为 Microsoft Entra ID 身份验证配置 P2S VPN 网关
本文将帮助你为 Microsoft Entra ID 身份验证配置点到站点 (P2S) VPN 网关,并手动注册 Azure VPN 客户端。 仅 OpenVPN 协议连接支持这种类型的配置。
先决条件
本文中的步骤需要一个 Microsoft Entra 租户。 如果你没有 Microsoft Entra 租户,可以按照创建新租户一文中的步骤创建一个。 创建目录时,请注意以下字段:
- 组织名称
- 初始域名
如果已有 P2S 网关,本文中的步骤将帮助你配置用于 Microsoft Entra ID 身份验证的网关。 还可以创建新的 VPN 网关。 本文包含用于创建新网关的链接。
注意
Microsoft Entra ID 身份验证仅支持 OpenVPN® 协议连接,并且需要 Azure VPN 客户端。
创建 Microsoft Entra 租户用户
在新建的 Microsoft Entra 租户中创建两个帐户。 有关步骤,请参阅添加新用户或删除用户。
- 云应用程序管理员角色
- 用户帐户
云应用程序管理员角色用于向 Azure VPN 应用注册授权同意。 用户帐户可用于测试 OpenVPN 身份验证。
向这些账户之一分配云应用程序管理员角色。 有关步骤,请参阅向具有 Microsoft Entra ID 的用户分配管理员和非管理员角色。
为 Azure VPN 应用程序授权
以分配了云应用程序管理员角色的用户身份登录到 Azure 门户。
下一步,向组织授予管理员同意。 这样,Azure VPN 应用程序就能够登录和读取用户配置文件了。 在浏览器的地址栏中复制并粘贴与部署位置相关的 URL:
由世纪互联运营的 Microsoft Azure
https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
注意
如果你使用对于 Microsoft Entra 租户并非本机的云应用程序管理员来提供同意,请在 URL 中将“common”替换为 Microsoft Entra 租户 ID。 在某些其他情况下,可能还需要将“common”替换为租户 ID。 有关查找租户 ID 的帮助,请参阅如何查找 Microsoft Entra 租户 ID。
如果出现提示,请选择具有云应用程序管理员角色的帐户。
在“请求的权限”页上,选择“接受”。
转到“Microsoft Entra ID”。 在左侧窗格中,单击“企业应用程序”。 随后会列出“Azure VPN”。
配置 VPN 网关
重要
Azure 门户正在将 Azure Active Directory 字段更新到 Entra。 如果你看到了引用的 Microsoft Entra ID,但尚未在门户中看到这些值,则可以选择 Azure Active Directory 值。
找到要用于身份验证的目录的租户 ID。 此 ID 在“Active Directory”页的“属性”部分中列出。 有关查找租户 ID 的帮助,请参阅如何查找 Microsoft Entra 租户 ID。
如果还没有正常运行的“点到站点”环境,请按照说明创建一个。 请参阅创建点到站点 VPN,以创建和配置点到站点 VPN 网关。 创建 VPN 网关时,OpenVPN 不支持基本 SKU。
转到虚拟网络网关。 在左侧窗格中,单击“点到站点配置”。
配置以下值:
- 地址池:客户端地址池
- 隧道类型:OpenVPN (SSL)
- 身份验证类型:Microsoft Entra ID
对于“Microsoft Entra ID”值,请根据以下准则指定“租户”、“受众”和“颁发者”值。 将 {TenantID} 替换为租户 ID,在替换此值时注意从示例中删除 {}。
租户:Microsoft Entra 租户的 TenantID。 输入对应于你的配置的租户 ID。 确保“租户 URL”的末尾没有
\
(反斜杠)。 允许正斜杠。- 中国世纪互联 AD:
https://login.chinacloudapi.cn/{TenantID}
- 中国世纪互联 AD:
受众:“Azure VPN”Microsoft Entra 企业应用的应用程序 ID。
- 由世纪互联运营的 Microsoft Azure:
49f817b6-84ae-4cc0-928c-73f27289b3aa
- 由世纪互联运营的 Microsoft Azure:
颁发者:安全令牌服务的 URL。 在“颁发者”值的末尾包含尾部斜杠。 否则,连接可能会失败。 示例:
https://sts.chinacloudapi.cn/{TenantID}/
配置设置后,单击页面顶部的“保存”。
下载 Azure VPN 客户端配置文件配置包
在本部分,你将生成并下载 Azure VPN 客户端配置文件配置包。 此包包含可用于在客户端计算机上配置 Azure VPN 客户端配置文件的设置。
在“点到站点配置”页面顶部,单击“下载 VPN 客户端”。 需要几分钟才能生成客户端配置包。
浏览器会指示客户端配置 zip 文件可用。 其名称与网关名称相同。
解压缩已下载的 zip 文件。
浏览到解压缩后的“AzureVPN”文件夹。
记下“azurevpnconfig.xml”文件的位置。 azurevpnconfig.xml 包含 VPN 连接的设置。 还可以将此文件分发给需要通过电子邮件或其他方式建立连接的所有用户。 用户需要有效的 Microsoft Entra ID 凭据才能成功连接。
后续步骤
- 若要连接到虚拟网络,必须在客户端计算机上配置 Azure VPN 客户端。 请参阅配置 VPN 客户端以建立 P2S VPN 连接。
- 有关常见问题解答,请参阅 VPN 网关常见问题解答的“点到站点”部分。