Поделиться через

Создание или изменение пользовательского идентификатора приложения аудитории для проверки подлинности ИДЕНТИФИКАТОРа VPN Microsoft Entra VPN

Действия, описанные в этой статье, помогут вам создать пользовательский идентификатор приложения Microsoft Entra ID (настраиваемая аудитория) для нового зарегистрированного в Майкрософт VPN-клиента Azure для подключений типа "точка — сеть" (P2S). Вы также можете обновить существующий клиент, чтобы изменить новое приложение VPN-клиента Microsoft Azure из предыдущего VPN-приложения Azure.

При настройке идентификатора пользовательского приложения аудитории можно использовать любое из поддерживаемых значений, связанных с приложением VPN-клиента Azure. Рекомендуется при возможности связать значение c632b3df-fb67-4d84-bdcf-b95ad541b5c8 общедоступной аудитории Azure, зарегистрированное корпорацией Майкрософт, с пользовательским приложением. Полный список поддерживаемых значений см. в разделе VPN P2S — идентификатор Microsoft Entra.

В этой статье приведены высокоуровневые шаги. Снимки экрана для регистрации приложения могут немного отличаться в зависимости от способа доступа к пользовательскому интерфейсу, но параметры одинаковы. Для получения дополнительной информации см. Краткое руководство: Регистрация приложения. Дополнительные сведения о проверке подлинности Идентификатора Microsoft Entra для P2S см. в статье Microsoft Entra ID authentication for P2S.

Если вы настраиваете пользовательский идентификатор приложения аудитории для настройки или ограничения доступа на основе пользователей и групп, см. статью Сценарий: настройка доступа P2S на основе пользователей и групп — аутентификация с помощью Microsoft Entra ID. В статье по сценарию описан рабочий процесс и шаги по назначению разрешений.

Предварительные условия

  • В этой статье предполагается, что у вас уже есть клиент Microsoft Entra и разрешения на создание корпоративного приложения, как правило, роль администратора облачных приложений или выше. Дополнительные сведения см. в статье "Создание нового клиента в идентификаторе Microsoft Entra ID" и назначение ролей пользователей с помощью идентификатора Microsoft Entra.

  • В этой статье предполагается, что для настройки пользовательского приложения используется значение общедоступной c632b3df-fb67-4d84-bdcf-b95ad541b5c8, зарегистрированное корпорацией Майкрософт. Это значение имеет глобальное согласие, что означает, что вам не нужно вручную зарегистрировать его для предоставления согласия для вашей организации. Мы рекомендуем использовать это значение.

  • Если вместо этого необходимо использовать значение идентификатора приложения вручную, необходимо предоставить согласие на вход и чтение профилей пользователей, прежде чем продолжить работу с этой конфигурацией. Необходимо войти с учетной записью, назначенной ролью администратора облачных приложений.

    1. Чтобы предоставить согласие администратора для вашей организации, измените следующую команду, чтобы она содержала client_id требуемое значение. В этом примере значение client_id предназначено для общедоступной версии Azure. Дополнительные поддерживаемые значения см. в таблице .

      https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    2. Скопируйте и вставьте URL-адрес, относящийся к расположению развертывания в адресной строке браузера.

    3. Если появится запрос, выберите учетную запись с ролью администратора облачных приложений.

    4. На странице Запрошенные разрешения щелкните Принять.

Регистрация приложения

Есть несколько различных способов добраться до страницы Регистрация приложений. Одним из способов является центр администрирования Microsoft Entra. Вы также можете использовать портал Azure и Microsoft Entra ID. Войдите с учетной записью с ролью администратора облачных приложений или более поздней.

  1. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры " в верхнем меню, чтобы переключиться на клиент, в котором вы хотите зарегистрировать приложение из меню каталогов и подписок .

  2. Перейдите к Регистрация приложений и выберите "Создать регистрацию".

    Снимок экрана: страница регистрации приложений с выбранной новой регистрацией.

  3. На странице "Регистрация приложения" введите отображаемое имя приложения. Пользователи приложения могут видеть отображаемое имя при использовании приложения, например во время входа. Отображаемое имя можно изменить в любое время. Несколько регистраций приложений могут иметь одно и то же имя. Идентификатор приложения (клиента), автоматически сгенерированный при регистрации, однозначно идентифицирует ваше приложение на платформе управления идентификацией.

    Снимок экрана: страница регистрации приложения.

  4. Укажите, кто может использовать приложение. Таких пользователей иногда называют аудиторией входа. Выберите учетные записи только в этом каталоге организации (только nameofyourdirectory — единый клиент).

  5. Пока оставьте URI перенаправления (необязательно) в покое, так как вы настроите его в следующем разделе.

  6. Для завершения исходной регистрации приложения нажмите кнопку Зарегистрировать.

После завершения регистрации центр администрирования Microsoft Entra отображает панель обзора регистрации приложения. Вы увидите значение Идентификатор приложения (клиента). Это значение, также называемое идентификатором клиента, определяет ваше приложение на платформе удостоверений Майкрософт. Это значение пользовательской аудитории, используемое при настройке шлюза P2S. Несмотря на то, что это значение присутствует, необходимо выполнить следующие разделы, чтобы связать зарегистрированное корпорацией Майкрософт приложение с идентификатором приложения.

Открыть API и добавить область действия

В этом разделе вы создадите область для назначения детализированных разрешений.

  1. В левой области зарегистрированного приложения выберите "Предоставить API".

    Снимок экрана: страница предоставления API.

  2. Выберите Добавить область. На панели "Добавление области" просмотрите URI идентификатора приложения. Это поле создается автоматически. Это значение по умолчанию api://<application-client-id>. Универсальный код ресурса (URI) идентификатора приложения выступает в качестве префикса для областей, на которые вы ссылаетесь в коде API, и он должен быть глобально уникальным.

    Снимок экрана: панель

  3. Нажмите кнопку "Сохранить и продолжить", чтобы перейти к следующей панели "Добавить область".

  4. В этом окне Добавить область укажите атрибуты области. В этом пошаговом руководстве вы можете использовать примеры значений или указать собственные.

    Снимок экрана: панель

    Поле значение
    Имя области Пример: p2s-vpn1
    Кто может давать согласие Admins only (Только администраторы)
    Отображаемое имя согласия администратора Пример: p2s-vpn1-users
    Описание согласия администратора Пример. Доступ к VPN-подключению P2S
    Государство Включено

  5. Выберите " Добавить область ", чтобы добавить область.

Добавление приложения VPN-клиента Azure

В этом разделе вы связываете идентификатор приложения Azure VPN Client, зарегистрированного Microsoft.

  1. На странице "Предоставление доступа к API" нажмите кнопку "Добавить клиентское приложение".

    Снимок экрана показывает, что выбрано добавление клиентского приложения.

  2. В области "Добавление клиентского приложения" для идентификатора клиента используйте идентификатор общедоступного приложения Azure для зарегистрированного в Microsoft приложения VPN-клиента, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 если вы не знаете, что вам нужно другое значение.

    Снимок экрана: панель добавления клиентского приложения.

  3. Убедитесь, что выбраны авторизованные области.

  4. Выберите Добавить приложение.

Сбор значений

На странице обзора приложения запишите следующие значения, необходимые при настройке VPN-шлюза типа "точка — сеть" для проверки подлинности идентификатора Microsoft Entra ID.

  • Идентификатор приложения (клиента): это пользовательский идентификатор аудитории, используемый для поля аудитории при настройке VPN-шлюза P2S.
  • Идентификатор каталога (клиента): это значение является частью значения, необходимого для поля клиента и издателя для VPN-шлюза P2S.

Настройка VPN-шлюза P2S

После выполнения действий, описанных в предыдущих разделах, перейдите к настройке VPN-шлюза P2S для аутентификации с использованием Microsoft Entra ID — приложение, зарегистрированное в Microsoft.

Обновление Идентификатора клиента VPN-приложения, зарегистрированного в Microsoft.

Примечание.

Эти действия можно использовать для любого из поддерживаемых значений, связанных с приложением VPN-клиента Azure. Мы рекомендуем при возможности связать зарегистрированное Microsoft значение App ID для общедоступной аудитории Azure c632b3df-fb67-4d84-bdcf-b95ad541b5c8 с пользовательским приложением.

Если вы уже настроили VPN-шлюз P2S для использования пользовательского значения в поле идентификатора аудитории и хотите перейти на новый зарегистрированный Microsoft клиент Azure VPN, вы можете авторизовать новое приложение, добавив клиентское приложение в свой API. С помощью этого метода вам не нужно изменять параметры VPN-шлюза Azure или VPN-клиентов Azure, если они используют последнюю версию клиента.

В следующих шагах вы добавите другое разрешенное клиентское приложение, используя значение аудитории идентификатора приложения VPN-клиента Azure, зарегистрированного в Microsoft. Вы не изменяете значение существующего авторизованного клиентского приложения. Вы всегда можете удалить существующее авторизованное клиентское приложение, если вы больше не используете его.

  1. Есть несколько различных способов добраться до страницы Регистрация приложений. Одним из способов является административный центр Microsoft Entra. Вы также можете использовать портал Azure и Microsoft Entra. Войдите с учетной записью с ролью администратора облачных приложений или более поздней.

  2. Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры " в верхнем меню, чтобы переключиться на клиент, который вы хотите использовать в меню каталогов и подписок .

  3. Перейдите к Регистрация приложений и найдите отображаемое имя зарегистрированного приложения. Щелкните, чтобы открыть страницу.

  4. Щелкните "Предоставить API". На странице "Предоставление доступа к API" обратите внимание, что присутствует предыдущее значение Client Id аудитории VPN-клиента Azure.

    Снимок экрана: страница

  5. Выберите + Добавить клиентское приложение.

  6. На панели "Добавление клиентского приложения " для идентификатора клиента используйте идентификатор приложения для зарегистрированного в Майкрософт VPN-приложения c632b3df-fb67-4d84-bdcf-b95ad541b5c8Azure.

  7. Убедитесь, что выбраны авторизованные области. Затем нажмите кнопку "Добавить приложение".

  8. На странице "Предоставление доступа к API" теперь отображаются оба значения идентификатора клиента. Если вы хотите удалить предыдущую версию, щелкните значение, чтобы открыть страницу "Изменить клиентское приложение " и нажмите кнопку "Удалить".

  9. На странице обзора обратите внимание, что значения не изменились. Если вы уже настроили шлюз и клиенты с помощью пользовательского идентификатора приложения (клиента), отображаемого для поля идентификатора аудитории шлюза, и клиенты уже настроены для использования этого настраиваемого значения, вам не нужно вносить дополнительные изменения.

Следующие шаги