Aracılığıyla paylaş

Microsoft Entra Id kimlik doğrulaması için P2S Kullanıcı VPN'sini yapılandırma – Microsoft tarafından kaydedilen uygulama

  • Makale

Bu makale, Microsoft Entra Id kimlik doğrulamasını ve Microsoft tarafından kaydedilen yeni Azure VPN İstemci Uygulaması Kimliğini kullanan Sanal WAN noktadan siteye Kullanıcı VPN bağlantısını yapılandırmanıza yardımcı olur.

Not

Bu makaledeki adımlar, Microsoft tarafından kaydedilen yeni Azure VPN İstemciSi Uygulama Kimliği ve ilişkili hedef kitle değerlerini kullanan Microsoft Entra Id kimlik doğrulaması için geçerlidir. Bu makale, kiracınız için eski, el ile kaydedilmiş Azure VPN İstemcisi uygulaması için geçerli değildir. El ile kaydedilen Azure VPN İstemcisi adımları için bkz . El ile kaydedilen VPN istemcisini kullanarak P2S Kullanıcı VPN'sini yapılandırma.

Sanal WAN artık Azure VPN İstemcisi'nin en son sürümleri için Microsoft tarafından kayıtlı yeni bir Uygulama Kimliği ve buna karşılık gelen Hedef Kitle değerlerini destekliyor. Yeni Hedef Kitle değerlerini kullanarak bir P2S Kullanıcı VPN VPN ağ geçidi yapılandırdığınızda, Microsoft Entra kiracınız için Azure VPN İstemcisi uygulaması el ile kayıt işlemini atlarsınız. Uygulama Kimliği zaten oluşturulmuştur ve kiracınız ek kayıt adımları olmadan bunu otomatik olarak kullanabilir. Uygulamayı yetkilendirmeniz veya Genel yönetici rolü aracılığıyla izin atamanız gerekmeyen bu işlem, Azure VPN İstemcisi'ni el ile kaydetmekten daha güvenlidir.

Daha önce Azure VPN İstemcisi uygulamasını Microsoft Entra kiracınızla el ile kaydetmeniz (tümleştirmeniz) gerekiyordu. İstemci uygulamasını kaydetmek, Azure VPN İstemcisi uygulamasının kimliğini temsil eden bir Uygulama Kimliği oluşturur ve Genel Yönetici rolünü kullanarak yetkilendirme gerektirir. Uygulama nesneleri türleri arasındaki farkı daha iyi anlamak için bkz . Microsoft Entra Id'ye uygulamaların nasıl ve neden eklendiği.

Mümkün olduğunda, Azure VPN İstemcisi uygulamasını kiracınıza el ile kaydetmek yerine Microsoft tarafından kayıtlı Azure VPN istemcisi Uygulama Kimliği ve buna karşılık gelen Hedef Kitle değerlerini kullanarak yeni P2S Kullanıcı VPN ağ geçitlerini yapılandırmanızı öneririz. Daha önce Microsoft Entra Id kimlik doğrulamasını kullanan bir P2S Kullanıcı VPN ağ geçidi yapılandırdıysanız, microsoft tarafından kaydedilen yeni Uygulama Kimliği'nden yararlanmak için ağ geçidini ve istemcileri güncelleştirebilirsiniz. Linux istemcilerinin bağlanmasını istiyorsanız P2S ağ geçidini yeni Hedef Kitle değeriyle güncelleştirmeniz gerekir. Linux için Azure VPN İstemcisi, eski Hedef Kitle değerleriyle geriye dönük olarak uyumlu değildir.

Dikkat edilmesi gerekenler

  • P2S Kullanıcı VPN ağ geçidi yalnızca bir Hedef Kitle değerini destekleyebilir. Aynı anda birden çok Hedef Kitle değerini destekleyemez.

  • Linux için Azure VPN İstemcisi, el ile kaydedilen uygulamayla uyumlu eski Hedef Kitle değerlerini kullanacak şekilde yapılandırılmış P2S ağ geçitleriyle geriye dönük olarak uyumlu değildir. Ancak Linux için Azure VPN İstemcisi Özel Hedef Kitle değerlerini destekler.

  • Linux için Azure VPN İstemcisi'nin diğer Linux dağıtımları ve sürümleri üzerinde çalışması mümkün olsa da, Linux için Azure VPN İstemcisi yalnızca aşağıdaki sürümlerde desteklenir:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • macOS ve Windows için Azure VPN İstemcileri'nin en son sürümleri, el ile kaydedilen uygulamayla uyumlu olan eski Hedef Kitle değerlerini kullanacak şekilde yapılandırılmış P2S ağ geçitleriyle geriye dönük olarak uyumludur. Bu istemciler özel hedef kitle değerlerini de destekler.

Azure VPN İstemcisi hedef kitlesi değerleri

Aşağıdaki tabloda, Her Uygulama Kimliği için desteklenen Azure VPN İstemcisi sürümleri ve buna karşılık gelen kullanılabilir Hedef Kitle değerleri gösterilmektedir.

Uygulama Kimliği Desteklenen hedef kitle değerleri Desteklenen istemciler
Microsoft tarafından kayıtlı hedef kitle değeri c632b3df-fb67-4d84-bdcf-b95ad541b5c8 şunlar için geçerlidir:
- Azure Genel
- Azure Kamu
- Azure Almanya
- 21Vianet tarafından sağlanan Microsoft Azure		 - Linux
-Windows
- macOS
El ile kaydedildi - Azure Genel: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Kamu:51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Almanya: 538ee9e6-310a-468d-afef-ea97365856a9
- 21Vianet tarafından sağlanan Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 -Windows
- macOS
Özel <custom-app-id> - Linux
-Windows
- macOS

Not

Microsoft Entra ID kimlik doğrulaması yalnızca OpenVPN® protokol bağlantıları için desteklenir ve Azure VPN İstemcisi gerektirir.

Bu makalede şunları öğreneceksiniz:

  • Sanal WAN oluşturma
  • Kullanıcı VPN yapılandırması oluşturma
  • Sanal WAN Kullanıcı VPN profili indirme
  • Sanal hub oluşturma
  • P2S ağ geçidi eklemek için hub'ı düzenleme
  • Sanal ağı sanal hub'a bağlama
  • Kullanıcı VPN istemci yapılandırmasını indirme ve uygulama
  • Sanal WAN'ınızı görüntüleme

Sanal WAN diyagramın ekran görüntüsü.

Başlamadan önce

Yapılandırmanıza başlamadan önce aşağıdaki ölçütleri karşıladığınızdan emin olun:

  • Bağlanmak istediğiniz bir sanal ağınız var. Şirket içi ağlarınızın alt ağlarından hiçbirinin bağlanmak istediğiniz sanal ağlarla çakışmadığını doğrulayın. Azure portalında sanal ağ oluşturmak için Hızlı Başlangıç'a bakın.

  • Sanal ağınızda herhangi bir sanal ağ geçidi yok. Sanal ağınızda bir ağ geçidi (VPN veya ExpressRoute) varsa tüm ağ geçitlerini kaldırmanız gerekir. Bu yapılandırmanın adımları, sanal ağınızı Sanal WAN sanal hub ağ geçidine bağlamanıza yardımcı olur.

  • Hub bölgenizden bir IP adresi aralığı edinin. Hub, Sanal WAN tarafından oluşturulan ve kullanılan bir sanal ağdır. Hub için belirttiğiniz adres aralığı, bağlandığınız mevcut sanal ağlarınızdan hiçbiriyle çakışamaz. Ayrıca şirket içinde bağlandığınız adres aralıklarınızla da örtüşemez. Şirket içi ağ yapılandırmanızda bulunan IP adresi aralıklarını bilmiyorsanız, sizin için bu ayrıntıları sağlayabilecek biriyle eşgüdüm sağlayın.

  • Bu yapılandırma için bir Microsoft Entra Id kiracınız olması gerekir. Bir kiracınız yoksa, Yeni kiracı oluşturma başlığındaki yönergeleri izleyerek bir tane oluşturabilirsiniz.

  • Özel hedef kitle değeri kullanmak istiyorsanız bkz . Özel hedef kitle uygulama kimliği oluşturma veya değiştirme.

Sanal WAN oluşturma

Bir tarayıcıdan Azure portalına gidin ve Azure hesabınızla oturum açın.

  1. Portalda, Kaynak ara çubuğuna arama kutusuna Sanal WAN yazın ve Enter tuşuna basın.

  2. Sonuçlardan Sanal WAN seçin. Sanal WAN sayfasında + Oluştur'u seçerek WAN Oluştur sayfasını açın.

  3. WAN Oluştur sayfasının Temel Bilgiler sekmesinde alanları doldurun. Örnek değerleri ortamınıza uygulanacak şekilde değiştirin.

    Temel Bilgiler sekmesinin seçili olduğu WAN oluştur bölmesini gösteren ekran görüntüsü.

    • Abonelik: Kullanmak istediğiniz aboneliği seçin.
    • Kaynak grubu: Yeni oluşturun veya var olanı kullanın.
    • Kaynak grubu konumu: Açılan listeden bir kaynak konumu seçin. WAN genel bir kaynaktır ve belirli bir bölgede yaşamıyor. Ancak, oluşturduğunuz WAN kaynağını yönetmek ve bulmak için bir bölge seçmeniz gerekir.
    • Ad: Sanal WAN'ınızı çağırmak istediğiniz Adı yazın.
    • Tür: Temel veya Standart. Standart'ı seçin. Temel'i seçerseniz, Temel sanal WAN'lerin yalnızca Temel hub'lar içerebileceğini anlayın. Temel hub'lar yalnızca siteden siteye bağlantılar için kullanılabilir.

  4. Alanları doldurmayı bitirdikten sonra, sayfanın en altında Gözden Geçir +Oluştur'u seçin.

  5. Doğrulama geçtikten sonra Sanal WAN'ı oluşturmak için Oluştur'a tıklayın.

Kullanıcı VPN yapılandırması oluşturma

Kullanıcı VPN yapılandırması, uzak istemcileri bağlamak için parametreleri tanımlar. Kullanmak istediğiniz Kullanıcı VPN yapılandırmasını belirtmeniz gerektiğinden, sanal hub'ınızı P2S ayarlarıyla yapılandırmadan önce Kullanıcı VPN yapılandırmasını oluşturmanız önemlidir.

Önemli

Azure portalı, Azure Active Directory alanlarını Entra olarak güncelleştirme sürecindedir. Başvurulan Microsoft Entra Id değerini görüyorsanız ve bu değerleri henüz portalda görmüyorsanız Azure Active Directory değerlerini seçebilirsiniz.

  1. Sanal WAN'ınıza gidin. Sol bölmede Bağlantı'yı genişletin ve Kullanıcı VPN yapılandırmaları sayfasını seçin. Kullanıcı VPN yapılandırmaları sayfasında +Kullanıcı VPN yapılandırması oluştur'a tıklayın.

  2. Temel Bilgiler sayfasında aşağıdaki parametreleri belirtin.

    • Yapılandırma adı - Kullanıcı VPN Yapılandırmanızı çağırmak istediğiniz adı girin. Örneğin, TestConfig1.
    • Tünel türü - Açılan menüden OpenVPN'i seçin.

  3. Sayfanın üst kısmında Azure Active Directory'ye tıklayın. Gerekli değerleri portaldaki Kurumsal uygulamalar için Microsoft Entra Id sayfasında görüntüleyebilirsiniz.

    Microsoft Entra Id sayfasının ekran görüntüsü. Aşağıdaki değerleri yapılandırın:

    • Azure Active Directory - Evet'i seçin.
    • Hedef Kitle - Microsoft tarafından kaydedilen Azure VPN İstemci Uygulama Kimliği olan Azure Genel: c632b3df-fb67-4d84-bdcf-b95ad541b5c8için karşılık gelen değeri girin. Bu alan için özel hedef kitle de desteklenir.
    • Veren - girin https://sts.windows.net/<your Directory ID>/.
    • AAD Kiracısı - Microsoft Entra kiracısının TenantID değerini girin. Microsoft Entra kiracı URL'sinin sonunda bir / olmadığından emin olun.

  4. Kullanıcı VPN yapılandırmasını oluşturmak için Oluştur'a tıklayın. Alıştırmanın ilerleyen bölümlerinde bu yapılandırmayı seçeceksiniz.

Boş hub oluşturma

Ardından sanal hub'ı oluşturun. Bu bölümdeki adımlar, daha sonra P2S ağ geçidini ekleyebileceğiniz boş bir sanal hub oluşturur. Bununla birlikte, hub'ı oluşturma işlemini ağ geçidiyle birlikte birleştirmek her zaman çok daha verimlidir çünkü hub'da her yapılandırma değişikliği yaptığınızda, hub ayarlarının oluşturulmasını beklemeniz gerekir.

Tanıtım amacıyla, önce boş bir hub oluşturacak, ardından sonraki bölüme P2S ağ geçidini ekleyeceğiz. Ancak, hub'ı yapılandırdığınız sırada bir sonraki bölümden P2S ağ geçidi ayarlarını birleştirmeyi seçebilirsiniz.

  1. Oluşturduğunuz sanal WAN'a gidin. Sanal WAN sayfasının sol bölmesindeki Bağlantı'nın altında Hub'lar'ı seçin.

  2. Hubs sayfasında +Yeni Hub'ı seçerek Sanal hub oluştur sayfasını açın.

    Temel Bilgiler sekmesinin seçili olduğu Sanal hub oluştur bölmesini gösteren ekran görüntüsü.

  3. Sanal hub oluştur sayfasında Temel Bilgiler sekmesinde aşağıdaki alanları doldurun:

    • Bölge: Sanal hub'ı dağıtmak istediğiniz bölgeyi seçin.
    • Ad: Sanal hub'ın bilinmesini istediğiniz ad.
    • Hub özel adres alanı: Hub'ın CIDR gösterimindeki adres aralığı. Hub oluşturmak için en düşük adres alanı /24'dür.
    • Sanal hub kapasitesi: Açılan listeden seçin. Daha fazla bilgi için bkz . Sanal hub ayarları.
    • Hub yönlendirme tercihi: Bu alanı değiştirmeniz gerekmediği sürece ayarı varsayılan expressroute olarak bırakın. Daha fazla bilgi için bkz . Sanal hub yönlendirme tercihi.

Ayarları yapılandırdıktan sonra doğrulamak için Gözden geçir + oluştur'a ve ardından Hub'ı oluştur'a tıklayın. Hub'ın oluşturulması 30 dakika kadar sürebilir.

Hub'a P2S ağ geçidi ekleme

Bu bölümde, zaten var olan bir sanal hub'a nasıl ağ geçidi ekleneceği gösterilmektedir. Hub'ın güncelleştirilmiş olması 30 dakika kadar sürebilir.

  1. Sanal WAN'ınıza gidin. Sol bölmede Ayarlar'ı genişletin ve Hub'lar'ı seçin.

  2. Düzenlemek istediğiniz hub'ın adına tıklayın.

  3. Sayfanın üst kısmındaki Sanal hub'ı düzenle'ye tıklayarak Sanal hub'ıdüzenle sayfasını açın.

  4. Ayarları görüntülemek için Sanal hub'ı düzenle sayfasında Vpn siteleri için vpn ağ geçidini dahil et ve Noktadan siteye ağ geçidini dahil et onay kutularını işaretleyin. Ardından değerleri yapılandırın.

    Sanal hub'ı düzenle'yi gösteren ekran görüntüsü.

    • Ağ geçidi ölçek birimleri: Ağ geçidi ölçek birimlerini seçin. Ölçek birimleri, Kullanıcı VPN ağ geçidinin toplam kapasitesini gösterir. 40 veya daha fazla ağ geçidi ölçek birimi seçerseniz, istemci adres havuzunuzu uygun şekilde planlayın. Bu ayarın istemci adres havuzunu nasıl etkilediğini öğrenmek için bkz . İstemci adres havuzları hakkında. Ağ geçidi ölçek birimleri hakkında bilgi için bkz . SSS.
    • Kullanıcı VPN yapılandırması: Daha önce oluşturduğunuz yapılandırmayı seçin.
    • Adres Havuzlarına Kullanıcı Grupları Eşlemesi: Adres havuzlarını belirtin. Bu ayar hakkında bilgi için bkz . P2S Kullanıcı VPN'leri için kullanıcı gruplarını ve IP adresi havuzlarını yapılandırma.

  5. Ayarları yapılandırdıktan sonra, hub'ı güncelleştirmek için Onayla'ya tıklayın. Hub'ın güncelleştirilmiş olması 30 dakika kadar sürebilir.

Sanal ağı hub'a bağlama

Bu bölümde, sanal hub'ınız ile sanal ağınız arasında bir bağlantı oluşturacaksınız.

  1. Azure portalında Sanal WAN gidin Sol bölmede Sanal ağ bağlantıları'nı seçin.

  2. Sanal ağ bağlantıları sayfasında + Bağlantı ekle'yi seçin.

  3. Bağlantı ekle sayfasında, bağlantı ayarlarınızı yapılandırın. Yönlendirme ayarları hakkında bilgi için bkz . Yönlendirme hakkında.

    • Bağlantı adı: Bağlantınızı adlandırınız.
    • Hubs: Bu bağlantıyla ilişkilendirmek istediğiniz hub'ı seçin.
    • Abonelik: Aboneliği doğrulayın.
    • Kaynak grubu: Bağlanmak istediğiniz sanal ağı içeren kaynak grubunu seçin.
    • Sanal ağ: Bu hub'a bağlanmak istediğiniz sanal ağı seçin. Seçtiğiniz sanal ağda zaten var olan bir sanal ağ geçidi olamaz.
    • Yok'a yay: Bu varsayılan olarak Hayır olarak ayarlanır. Anahtarı Evet olarak değiştirmek, Yönlendirme Tablolarına Yay ve Etiketlere Yay için yapılandırma seçeneklerinin yapılandırma için kullanılamaz olmasını sağlar.
    • Yol Tablosunu İlişkilendir: Açılan listeden ilişkilendirmek istediğiniz bir yol tablosu seçebilirsiniz.
    • Etiketlere yay: Etiketler, yol tablolarından oluşan mantıksal bir gruptır. Bu ayar için açılan listeden öğesini seçin.
    • Statik yollar: Gerekirse statik yolları yapılandırın. Ağ Sanal Gereçleri için statik yolları yapılandırın (varsa). Sanal WAN, sanal ağ bağlantısındaki statik yol için tek bir sonraki atlama IP'sini destekler. Örneğin, giriş ve çıkış trafiği akışları için ayrı bir sanal gereciniz varsa, sanal gereçleri ayrı sanal ağlarda kullanmak ve sanal ağları sanal hub'a eklemek en iyisidir.
    • Bu sanal ağ içindeki iş yükleri için Sonraki Atlama IP'sini atla: Bu ayar NVA'ları ve diğer iş yüklerini NVA üzerinden tüm trafiği zorlamadan aynı sanal ağa dağıtmanıza olanak tanır. Bu ayar yalnızca yeni bir bağlantı yapılandırırken yapılandırılabilir. Bu ayarı önceden oluşturduğunuz bir bağlantı için kullanmak istiyorsanız bağlantıyı silin ve yeni bir bağlantı ekleyin.
    • Statik yolu yay: Bu ayar şu anda dağıtılıyor. Bu ayar, Statik yollar bölümünde tanımlanan statik yolları Yol Tablolarına Yay bölümünde belirtilen tabloları yönlendirmek için yaymanızı sağlar. Ayrıca yollar, etiketlere yay olarak belirtilen etiketleri olan yönlendirme tablolarına yayılır. Bu yollar, varsayılan 0/0 yolu dışında hub'lar arasında yayılabilir.

  4. Yapılandırmak istediğiniz ayarları tamamladıktan sonra, bağlantıyı oluşturmak için Oluştur'a tıklayın.

Kullanıcı VPN profilini indirme

VPN istemcileri için gerekli tüm yapılandırma ayarları bir VPN istemcisi yapılandırma zip dosyasında bulunur. Zip dosyasındaki ayarlar VPN istemcilerini kolayca yapılandırmanıza yardımcı olur. Oluşturduğunuz VPN istemcisi yapılandırma dosyaları, ağ geçidinizin Kullanıcı VPN yapılandırmasına özeldir. Genel (WAN düzeyi) profilleri veya belirli bir hub için profil indirebilirsiniz. Bilgi ve ek yönergeler için bkz . Genel ve hub profillerini indirme. Aşağıdaki adımlar, genel WAN düzeyinde bir profil indirme işleminde size yol gösterir.

  1. WAN düzeyinde genel profil VPN istemcisi yapılandırma paketi oluşturmak için sanal WAN'a (sanal hub'a değil) gidin.

  2. Sol bölmede Kullanıcı VPN yapılandırmaları'nı seçin.

  3. Profilini indirmek istediğiniz yapılandırmayı seçin. Aynı profile atanmış birden çok hub'nız varsa, hub'ları göstermek için profili genişletin ve profili kullanan hub'lardan birini seçin.

  4. Sanal WAN kullanıcı VPN profilini indir'i seçin.

  5. İndirme sayfasında EAPTLS'yi ve ardından Profil oluştur ve indir'i seçin. İstemci yapılandırma ayarlarını içeren bir profil paketi (zip dosyası) oluşturulur ve bilgisayarınıza indirilir. Paketin içeriği, yapılandırmanız için kimlik doğrulaması ve tünel seçeneklerine bağlıdır.

Azure VPN İstemcisi'ni yapılandırma

Ardından profil yapılandırma paketini inceleyecek, istemci bilgisayarlar için Azure VPN İstemcisi'ni yapılandıracak ve Azure'a bağlanacaksınız. Sonraki adımlar bölümünde listelenen makalelere bakın.

Sonraki adımlar

Azure VPN İstemcisi'ni yapılandırın. Sanal WAN için Azure VPN İstemcisi'ni yapılandırmak için VPN Gateway istemci belgelerindeki adımları kullanabilirsiniz.