为 P2S OpenVPN 协议连接创建 Azure Active Directory (AD) 租户

连接到 VNet 时,可以使用基于证书的身份验证或 RADIUS 身份验证。 但是,在使用开放 VPN 协议时,还可以使用 Azure Active Directory 身份验证。 如果希望不同的用户集能够连接到不同的网关,则可在 AD 中注册多个应用并将其链接到不同的网关。

本文帮助你设置用于 P2S OpenVPN 身份验证的 Azure AD 租户,并在 Azure AD 中创建和注册多个应用,使不同的用户和组能够以不同的方式进行访问。

备注

仅 OpenVPN® 协议连接支持 Azure AD 身份验证。

1.创建 Azure AD 租户

使用创建新租户一文中的步骤创建 Azure AD 租户:

  • 组织名称

  • 初始域名

    示例:

    新 Azure AD 租户

2.创建租户用户

在此步骤中,你将创建两个 Azure AD 租户用户:一个全局管理员帐户和一个主要用户帐户。 主要用户帐户用作主要嵌入帐户(服务帐户)。 创建 Azure AD 租户用户帐户时,可以根据要创建的用户类型调整目录角色。 使用此文中的步骤为 Azure AD 租户创建至少两个用户。 若要创建帐户类型,请务必更改“目录角色”:

  • 全局管理员
  • User

3.注册 VPN 客户端

在 Azure AD 租户中注册 VPN 客户端。

  1. 找到要用于身份验证的目录的目录 ID。 此 ID 在“Active Directory”页的“属性”部分中列出。

    Directory ID

  2. 复制“目录 ID”。

  3. 以拥有“全局管理员”角色的用户身份登录到 Azure 门户。

  4. 接下来,做出管理员许可。 在浏览器的地址栏中复制并粘贴与部署位置相关的 URL:

    公共

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
    

    Azure Government

    https://login-us.microsoftonline.com/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
    

    Azure 德国云

    https://login.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
    

    Azure 中国世纪互联

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
    

备注

如果你使用的全局管理员帐户不是 Azure AD 租户的本机帐户来提供许可,请在 URL 中将“common”替换为 Azure AD Directory ID。 在某些其他情况下,你可能还需要将“common”替换为你的 Directory ID。

  1. 如果出现提示,请选择“全局管理员”帐户。

    Directory ID

  2. 出现提示时选择“接受”。

    屏幕截图显示了“为你的组织请求接受的权限”消息和关于请求信息的窗口。

  3. 在 Azure AD 下的“企业应用程序”中,你将看到“Azure VPN”已列出 。

    Azure VPN

4.注册其他应用程序

在此步骤中,你将为各个用户和组注册其他应用程序。

  1. 在 Azure Active Directory 下单击“应用注册”,然后单击“+ 新建注册” 。

    Azure VPN

  2. 在“注册应用程序”页上,输入名称 。 选择所需的支持的帐户类型,然后单击“注册”

    Azure VPN

  3. 注册新应用后,请单击应用边栏选项卡下的“公开 API”。

  4. 单击“+ 添加范围”。

  5. 保留默认的“应用程序 ID URI”。 单击“保存并继续”。

    Azure VPN

  6. 填写必填字段,确保“状态”为“已启用”。 单击“添加范围”。

    Azure VPN

  7. 单击“公开 API”,然后单击“+ 添加客户端应用程序” 。 对于“客户端 ID”,根据云输入以下值:

    • 对于 Azure 公有云,输入“41b23e61-6c1e-4545-b367-cd054e0ed4b4”
    • 对于 Azure 政府,输入“51bb15d4-3a4f-4ebf-9dca-40096fe32426”
    • 对于 Azure 德国,输入“538ee9e6-310a-468d-afef-ea97365856a9”
    • 对于 Azure 中国世纪互联,输入“49f817b6-84ae-4cc0-928c-73f27289b3aa”
  8. 单击“添加应用程序”。

    Azure VPN

  9. 复制“概述”页中的应用程序客户端 ID 。 你将需要使用此信息来配置 VPN 网关。

    Azure VPN

  10. 重复此注册其他应用程序部分中的步骤,创建安全要求所需的多个应用程序。 每个应用程序都将关联到一个 VPN 网关,并且可以有不同的用户集。 只能将一个应用程序关联到一个网关。

5.将用户分配给应用程序

将用户分配到应用程序。

  1. 在“Azure AD > 企业应用程序”下,选择新注册的应用程序,然后单击“属性” 。 确保“需要进行用户分配?”设置为“是”。 单击“保存” 。

    Azure VPN

  2. 在应用页上,单击“用户和组”,然后单击“+添加用户” 。

    Azure VPN

  3. 在“添加分配”下,单击“用户和组” 。 选择希望能够访问此 VPN 应用程序的用户。 单击“选择”。

    Azure VPN

6.创建新的 P2S 配置

P2S 配置定义连接远程客户端的参数。

  1. 设置以下变量(请根据环境替换为所需的值)。

    $aadAudience = "00000000-abcd-abcd-abcd-999999999999"
    $aadIssuer = "https://sts.chinacloudapi.cn/00000000-abcd-abcd-abcd-999999999999/"
    $aadTenant = "https://login.partner.microsoftonline.cn/00000000-abcd-abcd-abcd-999999999999"    
    
  1. 运行以下命令创建配置:

    $aadConfig = New-AzVpnServerConfiguration -ResourceGroupName <ResourceGroup> -Name newAADConfig -VpnProtocol OpenVPN -VpnAuthenticationType AAD -AadTenant $aadTenant -AadIssuer $aadIssuer -AadAudience $aadAudience -Location chinaeast2
    

    备注

    请不要在上述命令中使用 Azure VPN 客户端的应用程序 ID:它会向所有用户授予对网关的访问权限。 使用注册的应用程序的 ID。

7.编辑中心分配

  1. 导航到虚拟 WAN 下的“中心”边栏选项卡。

  2. 选择要将 VPN 服务器配置关联到的中心,然后单击省略号图标 (...)。

    屏幕截图显示从菜单选择了“编辑虚拟中心”。

  3. 单击“编辑虚拟中心”。

  4. 选中“包括点到站点网关”复选框,然后选择所需的网关缩放单元。

    屏幕截图显示“编辑虚拟中心”对话框,可在该对话框中选择网关缩放单元。

  5. 输入用于为 VPN 客户端分配 IP 地址的“地址池” 。

  6. 单击“确认” 。

  7. 此操作可能最多需要 30 分钟才能完成。

8.下载 VPN 配置文件

使用 VPN 配置文件来配置客户端。

  1. 在虚拟 WAN 的页面上,单击“用户 VPN 配置”。

  2. 在页面顶部,单击“下载用户 VPN 配置”。

  3. 完成创建文件后,可以单击相应的链接下载该文件。

  4. 使用此配置文件配置 VPN 客户端。

  5. 解压缩已下载的 zip 文件。

  6. 浏览到解压缩后的“AzureVPN”文件夹。

  7. 记下“azurevpnconfig.xml”文件的位置。 azurevpnconfig.xml 包含 VPN 连接的设置,可以直接导入到 Azure VPN 客户端应用程序中。 还可以将此文件分发给需要通过电子邮件或其他方式建立连接的所有用户。 用户需有有效的 Azure AD 凭据才能成功建立连接。

9.配置用户 VPN 客户端

若要进行连接,需要下载 Azure VPN 客户端,并在要连接到 VNet 的每台计算机上导入在前面步骤中下载的 VPN 客户端配置文件。

备注

仅 OpenVPN® 协议连接支持 Azure AD 身份验证。

下载 Azure VPN 客户端

使用此链接下载 Azure VPN 客户端。

导入客户端配置文件

  1. 在页面上,选择“导入”。

    屏幕截图显示从加号菜单选择了“导入”。

  2. 浏览到 XML 配置文件并将其选中。 选择该文件后,选择“打开”。

    屏幕截图显示了“打开”对话框,你可在其中选择文件。

  3. 指定配置文件的名称,并选择“保存”。

    屏幕截图显示已添加“连接名称”并且已选择“保存”按钮。

  4. 选择“连接”以连接到 VPN。

    屏幕截图显示了刚刚创建的连接的“连接”按钮。

  5. 连接后,图标将变为绿色并指示“已连接”。

    屏幕截图显示了处于“已连接”状态的连接以及用于断开连接的选项。

删除客户端配置文件

  1. 选择要删除的客户端配置文件旁边的省略号图标 (...)。 然后选择“删除” 。

    屏幕截图显示从菜单选择了“删除”。

  2. 选择“删除”以删除配置文件。

    屏幕截图显示了一个确认对话框,其中包含“删除”或“取消”选项。

诊断连接问题

  1. 若要诊断连接问题,可以使用“诊断”工具。 选择要诊断的 VPN 连接旁边的省略号图标 (...) 以显示菜单。 然后选择“诊断”。

    屏幕截图显示从菜单选择了“诊断”。

  2. 在“连接属性”页上,选择“运行诊断”。

    屏幕截图显示连接的“运行诊断”按钮。

  3. 使用凭据登录。

    屏幕截图显示此操作的“登录”对话框。

  4. 查看诊断结果。

    屏幕截图显示诊断结果。

10.查看虚拟 WAN

  1. 导航到虚拟 WAN。

  2. 在“概述”页上,地图中的每个点表示一个中心。

  3. 在“中心和连接”部分,可以查看中心状态、站点、区域、VPN 连接状态和传入与传出字节数。

清理资源

如果不再需要这些资源,可以使用 Remove-AzureRmResourceGroup 删除资源组及其包含的所有资源。 将“myResourceGroup”替换为资源组的名称,并运行以下 PowerShell 命令:

Remove-AzureRmResourceGroup -Name myResourceGroup -Force

后续步骤

若要详细了解虚拟 WAN,请参阅虚拟 WAN 概述页。