azure для Linux не совместим со старыми значениями аудитории.

Рекомендации

  • VPN-шлюз пользователя P2S может поддерживать только одно значение аудитории. Он не поддерживает одновременно несколько значений аудитории.

  • В настоящее время более новый идентификатор приложения, зарегистрированного корпорацией Microsoft, не поддерживает столько же значений аудитории, сколько более старое, зарегистрированное вручную приложение. Если вам требуется значение аудитории, отличное от Azure Public или Custom, используйте старый метод регистрации вручную.

  • VPN-клиент Azure для Linux не имеет обратной совместимости с шлюзами P2S, настроенными для использования старых значений аудитории, которые соответствуют зарегистрированному вручную приложению. Однако VPN-клиент Azure для Linux поддерживает значения пользовательской аудитории.

  • Хотя возможно, что VPN-клиент Azure для Linux может работать в других дистрибутивах и выпусках Linux, VPN-клиент Azure для Linux поддерживается только в следующих выпусках:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • Последние версии VPN-клиентов Azure для macOS и Windows совместимы с шлюзами P2S, настроенными для использования старых значений аудитории, которые соответствуют зарегистрированным вручную приложению. Эти клиенты также поддерживают значения пользовательской аудитории.

Значения аудитории VPN-клиента Azure

В следующей таблице показаны версии VPN-клиента Azure, которые поддерживаются для каждого идентификатора приложения и соответствующих доступных значений аудитории.

ИД приложения Поддерживаемые значения аудитории Поддерживаемые клиенты
Зарегистрировано корпорацией Майкрософт — Общедоступная служба Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 -Линукс
-Виндоус
— macOS
Зарегистрировано вручную — Общедоступная служба Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure для государственных организаций:51bb15d4-3a4f-4ebf-9dca-40096fe32426
— Azure Для Германии: 538ee9e6-310a-468d-afef-ea97365856a9
— Microsoft Azure, управляемый 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 -Виндоус
— macOS
Пользовательское <custom-app-id> -Линукс
-Виндоус
— macOS

Примечание.

Проверка подлинности идентификатора Microsoft Entra поддерживается только для подключений к протоколу OpenVPN® и требует vpn-клиента Azure.

Вы узнаете, как выполнять следующие задачи:

  • Создание виртуальной глобальной сети
  • создание пользовательской конфигурации VPN;
  • Загрузка профиля виртуального пользователя WAN VPN
  • Создание виртуального концентратора
  • Изменение концентратора для добавления шлюза P2S
  • Подключение виртуальной сети к виртуальному концентратору
  • скачивание и применение пользовательской конфигурации VPN-клиента.
  • Просмотр виртуальной глобальной сети

Снимок экрана: схема Виртуальная глобальная сеть.

Подготовка к работе

Перед началом настройки убедитесь, что удовлетворены следующие требования:

  • У вас есть виртуальная сеть, к которой необходимо подключиться. Ни одна из подсетей локальной сети не должна перекрывать виртуальные сети, к которым вы хотите подключиться. Сведения о создании виртуальной сети на портале Azure см. в этой статье.

  • В вашей виртуальной сети не должны находиться виртуальные сетевые шлюзы. Если в виртуальной сети есть шлюз (VPN или ExpressRoute), необходимо удалить его. Действия по этой конфигурации помогут подключить виртуальную сеть к шлюзу Виртуальная глобальная сеть виртуального концентратора.

  • Получите диапазон IP-адресов для вашего региона концентратора. Концентратор — это виртуальная сеть, которая создается и используется Виртуальной глобальной сетью. Диапазон адресов, который вы указываете для концентратора, не может пересекаться с любой из существующих виртуальных сетей, к которым вы подключаетесь. Он также не может пересекаться с диапазонами адресов, к которым вы подключаетесь локально. Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, обратитесь к специалисту, который сможет предоставить вам нужную информацию.

  • Для этой конфигурации требуется клиент Идентификатора Microsoft Entra. Если у вас его нет, его можно создать, следуя инструкциям в разделе "Создание нового клиента".

  • Если вы хотите использовать настраиваемое значение аудитории, см. статью "Создание или изменение идентификатора пользовательского приложения аудитории".

Создание виртуальной глобальной сети

В браузере откройте портал Azure и выполните вход с помощью учетной записи Azure.

  1. На портале в строке Поиск ресурсов введите Виртуальная глобальная сеть и нажмите ВВОД.

  2. Выберите Виртуальные глобальные сети в результатах. На странице "Виртуальные глобальные сети" щелкните + Создать, чтобы открыть страницу Создание глобальной сети.

  3. На странице Создание глобальной сети на вкладке Основные сведения заполните поля. Замените примеры значений на соответствующие для вашей среды.

    Снимок экрана, на котором показана панель

    • Подписка. Выберите подписку, которую вы хотите использовать.
    • Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
    • Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть — это глобальный ресурс, который не располагается в определенном регионе. Но вы должны выбрать регион, чтобы находить созданный вами ресурс глобальной сети и управлять им.
    • Имя. Введите имя своей виртуальной глобальной сети.
    • Тип. "Базовый" или "Стандартный". Выберите Стандартное. Если вы выбрали "Базовый", учтите, что виртуальные сети уровня "Базовый" могут включать центры только такого же уровня. Центры уровня "Базовый" можно использовать только для подключений "сеть — сеть".

  4. Заполнив поля, нажмите кнопку Просмотреть и создать внизу страницы.

  5. После прохождения проверки нажмите кнопку Создать, чтобы создать виртуальную глобальную сеть.

создание пользовательской конфигурации VPN;

Пользовательская конфигурации VPN определяет параметры для подключения удаленных клиентов. Перед настройкой виртуального концентратора с настройками P2S важно создать пользовательскую конфигурацию VPN, поскольку необходимо указать пользовательскую конфигурацию VPN, которую вы хотите использовать.

Внимание

Портал Azure находится в процессе обновления полей Azure Active Directory до Entra. Если вы видите идентификатор Microsoft Entra, на который вы ссылаетесь, и вы еще не видите эти значения на портале, можно выбрать значения Azure Active Directory.

  1. Перейдите в настройки Виртуальная глобальная сеть. В левой области разверните узел "Подключение" и выберите страницу конфигураций VPN пользователя. На странице конфигураций VPN пользователя нажмите кнопку +Создать конфигурацию VPN пользователя.

  2. На странице "Основы" укажите следующие параметры.

    • Имя конфигурации. Введите имя для пользовательской конфигурации VPN. Например, TestConfig1.
    • Тип туннеля. Выберите значение "OpenVPN" из раскрывающегося списка.

  3. В верхней части страницы щелкните Azure Active Directory. Вы можете просмотреть необходимые значения на странице идентификатора Microsoft Entra для корпоративных приложений на портале.

    Снимок экрана: страница идентификатора Microsoft Entra ID. Настройте следующие значения:

    • Azure Active Directory — выберите "Да".
    • Аудитория. Введите соответствующее значение для идентификатора приложения VPN-клиента Microsoft Azure, общедоступного azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 Пользовательская аудитория также поддерживается для этого поля.
    • Издатель — вводhttps://sts.windows.net/<your Directory ID>/.
    • Клиент AAD — введите идентификатор клиента для клиента Microsoft Entra. Убедитесь, что в конце URL-адреса клиента Microsoft Entra нет / .

  4. Чтобы создать пользовательскую конфигурацию VPN, щелкните Создать. Вы выберете эту конфигурацию позже в упражнении.

Создание пустого концентратора

Затем создайте виртуальный концентратор. В этом разделе описано, как создать пустой виртуальный концентратор, в который можно позже добавить шлюз P2S. Тем не менее, всегда гораздо эффективнее объединять создание концентратора вместе с шлюзом, так как при каждом изменении конфигурации в концентраторе необходимо дождаться сборки параметров концентратора.

Для демонстрационных целей сначала мы создадим пустой концентратор, а затем добавьте шлюз P2S в следующем разделе. Но вы можете включить параметры шлюза P2S из следующего раздела одновременно с настройкой концентратора.

  1. Откройте только что созданную виртуальную глобальную сеть. На странице "Виртуальная глобальная сеть" в разделе Возможность подключения выберите Концентраторы.

  2. На странице Центры выберите +Новый центр, чтобы открыть страницу Создание виртуального центра.

    Снимок экрана, на котором показана область

  3. На вкладке Основные сведения страницы Создание виртуального концентратора заполните следующие поля:

    • Регион: выберите регион, в котором требуется развернуть виртуальный центр.
    • Имя: имя виртуального центра.
    • Пространство частных адресов концентратора: диапазон адресов концентратора в нотации CIDR. Минимальное адресное пространство /24 для создания концентратора.
    • Емкость виртуального концентратора: выберите вариант из раскрывающегося списка. Дополнительные сведения о параметрах виртуальных концентраторов см. на этой странице.
    • Параметр маршрутизации концентратора: оставьте параметр по умолчанию ExpressRoute, если у вас нет конкретного поля. Дополнительные сведения см. в разделе Предпочтение маршрутизации виртуального концентратора.

После настройки параметров нажмите кнопку "Проверить и создать ", чтобы проверить, а затем создайте концентратор. Создание концентратора может занять до 30 минут.

Добавление шлюза P2S к концентратору

В этом разделе показано, как добавить шлюз к уже существующему виртуальному концентратору. Обновление концентратора может занять до 30 минут.

  1. Перейдите в настройки Виртуальная глобальная сеть. В левой области разверните узел "Параметры " и выберите "Центры".

  2. Щелкните имя концентратора, который требуется изменить.

  3. Нажмите кнопку "Изменить виртуальный концентратор " в верхней части страницы, чтобы открыть страницу "Изменить виртуальный концентратор ".

  4. На странице Изменить виртуальный концентратор установите флажки для Включить шлюз vpn для сайтов vpn и Включить шлюз точка-сеть, чтобы отобразить настройки. Затем настройте значения.

    Снимок экрана:

    • Единицы масштабирования шлюза: выберите единицы масштабирования шлюза. Единицы масштабирования представляют собой совокупную пропускную способность пользовательского шлюза VPN. Если вы выбрали 40 или более единиц, спланируйте пул адресов клиентов соответствующим образом. Сведения о том, как этот параметр влияет на пул адресов клиента, см. в статье Общие сведения о пулах клиентских адресов. Для получения информации о единицах масштабирования шлюза см. раздел с часто задаваемыми вопросами.
    • Пользовательская конфигурация VPN: выберите конфигурацию, которую вы создали ранее.
    • Группы пользователей для сопоставления пулов адресов: укажите пулы адресов. Сведения об этом параметре см. в разделе "Настройка групп пользователей и пулов IP-адресов" для виртуальных сетей пользователей P2S.

  5. После настройки параметров нажмите кнопку "Подтвердить ", чтобы обновить концентратор. Обновление концентратора может занять до 30 минут.

Подключение виртуальной сети к концентратору

В этом разделе описано, как создать подключение между виртуальным концентратором и виртуальной сетью.

  1. В портал Azure перейдите к Виртуальная глобальная сеть В левой области выберите подключения виртуальной сети.

  2. На странице подключений к виртуальной сети нажмите кнопку +Добавить подключение.

  3. На странице Добавление подключения настройте параметры подключения. Сведения о параметрах маршрутизации см. в разделе "Сведения о маршрутизации".

    • Имя подключения: задайте имя для своего подключения.
    • Концентраторы: выберите концентратор, который нужно связать с этим подключением.
    • Подписка: проверьте подписку.
    • Группа ресурсов: выберите группу ресурсов, содержащую виртуальную сеть, к которой требуется подключиться.
    • Виртуальная сеть: выберите виртуальную сеть, которую вы хотите подключить к этому концентратору. В выбранной виртуальной сети не должно быть шлюза виртуальной сети.
    • Нет распространения: по умолчанию для этого параметра выбрано значение Нет. Если установить переключатель в положение Да, варианты конфигурации Распространить в таблицы маршрутизации и Распространить к меткам станут недоступны.
    • Связать таблицу маршрутов: в раскрывающемся списке можно выбрать таблицу маршрутов, которую нужно связать.
    • Распространение на метки: метки — это логическая группа таблиц маршрутов. Для этого параметра выберите в раскрывающемся списке.
    • Статические маршруты: при необходимости настройте статические маршруты. Настройте статические маршруты для сетевых виртуальных устройств (если применимо). Виртуальная глобальная сеть поддерживает один IP-адрес следующего перехода для статического маршрута в виртуальном сетевом соединении. Например, если у вас есть отдельное виртуальное устройство для входящего трафика и исходящего трафика, рекомендуется использовать виртуальные устройства в отдельных виртуальных сетях и подключить виртуальные сети к виртуальному концентратору.
    • Обход IP-адреса следующего прыжка для рабочих нагрузок в этой виртуальной сети. Этот параметр позволяет развертывать NVAs и другие рабочие нагрузки в одной виртуальной сети, не заставляя весь трафик через NVA. Этот параметр можно настроить только при настройке нового подключения. Если вы хотите использовать этот параметр для уже созданного подключения, удалите подключение, а затем добавьте новое подключение.
    • Распространение статического маршрута: этот параметр в настоящее время развертывается. Этот параметр позволяет распространять статические маршруты, определенные в разделе "Статические маршруты " для маршрутизации таблиц, указанных в разделе "Распространение в таблицы маршрутов". Кроме того, маршруты будут распространяться в таблицы маршрутов с метками, указанными как распространение на метки. Эти маршруты могут распространяться между концентраторами, за исключением маршрута по умолчанию 0/0.

  4. После завершения настройки параметров нажмите кнопку "Создать ", чтобы создать подключение.

Скачивание пользовательского профиля VPN

Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации VPN-клиента. Параметры в этом ZIP-файле помогут вам с легкостью настроить VPN-клиенты. Файлы конфигурации VPN-клиента, которые вы создаете, относятся только к конфигурации VPN пользователя для вашего шлюза. Вы можете скачать глобальные профили (уровень глобальной сети) или профиль для определенного концентратора. Сведения и дополнительные инструкции см. в разделе "Скачать глобальные и центральные профили". Ниже описано, как скачать глобальный профиль уровня глобальной сети.

  1. Чтобы создать пакет конфигурации VPN-клиента глобального профиля уровня глобальной сети, перейдите в виртуальную глобальную сеть (а не виртуальный концентратор).

  2. В области слева выберите Пользовательские конфигурации VPN.

  3. Выберите конфигурацию, для которой нужно скачать профиль. Если у вас несколько центров, назначенных одному профилю, разверните профиль, чтобы отобразить концентраторы, а затем выберите один из центров, использующих профиль.

  4. Нажмите Скачать профиль VPN пользователя виртуальной глобальной сети.

  5. На странице скачивания выберите EAPTLS, а затем — Создать и скачать профиль. Будет создан и скачан на ваш компьютер пакет профиля (ZIP-файл) с параметрами конфигурации клиента. Содержимое пакета зависит от параметров проверки подлинности и туннеля для конфигурации.

Настройка VPN-клиента Azure

Затем вы изучите пакет конфигурации профиля, настройте VPN-клиент Azure для клиентских компьютеров и подключитесь к Azure. См. статьи, перечисленные в разделе "Дальнейшие действия".

Следующие шаги

Настройте VPN-клиент Azure. Действия, описанные в документации VPN-шлюз клиента, можно использовать для настройки VPN-клиента Azure для Виртуальная глобальная сеть.