Forgatókönyv: P2S-hozzáférés konfigurálása felhasználók és csoportok alapján – Microsoft Entra ID-hitelesítés

Ez a cikk bemutatja, hogyan konfigurálhatja a hozzáférést a Microsoft Entra ID-hitelesítést használó pont–hely (P2S) VPN-kapcsolatok felhasználói és csoportjai alapján. Ebben a forgatókönyvben több egyéni célközönségalkalmazás-azonosítót és több P2S VPN-átjárót használva konfigurálja ezt a típusú hozzáférést. A P2S protokollokkal és hitelesítésekkel kapcsolatos további információkért lásd : Pont–hely VPN.

Ebben a forgatókönyvben a felhasználók különböző hozzáféréssel rendelkeznek az adott P2S VPN-átjárókhoz való csatlakozáshoz szükséges engedélyek alapján. Magas szinten a munkafolyamat a következő:

1. Hozzon létre egy egyéni alkalmazást minden P2S VPN-átjáróhoz, amelyet Microsoft Entra ID-hitelesítéssel szeretne konfigurálni a P2S VPN-hez. Jegyezze fel az egyéni alkalmazásazonosítót.
2. Adja hozzá az Azure VPN-ügyfélalkalmazást az egyéni alkalmazáskonfigurációhoz.
3. Felhasználói és csoportengedélyek hozzárendelése egyéni alkalmazásonként.
4. Amikor konfigurálja az átjárót a P2S VPN Microsoft Entra ID-hitelesítéshez, adja meg a Microsoft Entra ID-bérlőt és a felhasználókhoz társított egyéni alkalmazásazonosítót, amelyeket engedélyezni szeretne az átjárón keresztüli csatlakozáshoz.
5. Az ügyfél számítógépén található Azure VPN-ügyfélprofil a P2S VPN-átjáró azon beállításaival van konfigurálva, amelyhez a felhasználónak hozzáférése van.
6. Amikor egy felhasználó csatlakozik, hitelesítést kap, és csak ahhoz a P2S VPN-átjáróhoz tud csatlakozni, amelyhez a fiókja rendelkezik engedélyekkel.

Szempontok:

• Ha csak egy VPN-átjáróval rendelkezik, nem hozhat létre ilyen részletes hozzáférést.
• A Microsoft Entra ID-hitelesítés csak OpenVPN® protokollkapcsolatok esetén támogatott, és az Azure VPN-ügyfélre van szükség. *Ügyeljen arra, hogy az egyes Azure VPN-ügyfeleket a megfelelő ügyfélprofil-csomagkonfigurációs beállításokkal konfigurálja, hogy a felhasználó csatlakozzon ahhoz az átjáróhoz, amelyhez engedélyekkel rendelkezik.
• Ha ebben a gyakorlatban a konfigurációs lépéseket használja, lehet, hogy a legegyszerűbb az első egyéni alkalmazásazonosító és -átjáró lépéseinek végigfuttatása, majd minden további egyéni alkalmazásazonosító és átjáró esetében megismételni a lépéseket.

Előfeltételek

• Ehhez a forgatókönyvhez Microsoft Entra-bérlőre van szükség. Ha még nem rendelkezik bérlővel, hozzon létre egy új bérlőt a Microsoft Entra ID-ban. Jegyezze fel a bérlőazonosítót. Erre az értékre akkor van szükség, ha a P2S VPN-átjárót a Microsoft Entra ID-hitelesítéshez konfigurálja.

• Ez a forgatókönyv több VPN-átjárót igényel. Átjárónként csak egy egyéni alkalmazásazonosítót rendelhet hozzá.

  • Ha még nem rendelkezik legalább két működő VPN-átjáróval, amelyek kompatibilisek a Microsoft Entra ID-hitelesítéssel, tekintse meg a VPN-átjárók létrehozásához és kezeléséhez szükséges Azure Portalt .
  • Egyes átjáróbeállítások nem kompatibilisek a Microsoft Entra ID-hitelesítést használó P2S VPN-átjárókkal. Az alapszintű termékváltozat és a szabályzatalapú VPN-típusok nem támogatottak. További információ az átjáró termékváltozatairól: Tudnivalók az átjáró termékváltozatairól. A VPN-típusokkal kapcsolatos további információkért lásd a VPN Gateway beállításait.

Egy alkalmazás regisztrálása

A VPN-átjáró konfigurálásakor megadott egyéni célközönségalkalmazás-azonosító érték létrehozásához regisztrálnia kell egy alkalmazást. Alkalmazás regisztrálása. A lépésekért lásd : Alkalmazás regisztrálása.

• A Név mező felhasználói felületű. Használjon valami intuitívat, amely leírja az egyéni alkalmazáson keresztül csatlakozó felhasználókat vagy csoportokat.
• A többi beállításhoz használja a cikkben látható beállításokat.

Hatókör hozzáadása

Hatókör hozzáadása. A hatókör hozzáadása a sorozat része a felhasználók és csoportok engedélyeinek konfigurálásához. A lépésekért tekintse meg az API-k felfedése és hatókör hozzáadása című témakört. Később felhasználókat és csoportengedélyeket rendel ehhez a hatókörhöz.

• Használjon valami intuitívat a Hatókör neve mezőhöz, például a Marketing-VPN-Users mezőhöz. Szükség szerint töltse ki a többi mezőt.
• Állapot esetén válassza az Engedélyezés lehetőséget.

Az Azure VPN-ügyfélalkalmazás hozzáadása

Adja hozzá az Azure VPN-ügyfélalkalmazás ügyfél-azonosítóját , és adja meg az engedélyezett hatókört. Az alkalmazás hozzáadásakor javasoljuk, hogy lehetőség szerint használja a Microsoft által regisztrált Azure VPN-ügyfélalkalmazás-azonosítót az Azure Publichoz c632b3df-fb67-4d84-bdcf-b95ad541b5c8 . Ez az alkalmazásérték globális hozzájárulással rendelkezik, ami azt jelenti, hogy nem kell manuálisan regisztrálnia. A lépésekről az Azure VPN-ügyfélalkalmazás hozzáadása című témakörben olvashat.

Az Azure VPN-ügyfélalkalmazás hozzáadása után lépjen az Áttekintés lapra, és másolja és mentse az alkalmazás (ügyfél) azonosítóját. Erre az információra szüksége lesz a P2S VPN-átjáró konfigurálásához.

Felhasználók és csoportok hozzárendelése

Engedélyek hozzárendelése az átjáróhoz csatlakozó felhasználókhoz és/vagy csoportokhoz. Ha csoportot ad meg, a felhasználónak a csoport közvetlen tagjának kell lennie. A beágyazott csoportok nem támogatottak.

1. Lépjen a Microsoft Entra-azonosítóra, és válassza a Nagyvállalati alkalmazások lehetőséget.
2. A listából keresse meg a regisztrált alkalmazást, és kattintson rá a megnyitásához.
3. Bontsa ki a Kezelés elemet, majd válassza a Tulajdonságok lehetőséget. A Tulajdonságok lapon ellenőrizze, hogy a felhasználók számára engedélyezve van-e a bejelentkezés. Ha nem, módosítsa az értéket Igen értékre.
4. Ha a hozzárendelés szükséges, módosítsa az értéket Igen értékre. Erről a beállításról további információt az Alkalmazás tulajdonságai című témakörben talál.
5. Ha módosításokat végzett, válassza a Lap tetején található Mentés lehetőséget.
6. A bal oldali panelen válassza a Felhasználók és csoportok lehetőséget. A Felhasználók és csoportok lapon válassza a + Felhasználó/csoport hozzáadása lehetőséget a Hozzárendelés hozzáadása lap megnyitásához.
7. A Felhasználók és csoportok lap megnyitásához kattintson a Felhasználók és csoportok csoportban található hivatkozásra. Jelölje ki a hozzárendelni kívánt felhasználókat és csoportokat, majd kattintson a Kiválasztás gombra.
8. Miután befejezte a felhasználók és csoportok kiválasztását, válassza a Hozzárendelés lehetőséget.

Pont–hely VPN-kapcsolat konfigurálása

Miután elvégezte az előző szakaszok lépéseit, folytassa a P2S VPN Gateway konfigurálását a Microsoft Entra ID-hitelesítéshez – Microsoft által regisztrált alkalmazáshoz.

• Az egyes átjárók konfigurálásakor társítsa a megfelelő egyéni célközönség alkalmazásazonosítóját.
• Töltse le az Azure VPN-ügyfél konfigurációs csomagjait, hogy konfigurálja az Azure VPN-ügyfelet az adott átjáróhoz való csatlakozásra jogosult felhasználók számára.

Az Azure VPN-ügyfél konfigurálása

Az Azure VPN-ügyfélprofil konfigurációs csomagjával konfigurálhatja az Azure VPN-ügyfelet az egyes felhasználók számítógépén. Ellenőrizze, hogy az ügyfélprofil megfelel-e annak a P2S VPN-átjárónak, amelyhez a felhasználó csatlakozni szeretne.

Következő lépések

• P2S VPN Gateway konfigurálása a Microsoft Entra ID-hitelesítéshez – Microsoft által regisztrált alkalmazás.
• A virtuális hálózathoz való csatlakozáshoz konfigurálnia kell az Azure VPN-ügyfelet az ügyfélszámítógépeken. Lásd: VPN-ügyfél konfigurálása P2S VPN-kapcsolatokhoz.
• A gyakori kérdésekért tekintse meg a VPN Gateway gyik pont–hely szakaszát.