Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
本文中的步骤可帮助你为新Microsoft注册的 Azure VPN 客户端创建Microsoft Entra ID 自定义应用 ID(自定义受众),用于点到站点(P2S)连接。 还可以更新现有租户,将之前的 Azure VPN 客户端应用更改为新的 Microsoft 注册的 Azure VPN 客户端应用。
配置自定义受众应用 ID 时,可以使用与 Azure VPN 客户端应用关联的任何受支持的值。 建议尽可能将Microsoft注册的应用 ID Azure 受众值 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 关联到自定义应用。 有关支持值的完整列表,请参阅 P2S VPN - Microsoft Entra ID。
本文提供大致步骤。 注册应用程序的屏幕截图可能会略有不同,具体取决于你访问用户界面的方式,但设置相同。 有关详细信息,请参阅快速入门:注册应用程序。 有关 P2S 的 Microsoft Entra ID 身份验证的更多信息,请参阅 P2S 的 Microsoft Entra ID 身份验证。
如果要配置自定义受众应用 ID 以便根据用户和组配置或限制访问权限,请参阅方案:根据用户和组配置 P2S 访问权限 - Microsoft Entra ID 身份验证。 此方案文章概述了分配权限的工作流和步骤。
先决条件
本文假定您已经拥有Microsoft Entra租户以及创建企业应用程序的权限,通常为云应用程序管理员角色或更高角色。 有关详细信息,请参阅 在 Microsoft Entra ID 中创建新租户 ,并使用 Microsoft Entra ID 分配用户角色。
本文假设你正在使用Microsoft 注册的应用 ID Azure 受众值
c632b3df-fb67-4d84-bdcf-b95ad541b5c8以配置自定义应用。 此值具有全局许可,这意味着你无需手动注册它,以便为组织提供同意。 建议使用此值。如果需要改用手动注册的应用 ID 值,则必须同意允许应用登录并读取用户配置文件,然后再继续执行此配置。 你必须使用分配有云应用程序管理员角色的帐户登录。
要授予组织的管理员同意,请修改以下命令以包含所需的
client_id值。https://login.partner.microsoftonline.cn/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent在浏览器地址栏中复制并粘贴与你的部署位置相关的 URL。
如果出现提示,请选择具有云应用程序管理员角色的帐户。
在“请求的权限”页上,选择“接受”。
注册应用程序
可通过几种不同的方法来访问“应用注册”页。 可以使用 Azure 门户和 Microsoft Entra ID。 使用具有云应用程序管理员角色或更高角色的帐户登录。
如果你有权访问多个租户,请使用顶部菜单中的“设置”图标,通过“目录 + 订阅”菜单切换到你希望在其中注册应用程序的租户。
转到“应用注册”,然后选择“新注册”。
在“注册应用程序”页上,输入应用程序的显示“名称”。 应用程序的用户在使用应用时(例如,在登录过程中)可能会看到显示名称。 可随时更改显示名称。 多个应用注册可以共享相同的名称。 应用注册自动生成的应用程序(客户端)ID 在标识平台中唯一地标识应用。
指定可使用该应用程序的人员,这有时称为“登录访问者”。 选择“仅限于此组织目录中的账户(仅限于你的目录名称 - 单一租户)”。
暂时保持重定向 URI (可选)不变,因为你在下一节中会配置一个重定向 URI。
选择“注册”,完成初始应用注册。
注册完成后,Microsoft Entra 管理中心会显示应用注册的“概述”窗格。 你会看到应用程序(客户端)ID。 此值也被称为客户端 ID,它可唯一地标识 Microsoft 标识平台中的应用程序。 这是你配置 P2S 网关时使用的自定义受众值。 即使存在此值,您仍需完成后续部分的内容,将Microsoft注册的应用程序与您的应用程序 ID 关联起来。
公开 API 并添加范围
在本部分中,你将创建一个范围来分配精细权限。
在已注册应用的左窗格中,选择“公开 API”。
选择添加范围。 在“添加范围”窗格中,查看应用程序 ID URI。 此字段是自动生成的。 这默认为
api://<application-client-id>。 应用 ID URI 充当你在 API 代码中引用的范围的前缀,它必须是全局唯一的。
选择“保存并继续”以转到下一个“添加范围”窗格。
在此“添加范围”窗格中,指定范围的特性。 对于本操作指南,你可以使用示例值或指定自己的值。
字段 值 范围名称 示例:p2s-vpn1 谁可以许可 仅限管理员使用 管理员许可显示名称 示例:p2s-vpn1-users 管理员许可说明 示例:访问 P2S VPN State 已启用 选择“添加范围”以添加范围。
添加 Azure VPN 客户端应用程序
在本部分中,您将关联微软注册的Azure VPN客户端应用程序ID。
在“公开 API”页上,选择“+ 添加客户端应用程序”。
在 “添加客户端应用程序 ”窗格中,对于 客户端 ID,请使用Microsoft注册的 Azure VPN 客户端应用的 Azure 应用程序 ID,
c632b3df-fb67-4d84-bdcf-b95ad541b5c8除非你知道需要其他值。
确保已选择“授权范围”。
选择添加应用程序。
收集数据值
在应用程序的“概述”页上,记下为 Microsoft Entra ID 身份验证配置点到站点 VPN 网关时所需的以下值。
- 应用程序(客户端)ID:这是配置 P2S VPN 网关时用于受众字段的自定义受众 ID。
- 目录(租户)ID:此值是 P2S VPN 网关的“租户”和“颁发者”字段所需的值的一部分。
配置 P2S VPN 网关
完成上一部分中的步骤后,请继续 为 Microsoft Entra ID 身份验证配置 P2S VPN 网关 - Microsoft 自主注册的应用。
更新 Microsoft 注册的 VPN 应用客户端 ID
注释
这些步骤可用于与 Azure VPN 客户端应用关联的任何受支持的值。 建议尽可能将Microsoft注册的应用 ID Azure 受众值 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 关联到自定义应用。
如果已将 P2S VPN 网关配置为使用 “受众 ID ”字段的自定义值,并且想要更改为新的Microsoft注册的 Azure VPN 客户端,可以通过将客户端应用程序添加到 API 来授权新应用程序。 使用此方法时,如果使用最新版本的客户端,则无需更改 Azure VPN 网关或 Azure VPN 客户端上的设置。
在以下步骤中,使用Microsoft注册的 Azure VPN 客户端应用 ID 受众值添加另一个授权客户端应用程序。 不会更改现有授权客户端应用程序的值。 如果不再使用它,始终可以删除现有的授权客户端应用程序。
可通过几种不同的方法来访问“应用注册”页。 一种方法是通过 Microsoft Entra 管理中心。 还可以使用 Azure 门户和 Microsoft Entra ID。 使用具有云应用程序管理员角色或更高角色的帐户登录。
如果有权访问多个租户,请使用顶部菜单中的 “设置” 图标从 “目录 + 订阅 ”菜单切换到要使用的租户。
转到 “应用注册” ,找到已注册应用的显示名称。 单击以打开页面。
单击“公开 API”。 在 “公开 API ”页上,请注意以前的 Azure VPN 客户端受众值
Client Id存在。
选择“ + 添加客户端应用程序”。
在 “添加客户端应用程序 ”窗格中,对于 客户端 ID,请使用Microsoft注册的 Azure VPN 客户端应用
c632b3df-fb67-4d84-bdcf-b95ad541b5c8的应用程序 ID。确保已选择“授权范围”。 然后单击“ 添加应用程序”。
在 “公开 API ”页上,现在将看到这两个客户端 ID 值都已列出。 如果要删除以前的版本,请单击该值以打开 “编辑客户端应用程序 ”页,然后单击“ 删除”。
在 “概述 ”页上,请注意值尚未更改。 如果已使用网关 受众 ID 字段显示的自定义应用程序(客户端)ID 配置网关和客户端,并且客户端已配置为使用此自定义值,则无需进行任何其他更改。
后续步骤
- 为 Microsoft Entra ID 身份验证配置 P2S VPN 网关 - Microsoft 注册的应用。
- 若要连接到虚拟网络,必须在客户端计算机上配置 Azure VPN 客户端。 请参阅配置 VPN 客户端以建立 P2S VPN 连接。
- 有关常见问题解答,请参阅VPN 网关常见问题解答的点到站点部分。