Bagikan melalui

Mengonfigurasi VPN Gateway P2S untuk autentikasi ID Microsoft Entra – Aplikasi terdaftar Microsoft

  • Artikel

Artikel ini membantu Anda mengonfigurasi gateway VPN titik-ke-situs (P2S) untuk autentikasi ID Microsoft Entra menggunakan ID Aplikasi Klien Azure VPN baru yang terdaftar di Microsoft.

Catatan

Langkah-langkah dalam artikel ini berlaku untuk autentikasi ID Microsoft Entra menggunakan ID Aplikasi Klien Azure VPN yang terdaftar di Microsoft dan nilai Audiens terkait. Artikel ini tidak berlaku untuk aplikasi Klien Azure VPN yang lebih lama dan terdaftar secara manual untuk penyewa Anda. Untuk langkah-langkah Klien Azure VPN yang terdaftar secara manual, lihat Mengonfigurasi P2S menggunakan klien VPN yang terdaftar secara manual.

VPN Gateway sekarang mendukung ID Aplikasi baru yang terdaftar di Microsoft dan nilai Audiens terkait untuk versi terbaru Klien Azure VPN. Saat mengonfigurasi gateway VPN P2S menggunakan nilai Audiens baru, Anda melewati proses pendaftaran manual aplikasi Klien Azure VPN untuk penyewa Microsoft Entra Anda. ID Aplikasi sudah dibuat dan penyewa Anda secara otomatis dapat menggunakannya tanpa langkah pendaftaran tambahan. Proses ini lebih aman daripada mendaftarkan Klien Azure VPN secara manual karena Anda tidak perlu mengotorisasi aplikasi atau menetapkan izin melalui peran Administrator global.

Sebelumnya, Anda diharuskan mendaftarkan (mengintegrasikan) aplikasi Klien Azure VPN secara manual dengan penyewa Microsoft Entra Anda. Mendaftarkan aplikasi klien membuat ID Aplikasi yang mewakili identitas aplikasi Klien Azure VPN dan memerlukan otorisasi menggunakan peran Administrator Global. Untuk lebih memahami perbedaan antara jenis objek aplikasi, lihat Bagaimana dan mengapa aplikasi ditambahkan ke ID Microsoft Entra.

Jika memungkinkan, kami sarankan Anda mengonfigurasi gateway P2S baru menggunakan ID Aplikasi klien Azure VPN yang terdaftar di Microsoft dan nilai Audiens yang sesuai, alih-alih mendaftarkan aplikasi Klien Azure VPN secara manual dengan penyewa Anda. Jika Anda memiliki gateway Azure VPN yang dikonfigurasi sebelumnya yang menggunakan autentikasi ID Microsoft Entra, Anda dapat memperbarui gateway dan klien untuk memanfaatkan ID Aplikasi baru yang terdaftar di Microsoft. Memperbarui gateway P2S dengan nilai Audiens baru diperlukan jika Anda ingin klien Linux terhubung. Klien Azure VPN untuk Linux tidak kompatibel mundur dengan nilai Audiens yang lebih lama.

Jika Anda memiliki gateway P2S yang sudah ada yang ingin Anda perbarui untuk menggunakan nilai Audiens baru, lihat Mengubah Audiens untuk gateway VPN P2S. Jika Anda ingin membuat atau memodifikasi nilai Audiens kustom, lihat Membuat ID aplikasi audiens kustom untuk P2S VPN. Jika Anda ingin mengonfigurasi atau membatasi akses ke P2S berdasarkan pengguna dan grup, lihat Skenario: Mengonfigurasi akses VPN P2S berdasarkan pengguna dan grup.

Pertimbangan

  • Gateway VPN P2S hanya dapat mendukung satu nilai Audiens. Ini tidak dapat mendukung beberapa nilai Audiens secara bersamaan.

  • Klien Azure VPN untuk Linux tidak kompatibel mundur dengan gateway P2S yang dikonfigurasi untuk menggunakan nilai Audiens yang lebih lama yang selaras dengan aplikasi yang terdaftar secara manual. Namun, Klien Azure VPN untuk Linux memang mendukung nilai Audiens Kustom.

  • Meskipun ada kemungkinan bahwa Klien Azure VPN untuk Linux mungkin bekerja pada distribusi dan rilis Linux lainnya, Klien Azure VPN untuk Linux hanya didukung pada rilis berikut:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • Versi terbaru Klien Azure VPN untuk macOS dan Windows kompatibel mundur dengan gateway P2S yang dikonfigurasi untuk menggunakan nilai Audiens yang lebih lama yang selaras dengan aplikasi yang terdaftar secara manual. Klien ini juga mendukung nilai Audiens Kustom.

Nilai Audiens Klien Azure VPN

Tabel berikut ini memperlihatkan versi Klien Azure VPN yang didukung untuk setiap ID Aplikasi dan nilai Audiens yang tersedia terkait.

ID Aplikasi Nilai Audiens yang Didukung Klien yang Didukung
Terdaftar di Microsoft Nilai c632b3df-fb67-4d84-bdcf-b95ad541b5c8 audiens berlaku untuk:
- Azure Public
- Azure Government
- Azure Jerman
- Microsoft Azure dioperasikan oleh 21Vianet		 - Linux
- Windows
- macOS
Terdaftar secara manual - Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Jerman: 538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure dioperasikan oleh 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 - Windows
- macOS
Adat <custom-app-id> - Linux
- Windows
- macOS

Alur kerja titik-ke-situs

Berhasil mengonfigurasi koneksi P2S menggunakan autentikasi ID Microsoft Entra memerlukan urutan langkah.

Artikel ini membantu Anda:

  1. Verifikasi penyewa Anda.
  2. Konfigurasikan gateway VPN dengan pengaturan yang diperlukan yang sesuai.
  3. Buat dan unduh paket konfigurasi Klien VPN.

Artikel di bagian Langkah berikutnya membantu Anda:

  1. Unduh Klien Azure VPN di komputer klien.
  2. Konfigurasikan klien menggunakan pengaturan dari paket konfigurasi Klien VPN.
  3. Terhubung.

Prasyarat

Artikel ini mengasumsikan prasyarat berikut:

  • Gateway VPN

    • Opsi gateway tertentu tidak kompatibel dengan gateway VPN P2S yang menggunakan autentikasi ID Microsoft Entra. Gateway VPN tidak dapat menggunakan SKU Dasar atau jenis VPN berbasis kebijakan. Untuk informasi selengkapnya tentang SKU gateway, lihat Tentang SKU gateway. Untuk informasi selengkapnya tentang jenis VPN, lihat Pengaturan VPN Gateway.

    • Jika Anda belum memiliki gateway VPN yang berfungsi yang kompatibel dengan autentikasi ID Microsoft Entra, lihat Membuat dan mengelola gateway VPN - portal Azure. Buat gateway VPN yang kompatibel, lalu kembali ke artikel ini untuk mengonfigurasi pengaturan P2S.

  • Penyewa Microsoft Entra

Menambahkan kumpulan alamat klien VPN

Kumpulan alamat klien adalah berbagai alamat IP pribadi yang Anda tentukan. Klien yang terhubung melalui VPN point-to-site secara dinamis menerima alamat IP dari rentang ini. Gunakan rentang alamat IP privat yang tidak tumpang tindih dengan lokasi lokal yang Anda sambungkan, atau VNet yang ingin Anda sambungkan. Jika Anda mengonfigurasi beberapa protokol dan SSTP adalah salah satu protokolnya, maka kumpulan alamat yang dikonfigurasi dibagi antara protokol yang dikonfigurasi secara merata.

  1. Di portal Azure, buka gateway VPN Anda.

  2. Pada halaman untuk gateway Anda, di panel kiri, pilih Konfigurasi titik-ke-situs.

  3. Klik Konfigurasikan sekarang untuk membuka halaman konfigurasi.

    Cuplikan layar halaman konfigurasi Titik-ke-situs - kumpulan alamat.

  4. Pada halaman Konfigurasi titik-ke-situs, dalam kotak Kumpulan alamat, tambahkan rentang alamat IP privat yang ingin Anda gunakan. Klien VPN secara dinamis menerima alamat IP dari rentang yang Anda tentukan. Subnet mask minimum adalah 29 bit untuk aktif/pasif dan 28 bit untuk konfigurasi aktif/aktif.

  5. Lanjutkan ke bagian berikutnya untuk mengonfigurasi pengaturan lainnya.

Mengonfigurasi jenis terowongan dan autentikasi

Penting

portal Azure sedang dalam proses memperbarui bidang Azure Active Directory ke Entra. Jika Anda melihat ID Microsoft Entra yang direferensikan dan belum melihat nilai tersebut di portal, Anda dapat memilih nilai Azure Active Directory.

  1. Temukan ID Penyewa direktori yang ingin Anda gunakan untuk autentikasi. Untuk bantuan dalam menemukan ID penyewa Anda, lihat Cara menemukan ID penyewa Microsoft Entra Anda.

  2. Mengonfigurasi jenis terowongan dan nilai autentikasi.

    Cuplikan layar memperlihatkan pengaturan untuk jenis Terowongan, Jenis autentikasi, dan pengaturan ID Microsoft Entra.

    Konfigurasikan pengaturan berikut:

    • Kumpulan alamat: kumpulan alamat klien
    • Jenis terowongan: OpenVPN (SSL)
    • Jenis autentikasi: ID Microsoft Entra

    Untuk nilai ID Microsoft Entra, gunakan panduan berikut untuk nilai Penyewa, Audiens, dan Penerbit . Ganti {ID Microsoft ID Entra Tenant ID} dengan ID penyewa Anda, berhati-hatilah untuk menghapus {} dari contoh saat Anda mengganti nilai ini.

    • Penyewa: TenantID untuk penyewa MICROSOFT Entra ID. Masukkan ID penyewa yang sesuai dengan konfigurasi Anda. Pastikan URL Penyewa tidak memiliki \ (garis miring terbelakang) di akhir. Garis miring diperbolehkan.

      • Azure Public: https://login.microsoftonline.com/{TenantID}
      • Azure Government: https://login.microsoftonline.us/{TenantID}
      • Azure Jerman: https://login-us.microsoftonline.de/{TenantID}
      • Tiongkok 21Vianet: https://login.chinacloudapi.cn/{TenantID}

    • Audiens: Nilai yang sesuai untuk ID Aplikasi Klien Azure VPN yang terdaftar di Microsoft. Audiens kustom juga didukung untuk bidang ini.

      • c632b3df-fb67-4d84-bdcf-b95ad541b5c8

    • Penerbit: URL Layanan Token Aman. Sertakan garis miring berikutnya di akhir nilai Penerbit . Jika tidak, koneksi mungkin gagal. Contoh:

      • https://sts.windows.net/{Microsoft ID Entra Tenant ID}/

  3. Anda tidak perlu mengklik Berikan persetujuan administrator untuk aplikasi klien Azure VPN. Tautan ini hanya untuk klien VPN terdaftar secara manual yang menggunakan nilai Audiens yang lebih lama. Ini membuka halaman di portal Azure.

  4. Setelah Anda selesai mengonfigurasi pengaturan, klik Simpan di bagian atas halaman.

Mengunduh paket konfigurasi profil klien VPN

Di bagian ini, Anda membuat dan mengunduh paket konfigurasi profil klien Azure VPN. Paket ini berisi pengaturan yang dapat Anda gunakan untuk mengonfigurasi profil klien Azure VPN di komputer klien.

  1. Di bagian atas halaman konfigurasi Titik-ke-situs, klik Unduh klien VPN. Perlu beberapa menit hingga paket konfigurasi klien dapat dibuat.

  2. Browser Anda menunjukkan bahwa file zip konfigurasi klien tersedia. File diberi nama yang sama dengan gateway Anda.

  3. Ekstrak file zip yang diunduh.

  4. Telusuri folder "AzureVPN" yang belum di-zip.

  5. Catat lokasi file “azurevpnconfig.xml”. azurevpnconfig.xml berisi pengaturan untuk koneksi VPN. Anda juga dapat mendistribusikan file ini ke semua pengguna yang perlu tersambung melalui email atau cara lain. Pengguna akan memerlukan kredensial ID Microsoft Entra yang valid agar berhasil tersambung.

Mengonfigurasi Klien Azure VPN

Selanjutnya, Anda memeriksa paket konfigurasi profil, mengonfigurasi Klien Azure VPN untuk komputer klien, dan menyambungkan ke Azure. Lihat artikel yang tercantum di bagian Langkah berikutnya.

Langkah berikutnya

Mengonfigurasi Klien Azure VPN.