为 P2S OpenVPN 协议连接创建 Microsoft Entra 租户

连接到 VNet 时,可以使用基于证书的身份验证或 RADIUS 身份验证。 但是,使用 OpenVPN 协议时,还可以使用 Microsoft Entra 身份验证。 如果希望不同的用户集能够连接到不同的网关,则可在 AD 中注册多个应用并将其链接到不同的网关。

本文帮助你为 P2S OpenVPN 身份验证设置 Microsoft Entra 租户,并在 Microsoft Entra ID 中创建和注册多个应用,使不同的用户和组能够以不同的方式进行访问。

注意

Microsoft Entra 身份验证仅支持用于 OpenVPN® 协议连接。

1.创建 Microsoft Entra 租户

使用创建新租户一文中的步骤创建 Microsoft Entra 租户:

  • 组织名称

  • 初始域名

    示例:

    New Microsoft Entra tenant

2.创建租户用户

在此步骤中,你要创建两个 Microsoft Entra 租户用户:一个全局管理员帐户和一个主用户帐户。 主要用户帐户用作主要嵌入帐户(服务帐户)。 当你创建 Microsoft Entra 租户用户帐户时,需要针对要创建的用户类型调整目录角色。 使用本文中的步骤,为你的 Microsoft Entra 租户创建至少两个用户。 若要创建帐户类型,请务必更改“目录角色”:

  • 全局管理员
  • User

3.注册 VPN 客户端

在 Microsoft Entra 租户中注册 VPN 客户端。

  1. 找到要用于身份验证的目录的目录 ID。 此 ID 在“Active Directory”页的“属性”部分中列出。

    Directory ID

  2. 复制“目录 ID”。

  3. 以拥有“全局管理员”角色的用户身份登录到 Azure 门户。

  4. 接下来,做出管理员许可。 在浏览器的地址栏中复制并粘贴与部署位置相关的 URL:

    由世纪互联运营的 Microsoft Azure

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
    

注意

如果使用不在 Microsoft Entra 租户本地的全局管理员帐户来提供同意,请在 URL 中将“common”替换为 Microsoft Entra 目录 ID。 在某些其他情况下,你可能还需要将“common”替换为你的 Directory ID。

  1. 如果出现提示,请选择“全局管理员”帐户。

    Directory ID 2

  2. 在“请求的权限”页上,选择“接受”以向应用授予权限。

  3. 在 Microsoft Entra ID 下的“企业应用程序”中,你将看到“Azure VPN”已列出

    Azure VPN

4.注册其他应用程序

在此步骤中,你将为各个用户和组注册其他应用程序。

  1. 在 Microsoft Entra ID 下单击“应用注册”,然后单击“+ 新建注册”

    Azure VPN 2

  2. 在“注册应用程序”页上,输入名称 。 选择所需的支持的帐户类型,然后单击“注册”

    Azure VPN 3

  3. 注册新应用后,请单击应用边栏选项卡下的“公开 API”。

  4. 单击“+ 添加范围”。

  5. 保留默认的“应用程序 ID URI”。 单击“保存并继续”。

    Azure VPN 4

  6. 填写必填字段,确保“状态”为“已启用”。 单击“添加范围”。

    Azure VPN 5

  7. 单击“公开 API”,然后单击“+ 添加客户端应用程序” 。 对于“客户端 ID”,请输入 49f817b6-84ae-4cc0-928c-73f27289b3aa(表示 Azure 中国世纪互联)。

  8. 单击“添加应用程序”。

    Azure VPN 6

  9. 复制“概述”页中的应用程序客户端 ID 。 你将需要使用此信息来配置 VPN 网关。

    Azure VPN 7

  10. 重复此注册其他应用程序部分中的步骤,创建安全要求所需的多个应用程序。 每个应用程序都将关联到一个 VPN 网关,并且可以有不同的用户集。 只能将一个应用程序关联到一个网关。

5.将用户分配给应用程序

将用户分配到应用程序。

  1. 在“Microsoft Entra ID -> 企业应用程序”下,选择新注册的应用程序,然后单击“属性”。 确保“需要进行用户分配?”设置为“是”。 单击“保存” 。

    Azure VPN 8

  2. 在应用页上,单击“用户和组”,然后单击“+添加用户” 。

    Azure VPN 9

  3. 在“添加分配”下,单击“用户和组” 。 选择希望能够访问此 VPN 应用程序的用户。 单击“选择”。

    Azure VPN 10

6.创建新的 P2S 配置

P2S 配置定义连接远程客户端的参数。

  1. 设置以下变量(请根据环境替换为所需的值)。

    $aadAudience = "00000000-abcd-abcd-abcd-999999999999"
    $aadIssuer = "https://sts.chinacloudapi.cn/00000000-abcd-abcd-abcd-999999999999/"
    $aadTenant = "https://login.partner.microsoftonline.cn/00000000-abcd-abcd-abcd-999999999999"    
    
  1. 运行以下命令创建配置:

    $aadConfig = New-AzVpnServerConfiguration -ResourceGroupName <ResourceGroup> -Name newAADConfig -VpnProtocol OpenVPN -VpnAuthenticationType AAD -AadTenant $aadTenant -AadIssuer $aadIssuer -AadAudience $aadAudience -Location chinaeast2
    

    注意

    请不要在上述命令中使用 Azure VPN 客户端的应用程序 ID:它会向所有用户授予对网关的访问权限。 使用注册的应用程序的 ID。

7.编辑中心分配

  1. 导航到虚拟 WAN 下的“中心”边栏选项卡。

  2. 选择要将 VPN 服务器配置关联到的中心,然后单击省略号图标 (...)。

    Screenshot shows Edit virtual hub selected from the menu.

  3. 单击“编辑虚拟中心”。

  4. 选中“包括点到站点网关”复选框,然后选择所需的网关缩放单元。

    Screenshot shows the Edit virtual hub dialog box where you can select your Gateway scale unit.

  5. 输入用于为 VPN 客户端分配 IP 地址的“地址池” 。

  6. 单击“确认” 。

  7. 此操作可能最多需要 30 分钟才能完成。

8.下载 VPN 配置文件

使用 VPN 配置文件来配置客户端。

  1. 在虚拟 WAN 的页面上,单击“用户 VPN 配置”。

  2. 在页面顶部,单击“下载用户 VPN 配置”。

  3. 完成创建文件后,可以单击相应的链接下载该文件。

  4. 使用此配置文件配置 VPN 客户端。

  5. 解压缩已下载的 zip 文件。

  6. 浏览到解压缩后的“AzureVPN”文件夹。

  7. 记下“azurevpnconfig.xml”文件的位置。 azurevpnconfig.xml 包含 VPN 连接的设置,可以直接导入到 Azure VPN 客户端应用程序中。 还可以将此文件分发给需要通过电子邮件或其他方式建立连接的所有用户。 用户需要有效的 Microsoft Entra 凭据才能成功连接。

9.配置用户 VPN 客户端

若要进行连接,需要下载 Azure VPN 客户端,并在要连接到 VNet 的每台计算机上导入在前面步骤中下载的 VPN 客户端配置文件。

注意

Microsoft Entra 身份验证仅支持用于 OpenVPN® 协议连接。

下载 Azure VPN 客户端

使用此链接下载 Azure VPN 客户端。

导入客户端配置文件

  1. 在页面上,选择“导入”。

    Screenshot shows Import selected from the plus menu.

  2. 浏览到 XML 配置文件并将其选中。 选择该文件后,选择“打开”。

    Screenshot shows an Open dialog box where you can select a file.

  3. 指定配置文件的名称,并选择“保存”。

    Screenshot shows the Connection Name added and the Save button selected.

  4. 选择“连接”以连接到 VPN。

    Screenshot shows the Connect button for the for the connection you just created.

  5. 连接后,图标将变为绿色并指示“已连接”。

    Screenshot shows the connection in a Connected status with the option to disconnect.

删除客户端配置文件

  1. 选择要删除的客户端配置文件旁边的省略号图标 (...)。 然后选择“删除” 。

    Screenshot shows Remove selected from the menu.

  2. 选择“删除”以删除配置文件。

    Screenshot shows a confirmation dialog box with the option to Remove or Cancel.

诊断连接问题

  1. 若要诊断连接问题,可以使用“诊断”工具。 选择要诊断的 VPN 连接旁边的省略号图标 (...) 以显示菜单。 然后选择“诊断”。

    Screenshot shows Diagnose selected from the menu.

  2. 在“连接属性”页上,选择“运行诊断”。

    Screenshot shows the Run Diagnosis button for a connection.

  3. 使用凭据登录。

    Screenshot shows the Sign in dialog box for this action.

  4. 查看诊断结果。

    Screenshot shows the results of the diagnosis.

10.查看虚拟 WAN

  1. 导航到虚拟 WAN。

  2. 在“概述”页上,地图中的每个点表示一个中心。

  3. 在“中心和连接”部分,可以查看中心状态、站点、区域、VPN 连接状态和传入与传出字节数。

清理资源

如果不再需要这些资源,可以使用 Remove-AzureRmResourceGroup 删除资源组及其包含的所有资源。 将“myResourceGroup”替换为资源组的名称,并运行以下 PowerShell 命令:

Remove-AzureRmResourceGroup -Name myResourceGroup -Force

后续步骤

若要详细了解虚拟 WAN,请参阅虚拟 WAN 概述页。