为 P2S 用户 VPN OpenVPN 协议连接配置 Microsoft Entra 租户

  • 项目

使用虚拟 WAN 用户 VPN(点到站点)连接到 VNet 时,可以选择使用哪种协议。 使用的协议决定了可用的身份验证选项。 如果使用 OpenVPN 协议,Microsoft Entra 身份验证是可供你使用的身份验证选项之一。 本文可帮助你使用 OpenVPN 身份验证为虚拟 WAN 用户 VPN(点到站点)配置 Microsoft Entra 租户。

注意

Microsoft Entra 身份验证仅支持 OpenVPN® 协议连接,并且需要 Azure VPN 客户端。

1.创建 Microsoft Entra 租户

验证你拥有 Microsoft Entra 租户。 如果没有 Microsoft Entra 租户,可以按照创建新租户一文中的步骤创建一个:

  • 组织名称
  • 初始域名

2.创建 Microsoft Entra 租户用户

  1. 在新建的 Microsoft Entra 租户中创建两个帐户。 有关步骤,请参阅添加新用户或删除用户

    • 全局管理员帐户
    • 用户帐户

    全局管理员帐户将用于向 Azure VPN 应用注册授权同意。 用户帐户可用于测试 OpenVPN 身份验证。

  2. 向这些帐户之一分配全局管理员角色。 有关步骤,请参阅向具有 Microsoft Entra ID 的用户分配管理员和非管理员角色

  1. 以具有全局管理员角色的用户身份登录到 Azure 门户。

  2. 接下来,向组织授予管理员许可,使 Azure VPN 应用程序能够登录和读取用户配置文件。 在浏览器的地址栏中复制并粘贴与部署位置相关的 URL:

    公共

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login-us.microsoftonline.com/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Azure 德国云

    https://login.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    由世纪互联运营的 Microsoft Azure

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

  3. 出现提示时,请选择“全局管理员”帐户。

    Directory ID

  4. 出现提示时选择“接受”。

    Screenshot shows dialog box with the message Permissions requested Accept for your organization and additional information.

  5. 在 Microsoft Entra ID 下的“企业应用程序”中,你现会发现已列出 Azure VPN

    Azure VPN

后续步骤

若要使用 Microsoft Entra 身份验证连接到虚拟网络,必须创建用户 VPN 配置,并将其与虚拟中心关联。 请参阅为 Azure 点到站点连接配置 Microsoft Entra 身份验证