مشاركة عبر

تكوين بوابة P2S VPN لمصادقة معرف Microsoft Entra - التطبيق المسجل من قبل Microsoft

  • مقالة

تساعدك هذه المقالة على تكوين بوابة VPN من نقطة إلى موقع (P2S) لمصادقة معرف Microsoft Entra باستخدام معرف تطبيق عميل Azure VPN الجديد المسجل من قبل Microsoft.

إشعار

تنطبق الخطوات الواردة في هذه المقالة على مصادقة معرف Microsoft Entra باستخدام معرف تطبيق عميل Azure VPN المسجل من Microsoft وقيم الجمهور المقترنة به. لا تنطبق هذه المقالة على تطبيق عميل Azure VPN الأقدم والمسجل يدويا للمستأجر الخاص بك. للحصول على خطوات عميل Azure VPN المسجلة يدويا، راجع تكوين P2S باستخدام عميل VPN المسجل يدويا.

تدعم بوابة VPN الآن معرف تطبيق مسجل من Microsoft جديد وقيم الجماعة المستهدفة المقابلة لأحدث إصدارات Azure VPN Client. عند تكوين بوابة P2S VPN باستخدام قيم Audience الجديدة، يمكنك تخطي عملية التسجيل اليدوي لتطبيق Azure VPN Client لمستأجر Microsoft Entra. تم إنشاء معرف التطبيق بالفعل ويكون المستأجر الخاص بك قادرا على استخدامه تلقائيا دون أي خطوات تسجيل إضافية. هذه العملية أكثر أمانا من تسجيل عميل Azure VPN يدويا لأنك لا تحتاج إلى تخويل التطبيق أو تعيين أذونات عبر دور المسؤول العام.

في السابق، طلب منك تسجيل (دمج) تطبيق عميل Azure VPN يدويا مع مستأجر Microsoft Entra. يؤدي تسجيل تطبيق العميل إلى إنشاء معرف تطبيق يمثل هوية تطبيق عميل Azure VPN ويتطلب تخويلا باستخدام دور المسؤول العام. لفهم الفرق بين أنواع عناصر التطبيق بشكل أفضل، راجع كيفية إضافة التطبيقات إلى معرف Microsoft Entra وسبب إضافتها.

عندما يكون ذلك ممكنا، نوصي بتكوين بوابات P2S جديدة باستخدام معرف تطبيق عميل Azure VPN المسجل من Microsoft وقيم الجمهور المقابلة له، بدلا من تسجيل تطبيق عميل Azure VPN يدويا مع المستأجر الخاص بك. إذا كان لديك بوابة Azure VPN تم تكوينها مسبقا تستخدم مصادقة معرف Microsoft Entra، يمكنك تحديث البوابة والعملاء للاستفادة من معرف التطبيق الجديد المسجل من قبل Microsoft. يلزم تحديث بوابة P2S بقيمة Audience الجديدة إذا كنت تريد أن يتصل عملاء Linux. عميل Azure VPN ل Linux غير متوافق مع القيم القديمة للجمهور.

إذا كانت لديك بوابة P2S موجودة تريد تحديثها لاستخدام قيمة جماعة مستهدفة جديدة، فشاهد تغيير الجماعة المستهدفة لبوابة P2S VPN. إذا كنت ترغب في إنشاء قيمة جماعة مستهدفة مخصصة أو تعديلها، فشاهد إنشاء معرف تطبيق جماعة مستهدفة مخصص ل P2S VPN. إذا كنت ترغب في تكوين الوصول إلى P2S أو تقييده استنادا إلى المستخدمين والمجموعات، فشاهد السيناريو: تكوين وصول P2S VPN استنادا إلى المستخدمين والمجموعات.

الاعتبارات

  • يمكن أن تدعم بوابة P2S VPN قيمة جماعة مستهدفة واحدة فقط. لا يمكن أن يدعم قيم الجماعة المستهدفة المتعددة في وقت واحد.

  • عميل Azure VPN ل Linux غير متوافق مع الإصدارات السابقة مع بوابات P2S المكونة لاستخدام قيم الجمهور القديمة التي تتوافق مع التطبيق المسجل يدويا. ومع ذلك، يدعم عميل Azure VPN ل Linux قيم الجماعات المستهدفة المخصصة.

  • في حين أنه من الممكن أن عميل Azure VPN ل Linux قد يعمل على توزيعات وإصدارات Linux الأخرى، فإن عميل Azure VPN لنظام Linux مدعوم فقط في الإصدارات التالية:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • تتوافق أحدث إصدارات عملاء Azure VPN ل macOS وWindows مع بوابات P2S المكونة لاستخدام قيم الجمهور القديمة التي تتوافق مع التطبيق المسجل يدويا. يدعم هؤلاء العملاء أيضا قيم الجماعات المستهدفة المخصصة.

قيم جمهور عميل Azure VPN

يعرض الجدول التالي إصدارات عميل Azure VPN المعتمدة لكل معرف تطبيق وقيم الجماعة المستهدفة المتوفرة المقابلة.

معرف التطبيق قيم الجماعة المستهدفة المدعومة ‏‫العملاء المعتمدون
مسجل من قبل Microsoft تنطبق قيمة c632b3df-fb67-4d84-bdcf-b95ad541b5c8 الجماعة المستهدفة على:
- Azure Public
- Azure Government
- Azure Germany
- Microsoft Azure المشغل بواسطة 21Vianet		 - Linux
-نوافذ
- macOS
مسجل يدويا - Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure المشغل بواسطة 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 -نوافذ
- macOS
مخصص <custom-app-id> - Linux
-نوافذ
- macOS

سير عمل من نقطة إلى موقع

يتطلب تكوين اتصال P2S بنجاح باستخدام مصادقة معرف Microsoft Entra تسلسلا من الخطوات.

تساعدك هذه المقالة على:

  1. تحقق من المستأجر الخاص بك.
  2. تكوين بوابة VPN بالإعدادات المطلوبة المناسبة.
  3. إنشاء حزمة تكوين عميل VPN وتنزيلها.

تساعدك المقالات الموجودة في قسم الخطوات التالية على:

  1. قم بتنزيل عميل Azure VPN على كمبيوتر العميل.
  2. تكوين العميل باستخدام الإعدادات من حزمة تكوين عميل VPN.
  3. اتصال.

المتطلبات الأساسية

تفترض هذه المقالة المتطلبات الأساسية التالية:

  • بوابة VPN

    • بعض خيارات البوابة غير متوافقة مع بوابات P2S VPN التي تستخدم مصادقة معرف Microsoft Entra. لا يمكن لبوابة VPN استخدام SKU الأساسي أو نوع VPN المستند إلى النهج. لمزيد من المعلومات حول وحدات SKU للبوابة، راجع حول وحدات SKU الخاصة بالبوابة. لمزيد من المعلومات حول أنواع VPN، راجع إعدادات بوابة VPN.

    • إذا لم يكن لديك بالفعل بوابة VPN فعالة متوافقة مع مصادقة معرف Microsoft Entra، فشاهد إنشاء بوابة VPN وإدارتها - مدخل Microsoft Azure. إنشاء بوابة VPN متوافقة، ثم العودة إلى هذه المقالة لتكوين إعدادات P2S.

  • مستأجر Microsoft Entra

إضافة قائمة عناوين عميل VPN

قائمة عناوين العميل هو نطاق من عناوين IP الخاصة التي تحددها. يتلقى العملاء الذين يتصلون عبر VPN من نقطة إلى موقع بشكل ديناميكي عنوان IP من هذا النطاق. استخدم نطاق عناوين IP خاص لا يتراكب مع الموقع المحلي الذي تتصل منه، أو VNet الذي تريد الاتصال به. إذا قمت بتكوين بروتوكولات متعددة SSTP أحد البروتوكولات ثم يتم تقسيم قائمة العناوين المكونة بين البروتوكولات المكونة بالتساوي.

  1. في مدخل Microsoft Azure، انتقل إلى بوابة VPN الخاصة بك.

  2. في صفحة البوابة الخاصة بك، في الجزء الأيمن، حدد تكوين نقطة إلى موقع.

  3. انقر فوق تكوين الآن لفتح صفحة التكوين.

    لقطة شاشة لصفحة تكوين من نقطة إلى موقع - تجمع العناوين.

  4. في صفحة التكوين من نقطة إلى موقع، في مربع تجمع العناوين، أضف نطاق عناوين IP الخاص الذي تريد استخدامه. يتلقى عملاء VPN عنوان IP بشكل حيوي من النطاق الذي تحدده. الحد الأدنى قناع الشبكة الفرعية هو 29 بت النشط/السلبي و28 بت للتكوين النشط/النشط.

  5. تابع إلى القسم التالي لتكوين المزيد من الإعدادات.

تكوين نوع النفق والمصادقة

هام

مدخل Microsoft Azure في عملية تحديث حقول Azure Active Directory إلى Entra. إذا رأيت معرف Microsoft Entra المشار إليه ولم تشاهد هذه القيم في المدخل حتى الآن، يمكنك تحديد قيم Azure Active Directory.

  1. حدد موقع معرّف المستأجر للدليل الذي تريد استخدامه لإجراء المصادقة. للحصول على تعليمات حول العثور على معرف المستأجر، راجع كيفية العثور على معرف مستأجر Microsoft Entra.

  2. تكوين نوع النفق وقيم المصادقة.

    لقطة شاشة تعرض إعدادات نوع النفق ونوع المصادقة وإعدادات معرف Microsoft Entra.

    كون القيم التالية:

    • تجمع العناوين: تجمع عناوين العميل
    • نوع النفق: OpenVPN (SSL)
    • نوع المصادقة: معرف Microsoft Entra

    بالنسبة لقيم معرف Microsoft Entra، استخدم الإرشادات التالية لقيم Tenant و Audience و Issuer. استبدل {Microsoft ID Entra Tenant ID} بمعرف المستأجر الخاص بك، مع الحرص على الإزالة {} من الأمثلة عند استبدال هذه القيمة.

    • Tenant: TenantID لمستأجر معرف Microsoft Entra. أدخل معرف المستأجر الذي يتوافق مع التكوين الخاص بك. تأكد من أن عنوان URL للمستأجر لا يحتوي \ على (مائل عكسي) في النهاية. الشرطة المائلة للأمام مسموح بها.

      • Azure Public: https://login.microsoftonline.com/{TenantID}
      • Azure Government: https://login.microsoftonline.us/{TenantID}
      • Azure Germany: https://login-us.microsoftonline.de/{TenantID}
      • الصين 21Vianet: https://login.chinacloudapi.cn/{TenantID}

    • الجمهور: القيمة المقابلة لمعرف تطبيق عميل Azure VPN المسجل من Microsoft. الجمهور المخصص مدعوم أيضا لهذا الحقل.

      • c632b3df-fb67-4d84-bdcf-b95ad541b5c8

    • المصدر: عنوان URL لخدمة الرمز المميز الآمن. قم بتضمين شرطة مائلة لاحقة في نهاية قيمة المصدر . وإلا، فقد يفشل الاتصال. مثال:

      • https://sts.windows.net/{Microsoft ID Entra Tenant ID}/

  3. لا تحتاج إلى النقر فوق منح موافقة المسؤول لتطبيق عميل Azure VPN. هذا الارتباط مخصص فقط لعملاء VPN المسجلين يدويا الذين يستخدمون قيم Audience القديمة. يفتح صفحة في مدخل Microsoft Azure.

  4. بمجرد الانتهاء من تكوين الإعدادات، انقر فوق حفظ في أعلى الصفحة.

تنزيل حزمة تكوين ملف تعريف عميل VPN

في هذا القسم، يمكنك إنشاء وتنزيل حزمة تكوين ملف تعريف عميل Azure VPN. تحتوي هذه الحزمة على الإعدادات التي يمكنك استخدامها لتكوين ملف تعريف عميل Azure VPN على أجهزة الكمبيوتر العميلة.

  1. في أعلى صفحة تكوين نقطة إلى موقع، انقر فوق تنزيل عميل VPN. يستغرق إنشاء حزمة تكوين عميل بضع دقائق.

  2. يشير متصفحك إلى توفر ملف مضغوط لتكوين العميل. تتم تسميته بنفس اسم البوابة لديك.

  3. قم باستخراج ملف zip الذي تم تنزيله.

  4. استعرض للوصول إلى مجلد "AzureVPN" بعد فك ضغطه.

  5. دون موقع الملف "azurevpnconfig.xml". يحتوي azurevpnconfig.xml على إعداد اتصال VPN. يمكنك أيضاً توزيع هذا الملف على جميع المستخدمين الذين يحتاجون إلى الاتصال عبر البريد الإلكتروني أو وسائل أخرى. سيحتاج المستخدم إلى بيانات اعتماد معرف Microsoft Entra صالحة للاتصال بنجاح.

تكوين عميل Azure VPN

بعد ذلك، يمكنك فحص حزمة تكوين ملف التعريف، وتكوين عميل Azure VPN لأجهزة الكمبيوتر العميلة، والاتصال ب Azure. راجع المقالات المدرجة في قسم الخطوات التالية.

الخطوات التالية

تكوين عميل Azure VPN.