案例：根據使用者和群組設定 P2S 存取 - Microsoft Entra ID 驗證

本文將逐步引導您進行案例，以根據使用Microsoft Entra ID 驗證的點對站 （P2S） VPN 連線的使用者和群組來設定存取權。 此案例會使用具有指定許可權的多個自定義物件應用程式識別碼，以及多個 P2S VPN 閘道來設定這種類型的存取。 如需 P2S 通訊協定和驗證的詳細資訊，請參閱關於點對站 VPN。

在此案例中，用戶根據連線到特定 P2S VPN 閘道的許可權具有不同的存取權。 概括而言，工作流程如下所示：

1. 針對您想要為 P2S VPN 設定且具有 Microsoft Entra ID 驗證的每個 P2S VPN 閘道建立自訂應用程式。 記下自定義應用程式識別碼。
2. 將 Azure VPN 用戶端應用程式新增至自訂應用程式組態。
3. 為每個自定義應用程式指派使用者和群組許可權。
4. 當您設定 P2S VPN Microsoft Entra 識別碼驗證的閘道時，請指定 Microsoft Entra ID 租使用者，以及與您想要允許透過該網關聯機的使用者相關聯的自定義應用程式識別符。
5. 用戶端電腦上的 Azure VPN 用戶端設定檔是使用使用者有權連線的 P2S VPN 閘道設定。
6. 當用戶連線時，會進行驗證，且只能連線到其帳戶具有許可權的 P2S VPN 閘道。

考量因素：

• 如果您只有一個 VPN 閘道，就無法建立這種類型的細微存取。
• Microsoft Entra ID 驗證僅支援 OpenVPN® 通訊協定連線，而且需要 Azure VPN Client。 *請小心使用正確的用戶端配置檔套件組態設定來設定每個 Azure VPN 用戶端，以確保使用者連線到他們擁有許可權的對應網關。
• 當您在此練習中使用組態步驟時，執行第一個自定義應用程式標識碼和閘道的步驟可能最簡單的方式，然後針對每個後續的自定義應用程式標識碼和網關重複。

必要條件

• 此案例需要Microsoft Entra 租使用者。 如果您還沒有租使用者， 請在 Microsoft Entra 識別碼中建立新的租使用者。 記下租用戶標識碼。 當您設定 P2S VPN 閘道以進行Microsoft Entra ID 驗證時，需要此值。

• 此案例需要多個 VPN 閘道。 每個閘道只能指派一個自定義應用程式標識碼。

  • 如果您還沒有至少兩個可運作的 VPN 閘道與 Microsoft Entra ID 驗證相容，請參閱建立和管理 VPN 閘道 - Azure 入口網站 建立 VPN 閘道。
  • 某些閘道選項與使用 Microsoft Entra ID 驗證的 P2S VPN 閘道不相容。 不支援基本 SKU 和原則型 VPN 類型。 如需閘道 SKU 的詳細資訊，請參閱關於閘道 SKU。 如需 VPN 類型的詳細資訊，請參閱 VPN 閘道設定。

註冊應用程式

若要建立自定義物件應用程式識別碼值，當您設定 VPN 閘道時，必須註冊應用程式。 註冊應用程式。 如需步驟，請參閱 註冊應用程式。

• [ 名稱] 欄位是使用者面向的。 使用直覺式描述透過此自定義應用程式連線的使用者或群組。
• 針對其餘的設定，請使用文章中顯示的設定。

新增範圍

新增範圍。 新增範圍是設定使用者和群組許可權序列的一部分。 如需步驟，請參閱 公開 API 並新增範圍。 稍後，您會將使用者和群組許可權指派給此範圍。

• 針對 [ 範圍名稱 ] 字段使用直覺式專案，例如 Marketing-VPN-Users。 視需要填寫其餘欄位。
• 針對 [ 狀態]，選取 [ 啟用]。

新增 Azure VPN 用戶端應用程式

新增 Azure VPN 用戶端應用程式用戶端 識別碼 ，並指定 授權範圍。 當您新增應用程式時，建議您盡可能使用適用於 Azure 公用c632b3df-fb67-4d84-bdcf-b95ad541b5c8的 Microsoft 註冊 Azure VPN 用戶端應用程式識別碼。 此應用程式值具有全域同意，這表示您不需要手動註冊它。 如需步驟，請參閱 新增 Azure VPN 用戶端應用程式。

新增 Azure VPN 用戶端應用程式之後，請移至 [ 概觀 ] 頁面並複製並儲存 應用程式 （用戶端） 識別碼。 您將需要此資訊來設定 P2S VPN 閘道。

指派使用者與群組

將許可權指派給連線至閘道的使用者和/或群組。 如果您要指定群組，使用者必須是群組的直接成員。 不支援巢狀群組。

1. 移至您的 Microsoft Entra ID，然後選取 [企業應用程式]。
2. 從清單中找出您註冊的應用程式，然後按一下以開啟應用程式。
3. 展開 [ 管理]，然後選取 [ 屬性]。 在 [屬性] 頁面上，確認 [為使用者啟用登入] 設定為 [是]。 如果沒有，請將值變更為 [是]。
4. 針對 [需要指派]，將值變更為 [是]。 如需此設定的詳細資訊，請參閱應用程式屬性。
5. 如果您已進行變更，請選取頁面頂端的 [ 儲存 ]。
6. 在左側窗格中，選取 [使用者和群組]。 在 [ 使用者和群組] 頁面上，選取 [+ 新增使用者/群組 ] 以開啟 [ 新增指派 ] 頁面。
7. 按一下 [使用者和群組] 下方的連結，以開啟 [使用者和群組] 頁面。 選取您要指派的使用者和群組，然後按一下 [選取]。
8. 完成選取使用者和群組之後，請選取 [ 指派]。

設定 P2S VPN

完成上一節中的步驟之後，請繼續設定 P2S VPN 閘道 以進行 Microsoft Entra ID 驗證 – Microsoft註冊的應用程式。

• 當您設定每個閘道時，請建立適當的自訂物件應用程式識別碼的關聯。
• 下載 Azure VPN 用戶端組態套件，為有權連線到特定網關的使用者設定 Azure VPN 用戶端。

設定 Azure VPN Client

使用 Azure VPN 用戶端設定檔元件，在每個使用者的電腦上設定 Azure VPN 用戶端。 確認用戶端配置檔對應至您想要用戶連線的 P2S VPN 閘道。

下一步

• 設定 P2S VPN 閘道以進行 Microsoft Entra ID 驗證 – Microsoft 註冊的用戶端。
• 若要連線到您的虛擬網路，您必須在用戶端電腦上設定 Azure VPN 用戶端。 請參閱設定 P2S VPN 連線的 VPN 用戶端。
• 如需常見問題，請參閱 VPN 閘道常見問題的點對站一節。