Настройка клиента Microsoft Entra для подключений протокола VPN OpenVPN пользователя P2S
При подключении к виртуальной сети с помощью VPN пользователя Виртуальной глобальной сети ("точка — сеть") вы можете выбрать нужный протокол. Используемый протокол определяет доступные способы проверки подлинности. Если вы используете протокол OpenVPN, проверка подлинности Microsoft Entra является одним из доступных вариантов проверки подлинности. В этой статье описана настройка клиента Microsoft Entra для VPN Виртуальная глобальная сеть пользователя (точка — сеть) с помощью проверки подлинности OpenVPN.
Примечание.
Проверка подлинности идентификатора Microsoft Entra поддерживается только для подключений к протоколу OpenVPN® и требует vpn-клиента Azure.
1. Создание клиента Microsoft Entra
Убедитесь, что у вас есть клиент Microsoft Entra. Если у вас нет клиента Microsoft Entra, его можно создать, выполнив действия, описанные в статье "Создание нового клиента ":
- Название организации
- Первоначальное доменное имя
2. Создание пользователей клиента Microsoft Entra
Создайте две учетные записи в созданном клиенте Microsoft Entra. Шаги см. в статье Добавление и удаление новых пользователей.
- Учетная запись глобального администратора
- Учетная запись пользователя
Учетная запись глобального администратора будет использоваться для предоставления согласия на регистрацию приложения VPN Azure. Учетная запись пользователя может использоваться для тестирования проверки подлинности OpenVPN.
Назначьте одну из учетных записей роли Глобальный администратор. Инструкции см. в разделе "Назначение ролей администратора и неадминистратора пользователям с идентификатором Microsoft Entra".
3. Предоставление согласия на регистрацию приложения VPN Azure
Войдите на портал Azure как пользователь с ролью Глобального администратора.
Затем предоставьте согласие администратора для организации. Это позволит приложению VPN Azure выполнять вход и читать профили пользователей. Скопируйте и вставьте URL-адрес, относящийся к расположению развертывания, в адресную строку браузера:
Общедоступный
https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consentAzure для государственных организаций
https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consentMicrosoft Cloud Germany
https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consentMicrosoft Azure под управлением 21Vianet
https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consentПримечание.
Если вы используете учетную запись глобального администратора, которая не является собственной для клиента Microsoft Entra для предоставления согласия, замените "common" идентификатором клиента Microsoft Entra в URL-адресе. Замена common идентификатором арендатора может также потребоваться в некоторых других случаях. Сведения о поиске идентификатора клиента см. в статье "Как найти идентификатор клиента Microsoft Entra".
Выберите учетную запись с ролью Глобальный администратор при появлении запроса.
На странице Запрошенные разрешения щелкните Принять.
Перейдите к идентификатору Microsoft Entra. В области слева щелкните Корпоративные приложения. Вы увидите VPN Azure в списке.
Следующие шаги
Чтобы подключиться к виртуальным сетям с помощью проверки подлинности Microsoft Entra, необходимо создать конфигурацию VPN пользователя и связать ее с Виртуальным концентратором. Сведения о настройке проверки подлинности Microsoft Entra для подключения типа "точка — сеть" к Azure.