Настройка VPN-шлюза P2S для проверки подлинности идентификатора Microsoft Entra

В этой статье описана настройка VPN-шлюза типа "точка — сеть" (P2S) для проверки подлинности идентификатора идентификатора Microsoft Entra с помощью нового идентификатора приложения VPN-клиента Microsoft, зарегистрированного в Microsoft Azure.

VPN-шлюз теперь поддерживает новый идентификатор приложения, зарегистрированный корпорацией Майкрософт, и соответствующие значения аудитории для последних версий VPN-клиента Azure. При настройке VPN-шлюза P2S с помощью новых значений аудитории вы пропустите ранее необходимый процесс регистрации приложения VPN-клиента Azure для клиента Microsoft Entra. Идентификатор приложения уже создан, и клиент автоматически может использовать его без дополнительных шагов регистрации. Этот процесс безопаснее, чем вручную регистрация VPN-клиента Azure, так как вам не нужно авторизовать приложение или назначать разрешения с помощью роли администратора облачных приложений. Чтобы лучше понять разницу между типами объектов приложений, см. сведения о том, как и почему приложения добавляются в идентификатор Microsoft Entra.

• Если VPN-шлюз пользователя P2S настроен с помощью значений аудитории для настраиваемого вручную VPN-приложения Azure, вы можете легко изменить параметры шлюза и клиента, чтобы воспользоваться новым идентификатором приложения, зарегистрированным корпорацией Майкрософт. Если вы хотите, чтобы клиенты Linux подключались, необходимо обновить шлюз P2S с новым значением аудитории. VPN-клиент Azure для Linux не совместим с предыдущими значениями аудитории.
• Если вы хотите создать или изменить настраиваемое значение аудитории, см. статью "Создание пользовательского идентификатора приложения аудитории для VPN P2S".
• Если вы хотите настроить или ограничить доступ к P2S на основе пользователей и групп, см . статью "Сценарий: Настройка VPN-доступа P2S на основе пользователей и групп".

Рекомендации

• VPN-шлюз P2S может поддерживать только одно значение аудитории. Он не может одновременно поддерживать несколько значений параметра "аудитория".

• VPN-клиент Azure для Linux не имеет обратной совместимости с шлюзами P2S, настроенными для использования старых значений аудитории, которые соответствуют зарегистрированному вручную приложению. Однако VPN-клиент Azure для Linux поддерживает настраиваемые значения аудитории.

• Хотя возможно, что VPN-клиент Azure для Linux может работать в других дистрибутивах и выпусках Linux, VPN-клиент Azure для Linux поддерживается только в следующих выпусках:

  • Ubuntu 20.04
  • Ubuntu 22.04

• Хотя возможно, что VPN-клиент Azure для Windows может работать в других версиях операционной системы, VPN-клиент Azure для Windows поддерживается только в следующих выпусках:

  • Поддерживаемые выпуски Windows: Windows 10, Windows 11 на процессорах X64.
  • VPN-клиент Azure для Windows не поддерживается для систем, работающих на процессоре ARM.

• Последние версии VPN-клиентов Azure для macOS и Windows совместимы с шлюзами P2S, настроенными для использования старых значений Audience, которые соответствуют приложению, зарегистрированному вручную. Эти клиенты также поддерживают значения настраиваемой аудитории.

Значения аудитории VPN-клиента Azure

В следующей таблице показаны версии VPN-клиента Azure, которые поддерживаются для каждого идентификатора приложения и соответствующих доступных значений аудитории.

Рабочий процесс "точка — сеть"

Для успешной настройки подключения P2S с помощью проверки подлинности Идентификатора Microsoft Entra требуется последовательность шагов.

В этой статье подробно описано, как выполнять следующее:

1. Проверьте арендатора.
2. Настройте VPN-шлюз с соответствующими необходимыми параметрами.
3. Создайте и скачайте пакет конфигурации VPN-клиента.

Статьи, приведенные в разделе "Дальнейшие действия ", помогут вам:

1. Скачайте VPN-клиент Azure на клиентском компьютере.
2. Настройте клиент с помощью параметров из пакета конфигурации VPN-клиента.
3. Подключитесь.

Предварительные условия

В этой статье предполагается следующее:

• VPN-шлюз

  • Некоторые параметры шлюза несовместимы с VPN-шлюзами P2S, используюющими проверку подлинности идентификатора Microsoft Entra. VPN-шлюз не может использовать номер SKU уровня "Базовый" или тип VPN на основе политик. Дополнительные сведения об номерах SKU шлюза см. в разделе "Сведения о номерах SKU шлюза". Дополнительные сведения о типах VPN см. в VPN-шлюз параметрах.

  • Если у вас еще нет работающего VPN-шлюза, совместимого с проверкой подлинности идентификатора Microsoft Entra, см. статью "Создание VPN-шлюза и управление ими" портал Azure. Создайте совместимый VPN-шлюз, а затем вернитесь к этой статье для настройки параметров P2S.

• Клиент Microsoft Entra

  • Действия, описанные в этой статье, требуют клиента Microsoft Entra. Дополнительные сведения см. в разделе "Создание нового клиента" в идентификаторе Microsoft Entra.

Добавление пула адресов VPN-клиента

Пул адресов клиента представляет собой диапазон частных IP-адресов, указанных вами. Клиенты, которые подключаются через VPN «точка-сеть», динамически получают IP-адрес из этого диапазона. Используйте диапазон частных IP-адресов, который не перекрывается с локальным расположением, из которого вы подключаетесь, или виртуальной сетью, к которой требуется подключиться. Если вы настроите несколько протоколов и один из них будет SSTP, то заданный пул адресов поровну разделится между этими протоколами.

1. Перейдите на портал Azure и перейдите к вашему VPN-шлюзу.
2. На странице вашего шлюза в левой области выберите Конфигурация подключения точки к сайту.
3. На странице конфигурации "Точка — сеть " нажмите кнопку "Настроить сейчас".
4. На странице конфигурации "точка — сеть" вы увидите поле конфигурации пула адресов.
5. В поле Пул адресов добавьте диапазон частных IP-адресов, который вы хотите использовать. Например, если вы добавите диапазон адресов 172.16.201.0/24, подключенные VPN-клиенты получают один из IP-адресов из этого диапазона. Минимальное значение для маски подсети: 29 бит в режиме "активный — пассивный" и 28 бит в режиме "активный — активный".

После добавления диапазона перейдите к следующим разделам, чтобы настроить остальные необходимые параметры.

Настройка типа туннеля и проверки подлинности

1. Найдите идентификатор арендатора каталога, который вы хотите использовать для проверки подлинности. Сведения о поиске идентификатора клиента см. в статье "Как найти идентификатор клиента Microsoft Entra".

2. Настройте значения типа туннеля и проверки подлинности.

   

   Задайте следующие значения.

   • Пул адресов: пул клиентских адресов
   • Тип туннеля: OpenVPN (SSL)
   • Тип проверки подлинности: идентификатор Microsoft Entra

   Для значений Microsoft Entra ID используйте следующие рекомендации для значений клиента, аудитории и издателя. Замените {Идентификатор клиента Entra от Microsoft} на ваш идентификатор клиента, удалив {} из примеров при замене этого значения.

   • Клиент: TenantID для клиента идентификатора Microsoft Entra ID. Введите идентификатор клиента, соответствующий конфигурации. Убедитесь, что URL-адрес арендатора не имеет обратную косую черту \ в конце. Косая черта допустима.

     • Общедоступная служба Azure: https://login.microsoftonline.com/{TenantID}
     • Azure для государственных организаций: https://login.microsoftonline.us/{TenantID}
     • Azure Германия: https://login-us.microsoftonline.de/{TenantID}
     • Китай 21Vianet: https://login.chinacloudapi.cn/{TenantID}

   • Аудитория: соответствующее значение для идентификатора приложения VPN-клиента Microsoft, зарегистрированного в Microsoft Azure. Пользовательская аудитория также поддерживается для этого поля.

     • c632b3df-fb67-4d84-bdcf-b95ad541b5c8

   • Издатель: URL-адрес службы безопасных токенов. Добавьте слэш в конец значения Issuer. В противном случае подключение может завершиться ошибкой. Пример:

     • https://sts.windows.net/{Microsoft ID Entra Tenant ID}/

3. Вам не нужно щелкать Предоставить согласие администратора для приложения клиента Azure VPN. Эта ссылка доступна только для зарегистрированных вручную VPN-клиентов, использующих старые значения аудитории. Откроется страница в портал Azure.

4. После завершения настройки параметров нажмите кнопку "Сохранить " в верхней части страницы.

Скачайте пакет конфигурации профиля VPN-клиента

В этом разделе описано, как создать и скачать пакет конфигурации профиля VPN-клиента Azure. Этот пакет содержит параметры, которые можно использовать для настройки профиля VPN-клиента Azure на клиентских компьютерах.

1. В верхней части страницы конфигурации "Точка — сеть" щелкните "Скачать VPN-клиент". Пакет конфигурации клиента создается несколько минут.

2. В браузере появится сообщение о том, что ZIP-файл конфигурации клиента доступен. Он получает такое же имя, как у вашего шлюза.

3. Распакуйте загруженный zip-файл.

4. Перейдите в распакованную папку "AzureVPN".

5. Запомните расположение файла azurevpnconfig.xml. Файл azurevpnconfig.xml содержит параметр для VPN-подключения. Вы также можете распространить этот файл среди всех пользователей, которым необходимо подключиться по электронной почте или другим способом. Для успешного подключения пользователю потребуются допустимые учетные данные идентификатора Microsoft Entra.

Настройка VPN-клиента Azure

Затем вы изучите пакет конфигурации профиля, настройте VPN-клиент Azure для клиентских компьютеров и подключитесь к Azure. См. статьи, перечисленные в разделе "Дальнейшие действия".

Следующие шаги

Настройте VPN-клиент Azure.

• VPN-клиент Azure для Linux
• VPN-клиент Azure для Windows
• VPN-клиент Azure для macOS