尝试同意 Azure VPN 应用程序时出错

Question

我正在尝试使用 Azure Active Directory 身份验证设置 p2s VPN。 我正在按照此处描述的步骤进行操作 https://learn.microsoft.com/en-us/azure/vpn-gateway/openvpn-azure-ad-tenant 。 在授权应用程序部分中，提到我们需要授予管理员同意，以便 Azure VPN 应用程序可以登录并读取用户配置文件。 我以 GlobalAdmin 身份登录，但是当我粘贴所需的 URL ( https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal .azure.com&nonce=1234&prompt=admin_consent ) 我被重定向到带有 url 的门户：

https://portal.azure.com/?error=access_denied&error_description=AADSTS650054:+The+application+'api://41b23e61-6c1e-4545-b367-cd054e0ed4b4/api'+asked+for+permissions+to+access+a +resource+that+has+been+removed+or+is+no+longer+available.+Contact+the+app+vendor 。

我做错了什么？

Answer 1

上述行为是一个代码错误，由 Azure VPN 和 Azure AD 产品组团队修复，下面是相同的 RCA（根本原因分析）：

问题：按照我们的公共文档教程中描述的步骤使用 Azure Active Directory 身份验证设置 P2S VPN 并尝试使用 GlobalAdmin 帐户向 Azure VPN 应用程序授予管理员许可时，公共 URL 重定向到“https://portal.azure .com/?error=access_denied&error_description=AADSTS650054:+The+application+'api://41b23e61-6c1e-4545-b367-cd054e0ed4b4/api'+asked+for+permissions+to+access+a+resource+that+has+ been+removed+or+is+no+longer+available.+Contact+the+app+vendor”并且不提示接受请求的权限。

根本原因：新客户的管理员同意失败，因为 Azure VPN 试图访问 Azure AD Graph，这已被弃用。 参考： https://learn.microsoft.com/en-us/graph/migrate-azure-ad-graph-configure-permissions?tabs=http%2Cupdatepermissions-azureadgraph-powershell这只影响了想要加入 VPN 的新租户而不是现有客户。 后端更新了一些代码，这破坏了管理员同意流程。 应用程序访问现在已更改为 Microsoft Graph，新添加的代码已从后端的 Azure VPN 客户端应用程序中删除，从而解决了该问题。

解决方案：现在，如果您按照文档/指南配置 Azure AD 租户和 P2S VPN 连接设置：Azure AD 身份验证：OpenVPN - Azure VPN 网关 | Microsoft Learn ，步骤 2 中的公共 URL 应该可以正常工作。