Konfigurera P2S-användar-VPN för Microsoft Entra-ID-autentisering – Microsoft-registrerad app

Den här artikeln hjälper dig att konfigurera punkt-till-plats-anslutning för användar-VPN till Virtual WAN som använder Microsoft Entra-ID-autentisering och det nya Microsoft-registrerade Azure VPN-klientapp-ID:t.

Virtual WAN stöder nu ett nytt Microsoft-registrerat app-ID och motsvarande målgruppsvärden för de senaste versionerna av Azure VPN-klienten. När du konfigurerar en VPN-gateway för P2S-användare med hjälp av de nya målgruppsvärdena hoppar du över den manuella registreringsprocessen för Azure VPN-klientappen för din Microsoft Entra-klientorganisation. App-ID:t har redan skapats och din klientorganisation kan automatiskt använda det utan några extra registreringssteg. Den här processen är säkrare än att registrera Azure VPN-klienten manuellt eftersom du inte behöver auktorisera appen eller tilldela behörigheter via den Global administratör rollen.

Tidigare var du skyldig att manuellt registrera (integrera) Azure VPN-klientappen med din Microsoft Entra-klientorganisation. När du registrerar klientappen skapas ett app-ID som representerar identiteten för Azure VPN-klientprogrammet och kräver auktorisering med hjälp av rollen Global administratör. Mer information om skillnaden mellan olika typer av programobjekt finns i How and why applications are added to Microsoft Entra ID (Hur och varför program läggs till i Microsoft Entra-ID).

När det är möjligt rekommenderar vi att du konfigurerar nya VPN-gatewayer för P2S-användare med hjälp av det Microsoft-registrerade Azure VPN-klientapp-ID:t och motsvarande målgruppsvärden i stället för att manuellt registrera Azure VPN-klientappen med din klientorganisation. Om du har konfigurerat en VPN-gateway för P2S-användare som använder Microsoft Entra-ID-autentisering kan du uppdatera gatewayen och klienterna för att dra nytta av det nya Microsoft-registrerade app-ID:t. Du måste uppdatera P2S-gatewayen med det nya målgruppsvärdet om du vill att Linux-klienter ska ansluta. Azure VPN-klienten för Linux är inte bakåtkompatibel med de äldre målgruppsvärdena.

Överväganden

• En VPN-gateway för P2S-användare kan bara stödja ett målgruppsvärde. Det kan inte ha stöd för flera målgruppsvärden samtidigt.

• Azure VPN-klienten för Linux är inte bakåtkompatibel med P2S-gatewayer som konfigurerats för att använda de äldre målgruppsvärdena som överensstämmer med den manuellt registrerade appen. Azure VPN-klienten för Linux stöder dock anpassade målgruppsvärden.

• Det är möjligt att Azure VPN-klienten för Linux kan fungera på andra Linux-distributioner och versioner, men Azure VPN-klienten för Linux stöds endast i följande versioner:

  • Ubuntu 20.04
  • Ubuntu 22.04

• De senaste versionerna av Azure VPN-klienterna för macOS och Windows är bakåtkompatibla med P2S-gatewayer som konfigurerats för att använda de äldre målgruppsvärdena som överensstämmer med den manuellt registrerade appen. Dessa klienter stöder också anpassade målgruppsvärden.

Värden för Azure VPN-klientmålgrupp

I följande tabell visas de versioner av Azure VPN-klienten som stöds för varje app-ID och motsvarande tillgängliga målgruppsvärden.

I den här artikeln kan du se hur du:

• Skapa ett virtuellt WAN
• Skapa en VPN-konfiguration för användare
• Ladda ned en VIRTUELL WAN-användar-VPN-profil
• Skapa en virtuell hubb
• Redigera en hubb för att lägga till P2S-gateway
• Ansluta ett virtuellt nätverk till en virtuell hubb
• Ladda ned och tillämpa vpn-klientkonfigurationen för användare
• Visa virtuellt WAN

Innan du börjar

Kontrollera att du har uppfyllt följande villkor innan du påbörjar konfigurationen:

• Du har ett virtuellt nätverk som du vill ansluta till. Kontrollera att inget av undernäten i dina lokala nätverk överlappar de virtuella nätverk som du vill ansluta till. Information om hur du skapar ett virtuellt nätverk i Azure Portal finns i Snabbstart.

• Det virtuella nätverket har inga virtuella nätverksgatewayer. Om ditt virtuella nätverk har en gateway (antingen VPN eller ExpressRoute) måste du ta bort alla gatewayer. Stegen för den här konfigurationen hjälper dig att ansluta ditt virtuella nätverk till virtuellt WAN-hubbgateway.

• Hämta ett IP-adressintervall för din hubbregion. Hubben är ett virtuellt nätverk som skapas och används av Virtual WAN. Adressintervallet som du anger för hubben kan inte överlappa något av dina befintliga virtuella nätverk som du ansluter till. Det kan inte heller överlappa dina adressintervall som du ansluter till lokalt. Om du inte känner till IP-adressintervallen som finns i din lokala nätverkskonfiguration kan du samordna med någon som kan ange den informationen åt dig.

• Du behöver en Microsoft Entra ID-klient för den här konfigurationen. Om du inte har en kan du skapa en genom att följa anvisningarna i Skapa en ny klientorganisation.

• Om du vill använda ett anpassat målgruppsvärde kan du läsa Skapa eller ändra app-ID för anpassad målgrupp.

Skapa ett virtuellt WAN

Öppna en webbläsare, navigera till Azure Portal och logga in med ditt Azure-konto.

1. I portalen i fältet Sök efter resurser skriver du Virtual WAN i sökrutan och väljer Retur.

2. Välj Virtuella WAN:er i resultatet. På sidan Virtuella WAN:er väljer du + Skapa för att öppna sidan Skapa WAN .

3. På sidan Skapa WAN fyller du i fälten på fliken Grundläggande . Ändra exempelvärdena så att de gäller för din miljö.

   

   • Prenumeration: Välj den prenumeration som du vill använda.
   • Resursgrupp: Skapa ny eller använd befintlig.
   • Plats för resursgrupp: Välj en resursplats i listrutan. Ett WAN är en global resurs och finns inte i en viss region. Du måste dock välja en region för att kunna hantera och hitta den WAN-resurs som du skapar.
   • Namn: Ange det namn som du vill anropa ditt virtuella WAN.
   • Typ: Basic eller Standard. Välj Standard. Om du väljer Grundläggande förstår du att grundläggande virtuella WAN:er bara kan innehålla Basic-hubbar. Grundläggande hubbar kan bara användas för plats-till-plats-anslutningar.

4. När du har fyllt i fälten väljer du Granska +Skapa längst ned på sidan.

5. När valideringen har slutförts klickar du på Skapa för att skapa det virtuella WAN-nätverket.

Skapa en VPN-konfiguration för användare

En VPN-konfiguration för användare definierar parametrarna för att ansluta fjärrklienter. Det är viktigt att skapa VPN-konfigurationen för användare innan du konfigurerar din virtuella hubb med P2S-inställningar, eftersom du måste ange den VPN-konfiguration för användare som du vill använda.

1. Gå till ditt virtuella WAN. I den vänstra rutan expanderar du Anslutning och väljer sidan Vpn-konfigurationer för användare. På sidan Vpn-konfigurationer för användare klickar du på +Skapa vpn-konfiguration för användare.

2. På sidan Grundläggande anger du följande parametrar.

   • Konfigurationsnamn – Ange det namn som du vill anropa vpn-konfigurationen för användare. Till exempel TestConfig1.
   • Tunneltyp – Välj OpenVPN på den nedrullningsbara menyn.

3. Längst upp på sidan klickar du på Azure Active Directory. Du kan visa nödvändiga värden på sidan Microsoft Entra-ID för Företagsprogram i portalen.

   Konfigurera följande värden:

   • Azure Active Directory – Välj Ja.
   • Målgrupp – Ange motsvarande värde för Det Microsoft-registrerade Azure VPN-klientapp-ID:t, Azure Public: c632b3df-fb67-4d84-bdcf-b95ad541b5c8. Anpassad målgrupp stöds också för det här fältet.
   • Utfärdare – Ange https://sts.windows.net/<your Directory ID>/.
   • AAD-klientorganisation – Ange TenantID för Microsoft Entra-klientorganisationen. Kontrollera att det inte finns någon / i slutet av Microsoft Entra-klientorganisationens URL.

4. Klicka på Skapa för att skapa vpn-konfigurationen för användare. Du väljer den här konfigurationen senare i övningen.

Skapa en tom hubb

Skapa sedan den virtuella hubben. Stegen i det här avsnittet skapar en tom virtuell hubb som du senare kan lägga till P2S-gatewayen till. Det är dock alltid mycket mer effektivt att kombinera skapandet av hubben tillsammans med gatewayen eftersom du varje gång du gör en konfigurationsändring i hubben måste vänta tills hubbinställningarna har skapats.

I demonstrationssyfte skapar vi först en tom hubb och lägger sedan till P2S-gatewayen i nästa avsnitt. Men du kan välja att införliva P2S-gatewayinställningarna från nästa avsnitt samtidigt som du konfigurerar hubben.

1. Gå till det virtuella WAN som du skapade. På den virtuella WAN-sidan till vänster väljer du Hubbar under Anslutningen.

2. På sidan Hubbar väljer du +Ny hubb för att öppna sidan Skapa virtuell hubb .

   

3. På fliken Skapa virtuell hubb slutför du följande fält:

   • Region: Välj den region där du vill distribuera den virtuella hubben.
   • Namn: Namnet som du vill att den virtuella hubben ska vara känd för.
   • Navets privata adressutrymme: Hubbens adressintervall i CIDR-notation. Det minsta adressutrymmet är /24 för att skapa en hubb.
   • Kapacitet för virtuell hubb: Välj från listrutan. Mer information finns i Inställningar för virtuell hubb.
   • Inställningar för hubbdirigering: Lämna inställningen som standard, ExpressRoute om du inte har ett specifikt behov av att ändra det här fältet. Mer information finns i Inställningar för routning av virtuell hubb.

När du har konfigurerat inställningarna klickar du på Granska + skapa för att verifiera och sedan på Skapa hubben. Det kan ta upp till 30 minuter att skapa en hubb.

Lägga till en P2S-gateway till en hubb

Det här avsnittet visar hur du lägger till en gateway till en redan befintlig virtuell hubb. Det kan ta upp till 30 minuter att uppdatera en hubb.

1. Gå till ditt virtuella WAN. I den vänstra rutan expanderar du Inställningar och väljer Hubbar.

2. Klicka på namnet på den hubb som du vill redigera.

3. Klicka på Redigera virtuell hubb överst på sidan för att öppna sidan Redigera virtuell hubb .

4. På sidan Redigera virtuell hubb markerar du kryssrutorna för Inkludera VPN-gateway för VPN-webbplatser och Inkludera punkt-till-plats-gateway för att visa inställningarna. Konfigurera sedan värdena.

   

   • Gatewayskalningsenheter: Välj gatewayskalningsenheter. Skalningsenheter representerar den aggregerade kapaciteten för vpn-gatewayen för användare. Om du väljer 40 eller fler gatewayskalningsenheter planerar du klientadresspoolen i enlighet med detta. Information om hur den här inställningen påverkar klientadresspoolen finns i Om klientadresspooler. Information om gatewayskalningsenheter finns i Vanliga frågor och svar.
   • Vpn-konfiguration för användare: Välj den konfiguration som du skapade tidigare.
   • Mappning av användargrupper till adresspooler: Ange adresspooler. Information om den här inställningen finns i Konfigurera användargrupper och IP-adresspooler för P2S-användar-VPN.

5. När du har konfigurerat inställningarna klickar du på Bekräfta för att uppdatera hubben. Det kan ta upp till 30 minuter att uppdatera en hubb.

Ansluta virtuellt nätverk till hubb

I det här avsnittet skapar du en anslutning mellan din virtuella hubb och ditt virtuella nätverk.

1. I Azure Portal går du till ditt virtuella WAN i den vänstra rutan och väljer Virtuella nätverksanslutningar.

2. På sidan Virtuella nätverksanslutningar väljer du + Lägg till anslutning.

3. På sidan Lägg till anslutning konfigurerar du anslutningsinställningarna. Information om routningsinställningar finns i Om routning.

   • Anslutningsnamn: Namnge anslutningen.
   • Hubbar: Välj den hubb som du vill associera med den här anslutningen.
   • Prenumeration: Verifiera prenumerationen.
   • Resursgrupp: Välj den resursgrupp som innehåller det virtuella nätverk som du vill ansluta till.
   • Virtuellt nätverk: Välj det virtuella nätverk som du vill ansluta till den här hubben. Det virtuella nätverk som du väljer kan inte ha en redan befintlig virtuell nätverksgateway.
   • Sprid till ingen: Detta är inställt på Nej som standard. Om du ändrar växlingen till Ja blir konfigurationsalternativen för Spridning till Routningstabeller och Spridning till etiketter otillgängliga för konfiguration.
   • Associera routningstabell: I listrutan kan du välja en routningstabell som du vill associera.
   • Sprid till etiketter: Etiketter är en logisk grupp med routningstabeller. För den här inställningen väljer du i listrutan.
   • Statiska vägar: Konfigurera statiska vägar om det behövs. Konfigurera statiska vägar för virtuella nätverksinstallationer (om tillämpligt). Virtual WAN har stöd för en enda IP-adress för nästa hopp för statisk väg i en virtuell nätverksanslutning. Om du till exempel har en separat virtuell installation för inkommande och utgående trafikflöden är det bäst att ha de virtuella enheterna i separata virtuella nätverk och koppla de virtuella nätverken till den virtuella hubben.
   • Kringgå Nästa hopp-IP för arbetsbelastningar i det här virtuella nätverket: Med den här inställningen kan du distribuera NVA:er och andra arbetsbelastningar till samma virtuella nätverk utan att tvinga all trafik via NVA. Den här inställningen kan bara konfigureras när du konfigurerar en ny anslutning. Om du vill använda den här inställningen för en anslutning som du redan har skapat tar du bort anslutningen och lägger sedan till en ny anslutning.
   • Sprid statisk väg: Den här inställningen distribueras för närvarande. Med den här inställningen kan du sprida statiska vägar som definierats i avsnittet Statiska vägar för att dirigera tabeller som anges i Sprid till routningstabeller. Dessutom sprids vägar till routningstabeller med etiketter som har angetts som Sprid till etiketter. Dessa vägar kan spridas mellan hubbar, förutom standardvägen 0/0.

4. När du har slutfört de inställningar som du vill konfigurera klickar du på Skapa för att skapa anslutningen.

Ladda ned användar-VPN-profil

Alla nödvändiga konfigurationsinställningar för VPN-klienterna finns i en ZIP-fil för VPN-klientkonfiguration. Inställningarna i zip-filen hjälper dig att enkelt konfigurera VPN-klienterna. De VPN-klientkonfigurationsfiler som du genererar är specifika för VPN-konfigurationen för din gateway. Du kan ladda ned globala profiler (WAN-nivå) eller en profil för en specifik hubb. Mer information och ytterligare instruktioner finns i Ladda ned globala profiler och hubbprofiler. Följande steg beskriver hur du laddar ned en global WAN-nivåprofil.

1. Om du vill generera ett VPN-klientkonfigurationspaket på WAN-nivå går du till det virtuella WAN-nätverket (inte den virtuella hubben).

2. I den vänstra rutan väljer du Vpn-konfigurationer för användare.

3. Välj den konfiguration som du vill ladda ned profilen för. Om du har flera hubbar tilldelade till samma profil expanderar du profilen för att visa hubbarna och väljer sedan en av de hubbar som använder profilen.

4. Välj Ladda ned VPN-profil för virtuella WAN-användare.

5. På nedladdningssidan väljer du EAPTLS och sedan Generera och ladda ned profil. Ett profilpaket (zip-fil) som innehåller klientkonfigurationsinställningarna genereras och laddas ned till datorn. Innehållet i paketet beror på autentiserings- och tunnelvalen för din konfiguration.

Konfigurera Azure VPN-klienten

Därefter undersöker du profilkonfigurationspaketet, konfigurerar Azure VPN-klienten för klientdatorerna och ansluter till Azure. Se artiklarna i avsnittet Nästa steg.

Nästa steg

Konfigurera Azure VPN-klienten. Du kan använda stegen i VPN Gateway-klientdokumentationen för att konfigurera Azure VPN-klienten för Virtual WAN.

• Azure VPN-klient för Linux
• Azure VPN-klient för Windows
• Azure VPN-klient för macOS