你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 P2S VPN Microsoft Entra ID 身份验证创建或修改自定义受众应用 ID

本文中的步骤可帮助你为新的 Microsoft 注册的 Azure VPN 客户端创建 Microsoft Entra ID 自定义应用 ID(自定义受众),用于点到站点 (P2S) 连接。 你还可以更新现有租户,从以前的 Azure VPN 客户端应用更改新的 Microsoft 注册的 Azure VPN 客户端应用

配置自定义受众应用 ID 时,可以使用与 Azure VPN 客户端应用关联的任何支持的值。 建议尽可能将 Microsoft 注册的 App ID Azure 公共受众值 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 关联到自定义应用。 有关支持值的完整列表,请参阅 P2S VPN - Microsoft Entra ID

本文提供大致步骤。 注册应用程序的屏幕截图可能会略有不同,具体取决于你访问用户界面的方式,但设置相同。 有关详细信息,请参阅快速入门:注册应用程序。 有关 P2S 的 Microsoft Entra ID 身份验证的更多信息,请参阅 P2S 的 Microsoft Entra ID 身份验证

如果要配置自定义受众应用 ID 以便根据用户和组配置或限制访问权限,请参阅方案:根据用户和组配置 P2S 访问权限 - Microsoft Entra ID 身份验证。 此方案文章概述了分配权限的工作流和步骤。

先决条件

  • 本文假定你已有 Microsoft Entra 租户以及创建企业应用程序的权限,通常是云应用程序管理员角色或更高角色。 有关详细信息,请参阅在 Microsoft Entra ID 中创建新租户使用 Microsoft Entra ID 分配用户角色

  • 本文假定你使用 Microsoft 注册应用 ID Azure Public 受众值 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 来配置自定义应用。 此值具有全局同意,这意味着你无需手动注册它来为组织提供同意。 建议使用此值。

    • 目前,Microsoft 注册应用只存在一个支持的受众值。 有关其他支持的值,请参阅支持的受众值表

    • 如果 Microsoft 注册受众值与配置不兼容,则仍可使用较旧的手动注册 ID 值。

  • 如果需要改用手动注册的应用 ID 值,则必须同意允许应用登录并读取用户配置文件,然后再继续进行此配置。 你必须使用分配有云应用程序管理员角色的帐户登录。

    1. 要授予组织的管理员同意,请修改以下命令以包含所需的 client_id 值。 在此示例中,client_id 值为 Azure Public。 有关其他支持的值,请参阅

      https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    2. 在浏览器地址栏中复制并粘贴与你的部署位置相关的 URL。

    3. 如果出现提示,请选择具有云应用程序管理员角色的帐户。

    4. 在“请求的权限”页上,选择“接受”。

注册应用程序

可通过几种不同的方法来访问“应用注册”页。 一种方法是通过 Microsoft Entra 管理中心。 你也可以使用 Azure 门户和 Microsoft Entra ID。 使用具有云应用程序管理员角色或更高角色的帐户登录。

  1. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标,通过“目录 + 订阅”菜单切换到你希望在其中注册应用程序的租户。

  2. 转到“应用注册”,然后选择“新注册”。

    显示“应用注册”页的屏幕截图,其中选择了“新建注册”。

  3. 在“注册应用程序”页上,输入应用程序的显示“名称”。 应用程序的用户在使用应用时(例如,在登录过程中)可能会看到显示名称。 可随时更改显示名称。 多个应用注册可以共享相同的名称。 应用注册自动生成的应用程序(客户端)ID 在标识平台中唯一地标识应用。

    显示“注册应用程序”页的屏幕截图。

  4. 指定可使用该应用程序的人员,这有时称为“登录访问者”。 选择“仅此组织目录中的帐户(仅你的目录的名称 - 单个租户)”

  5. 暂时不考虑“重定向 URI (可选)”,因为你在下一节中会配置一个重定向 URI

  6. 选择“注册”,完成初始应用注册。

注册完成后,Microsoft Entra 管理中心会显示应用注册的“概述”窗格。 你会看到应用程序(客户端)ID。 此值也被称为客户端 ID,它可唯一地标识 Microsoft 标识平台中的应用程序。 这是你配置 P2S 网关时使用的自定义受众值。 即使存在此值,你仍需完成后续部分,将 Micrsoft 注册的应用程序关联到你的应用程序 ID。

公开 API 并添加范围

在本部分中,你将创建一个范围来分配精细权限。

  1. 在已注册应用的左窗格中,选择“公开 API”。

    屏幕截图显示了“公开 API”页。

  2. 选择添加范围。 在“添加范围”窗格中,查看应用程序 ID URI。 此字段是自动生成的。 这默认为 api://<application-client-id>。 应用 ID URI 充当你在 API 代码中引用的范围的前缀,它必须是全局唯一的。

    屏幕截图显示了“添加范围”窗格,其中包含应用程序 ID URI。

  3. 选择“保存并继续”以转到下一个“添加范围”窗格。

  4. 在此“添加范围”窗格中,指定范围的特性。 对于本演练,你可以使用示例值或指定自己的值。

    屏幕截图显示了“添加范围”窗格,其中包含更多设置。

    字段
    范围名称 示例:p2s-vpn1
    谁可以许可 仅管理员
    管理员许可显示名称 示例:p2s-vpn1-users
    管理员许可说明 示例:访问 P2S VPN
    State 已启用
  5. 选择“添加范围”以添加范围。

添加 Azure VPN 客户端应用程序

在本部分中,你将关联 Microsoft 注册的 Azure VPN 客户端应用程序 ID。

  1. 在“公开 API”页上,选择“+ 添加客户端应用程序”

    屏幕截图显示了“添加客户端应用程序”处于选中状态。

  2. 在“添加客户端应用程序”窗格中,对于“客户端 ID”,请使用 Microsoft 注册的 Azure VPN 客户端应用的 Azure 公共应用程序 ID (c632b3df-fb67-4d84-bdcf-b95ad541b5c8),除非你知道你需要其他值。

    屏幕截图显示“添加客户端应用程序”窗格。

  3. 确保已选择“授权范围”。

  4. 选择添加应用程序

收集值

在应用程序的“概述”页上,记下为 Microsoft Entra ID 身份验证配置点到站点 VPN 网关时所需的以下值。

  • 应用程序(客户端)ID:这是配置 P2S VPN 网关时用于“受众”字段的自定义受众 ID。
  • 目录(租户)ID:此值是 P2S VPN 网关的“租户”和“颁发者”字段所需的值的一部分。

配置 P2S VPN 网关

完成前面部分中的步骤后,继续阅读为 Microsoft Entra ID 身份验证配置 P2S VPN 网关 - Microsoft 注册应用

更新为 Microsoft 注册的 VPN 应用客户端 ID

注意

这些步骤可用于与 Azure VPN 客户端应用关联的任何支持的值。 建议尽可能将 Microsoft 注册的 App ID Azure 公共受众值 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 关联到自定义应用。

如果已将 P2S VPN 网关配置为使用“受众 ID”字段的自定义值,并且想要更改为新的 Microsoft 注册的 Azure VPN 客户端,可以通过将客户端应用程序添加到 API 来授权新应用程序。 使用此方法时,如果使用的是最新版本的客户端,则无需更改 Azure VPN 网关或 Azure VPN 客户端上的设置。

在以下步骤中,使用 Microsoft 注册的 Azure VPN 客户端应用 ID 受众值添加另一个授权客户端应用程序。 不会更改现有授权客户端应用程序的值。 如果不再使用它,始终可以删除现有的授权客户端应用程序。

  1. 可通过几种不同的方法来访问“应用注册”页。 一种方法是通过 Microsoft Entra 管理中心。 你也可以使用 Azure 门户和 Microsoft Entra ID。 使用具有云应用程序管理员角色或更高角色的帐户登录。

  2. 如果你有权访问多个租户,请使用顶部菜单中的“设置”图标,通过“目录 + 订阅”菜单切换到要使用的租户。

  3. 转到“应用注册”,找到已注册应用的显示名称。 单击以打开页面。

  4. 单击“公开 API”。 在“公开 API”页上,注意以前的 Azure VPN 客户端受众值 Client Id 存在。

    屏幕截图显示了“公开 API”页,其中突出显示了“添加客户端应用程序”。

  5. 选择“+ 添加客户端应用程序”。

  6. 在“添加客户端应用程序”窗格中,对于“客户端 ID”,请使用 Microsoft 注册的 Azure VPN 客户端应用的 Azure 公共应用程序 ID (c632b3df-fb67-4d84-bdcf-b95ad541b5c8)。

  7. 确保已选择“授权范围”。 然后单击“添加应用程序”。

  8. 在“公开 API”页上,你现在将看到这两个客户端 ID 值都已列出。 如果要删除以前的版本,请单击该值以打开“编辑客户端应用程序”页,然后单击“删除”。

  9. 在“概述”页上,注意值尚未更改。 如果已使用网关“受众 ID”字段显示的自定义应用程序(客户端)ID 配置网关和客户端,并且客户端已配置为使用此自定义值,则无需进行任何其他更改。

后续步骤