Megosztás a következőn keresztül:

P2S felhasználói VPN konfigurálása a Microsoft Entra ID-hitelesítéshez – Microsoft által regisztrált alkalmazás

  • Cikk

Ez a cikk segít beállítani a pont–hely felhasználói VPN-kapcsolatot a Virtual WAN-hoz, amely a Microsoft Entra ID-hitelesítést és az új Microsoft által regisztrált Azure VPN-ügyfélalkalmazás-azonosítót használja.

Feljegyzés

A cikkben szereplő lépések a Microsoft Entra ID-hitelesítésre vonatkoznak az új Microsoft által regisztrált Azure VPN-ügyfélalkalmazás-azonosító és a kapcsolódó célközönségértékek használatával. Ez a cikk nem vonatkozik a bérlő régebbi, manuálisan regisztrált Azure VPN-ügyfélalkalmazására. A manuálisan regisztrált Azure VPN-ügyfél lépéseit a P2S felhasználói VPN konfigurálása manuálisan regisztrált VPN-ügyfél használatával című témakörben találja.

A Virtual WAN mostantól támogatja a Microsoft által regisztrált új alkalmazásazonosítót és a megfelelő célközönségértékeket az Azure VPN-ügyfél legújabb verzióihoz. Ha p2S felhasználói VPN VPN-átjárót konfigurál az új Célközönség értékek használatával, kihagyja az Azure VPN-ügyfélalkalmazás manuális regisztrációs folyamatát a Microsoft Entra-bérlőhöz. Az alkalmazásazonosító már létrejött, és a bérlő automatikusan használhatja további regisztrációs lépések nélkül. Ez a folyamat biztonságosabb, mint az Azure VPN-ügyfél manuális regisztrálása, mert nem kell engedélyeznie az alkalmazást, és nem kell engedélyeket rendelnie a globális rendszergazdai szerepkörön keresztül.

Korábban manuálisan kellett regisztrálnia (integrálnia) az Azure VPN-ügyfélalkalmazást a Microsoft Entra-bérlővel. Az ügyfélalkalmazás regisztrálása létrehoz egy alkalmazásazonosítót, amely az Azure VPN-ügyfélalkalmazás identitását jelöli, és a globális rendszergazdai szerepkör használatával történő engedélyezést igényel. Az alkalmazásobjektumok típusai közötti különbség jobb megértéséhez tekintse meg az alkalmazások Microsoft Entra-azonosítóhoz való hozzáadásának módját és okát.

Ha lehetséges, javasoljuk, hogy konfigurálja az új P2S felhasználói VPN-átjárókat a Microsoft által regisztrált Azure VPN-ügyfélalkalmazás-azonosító és a hozzá tartozó Célközönség értékek használatával ahelyett, hogy manuálisan regisztrálja az Azure VPN-ügyfélalkalmazást a bérlőjével. Ha korábban konfigurált egy P2S felhasználói VPN-átjárót, amely Microsoft Entra ID-hitelesítést használ, frissítheti az átjárót és az ügyfeleket, hogy kihasználhassa az új Microsoft által regisztrált alkalmazásazonosítót. A P2S-átjáró új célközönségértékkel való frissítésére akkor van szükség, ha linuxos ügyfeleket szeretne csatlakozni. A Linuxhoz készült Azure VPN-ügyfél nem kompatibilis a régebbi célközönségértékekkel.

Megfontolások

  • A P2S felhasználói VPN-átjárók csak egy célközönségértéket támogatnak. Egyszerre nem képes több Célközönség értéket támogatni.

  • A Linuxhoz készült Azure VPN-ügyfél nem kompatibilis visszafelé a manuálisan regisztrált alkalmazáshoz igazodó, régebbi Célközönség értékek használatára konfigurált P2S-átjárókkal. A Linuxhoz készült Azure VPN-ügyfél azonban támogatja az egyéni célközönség értékeit.

  • Bár lehetséges, hogy a Linuxhoz készült Azure VPN-ügyfél más Linux-disztribúciókon és kiadásokon is működik, a Linuxhoz készült Azure VPN-ügyfél csak a következő kiadásokban támogatott:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • A macOS-hez és Windowshoz készült Azure VPN-ügyfelek legújabb verziói visszamenőlegesen kompatibilisek a P2S-átjárókkal, amelyek úgy vannak konfigurálva, hogy a manuálisan regisztrált alkalmazáshoz igazodó régebbi célközönségértékeket használják. Ezek az ügyfelek az egyéni célközönség értékeit is támogatják.

Az Azure VPN-ügyfél célközönségének értékei

Az alábbi táblázat az Azure VPN-ügyfél azon verzióit mutatja be, amelyek támogatottak az egyes alkalmazásazonosítókhoz és a megfelelő elérhető célközönségértékekhez.

Alkalmazásazonosító Támogatott célközönségértékek Támogatott ügyfelek
Microsoft által regisztrált A célközönség értéke c632b3df-fb67-4d84-bdcf-b95ad541b5c8 a következőkre vonatkozik:
- Nyilvános Azure
- Azure Government
- Azure Germany
- A 21Vianet által üzemeltetett Microsoft Azure		 - Linux
-Windows
- macOS
Manuálisan regisztrálva - Nyilvános Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Germany: 538ee9e6-310a-468d-afef-ea97365856a9
- A 21Vianet által üzemeltetett Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 -Windows
- macOS
Egyéni <custom-app-id> - Linux
-Windows
- macOS

Feljegyzés

A Microsoft Entra ID-hitelesítés csak OpenVPN® protokollkapcsolatok esetén támogatott, és az Azure VPN-ügyfélre van szükség.

Ebben a cikkben az alábbiakkal ismerkedhet meg:

  • Virtuális WAN létrehozása
  • Felhasználói VPN-konfiguráció létrehozása
  • Virtuális WAN felhasználói VPN-profil letöltése
  • Virtuális központ létrehozása
  • Központ szerkesztése P2S-átjáró hozzáadásához
  • Virtuális hálózat csatlakoztatása virtuális központhoz
  • A felhasználói VPN-ügyfél konfigurációjának letöltése és alkalmazása
  • A virtuális WAN megtekintése

Képernyőkép a Virtual WAN-diagramról.

Mielőtt elkezdené

A konfiguráció megkezdése előtt ellenőrizze, hogy teljesítette-e a következő feltételeket:

  • Van egy virtuális hálózata, amelyhez csatlakozni szeretne. Ellenőrizze, hogy a helyszíni hálózatok egyik alhálózata sem fedi-e át azokat a virtuális hálózatokat, amelyekhez csatlakozni szeretne. Ha virtuális hálózatot szeretne létrehozni az Azure Portalon, tekintse meg a rövid útmutatót.

  • A virtuális hálózat nem rendelkezik virtuális hálózati átjárókkal. Ha a virtuális hálózat rendelkezik átjáróval (VPN vagy ExpressRoute), el kell távolítania az összes átjárót. A konfiguráció lépései segítenek csatlakoztatni a virtuális hálózatot a Virtual WAN virtuális központ átjárójához.

  • Igényeljen egy IP-címtartományt az elosztó régiójában. A központ egy virtuális hálózat, amelyet a Virtual WAN hoz létre és használ. A központhoz megadott címtartomány nem fedheti át a meglévő virtuális hálózatokat, amelyekhez csatlakozik. Nem lehet átfedésben a helyszíni címtartományokkal. Ha nem ismeri a helyszíni hálózati konfigurációban található IP-címtartományokat, koordináljon valakivel, aki meg tudja adni önnek ezeket az adatokat.

  • Ehhez a konfigurációhoz Microsoft Entra ID-bérlőre van szüksége. Ha nincs ilyenje, létrehozhat egyet az új bérlő létrehozása című témakör utasításait követve.

  • Ha egyéni célközönségértéket szeretne használni, olvassa el az Egyéni célközönség alkalmazásazonosító létrehozása vagy módosítása című témakört.

Virtuális WAN létrehozása

Egy böngészőből lépjen az Azure Portalra, majd jelentkezzen be az Azure-fiókjával.

  1. A portál Erőforrás keresése sávján írja be a Virtual WAN kifejezést a keresőmezőbe, és válassza az Enter lehetőséget.

  2. Válassza ki a virtuális WAN-okat az eredmények közül. A Virtual WANs lapon válassza a + Létrehozás lehetőséget a WAN létrehozása lap megnyitásához.

  3. Töltse ki a mezőket a WAN létrehozása lap Alapszintű beállítások lapján. Módosítsa a példaértékeket úgy, hogy a környezetre vonatkozzanak.

    Képernyőkép a WAN létrehozása panelről, amelyen az Alapok lap van kijelölve.

    • Előfizetés: Válassza ki a használni kívánt előfizetést.
    • Erőforráscsoport: Hozzon létre újat, vagy használja a meglévőt.
    • Erőforráscsoport helye: Válasszon egy erőforráshelyet a legördülő listából. A WAN egy globális erőforrás, és nem egy adott régióban él. A létrehozott WAN-erőforrás kezeléséhez és megkereséséhez azonban ki kell választania egy régiót.
    • Név: Írja be a virtuális WAN-nak hívni kívánt nevet.
    • Típus: Alapszintű vagy Standard. Válassza a Standard lehetőséget. Ha az Alapszintű lehetőséget választja, ismerje meg, hogy az alapszintű virtuális WAN-k csak alapszintű központokat tartalmazhatnak. Az alapszintű központok csak helyek közötti kapcsolatokhoz használhatók.

  4. Miután kitöltötte a mezőket, a lap alján válassza a Véleményezés +Létrehozás lehetőséget.

  5. Az ellenőrzés sikeres befejezése után kattintson a Létrehozás gombra a virtuális WAN létrehozásához.

Felhasználói VPN-konfiguráció létrehozása

A felhasználói VPN-konfiguráció határozza meg a távoli ügyfelek csatlakoztatásának paramétereit. Fontos, hogy a felhasználói VPN-konfigurációt a virtuális központ P2S-beállításokkal való konfigurálása előtt hozza létre, mivel meg kell adnia a használni kívánt felhasználói VPN-konfigurációt.

Fontos

Az Azure Portal jelenleg az Azure Active Directory-mezők Entra-ra való frissítésén dolgozik. Ha megjelenik a hivatkozott Microsoft Entra-azonosító, és még nem látja ezeket az értékeket a portálon, kiválaszthatja az Azure Active Directory-értékeket.

  1. Nyissa meg a Virtual WAN-t. A bal oldali panelen bontsa ki a Kapcsolat elemet, és válassza a Felhasználói VPN-konfigurációk lapot. A Felhasználói VPN-konfigurációk lapon kattintson a +Felhasználói VPN-konfiguráció létrehozása elemre.

  2. Az Alapok lapon adja meg a következő paramétereket.

    • Konfiguráció neve – Adja meg a felhasználó VPN-konfigurációjának meghívni kívánt nevet. Például: TestConfig1.
    • Alagút típusa – Válassza az OpenVPN lehetőséget a legördülő menüből.

  3. A lap tetején kattintson az Azure Active Directoryra. A szükséges értékeket a Microsoft Entra id oldalán tekintheti meg a nagyvállalati alkalmazásokhoz a portálon.

    Képernyőkép a Microsoft Entra ID oldaláról. Konfigurálja a következő értékeket:

    • Azure Active Directory – Válassza az Igen lehetőséget.
    • Célközönség – Adja meg a Microsoft által regisztrált Azure VPN-ügyfélalkalmazás azonosítójának megfelelő értéket, az Azure Publict: c632b3df-fb67-4d84-bdcf-b95ad541b5c8. Ehhez a mezőhöz egyéni célközönség is támogatott.
    • Kiállító – Enter https://sts.windows.net/<your Directory ID>/.
    • AAD-bérlő – Adja meg a Microsoft Entra-bérlő bérlőazonosítóját. Győződjön meg arról, hogy nincs / a Microsoft Entra-bérlő URL-címének végén.

  4. Kattintson a Létrehozás gombra a felhasználói VPN-konfiguráció létrehozásához. Ezt a konfigurációt a gyakorlat későbbi részében fogja kiválasztani.

Üres központ létrehozása

Ezután hozza létre a virtuális központot. Az ebben a szakaszban ismertetett lépések létrehoznak egy üres virtuális központot, amelyhez később hozzáadhatja a P2S-átjárót. Azonban mindig sokkal hatékonyabb kombinálni a központ létrehozását az átjáróval együtt, mert minden alkalommal, amikor módosítja a központi konfigurációt, meg kell várnia, amíg a hub beállításai létrejönnek.

Bemutató célokra először létrehozunk egy üres központot, majd hozzáadjuk a P2S-átjárót a következő szakaszban. A P2S-átjáró beállításait azonban a következő szakaszban, a központ konfigurálásának egyidejű konfigurálása mellett is megadhatja.

  1. Nyissa meg a létrehozott virtuális WAN-t. A virtuális WAN lap bal oldali ablaktábláján, a Kapcsolatok területen válassza a Hubs lehetőséget.

  2. A Hubs lapon válassza az +Új központ lehetőséget a Virtuális központ létrehozása lap megnyitásához.

    Képernyőkép a Virtuális központ létrehozása panelről, amelyen az Alapismeretek lap van kijelölve.

  3. A Virtuális központ létrehozása lap Alapszintű beállítások lapján töltse ki a következő mezőket:

    • Régió: Válassza ki azt a régiót, amelyben telepíteni szeretné a virtuális központot.
    • Név: Az a név, amellyel a virtuális központ ismert lesz.
    • Központi magáncímtér: A központ címtartománya a CIDR-jelölésben. A minimális címtér a /24 a központ létrehozásához.
    • Virtuális központ kapacitása: Válassza ki a legördülő listából. További információ: Virtuális központ beállításai.
    • Központi útválasztási beállítás: Hagyja meg a beállítást alapértelmezettként, az ExpressRoute-t kivéve, ha módosítania kell ezt a mezőt. További információ: Virtuális központ útválasztási beállításai.

A beállítások konfigurálása után kattintson a Véleményezés + létrehozás gombra az ellenőrzéshez, majd a Központ létrehozása parancsra . A központ létrehozása akár 30 percet is igénybe vehet.

P2S-átjáró hozzáadása egy központhoz

Ez a szakasz bemutatja, hogyan adhat hozzá átjárót egy már meglévő virtuális központhoz. A központ frissítése akár 30 percet is igénybe vehet.

  1. Nyissa meg a Virtual WAN-t. A bal oldali panelen bontsa ki a Beállítások elemet, és válassza a Hubs lehetőséget.

  2. Kattintson a szerkeszteni kívánt központ nevére.

  3. Kattintson a lap tetején található Virtuális központ szerkesztése elemre a Virtuális központ szerkesztése lap megnyitásához.

  4. A virtuális központ szerkesztése lapon jelölje be a VPN-átjáró belefoglalása vpn-webhelyekhez és a pont–hely átjáró belefoglalása jelölőnégyzetet a beállítások megjelenítéséhez. Ezután konfigurálja az értékeket.

    Képernyőkép a Virtuális központ szerkesztése szolgáltatásról.

    • Átjáró méretezési egységei: Válassza ki az átjáró méretezési egységét. A méretezési egységek a felhasználói VPN-átjáró összesített kapacitását jelölik. Ha 40 vagy több átjáróméretegységet választ ki, ennek megfelelően tervezze meg az ügyfélcímkészletet. További információ arról, hogy ez a beállítás milyen hatással van az ügyfélcímkészletre: Tudnivalók az ügyfélcímkészletekről. Az átjáró skálázási egységeivel kapcsolatos információkért tekintse meg a gyakori kérdéseket.
    • Felhasználói VPN-konfiguráció: Válassza ki a korábban létrehozott konfigurációt.
    • Felhasználói csoportok a címkészletek leképezéséhez: Címkészletek megadása. Erről a beállításról további információt a P2S felhasználói VPN-ek felhasználói csoportjainak és IP-címkészleteinek konfigurálása című témakörben talál.

  5. A beállítások konfigurálása után kattintson a Megerősítés gombra a központ frissítéséhez. A központ frissítése akár 30 percet is igénybe vehet.

Virtuális hálózat csatlakoztatása a központhoz

Ebben a szakaszban kapcsolatot hoz létre a virtuális központ és a virtuális hálózat között.

  1. Az Azure Portalon nyissa meg a Virtual WAN-t a bal oldali panelen, és válassza a Virtuális hálózati kapcsolatok lehetőséget.

  2. A Virtuális hálózati kapcsolatok lapon válassza a + Kapcsolat hozzáadása lehetőséget.

  3. A Kapcsolat hozzáadása lapon konfigurálja a kapcsolat beállításait. Az útválasztási beállításokkal kapcsolatos információkért lásd: Útválasztás.

    • Kapcsolat neve: Adja meg a kapcsolatot.
    • Központok: Válassza ki a kapcsolatot társítani kívánt központot.
    • Előfizetés: Ellenőrizze az előfizetést.
    • Erőforráscsoport: Válassza ki azt az erőforráscsoportot, amely tartalmazza azt a virtuális hálózatot, amelyhez csatlakozni szeretne.
    • Virtuális hálózat: Válassza ki a központhoz csatlakozni kívánt virtuális hálózatot. A kiválasztott virtuális hálózat nem rendelkezhet már meglévő virtuális hálózati átjáróval.
    • Propagálás egyikre sem: Ez alapértelmezés szerint Nem értékre van állítva. Ha igenre módosítja a kapcsolót, akkor a Propagálás útvonaltáblákra és Propagálás címkére beállítási beállításai nem érhetők el a konfigurációhoz.
    • Útvonaltábla társítása: A legördülő listában kiválaszthatja a társítani kívánt útvonaltáblát.
    • Propagálás címkékre: A címkék az útvonaltáblák logikai csoportja. Ehhez a beállításhoz válassza ki a legördülő menüt.
    • Statikus útvonalak: Szükség esetén konfigurálja a statikus útvonalakat. Konfigurálja a hálózati virtuális berendezések statikus útvonalait (ha van ilyen). A Virtual WAN egyetlen következő ugrási IP-címet támogat a virtuális hálózati kapcsolat statikus útvonalához. Ha például külön virtuális berendezéssel rendelkezik a bejövő és kimenő forgalom áramlásához, a legjobb, ha a virtuális berendezéseket külön virtuális hálózatokban használja, és csatolja a virtuális hálózatokat a virtuális központhoz.
    • Megkerülheti a következő ugrási IP-címet a virtuális hálózaton belüli számítási feladatokhoz: Ez a beállítás lehetővé teszi, hogy az NVA-kat és más számítási feladatokat ugyanabba a virtuális hálózatba telepítse anélkül, hogy az összes forgalmat az NVA-n keresztül kényszeríti. Ez a beállítás csak új kapcsolat konfigurálásakor konfigurálható. Ha ezt a beállítást egy már létrehozott kapcsolathoz szeretné használni, törölje a kapcsolatot, majd vegyen fel egy új kapcsolatot.
    • Statikus útvonal propagálása: Ez a beállítás jelenleg ki van állítva. Ez a beállítás lehetővé teszi a Statikus útvonalak szakaszban meghatározott statikus útvonalak propagálását a Propagálás útvonaltáblákra való átirányításához. Emellett az útvonalak propagálása olyan táblákra is megtörténik, amelyek címkéi propagálásként vannak megadva a címkékre. Ezek az útvonalak az alapértelmezett 0/0 útvonal kivételével terjeszthetők a központon keresztül.

  4. Miután befejezte a konfigurálni kívánt beállításokat, kattintson a Létrehozás gombra a kapcsolat létrehozásához.

Felhasználói VPN-profil letöltése

A VPN-ügyfelek összes szükséges konfigurációs beállítását egy VPN-ügyfél konfigurációs zip-fájlja tartalmazza. A zip-fájl beállításai megkönnyítik a VPN-ügyfelek konfigurálását. A létrehozott VPN-ügyfélkonfigurációs fájlok az átjáró felhasználói VPN-konfigurációjához tartoznak. Letöltheti a globális (WAN-szintű) profilokat, vagy egy adott központ profilját. További információkért és további utasításokért tekintse meg a globális és a központi profilok letöltését ismertető cikket. Az alábbi lépések végigvezetik egy globális WAN-szintű profil letöltésén.

  1. WAN-szintű globális profilú VPN-ügyfélkonfigurációs csomag létrehozásához nyissa meg a virtuális WAN-t (nem a virtuális központot).

  2. A bal oldali panelen válassza a Felhasználói VPN-konfigurációk lehetőséget.

  3. Válassza ki azt a konfigurációt, amelyhez le szeretné tölteni a profilt. Ha több hub van hozzárendelve ugyanahhoz a profilhoz, bontsa ki a profilt a hubok megjelenítéséhez, majd válassza ki a profilt használó központokat.

  4. Válassza a Virtual WAN felhasználói VPN-profil letöltése lehetőséget.

  5. A letöltési lapon válassza az EAPTLS, majd a Profil létrehozása és letöltése lehetőséget. Létrejön egy profilcsomag (zip-fájl), amely tartalmazza az ügyfélkonfigurációs beállításokat, és letölti a számítógépet. A csomag tartalma a konfiguráció hitelesítési és alagútválasztási lehetőségeitől függ.

Az Azure VPN-ügyfél konfigurálása

Ezután megvizsgálja a profilkonfigurációs csomagot, konfigurálja az Azure VPN-ügyfelet az ügyfélszámítógépekhez, és csatlakozik az Azure-hoz. Tekintse meg a Következő lépések szakaszban felsorolt cikkeket.

Következő lépések

Konfigurálja az Azure VPN-ügyfelet. A VPN Gateway-ügyfél dokumentációjának lépéseit követve konfigurálhatja az Azure VPN-ügyfelet a Virtual WAN-hoz.