Настройка VPN-подключения пользователя P2S для проверки подлинности идентификатора Microsoft Entra ID — зарегистрированное корпорацией Майкрософт приложение

В этой статье показано, как настроить VPN-подключение "точка — сеть" для Виртуальная глобальная сеть, использующего проверку подлинности идентификатора Microsoft Entra ID и новый идентификатор vpn-приложения Azure, зарегистрированного в Microsoft Azure.

Виртуальная глобальная сеть теперь поддерживает новый идентификатор приложения, зарегистрированный корпорацией Майкрософт, и соответствующие значения аудитории для последних версий VPN-клиента Azure. При настройке VPN-шлюза VPN-шлюза пользователя P2S с использованием новых значений аудитории вы пропустите процесс регистрации приложения VPN-клиента Azure вручную для клиента Microsoft Entra. Идентификатор приложения уже создан, и клиент автоматически может использовать его без дополнительных шагов регистрации. Этот процесс безопаснее, чем вручную регистрация VPN-клиента Azure, так как вам не нужно авторизовать приложение или назначать разрешения через роль глобального администратора.

Ранее вам требовалось вручную зарегистрировать (интегрировать) приложение VPN-клиента Azure с клиентом Microsoft Entra. Регистрация клиентского приложения создает идентификатор приложения, представляющий удостоверение приложения VPN-клиента Azure и требует авторизации с помощью роли глобального администратора. Чтобы лучше понять разницу между типами объектов приложений, см. сведения о том, как и почему приложения добавляются в идентификатор Microsoft Entra.

По возможности рекомендуется настроить новые VPN-шлюзы пользователей P2S с помощью идентификатора vpn-приложения VPN-приложения Microsoft Azure и соответствующих значений аудитории вместо того, чтобы вручную зарегистрировать приложение VPN-клиента Azure в клиенте. Если вы ранее настроили VPN-шлюз P2S, использующий проверку подлинности идентификатора Microsoft Entra, можно обновить шлюз и клиенты, чтобы воспользоваться новым идентификатором приложения, зарегистрированным корпорацией Майкрософт. Обновление шлюза P2S с новым значением аудитории необходимо, если требуется, чтобы клиенты Linux подключались. VPN-клиент Azure для Linux не совместим со старыми значениями аудитории.

Рекомендации

• VPN-шлюз пользователя P2S может поддерживать только одно значение аудитории. Он не поддерживает одновременно несколько значений аудитории.

• VPN-клиент Azure для Linux не имеет обратной совместимости с шлюзами P2S, настроенными для использования старых значений аудитории, которые соответствуют зарегистрированному вручную приложению. Однако VPN-клиент Azure для Linux поддерживает значения пользовательской аудитории.

• Хотя возможно, что VPN-клиент Azure для Linux может работать в других дистрибутивах и выпусках Linux, VPN-клиент Azure для Linux поддерживается только в следующих выпусках:

  • Ubuntu 20.04
  • Ubuntu 22.04

• Последние версии VPN-клиентов Azure для macOS и Windows совместимы с шлюзами P2S, настроенными для использования старых значений аудитории, которые соответствуют зарегистрированным вручную приложению. Эти клиенты также поддерживают значения пользовательской аудитории.

Значения аудитории VPN-клиента Azure

В следующей таблице показаны версии VPN-клиента Azure, которые поддерживаются для каждого идентификатора приложения и соответствующих доступных значений аудитории.

Вы узнаете, как выполнять следующие задачи:

• Создание виртуальной глобальной сети
• создание пользовательской конфигурации VPN;
• Загрузка профиля виртуального пользователя WAN VPN
• Создание виртуального концентратора
• Изменение концентратора для добавления шлюза P2S
• Подключение виртуальной сети к виртуальному концентратору
• скачивание и применение пользовательской конфигурации VPN-клиента.
• Просмотр виртуальной глобальной сети

Подготовка к работе

Перед началом настройки убедитесь, что удовлетворены следующие требования:

• У вас есть виртуальная сеть, к которой необходимо подключиться. Ни одна из подсетей локальной сети не должна перекрывать виртуальные сети, к которым вы хотите подключиться. Сведения о создании виртуальной сети на портале Azure см. в этой статье.

• В вашей виртуальной сети не должны находиться виртуальные сетевые шлюзы. Если в виртуальной сети есть шлюз (VPN или ExpressRoute), необходимо удалить его. Действия по этой конфигурации помогут подключить виртуальную сеть к шлюзу Виртуальная глобальная сеть виртуального концентратора.

• Получите диапазон IP-адресов для вашего региона концентратора. Концентратор — это виртуальная сеть, которая создается и используется Виртуальной глобальной сетью. Диапазон адресов, который вы указываете для концентратора, не может пересекаться с любой из существующих виртуальных сетей, к которым вы подключаетесь. Он также не может пересекаться с диапазонами адресов, к которым вы подключаетесь локально. Если вы не знаете диапазоны IP-адресов в своей конфигурации локальной сети, обратитесь к специалисту, который сможет предоставить вам нужную информацию.

• Для этой конфигурации требуется клиент Идентификатора Microsoft Entra. Если у вас его нет, его можно создать, следуя инструкциям в разделе "Создание нового клиента".

• Если вы хотите использовать настраиваемое значение аудитории, см. статью "Создание или изменение идентификатора пользовательского приложения аудитории".

Создание виртуальной глобальной сети

В браузере откройте портал Azure и выполните вход с помощью учетной записи Azure.

1. На портале в строке Поиск ресурсов введите Виртуальная глобальная сеть и нажмите ВВОД.

2. Выберите Виртуальные глобальные сети в результатах. На странице "Виртуальные глобальные сети" щелкните + Создать, чтобы открыть страницу Создание глобальной сети.

3. На странице Создание глобальной сети на вкладке Основные сведения заполните поля. Замените примеры значений на соответствующие для вашей среды.

   

   • Подписка. Выберите подписку, которую вы хотите использовать.
   • Группа ресурсов. Создайте новую группу ресурсов или используйте имеющуюся.
   • Расположение группы ресурсов. Выберите расположение ресурсов из раскрывающегося списка. Глобальная сеть — это глобальный ресурс, который не располагается в определенном регионе. Но вы должны выбрать регион, чтобы находить созданный вами ресурс глобальной сети и управлять им.
   • Имя. Введите имя своей виртуальной глобальной сети.
   • Тип. "Базовый" или "Стандартный". Выберите Стандартное. Если вы выбрали "Базовый", учтите, что виртуальные сети уровня "Базовый" могут включать центры только такого же уровня. Центры уровня "Базовый" можно использовать только для подключений "сеть — сеть".

4. Заполнив поля, нажмите кнопку Просмотреть и создать внизу страницы.

5. После прохождения проверки нажмите кнопку Создать, чтобы создать виртуальную глобальную сеть.

создание пользовательской конфигурации VPN;

Пользовательская конфигурации VPN определяет параметры для подключения удаленных клиентов. Перед настройкой виртуального концентратора с настройками P2S важно создать пользовательскую конфигурацию VPN, поскольку необходимо указать пользовательскую конфигурацию VPN, которую вы хотите использовать.

1. Перейдите в настройки Виртуальная глобальная сеть. В левой области разверните узел "Подключение" и выберите страницу конфигураций VPN пользователя. На странице конфигураций VPN пользователя нажмите кнопку +Создать конфигурацию VPN пользователя.

2. На странице "Основы" укажите следующие параметры.

   • Имя конфигурации. Введите имя для пользовательской конфигурации VPN. Например, TestConfig1.
   • Тип туннеля. Выберите значение "OpenVPN" из раскрывающегося списка.

3. В верхней части страницы щелкните Azure Active Directory. Вы можете просмотреть необходимые значения на странице идентификатора Microsoft Entra для корпоративных приложений на портале.

   Настройте следующие значения:

   • Azure Active Directory — выберите "Да".
   • Аудитория. Введите соответствующее значение для идентификатора приложения VPN-клиента Microsoft Azure, общедоступного azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 Пользовательская аудитория также поддерживается для этого поля.
   • Издатель — вводhttps://sts.windows.net/<your Directory ID>/.
   • Клиент AAD — введите идентификатор клиента для клиента Microsoft Entra. Убедитесь, что в конце URL-адреса клиента Microsoft Entra нет / .

4. Чтобы создать пользовательскую конфигурацию VPN, щелкните Создать. Вы выберете эту конфигурацию позже в упражнении.

Создание пустого концентратора

Затем создайте виртуальный концентратор. В этом разделе описано, как создать пустой виртуальный концентратор, в который можно позже добавить шлюз P2S. Тем не менее, всегда гораздо эффективнее объединять создание концентратора вместе с шлюзом, так как при каждом изменении конфигурации в концентраторе необходимо дождаться сборки параметров концентратора.

Для демонстрационных целей сначала мы создадим пустой концентратор, а затем добавьте шлюз P2S в следующем разделе. Но вы можете включить параметры шлюза P2S из следующего раздела одновременно с настройкой концентратора.

1. Откройте только что созданную виртуальную глобальную сеть. На странице "Виртуальная глобальная сеть" в разделе Возможность подключения выберите Концентраторы.

2. На странице Центры выберите +Новый центр, чтобы открыть страницу Создание виртуального центра.

   

3. На вкладке Основные сведения страницы Создание виртуального концентратора заполните следующие поля:

   • Регион: выберите регион, в котором требуется развернуть виртуальный центр.
   • Имя: имя виртуального центра.
   • Пространство частных адресов концентратора: диапазон адресов концентратора в нотации CIDR. Минимальное адресное пространство /24 для создания концентратора.
   • Емкость виртуального концентратора: выберите вариант из раскрывающегося списка. Дополнительные сведения о параметрах виртуальных концентраторов см. на этой странице.
   • Параметр маршрутизации концентратора: оставьте параметр по умолчанию ExpressRoute, если у вас нет конкретного поля. Дополнительные сведения см. в разделе Предпочтение маршрутизации виртуального концентратора.

После настройки параметров нажмите кнопку "Проверить и создать ", чтобы проверить, а затем создайте концентратор. Создание концентратора может занять до 30 минут.

Добавление шлюза P2S к концентратору

В этом разделе показано, как добавить шлюз к уже существующему виртуальному концентратору. Обновление концентратора может занять до 30 минут.

1. Перейдите в настройки Виртуальная глобальная сеть. В левой области разверните узел "Параметры " и выберите "Центры".

2. Щелкните имя концентратора, который требуется изменить.

3. Нажмите кнопку "Изменить виртуальный концентратор " в верхней части страницы, чтобы открыть страницу "Изменить виртуальный концентратор ".

4. На странице Изменить виртуальный концентратор установите флажки для Включить шлюз vpn для сайтов vpn и Включить шлюз точка-сеть, чтобы отобразить настройки. Затем настройте значения.

   

   • Единицы масштабирования шлюза: выберите единицы масштабирования шлюза. Единицы масштабирования представляют собой совокупную пропускную способность пользовательского шлюза VPN. Если вы выбрали 40 или более единиц, спланируйте пул адресов клиентов соответствующим образом. Сведения о том, как этот параметр влияет на пул адресов клиента, см. в статье Общие сведения о пулах клиентских адресов. Для получения информации о единицах масштабирования шлюза см. раздел с часто задаваемыми вопросами.
   • Пользовательская конфигурация VPN: выберите конфигурацию, которую вы создали ранее.
   • Группы пользователей для сопоставления пулов адресов: укажите пулы адресов. Сведения об этом параметре см. в разделе "Настройка групп пользователей и пулов IP-адресов" для виртуальных сетей пользователей P2S.

5. После настройки параметров нажмите кнопку "Подтвердить ", чтобы обновить концентратор. Обновление концентратора может занять до 30 минут.

Подключение виртуальной сети к концентратору

В этом разделе описано, как создать подключение между виртуальным концентратором и виртуальной сетью.

1. В портал Azure перейдите к Виртуальная глобальная сеть В левой области выберите подключения виртуальной сети.

2. На странице подключений к виртуальной сети нажмите кнопку +Добавить подключение.

3. На странице Добавление подключения настройте параметры подключения. Сведения о параметрах маршрутизации см. в разделе "Сведения о маршрутизации".

   • Имя подключения: задайте имя для своего подключения.
   • Концентраторы: выберите концентратор, который нужно связать с этим подключением.
   • Подписка: проверьте подписку.
   • Группа ресурсов: выберите группу ресурсов, содержащую виртуальную сеть, к которой требуется подключиться.
   • Виртуальная сеть: выберите виртуальную сеть, которую вы хотите подключить к этому концентратору. В выбранной виртуальной сети не должно быть шлюза виртуальной сети.
   • Нет распространения: по умолчанию для этого параметра выбрано значение Нет. Если установить переключатель в положение Да, варианты конфигурации Распространить в таблицы маршрутизации и Распространить к меткам станут недоступны.
   • Связать таблицу маршрутов: в раскрывающемся списке можно выбрать таблицу маршрутов, которую нужно связать.
   • Распространение на метки: метки — это логическая группа таблиц маршрутов. Для этого параметра выберите в раскрывающемся списке.
   • Статические маршруты: при необходимости настройте статические маршруты. Настройте статические маршруты для сетевых виртуальных устройств (если применимо). Виртуальная глобальная сеть поддерживает один IP-адрес следующего перехода для статического маршрута в виртуальном сетевом соединении. Например, если у вас есть отдельное виртуальное устройство для входящего трафика и исходящего трафика, рекомендуется использовать виртуальные устройства в отдельных виртуальных сетях и подключить виртуальные сети к виртуальному концентратору.
   • Обход IP-адреса следующего прыжка для рабочих нагрузок в этой виртуальной сети. Этот параметр позволяет развертывать NVAs и другие рабочие нагрузки в одной виртуальной сети, не заставляя весь трафик через NVA. Этот параметр можно настроить только при настройке нового подключения. Если вы хотите использовать этот параметр для уже созданного подключения, удалите подключение, а затем добавьте новое подключение.
   • Распространение статического маршрута: этот параметр в настоящее время развертывается. Этот параметр позволяет распространять статические маршруты, определенные в разделе "Статические маршруты " для маршрутизации таблиц, указанных в разделе "Распространение в таблицы маршрутов". Кроме того, маршруты будут распространяться в таблицы маршрутов с метками, указанными как распространение на метки. Эти маршруты могут распространяться между концентраторами, за исключением маршрута по умолчанию 0/0.

4. После завершения настройки параметров нажмите кнопку "Создать ", чтобы создать подключение.

Скачивание пользовательского профиля VPN

Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации VPN-клиента. Параметры в этом ZIP-файле помогут вам с легкостью настроить VPN-клиенты. Файлы конфигурации VPN-клиента, которые вы создаете, относятся только к конфигурации VPN пользователя для вашего шлюза. Вы можете скачать глобальные профили (уровень глобальной сети) или профиль для определенного концентратора. Сведения и дополнительные инструкции см. в разделе "Скачать глобальные и центральные профили". Ниже описано, как скачать глобальный профиль уровня глобальной сети.

1. Чтобы создать пакет конфигурации VPN-клиента глобального профиля уровня глобальной сети, перейдите в виртуальную глобальную сеть (а не виртуальный концентратор).

2. В области слева выберите Пользовательские конфигурации VPN.

3. Выберите конфигурацию, для которой нужно скачать профиль. Если у вас несколько центров, назначенных одному профилю, разверните профиль, чтобы отобразить концентраторы, а затем выберите один из центров, использующих профиль.

4. Нажмите Скачать профиль VPN пользователя виртуальной глобальной сети.

5. На странице скачивания выберите EAPTLS, а затем — Создать и скачать профиль. Будет создан и скачан на ваш компьютер пакет профиля (ZIP-файл) с параметрами конфигурации клиента. Содержимое пакета зависит от параметров проверки подлинности и туннеля для конфигурации.

Настройка VPN-клиента Azure

Затем вы изучите пакет конфигурации профиля, настройте VPN-клиент Azure для клиентских компьютеров и подключитесь к Azure. См. статьи, перечисленные в разделе "Дальнейшие действия".

Следующие шаги

Настройте VPN-клиент Azure. Действия, описанные в документации VPN-шлюз клиента, можно использовать для настройки VPN-клиента Azure для Виртуальная глобальная сеть.

• VPN-клиент Azure для Linux
• VPN-клиент Azure для Windows
• VPN-клиент Azure для macOS