你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

方案：基于用户和组配置 P2S 访问 - Microsoft Entra ID 身份验证

本文将引导你完成一个方案，基于使用 Microsoft Entra ID 身份验证的点到站点 (P2S) VPN 连接的用户和组配置访问权限。 在此方案中，你使用具有指定权限的多个自定义受众应用 ID 和多个 P2S VPN 网关来配置这种类型的访问。 有关 P2S 协议和身份验证的详细信息，请参阅关于点到站点 VPN。

在此方案中，用户根据连接到特定 P2S VPN 网关的权限具有不同的访问权限。 概括来说，此工作流如下所示：

1. 为要为使用 Microsoft Entra ID 身份验证的 P2S VPN 配置的每个 P2S VPN 网关创建一个自定义应用。 记下自定义应用 ID。
2. 将 Azure VPN 客户端应用程序添加到自定义应用配置。
3. 为每个自定义应用分配用户和组权限。
4. 为 P2S VPN Microsoft Entra ID 身份验证配置网关时，请指定 Microsoft Entra ID 租户和与你要允许通过该网关连接的用户关联的自定义应用 ID。
5. 客户端计算机上的 Azure VPN 客户端配置文件是使用用户有权连接到的 P2S VPN 网关的设置配置的。
6. 用户连接后，会进行身份验证，并且只能连接到其帐户具有权限的 P2S VPN 网关。

注意事项：

• 如果只有一个 VPN 网关，则无法创建此类型的精细访问。
• Microsoft Entra ID 身份验证仅支持 OpenVPN® 协议连接，并且需要 Azure VPN 客户端。 *请务必使用正确的客户端配置文件包配置设置来配置每个 Azure VPN 客户端，以确保用户连接到他们有权访问的相应网关。
• 在本练习中使用配置步骤时，可能最简单的方法是一直运行第一个自定义应用 ID 和网关的步骤，然后针对每个后续的自定义应用 ID 和网关重复这些步骤。

先决条件

• 此方案需要 Microsoft Entra 租户。 如果你还没有租户，请在 Microsoft Entra ID 中创建新租户。 记下租户 ID。 为 Microsoft Entra ID 身份验证配置 P2S VPN 网关时，需要此值。

• 此方案需要多个 VPN 网关。 每个网关只能分配一个自定义应用 ID。

  • 如果你还没有与 Microsoft Entra ID 身份验证兼容的至少两个正常运行的 VPN 网关，请参阅创建和管理 VPN 网关 - Azure 门户来创建 VPN 网关。
  • 某些网关选项与使用 Microsoft Entra ID 身份验证的 P2S VPN 网关不兼容。 不支持基本 SKU 和基于策略的 VPN 类型。 有关网关 SKU 的详细信息，请参阅《关于网关 SKU》。 有关 VPN 类型的详细信息，请参阅《VPN 网关设置》。

注册应用程序

若要创建自定义受众应用 ID 值（在配置 VPN 网关时指定），必须注册应用程序。 注册应用程序。 如需了解步骤，请参阅注册应用程序。

• “名称”字段是面向用户的。 使用描述通过此自定义应用程序进行连接的用户或组的直观信息。
• 对于其余设置，请使用文章中显示的设置。

添加作用域

添加范围。 添加范围是配置用户和组的权限的序列的一部分。 如需了解步骤，请参阅公开 API 并添加范围。 稍后，将用户和组权限分配给此范围。

• 为“范围名称”字段使用直观的信息，例如“Marketing-VPN-Users”。 根据需要填写其余字段。
• 状态：选择“启用”。

添加 Azure VPN 客户端应用程序

添加 Azure VPN 客户端应用程序的“客户端 ID”并指定“授权范围”。 添加应用程序时，建议尽可能为 Azure 公共 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 使用 Microsoft 注册的 Azure VPN 客户端应用 ID。 此应用值具有全局许可，这意味着你无需手动注册它。 如需了解步骤，请参阅添加 Azure VPN 客户端应用程序。

添加 Azure VPN 客户端应用程序后，转到“概述”页，复制并保存“应用程序(客户端) ID”。 你稍后需要使用此信息来配置 P2S VPN 网关。

分配用户和组

向连接到网关的用户和/或组分配权限。 如果要指定组，则用户必须是组的直接成员。 不支持嵌套组。

1. 转到你的 Microsoft Entra ID 并选择“企业应用程序”。
2. 在列表中，找到注册的应用程序并单击以将其打开。
3. 展开“管理”，然后选择“属性”。 在“属性”页上，确认“启用以供用户登录”设置为“是”。 否则，将值更改为“是”。
4. 对于“需要分配”，请将值更改为“是”。 有关此设置的详细信息，请参阅应用程序属性。
5. 如果已进行更改，请选择页面顶部的“保存”。
6. 在左窗格中，选择“用户和组”。 在“用户和组”页上，选择“+ 添加用户/组”打开“添加分配”页。
7. 单击“用户和组”下面的链接打开“用户和组”页。 选择要分配的用户和组，然后单击“选择”。
8. 选择完用户和组后，选择“分配”。

配置 P2S VPN

完成前面部分中的步骤后，继续阅读为 Microsoft Entra ID 身份验证配置 P2S VPN 网关 - Microsoft 注册应用。

• 配置每个网关时，请关联相应的自定义受众应用 ID。
• 下载 Azure VPN 客户端配置包，为有权连接到特定网关的用户配置 Azure VPN 客户端。

配置 Azure VPN 客户端

使用 Azure VPN 客户端配置文件配置包在每个用户的计算机上配置 Azure VPN 客户端。 验证客户端配置文件是否对应于你想要用户连接到的 P2S VPN 网关。

后续步骤

• 为 Microsoft Entra ID 身份验证配置 P2S VPN 网关 - Microsoft 注册的应用。
• 若要连接到虚拟网络，必须在客户端计算机上配置 Azure VPN 客户端。 请参阅配置 VPN 客户端以建立 P2S VPN 连接。
• 有关常见问题解答，请参阅 VPN 网关常见问题解答的“点到站点”部分。