为 Microsoft Entra ID 身份验证配置 P2S VPN 网关 - 手动注册的应用

本文将帮助你为 Microsoft Entra ID 身份验证配置点到站点 (P2S) VPN 网关,并手动注册 Azure VPN 客户端。 仅 OpenVPN 协议连接支持这种类型的配置。 虽然本文中的步骤和受众值确实能实现一个有效的配置,但我们还是建议你改用“为 Microsoft Entra ID 身份验证配置 P2S VPN 网关”一文。

重要

建议使用新的文章“为 Microsoft Entra ID 身份验证配置 P2S VPN 网关”。 这篇新文章使用使用新的 Microsoft 注册的 Azure VPN 客户端应用 ID 和受众值,提供了一个更高效的设置过程。 此外,新的受众值现在支持适用于 Linux 的 Azure VPN 客户端。 如果已使用手动配置的 Azure VPN 客户端受众值设置 P2S 用户 VPN 网关,则可以迁移到新的 Microsoft 注册的应用 ID。

先决条件

执行本文中的步骤需要一个 Microsoft Entra 租户。 如果你没有 Microsoft Entra 租户,可以按照创建新租户一文中的步骤创建一个。 创建目录时,请注意以下字段:

  • 组织名称
  • 初始域名

如果已有 P2S 网关,本文中的步骤将帮助你配置用于 Microsoft Entra ID 身份验证的网关。 还可以创建新的 VPN 网关。 本文包含用于创建新网关的链接。

注意

Microsoft Entra ID 身份验证仅支持 OpenVPN® 协议连接,并且需要 Azure VPN 客户端。

创建 Microsoft Entra 租户用户

  1. 在新建的 Microsoft Entra 租户中创建两个帐户。 有关步骤,请参阅添加新用户或删除用户

    云应用程序管理员角色用于授予对 Azure VPN 应用注册的许可。 用户帐户可用于测试 OpenVPN 身份验证。

  2. 向这些账户之一分配云应用程序管理员角色。 有关步骤,请参阅向具有 Microsoft Entra ID 的用户分配管理员和非管理员角色

为 Azure VPN 应用程序授权

  1. 以分配了云应用程序管理员角色的用户身份登录到 Azure 门户。

  2. 下一步,向组织授予管理员同意。 这样,Azure VPN 应用程序就能够登录和读取用户配置文件了。 在浏览器的地址栏中复制并粘贴与部署位置相关的 URL:

    由世纪互联运营的 Microsoft Azure

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
    

    注意

    如果你用于提供同意的云应用程序管理员帐户并非 Microsoft Entra 租户的本机帐户,请在 URL 中将“common”替换为 Microsoft Entra 租户 ID。 在某些其他情况下,可能还需要将“common”替换为租户 ID。 有关查找租户 ID 的帮助,请参阅如何查找 Microsoft Entra 租户 ID

  3. 如果出现提示,请选择具有云应用程序管理员角色的帐户。

  4. 在“请求的权限”页上,选择“接受”。

  5. 转到“Microsoft Entra ID”。 在左侧窗格中,单击“企业应用程序”。 你将看到列出的“Azure VPN”。

    显示列出的 Azure VPN 的“企业应用程序”页的屏幕截图。

配置 VPN 网关

重要

Azure 门户正在将 Azure Active Directory 字段更新到 Entra。 如果你看到了引用的 Microsoft Entra ID,但尚未在门户中看到这些值,则可以选择 Azure Active Directory 值。

  1. 找到要用于身份验证的目录的租户 ID。 此 ID 在“Active Directory”页的“属性”部分中列出。 有关查找租户 ID 的帮助,请参阅如何查找 Microsoft Entra 租户 ID

  2. 如果还没有正常运行的“点到站点”环境,请按照说明创建一个。 请参阅创建点到站点 VPN,以创建和配置点到站点 VPN 网关。 创建 VPN 网关时,OpenVPN 不支持基本 SKU。

  3. 转到虚拟网络网关。 在左侧窗格中,单击“点到站点配置”

    屏幕截图显示了隧道类型、身份验证类型和 Microsoft Entra 设置。

    配置以下值:

    • 地址池:客户端地址池
    • 隧道类型:OpenVPN (SSL)
    • 身份验证类型:Microsoft Entra ID

    对于“Microsoft Entra ID”值,请根据以下准则指定“租户”、“受众”和“颁发者”值。 将 {TenantID} 替换为租户 ID,在替换此值时注意从示例中删除 {}

    • 租户:Microsoft Entra 租户的租户 ID。 输入对应于你的配置的租户 ID。 确保“租户 URL”的末尾没有 \(反斜杠)。 正斜杠是允许的。

      • 中国世纪互联 AD:https://login.chinacloudapi.cn/{TenantID}
    • 受众(Audience):“Azure VPN”Microsoft Entra 企业应用的应用程序 ID。

      • 由世纪互联运营的 Microsoft Azure:49f817b6-84ae-4cc0-928c-73f27289b3aa
    • 颁发者:安全令牌服务的 URL。 在“颁发者”值的末尾包含尾随斜杠。 否则,连接可能会失败。 示例:

      • https://sts.chinacloudapi.cn/{TenantID}/
  4. 配置设置后,单击页面顶部的“保存”。

下载 Azure VPN 客户端配置文件配置包

在本部分,你将生成并下载 Azure VPN 客户端配置文件配置包。 此包包含可用于在客户端计算机上配置 Azure VPN 客户端配置文件的设置。

  1. 在“点对站点配置”页面顶部,单击“下载 VPN 客户端”。 需要几分钟才能生成客户端配置包。

  2. 浏览器会指示客户端配置 zip 文件可用。 其名称与网关名称相同。

  3. 解压缩已下载的 zip 文件。

  4. 浏览到解压缩后的“AzureVPN”文件夹。

  5. 记下“azurevpnconfig.xml”文件的位置。 azurevpnconfig.xml 包含 VPN 连接的设置。 还可以将此文件分发给需要通过电子邮件或其他方式建立连接的所有用户。 用户需要有效的 Microsoft Entra ID 凭据才能成功连接。

后续步骤