建立或修改 P2S VPN Microsoft Entra ID 驗證的自訂對象應用程式識別碼
本文中的步驟可協助您為 Microsoft 註冊的新 Azure VPN 用戶端,針對點對站 (P2S) 連線建立 Microsoft Entra ID 自訂應用程式識別碼 (自訂對象)。 您也可以將現有的租用戶更新為從先前的 Azure VPN 用戶端應用程式變更 Microsoft 註冊的新 Azure VPN 用戶端應用程式。
當您設定自訂受眾應用程式識別碼時,您可使用任何與 Azure VPN Client 應用程式相關聯的支援值。 可能的話,建議您將 Microsoft 註冊的應用程式識別碼 Azure Public 受眾值 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 與您的自訂應用程式產生關聯。 如需支援值的完整清單,請參閱 P2S VPN - Microsoft Entra ID。
本文將提供高階步驟指示。 視您存取使用者介面的方式而定,用以註冊應用程式的螢幕擷取畫面可能稍有不同,但設定相同。 如需詳細資訊,請參閱快速入門:註冊應用程式。 如需適用於 P2S 的 Microsoft Entra ID 驗證詳細資訊,請參閱適用於 P2S 的 Microsoft Entra ID 驗證。
如果您要設定自訂受眾應用程式識別碼,以便根據使用者和群組設定或限制存取權,請參閱案例:根據使用者和群組設定 P2S 存取權 - Microsoft Entra ID 驗證。 案例文章概述指派權限的工作流程和步驟。
必要條件
本文假設您已經擁有 Microsoft Entra 租用戶,以及建立企業應用程式的權限 (通常是雲端應用程式管理員角色或更高權限)。 如需詳細資訊,請參閱在 Microsoft Entra ID 中建立新的租用戶和使用 Microsoft Entra ID 指派使用者角色。
本文假設您使用 Microsoft註冊的應用程式識別碼 Azure Public 受眾值
c632b3df-fb67-4d84-bdcf-b95ad541b5c8來設定您的自訂應用程式。 此值具有全域同意,這表示您不需要手動註冊它來提供貴組織的同意。 建議您使用此值。目前,Microsoft 註冊的應用程式只有一個支援的受眾值。 如需其他支援的值,請參閱支援的受眾值資料表。
如果 Microsoft 註冊的受眾值與您的設定不相容,您仍可使用較舊的手動註冊識別碼值。
如果您需要改用手動註冊的應用程式識別碼值,您必須先同意允許應用程式登入和讀取使用者設定檔,再繼續進行此設定。 您必須使用具備雲端應用程式管理員角色的帳戶登入。
若要授與貴組織的管理員同意,請修改下列命令以包含所需的
client_id值。 在此範例中,client_id 值適用於 Azure Public。 如需其他支援的值,請參閱此表格。https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent在瀏覽器的網址列中,複製並貼上您部署位置的相關 URL。
如果出現提示,請選取具有雲端應用程式管理員角色的帳戶。
在 [要求的權限] 頁面上,選取 [接受]。
註冊應用程式
有幾種不同的方式可以前往 [應用程式註冊] 頁面。 其中一種方式是透過 Microsoft Entra 系統管理中心。 您也可以使用 Azure 入口網站和 Microsoft Entra ID。 使用具有雲端應用程式管理員角色或更高權限的帳戶登入。
如有多個租用戶的存取權,請使用頂端功能表中的 [設定] 圖示 ,從 [目錄 + 訂用帳戶] 功能表來切換至您要在其中註冊應用程式的租用戶。
前往 [應用程式註冊] 並選取 [新增註冊]。
在 [註冊應用程式] 頁面上,輸入您應用程式的顯示名稱。 當應用程式的使用者使用應用程式時 (例如在登入期間),可能會看到顯示名稱。 您可以隨時變更顯示名稱。 相同的名稱可以由多個應用程式註冊共用。 應用程式註冊的自動產生應用程式 (用戶端) 識別碼可在身分識別平台內唯一識別您的應用程式。
指定可以使用應用程式的人員,有時稱為它的「登入受眾」。 選取 [僅限此組織目錄中的帳戶 (僅限 nameofyourdirectory - 單一租用戶)]。
在下一節中設定重新導向 URI 時,請暫時保留 [重新導向 URI (選用)],因為您會在下節中設定重新導向 URI。
選取 [註冊] 以完成伺服器初始註冊。
註冊完成時,Microsoft Entra 系統管理中心會顯示應用程式註冊的 [概觀] 窗格。 您會看到 [應用程式 (用戶端) 識別碼]。 也稱為「用戶端識別碼」,此值只能在 Microsoft 身分識別平台中識別您的應用程式。 這是您在設定 P2S 閘道時所使用的自訂對象值。 即使此值存在,您仍然需要完成下一節,以將 Micrsoft 註冊的應用程式與應用程式識別碼產生關聯。
公開 API 並新增範圍
在本節中,您會建立範圍來指派細微的權限。
在已註冊應用程式的左側窗格中,選取 [公開 API]。
![顯示 [公開 API] 頁面的螢幕擷取畫面。](../includes/media/vpn-gateway-custom-audience/expose-api.png)
選取新增範圍。 在 [新增範圍] 窗格上,檢視應用程式識別碼 URI。 系統會自動產生此欄位內容。 這會預設為
api://<application-client-id>。 應用程式識別碼 URI 會作為您將在 API 程式碼中參考之範圍的前置詞,而且必須是全域唯一的值。![顯示 [新增範圍] 窗格的螢幕擷取畫面,其中包含應用程式識別碼 URI。](../includes/media/vpn-gateway-custom-audience/add-scope.png)
選取 [儲存並繼續] 以前往下一個 [新增範圍] 窗格。
在此 [新增範圍] 窗格中,指定範圍的屬性。 在此逐步解說中,您可以使用範例值或自行指定值。
![顯示 [新增範圍] 窗格的螢幕擷取畫面,其中包含更多設定。](../includes/media/vpn-gateway-custom-audience/add-a-scope.png)
欄位 值 範圍名稱 範例:p2s-vpn1 誰可以同意 僅限管理員 管理員同意顯示名稱 範例:p2s-vpn1-users 管理員同意描述 範例:P2S VPN 的存取權 州 (縣/市) 已啟用 選取 [新增範圍] 以新增範圍。
![顯示 [公開 API] 頁面的螢幕擷取畫面。](../includes/media/vpn-gateway-custom-audience/expose-api.png#lightbox)
![顯示 [新增範圍] 窗格的螢幕擷取畫面,其中包含應用程式識別碼 URI。](../includes/media/vpn-gateway-custom-audience/add-scope.png#lightbox)
![顯示 [新增範圍] 窗格的螢幕擷取畫面,其中包含更多設定。](../includes/media/vpn-gateway-custom-audience/add-a-scope.png#lightbox)
新增 Azure VPN 用戶端應用程式
在本節中,您會關聯 Microsoft 註冊的 Azure VPN 用戶端應用程式識別碼。
在 [公開 API] 頁面上,選取 [+ 新增用戶端應用程式]。
![顯示已選取 [新增用戶端應用程式] 的螢幕擷取畫面。](../includes/media/vpn-gateway-custom-audience/add-client-application.png)
在 [新增用戶端應用程式] 窗格上,請針對 [用戶端識別碼] 使用 Microsoft 註冊之 Azure VPN 用戶端應用程式的 Azure 公用應用程式識別碼
c632b3df-fb67-4d84-bdcf-b95ad541b5c8(除非您需要不同的值)。![顯示 [新增用戶端應用程式] 窗格的螢幕擷取畫面。](../includes/media/vpn-gateway-custom-audience/authorized-scopes.png)
請確定已選取 [授權範圍]。
選取新增應用程式。
![顯示已選取 [新增用戶端應用程式] 的螢幕擷取畫面。](../includes/media/vpn-gateway-custom-audience/add-client-application.png#lightbox)
![顯示 [新增用戶端應用程式] 窗格的螢幕擷取畫面。](../includes/media/vpn-gateway-custom-audience/authorized-scopes.png#lightbox)
收集值
在應用程式的 [概觀] 頁面上,記下您在設定點對站 VPN 閘道以進行 Microsoft Entra ID 驗證時所需的下列值。
- 應用程式 (用戶端) 識別碼:當您設定 P2S VPN 閘道時,這是您用於 [對象] 欄位的自訂對象識別碼。
- 目錄 (租用戶) 識別碼:此值是 P2S VPN 閘道 [租用戶] 和 [簽發者] 欄位所需的一部分值。
設定 P2S VPN 閘道
在完成前幾節的步驟之後,請繼續設定 P2S VPN 閘道以進行 Microsoft Entra ID 驗證 – Microsoft 註冊的應用程式。
更新為 Microsoft 註冊的 VPN 應用程式用戶端識別碼
注意
這些步驟可用於任何與 Azure VPN Client 應用程式相關聯的支援值。 可能的話,建議您將 Microsoft 註冊的應用程式識別碼 Azure Public 受眾值 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 與您的自訂應用程式產生關聯。
如果您已將 P2S VPN 閘道設定為使用 [對象識別碼] 欄位的自訂值,而且您想要變更為 Microsoft 註冊的新 Azure VPN 用戶端,您可以將用戶端應用程式新增至 API 來授權新的應用程式。 使用此方法時,如果您使用的是最新版的用戶端,就不需要變更 Azure VPN 閘道或 Azure VPN 用戶端上的設定。
在下列步驟中,您會使用 Microsoft 註冊的 Azure VPN 用戶端應用程式識別碼對象值,新增另一個已授權的用戶端應用程式。 您不會變更現有授權用戶端應用程式的值。 如果您不再使用現有的已授權用戶端應用程式,一律可加以刪除。
有幾種不同的方式可以前往 [應用程式註冊] 頁面。 其中一種方式是透過 Microsoft Entra 系統管理中心。 您也可以使用 Azure 入口網站和 Microsoft Entra ID。 使用具有雲端應用程式管理員角色或更高權限的帳戶登入。
如果您有權存取多個租用戶,請使用頂端功能表中的 [設定] 圖示,以從 [目錄 + 訂用帳戶] 功能表切換至您想使用的租用戶。
移至 [應用程式註冊] 並尋找已註冊應用程式的顯示名稱。 按一下以開啟頁面。
按一下 [公開 API]。 在 [公開 API] 頁面上,您會注意到先前的 Azure VPN 用戶端對象值
Client Id存在。![顯示 [公開 API] 頁面的螢幕擷取畫面,其中已醒目提示 [新增用戶端應用程式]。](../includes/media/vpn-gateway-custom-audience-change/change-add-client.png)
選取 [+ 新增用戶端應用程式]。
在 [新增用戶端應用程式] 窗格上,請針對 [用戶端識別碼] 使用 Microsoft 註冊之 Azure VPN 用戶端應用程式的 Azure 公用應用程式識別碼
c632b3df-fb67-4d84-bdcf-b95ad541b5c8。請確定已選取 [授權範圍]。 然後,按一下 [新增應用程式]。
在 [公開 API] 頁面上,您現在會看到兩個用戶端識別碼值皆已列出。 如果您要刪除舊版,請按一下值以開啟 [Edit a client application] 頁面的,然後按一下 [刪除]。
在 [概觀] 頁面上,您會注意到值尚未變更。 如果您已經使用針對閘道 [對象識別碼] 欄位顯示的自訂應用程式 (用戶端) 識別碼來設定閘道和用戶端,且您的用戶端已設定為使用此自訂值,則不需要進行任何額外的變更。
![顯示 [公開 API] 頁面的螢幕擷取畫面,其中已醒目提示 [新增用戶端應用程式]。](../includes/media/vpn-gateway-custom-audience-change/change-add-client.png#lightbox)
下一步
- 設定 P2S VPN 閘道以進行 Microsoft Entra ID 驗證 – Microsoft 註冊的用戶端。
- 若要連線到您的虛擬網路,您必須在用戶端電腦上設定 Azure VPN 用戶端。 請參閱設定 P2S VPN 連線的 VPN 用戶端。
- 如需常見問題,請參閱 VPN 閘道常見問題的點對站一節。