你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

方案:基于用户和组配置 P2S 访问 - Microsoft Entra ID 身份验证

本文将引导你完成一个方案,基于使用 Microsoft Entra ID 身份验证的点到站点 (P2S) VPN 连接的用户和组配置访问权限。 在此方案中,你使用具有指定权限的多个自定义受众应用 ID 和多个 P2S VPN 网关来配置这种类型的访问。 有关 P2S 协议和身份验证的详细信息,请参阅关于点到站点 VPN

在此方案中,用户根据连接到特定 P2S VPN 网关的权限具有不同的访问权限。 概括来说,此工作流如下所示:

  1. 为要为使用 Microsoft Entra ID 身份验证的 P2S VPN 配置的每个 P2S VPN 网关创建一个自定义应用。 记下自定义应用 ID。
  2. 将 Azure VPN 客户端应用程序添加到自定义应用配置。
  3. 为每个自定义应用分配用户和组权限。
  4. 为 P2S VPN Microsoft Entra ID 身份验证配置网关时,请指定 Microsoft Entra ID 租户和与你要允许通过该网关连接的用户关联的自定义应用 ID。
  5. 客户端计算机上的 Azure VPN 客户端配置文件是使用用户有权连接到的 P2S VPN 网关的设置配置的。
  6. 用户连接后,会进行身份验证,并且只能连接到其帐户具有权限的 P2S VPN 网关。

注意事项:

  • 如果只有一个 VPN 网关,则无法创建此类型的精细访问。
  • Microsoft Entra ID 身份验证仅支持 OpenVPN® 协议连接,并且需要 Azure VPN 客户端。 *请务必使用正确的客户端配置文件包配置设置来配置每个 Azure VPN 客户端,以确保用户连接到他们有权访问的相应网关。
  • 在本练习中使用配置步骤时,可能最简单的方法是一直运行第一个自定义应用 ID 和网关的步骤,然后针对每个后续的自定义应用 ID 和网关重复这些步骤。

先决条件

  • 此方案需要 Microsoft Entra 租户。 如果你还没有租户,请在 Microsoft Entra ID 中创建新租户。 记下租户 ID。 为 Microsoft Entra ID 身份验证配置 P2S VPN 网关时,需要此值。

  • 此方案需要多个 VPN 网关。 每个网关只能分配一个自定义应用 ID。

    • 如果你还没有与 Microsoft Entra ID 身份验证兼容的至少两个正常运行的 VPN 网关,请参阅创建和管理 VPN 网关 - Azure 门户来创建 VPN 网关。
    • 某些网关选项与使用 Microsoft Entra ID 身份验证的 P2S VPN 网关不兼容。 不支持基本 SKU 和基于策略的 VPN 类型。 有关网关 SKU 的详细信息,请参阅《关于网关 SKU》。 有关 VPN 类型的详细信息,请参阅《VPN 网关设置》

注册应用程序

若要创建自定义受众应用 ID 值(在配置 VPN 网关时指定),必须注册应用程序。 注册应用程序。 如需了解步骤,请参阅注册应用程序

  • “名称”字段是面向用户的。 使用描述通过此自定义应用程序进行连接的用户或组的直观信息。
  • 对于其余设置,请使用文章中显示的设置。

添加作用域

添加范围。 添加范围是配置用户和组的权限的序列的一部分。 如需了解步骤,请参阅公开 API 并添加范围。 稍后,将用户和组权限分配给此范围。

  • 为“范围名称”字段使用直观的信息,例如“Marketing-VPN-Users”。 根据需要填写其余字段。
  • 状态:选择“启用”。

添加 Azure VPN 客户端应用程序

添加 Azure VPN 客户端应用程序的“客户端 ID”并指定“授权范围”。 添加应用程序时,建议尽可能为 Azure 公共 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 使用 Microsoft 注册的 Azure VPN 客户端应用 ID。 此应用值具有全局许可,这意味着你无需手动注册它。 如需了解步骤,请参阅添加 Azure VPN 客户端应用程序

添加 Azure VPN 客户端应用程序后,转到“概述”页,复制并保存“应用程序(客户端) ID”。 你稍后需要使用此信息来配置 P2S VPN 网关。

分配用户和组

向连接到网关的用户和/或组分配权限。 如果要指定组,则用户必须是组的直接成员。 不支持嵌套组。

  1. 转到你的 Microsoft Entra ID 并选择“企业应用程序”。
  2. 在列表中,找到注册的应用程序并单击以将其打开。
  3. 展开“管理”,然后选择“属性”。 在“属性”页上,确认“启用以供用户登录”设置为“是”。 否则,将值更改为“”。
  4. 对于“需要分配”,请将值更改为“”。 有关此设置的详细信息,请参阅应用程序属性
  5. 如果已进行更改,请选择页面顶部的“保存”。
  6. 在左窗格中,选择“用户和组”。 在“用户和组”页上,选择“+ 添加用户/组”打开“添加分配”页
  7. 单击“用户和组”下面的链接打开“用户和组”页。 选择要分配的用户和组,然后单击“选择”。
  8. 选择完用户和组后,选择“分配”

配置 P2S VPN

完成前面部分中的步骤后,继续阅读为 Microsoft Entra ID 身份验证配置 P2S VPN 网关 - Microsoft 注册应用

  • 配置每个网关时,请关联相应的自定义受众应用 ID。
  • 下载 Azure VPN 客户端配置包,为有权连接到特定网关的用户配置 Azure VPN 客户端。

配置 Azure VPN 客户端

使用 Azure VPN 客户端配置文件配置包在每个用户的计算机上配置 Azure VPN 客户端。 验证客户端配置文件是否对应于你想要用户连接到的 P2S VPN 网关。

后续步骤