你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Microsoft Entra ID 身份验证配置 P2S VPN 网关 - 手动注册的应用

本文将帮助你为 Microsoft Entra ID 身份验证配置点到站点 (P2S) VPN 网关,并手动注册 Azure VPN 客户端。 仅 OpenVPN 协议连接支持这种类型的配置。

也可以使用新的 Microsoft 注册 VPN 客户端应用的步骤来创建此类 P2S VPN 网关配置。 使用较新版本可以绕过向 Microsoft Entra 租户注册 Azure VPN 客户端的步骤。 它还支持更多客户端操作系统。 但是,它可能尚不支持某些受众值。 有关点到站点协议和身份验证的详细信息,请参阅关于 VPN 网关点到站点 VPN

先决条件

本文中的步骤需要一个 Microsoft Entra 租户。 如果你没有 Microsoft Entra 租户,可以按照创建新租户一文中的步骤创建一个。 创建目录时,请注意以下字段:

  • 组织名称
  • 初始域名

如果已有 P2S 网关,本文中的步骤将帮助你配置用于 Microsoft Entra ID 身份验证的网关。 还可以创建新的 VPN 网关。 本文包含用于创建新网关的链接。

注意

Microsoft Entra ID 身份验证仅支持 OpenVPN® 协议连接,并且需要 Azure VPN 客户端。

创建 Microsoft Entra 租户用户

  1. 在新建的 Microsoft Entra 租户中创建两个帐户。 有关步骤,请参阅添加新用户或删除用户

    云应用程序管理员角色用于向 Azure VPN 应用注册授权同意。 用户帐户可用于测试 OpenVPN 身份验证。

  2. 向这些账户之一分配云应用程序管理员角色。 有关步骤,请参阅向具有 Microsoft Entra ID 的用户分配管理员和非管理员角色

为 Azure VPN 应用程序授权

  1. 以拥有“全局管理员”角色的用户身份登录到 Azure 门户。

  2. 下一步,向组织授予管理员同意。 这样,Azure VPN 应用程序就能够登录和读取用户配置文件了。 在浏览器的地址栏中复制并粘贴与部署位置相关的 URL:

    公共

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
    

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
    

    德国 Microsoft 云

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
    

    由世纪互联运营的 Microsoft Azure

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
    

    注意

    如果你使用对于 Microsoft Entra 租户并非本机的全局管理员帐户来提供同意,请在 URL 中将“common”替换为 Microsoft Entra 租户 ID。 在某些其他情况下,可能还需要将“common”替换为租户 ID。 有关查找租户 ID 的帮助,请参阅如何查找 Microsoft Entra 租户 ID

  3. 如果出现提示,请选择具有全局管理员角色的帐户。

  4. 在“请求的权限”页上,选择“接受”。

  5. 转到“Microsoft Entra ID”。 在左侧窗格中,单击“企业应用程序”。 随后会列出“Azure VPN”。

    显示列出的 Azure VPN 的“企业应用程序”页的屏幕截图。

配置 VPN 网关

重要

Azure 门户正在将 Azure Active Directory 字段更新到 Entra。 如果你看到了引用的 Microsoft Entra ID,但尚未在门户中看到这些值,则可以选择 Azure Active Directory 值。

  1. 找到要用于身份验证的目录的租户 ID。 此 ID 在“Active Directory”页的“属性”部分中列出。 有关查找租户 ID 的帮助,请参阅如何查找 Microsoft Entra 租户 ID

  2. 如果还没有正常运行的“点到站点”环境,请按照说明创建一个。 请参阅创建点到站点 VPN,以创建和配置点到站点 VPN 网关。 创建 VPN 网关时,OpenVPN 不支持基本 SKU。

  3. 转到虚拟网络网关。 在左侧窗格中,单击“点到站点配置”。

    显示隧道类型、身份验证类型和 Microsoft Entra 设置的设置的屏幕截图。

    配置以下值:

    • 地址池:客户端地址池
    • 隧道类型:OpenVPN (SSL)
    • 身份验证类型:Microsoft Entra ID

    对于“Microsoft Entra ID”值,请根据以下准则指定“租户”、“受众”和“颁发者”值。 将 {TenantID} 替换为租户 ID,在替换此值时注意从示例中删除 {}

    • 租户:Microsoft Entra 租户的 TenantID。 输入对应于你的配置的租户 ID。 确保“租户 URL”的末尾没有 \(反斜杠)。 允许正斜杠。

      • Azure 公有云 AD:https://login.microsoftonline.com/{TenantID}
      • Azure 政府 AD:https://login.microsoftonline.us/{TenantID}
      • Azure 德国 AD:https://login-us.microsoftonline.de/{TenantID}
      • 中国世纪互联 AD:https://login.chinacloudapi.cn/{TenantID}
    • 受众:“Azure VPN”Microsoft Entra 企业应用的应用程序 ID。

      • Azure 公有云:41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure 政府版:51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure 德国:538ee9e6-310a-468d-afef-ea97365856a9
      • 由世纪互联运营的 Microsoft Azure:49f817b6-84ae-4cc0-928c-73f27289b3aa
    • 颁发者:安全令牌服务的 URL。 在“颁发者”值的末尾包含尾部斜杠。 否则,连接可能会失败。 示例:

      • https://sts.windows.net/{TenantID}/
  4. 配置设置后,单击页面顶部的“保存”。

下载 Azure VPN 客户端配置文件配置包

在本部分,你将生成并下载 Azure VPN 客户端配置文件配置包。 此包包含可用于在客户端计算机上配置 Azure VPN 客户端配置文件的设置。

  1. 在“点到站点配置”页面顶部,单击“下载 VPN 客户端”。 需要几分钟才能生成客户端配置包。

  2. 浏览器会指示客户端配置 zip 文件可用。 其名称与网关名称相同。

  3. 解压缩已下载的 zip 文件。

  4. 浏览到解压缩后的“AzureVPN”文件夹。

  5. 记下“azurevpnconfig.xml”文件的位置。 azurevpnconfig.xml 包含 VPN 连接的设置。 还可以将此文件分发给需要通过电子邮件或其他方式建立连接的所有用户。 用户需要有效的 Microsoft Entra ID 凭据才能成功连接。

后续步骤