السيناريو: تكوين الوصول إلى P2S استنادا إلى المستخدمين والمجموعات - مصادقة معرف Microsoft Entra

ترشدك هذه المقالة خلال سيناريو لتكوين الوصول استنادا إلى المستخدمين والمجموعات لاتصالات VPN من نقطة إلى موقع (P2S) التي تستخدم مصادقة معرف Microsoft Entra. هذا السيناريو، يمكنك تكوين هذا النوع من الوصول باستخدام معرفات تطبيق جمهور مخصصة متعددة بأذونات محددة، وبوابات P2S VPN متعددة. لمزيد من المعلومات حول بروتوكولات P2S والمصادقة، راجع حول VPN من نقطة إلى موقع.

في هذا السيناريو، يكون للمستخدمين وصول مختلف استنادا إلى أذونات الاتصال ببوابات VPN P2S معينة. على مستوى عال، يكون سير العمل كما يلي:

1. أنشئ تطبيقا مخصصا لكل بوابة P2S VPN تريد تكوينها ل P2S VPN باستخدام مصادقة معرف Microsoft Entra. دون معرف التطبيق المخصص.
2. أضف تطبيق عميل Azure VPN إلى تكوين التطبيق المخصص.
3. تعيين أذونات المستخدم والمجموعة لكل تطبيق مخصص.
4. عند تكوين البوابة الخاصة بك لمصادقة P2S VPN Microsoft Entra ID، حدد مستأجر معرف Microsoft Entra ومعرف التطبيق المخصص المقترن بالمستخدمين الذين تريد السماح لهم بالاتصال عبر تلك البوابة.
5. يتم تكوين ملف تعريف عميل Azure VPN على كمبيوتر العميل باستخدام الإعدادات من بوابة P2S VPN التي يمتلك المستخدم أذونات للاتصال بها.
6. عندما يتصل المستخدم، تتم مصادقته ويمكنه الاتصال فقط ببوابة P2S VPN التي يمتلك حسابه أذونات لها.

الاعتبارات:

• لا يمكنك إنشاء هذا النوع من الوصول متعدد المستويات إذا كان لديك بوابة VPN واحدة فقط.
• يتم دعم مصادقة معرف Microsoft Entra فقط لاتصالات بروتوكول OpenVPN® وتتطلب عميل Azure VPN. *احرص على تكوين كل عميل Azure VPN مع إعدادات تكوين حزمة ملف تعريف العميل الصحيحة للتأكد من اتصال المستخدم بالبوابة المقابلة التي لديه أذونات لها.
• عند استخدام خطوات التكوين في هذا التمرين، قد يكون من الأسهل تشغيل الخطوات لأول معرف تطبيق مخصص وبوابة على طول الطريق، ثم التكرار لكل معرف تطبيق مخصص وبوابة لاحقة.

المتطلبات الأساسية

• يتطلب هذا السيناريو مستأجر Microsoft Entra. إذا لم يكن لديك مستأجر بالفعل، فبادر بإنشاء مستأجر جديد في معرف Microsoft Entra. دون معرف المستأجر. هذه القيمة مطلوبة عند تكوين بوابة P2S VPN لمصادقة معرف Microsoft Entra.

• يتطلب هذا السيناريو بوابات VPN متعددة. يمكنك تعيين معرف تطبيق مخصص واحد فقط لكل بوابة.

  • إذا لم يكن لديك بالفعل بوابتان VPN عاملتان على الأقل متوافقتان مع مصادقة معرف Microsoft Entra، فشاهد إنشاء بوابة VPN وإدارتها - مدخل Azure لإنشاء بوابات VPN الخاصة بك.
  • بعض خيارات البوابة غير متوافقة مع بوابات P2S VPN التي تستخدم مصادقة معرف Microsoft Entra. لا يتم دعم SKU الأساسية وأنواع VPN المستندة إلى النهج. لمزيد من المعلومات حول وحدات SKU للبوابة، راجع حول وحدات SKU الخاصة بالبوابة. لمزيد من المعلومات حول أنواع VPN، راجع إعدادات بوابة VPN.

تسجيل تطبيق

لإنشاء قيمة معرف تطبيق جماعة مستهدفة مخصصة، والتي يتم تحديدها عند تكوين بوابة VPN، يجب عليك تسجيل تطبيق. تسجيل تطبيق. للحصول على خطوات، راجع تسجيل تطبيق.

• حقل الاسم مواجه للمستخدم. استخدم شيئا بديهيا يصف المستخدمين أو المجموعات التي تتصل عبر هذا التطبيق المخصص.
• بالنسبة لبقية الإعدادات، استخدم الإعدادات الموضحة في المقالة.

إضافة نطاق

إضافة نطاق. تعد إضافة نطاق جزءا من التسلسل لتكوين أذونات للمستخدمين والمجموعات. للحصول على خطوات، راجع كشف واجهة برمجة تطبيقات وإضافة نطاق. لاحقا، يمكنك تعيين أذونات المستخدمين والمجموعات لهذا النطاق.

• استخدم شيئا بديهيا لحقل اسم النطاق، مثل Marketing-VPN-Users. املأ بقية الحقول حسب الضرورة.
• بالنسبة إلى State، حدد Enable.

إضافة تطبيق عميل Azure VPN

أضف معرف عميل تطبيق عميل Azure VPN وحدد النطاق المعتمد. عند إضافة التطبيق، نوصي باستخدام معرف تطبيق Azure VPN Client المسجل من قبل Microsoft ل Azure Public، c632b3df-fb67-4d84-bdcf-b95ad541b5c8 عندما يكون ذلك ممكنا. تحتوي قيمة التطبيق هذه على موافقة عالمية، ما يعني أنك لست بحاجة إلى تسجيلها يدويا. للحصول على خطوات، راجع إضافة تطبيق عميل Azure VPN.

بعد إضافة تطبيق Azure VPN Client، انتقل إلى صفحة Overview وانسخ معرف التطبيق (العميل) واحفظه. ستحتاج إلى هذه المعلومات لتكوين بوابة P2S VPN.

تعيين المستخدمين والمجموعات

تعيين أذونات للمستخدمين و/أو المجموعات التي تتصل بالبوابة. إذا كنت تحدد مجموعة، فيجب أن يكون المستخدم عضوا مباشرا في المجموعة. المجموعات المتداخلة غير مدعومة.

1. انتقل إلى معرف Microsoft Entra وحدد تطبيقات المؤسسة.
2. من القائمة، حدد موقع التطبيق الذي قمت بتسجيله وانقر فوقه لفتحه.
3. قم بتوسيع Manage، ثم حدد Properties. في صفحة Properties، تحقق من تعيين Enabled للمستخدمين لتسجيل الدخول إلى Yes. إذا لم يكن الأمر كذلك، فقم بتغيير القيمة إلى نعم.
4. بالنسبة إلى التعيين المطلوب، قم بتغيير القيمة إلى نعم. لمزيد من المعلومات حول هذا الإعداد، راجع خصائص التطبيق.
5. إذا أجريت تغييرات، فحدد حفظ في أعلى الصفحة.
6. في الجزء الأيسر، حدد المستخدمين والمجموعات. في صفحة المستخدمين والمجموعات ، حدد + إضافة مستخدم/مجموعة لفتح صفحة إضافة تعيين .
7. انقر فوق الارتباط ضمن المستخدمون والمجموعات لفتح صفحة المستخدمين والمجموعات . حدد المستخدمين والمجموعات التي تريد تعيينها، ثم انقر فوق تحديد.
8. بعد الانتهاء من تحديد المستخدمين والمجموعات، حدد تعيين.

تكوين P2S VPN

بعد إكمال الخطوات الواردة في الأقسام السابقة، تابع تكوين بوابة P2S VPN لمصادقة معرف Microsoft Entra - التطبيق المسجل من قبل Microsoft.

• عند تكوين كل بوابة، قم بربط معرف تطبيق الجمهور المخصص المناسب.
• قم بتنزيل حزم تكوين عميل Azure VPN لتكوين عميل Azure VPN للمستخدمين الذين لديهم أذونات للاتصال بالبوابة المحددة.

تكوين عميل Azure VPN

استخدم حزمة تكوين ملف تعريف عميل Azure VPN لتكوين عميل Azure VPN على كمبيوتر كل مستخدم. تحقق من أن ملف تعريف العميل يتوافق مع بوابة P2S VPN التي تريد أن يتصل بها المستخدم.

الخطوات التالية

• تكوين بوابة P2S VPN لمصادقة معرف Microsoft Entra - التطبيق المسجل من قبل Microsoft.
• للاتصال بشبكتك الظاهرية، يجب تكوين عميل Azure VPN على أجهزة الكمبيوتر العميلة. راجع تكوين عميل VPN لاتصالات P2S VPN.
• للحصول على الأسئلة المتداولة، راجع قسم من نقطة إلى موقع من الأسئلة المتداولة حول بوابة VPN.