为 VPN 网关连接配置 Microsoft Entra 租户和 P2S 设置

本文帮助你配置 AD 租户和 P2S 设置以进行 Microsoft Entra 身份验证。 有关点到站点协议和身份验证的详细信息,请参阅关于 VPN 网关点到站点 VPN。 若要使用 Microsoft Entra 身份验证类型进行身份验证,必须在点到站点配置中包含 OpenVPN 隧道类型。

注意

Microsoft Entra 身份验证仅支持 OpenVPN® 协议连接,并且需要 Azure VPN 客户端。

Microsoft Entra 租户

本文中的步骤需要一个 Microsoft Entra 租户。 如果你没有 Microsoft Entra 租户,可以按照创建新租户一文中的步骤创建一个。 创建目录时,请注意以下字段:

  • 组织名称
  • 初始域名

创建 Microsoft Entra 租户用户

  1. 在新建的 Microsoft Entra 租户中创建两个帐户。 有关步骤,请参阅添加新用户或删除用户

    • 全局管理员帐户
    • 用户帐户

    全局管理员帐户将用于向 Azure VPN 应用注册授权同意。 用户帐户可用于测试 OpenVPN 身份验证。

  2. 向这些帐户之一分配全局管理员角色。 有关步骤,请参阅向具有 Microsoft Entra ID 的用户分配管理员和非管理员角色

为 Azure VPN 应用程序授权

为应用程序授权

  1. 以拥有“全局管理员”角色的用户身份登录到 Azure 门户。

  2. 下一步,向组织授予管理员同意。 这样,Azure VPN 应用程序就能够登录和读取用户配置文件了。 在浏览器的地址栏中复制并粘贴与部署位置相关的 URL:

    由世纪互联运营的 Microsoft Azure

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
    

    注意

    如果你使用对于 Microsoft Entra 租户并非本机的全局管理员帐户来提供同意,请在 URL 中将“common”替换为 Microsoft Entra 租户 ID。 在某些其他情况下,可能还需要将“common”替换为租户 ID。 有关查找租户 ID 的帮助,请参阅如何查找 Microsoft Entra 租户 ID

  3. 如果出现提示,请选择具有全局管理员角色的帐户。

  4. 在“请求的权限”页上,选择“接受”。

  5. 转到“Microsoft Entra ID”。 在左侧窗格中,单击“企业应用程序”。 随后会列出“Azure VPN”。

    Screenshot of the Enterprise application page showing Azure V P N listed.

为网关配置身份验证

重要

Azure 门户正在将 Azure Active Directory 字段更新到 Entra。 如果你看到了引用的 Microsoft Entra ID,但尚未在门户中看到这些值,则可以选择 Azure Active Directory 值。

  1. 找到要用于身份验证的目录的租户 ID。 此 ID 在“Active Directory”页的“属性”部分中列出。 有关查找租户 ID 的帮助,请参阅如何查找 Microsoft Entra 租户 ID

  2. 如果还没有正常运行的“点到站点”环境,请按照说明创建一个。 请参阅创建点到站点 VPN,以创建和配置点到站点 VPN 网关。 创建 VPN 网关时,OpenVPN 不支持基本 SKU。

  3. 转到虚拟网络网关。 在左侧窗格中,单击“点到站点配置”。

    Screenshot showing settings for Tunnel type, Authentication type, and Microsoft Entra settings.

    配置以下值:

    • 地址池:客户端地址池
    • 隧道类型:OpenVPN (SSL)
    • 身份验证类型:Microsoft Entra ID

    对于“Microsoft Entra ID”值,请根据以下准则指定“租户”、“受众”和“颁发者”值。 将 {AzureAD TenantID} 替换为租户 ID,在替换此值时注意从示例中删除 {}

    • 租户:Microsoft Entra 租户的 TenantID。 输入对应于你的配置的租户 ID。 确保“租户 URL”的末尾没有 \(反斜杠)。 允许正斜杠。

      • 中国世纪互联 AD:https://login.chinacloudapi.cn/{AzureAD TenantID}
    • 受众:“Azure VPN”Microsoft Entra 企业应用的应用程序 ID。

      • 由世纪互联运营的 Microsoft Azure:49f817b6-84ae-4cc0-928c-73f27289b3aa
    • 颁发者:安全令牌服务的 URL。 在“颁发者”值的末尾包含尾部斜杠。 否则,连接可能会失败。 示例:

      • https://sts.chinacloudapi.cn/{AzureAD TenantID}/
  4. 配置设置后,单击页面顶部的“保存”。

下载 Azure VPN 客户端配置文件配置包

在本部分,你将生成并下载 Azure VPN 客户端配置文件配置包。 此包包含可用于在客户端计算机上配置 Azure VPN 客户端配置文件的设置。

  1. 在“点到站点配置”页面顶部,单击“下载 VPN 客户端”。 需要几分钟才能生成客户端配置包。

  2. 浏览器会指示客户端配置 zip 文件可用。 其名称与网关名称相同。

  3. 解压缩已下载的 zip 文件。

  4. 浏览到解压缩后的“AzureVPN”文件夹。

  5. 记下“azurevpnconfig.xml”文件的位置。 azurevpnconfig.xml 包含 VPN 连接的设置。 还可以将此文件分发给需要通过电子邮件或其他方式建立连接的所有用户。 用户需要有效的 Microsoft Entra 凭据才能成功连接。 有关详细信息,请参阅用于 Microsoft Entra 身份验证的 Azure VPN 客户端配置文件

后续步骤