Sdílet prostřednictvím

Konfigurace Klient Azure VPN – Ověřování Microsoft Entra ID – Windows

  • Článek

Tento článek vám pomůže nakonfigurovat Klient Azure VPN na počítači s Windows, aby se připojil k virtuální síti pomocí sítě VPN Gateway typu point-to-site (P2S) a ověřování Microsoft Entra ID. Další informace o připojeních typu point-to-site naleznete v tématu o připojeních typu point-to-site. Klient Azure VPN se podporuje v režimu Windows FIPS pomocí opravy hotfix KB4577063.

Požadavky

Nakonfigurujte bránu VPN pro připojení VPN typu point-to-site, která určují ověřování Microsoft Entra ID. Viz Konfigurace brány VPN typu point-to-site pro ověřování Microsoft Entra ID.

Workflow

Tento článek pokračuje z konfigurace brány VPN typu P2S pro kroky ověřování Microsoft Entra ID. Tento článek vám pomůže:

  1. Stáhněte a nainstalujte Klient Azure VPN pro Windows.
  2. Extrahujte konfigurační soubory profilu klienta VPN.
  3. Aktualizujte konfigurační soubory profilu vlastní hodnotou cílové skupiny (pokud je k dispozici).
  4. Importujte nastavení profilu klienta do klienta VPN.
  5. Vytvořte připojení a připojte se k Azure.

Stažení Klient Azure VPN

  1. Stáhněte si nejnovější verzi Klient Azure VPN instalace souborů pomocí jednoho z následujících odkazů:

  2. Nainstalujte Klient Azure VPN do každého počítače.

  3. Ověřte, že Klient Azure VPN má oprávnění ke spuštění na pozadí. Postup najdete v tématu Aplikace na pozadí systému Windows.

  4. Pokud chcete ověřit nainstalovanou verzi klienta, otevřete Klient Azure VPN. Přejděte do dolní části klienta a klikněte na ... -> ? Nápověda. V pravém podokně uvidíte číslo verze klienta.

Extrahování konfiguračních souborů profilu klienta

Pokud chcete nakonfigurovat profil Klient Azure VPN, musíte nejprve stáhnout konfigurační balíček profilu klienta VPN z brány Azure P2S. Tento balíček je specifický pro nakonfigurovanou bránu VPN a obsahuje potřebná nastavení pro konfiguraci klienta VPN. Pokud jste použili kroky konfigurace serveru P2S, jak je uvedeno v části Požadavky , už jste vygenerovali a stáhli konfigurační balíček profilu klienta VPN, který obsahuje konfigurační soubory profilu SÍTĚ VPN. Pokud potřebujete vygenerovat konfigurační soubory, přečtěte si téma Stažení konfiguračního balíčku profilu klienta VPN.

Po získání konfiguračního balíčku profilu klienta VPN extrahujte soubor ZIP. Soubor ZIP obsahuje složku AzureVPN . Složka AzureVPN obsahuje soubor azurevpnconfig_aad.xml nebo soubor azurevpnconfig.xml v závislosti na tom, jestli konfigurace P2S zahrnuje více typů ověřování. Pokud nevidíte azurevpnconfig_aad.xml nebo azurevpnconfig.xml nebo nemáte složku AzureVPN , ověřte, že je vaše brána VPN nakonfigurovaná tak, aby používala typ tunelu OpenVPN a že je vybrané ověřování Azure Active Directory (Microsoft Entra ID).

Úprava konfiguračních souborů profilu

Pokud vaše konfigurace P2S používá vlastní cílovou skupinu a vaše registrovaná aplikace je přidružená k ID aplikace zaregistrované Microsoftem, může se při pokusu o připojení zobrazit chybová zpráva AADSTS650057 . Problém vyřešíte zadáním přihlašovacích údajů Entra ID v automaticky otevíraných oken. K tomu dochází, protože profil klienta VPN potřebuje jak vlastní ID cílové skupiny, tak ID aplikace Microsoftu. Pokud tomu chcete zabránit, upravte konfigurační .xml soubor profilu tak, aby zahrnoval ID vlastní aplikace i ID aplikace Microsoftu.

Poznámka:

Tento krok je nezbytný pro konfigurace brány P2S, které používají vlastní hodnotu cílové skupiny a vaše registrovaná aplikace je přidružená k ID aplikace zaregistrované Microsoftem Klient Azure VPN. Pokud se to netýká konfigurace brány P2S, můžete tento krok přeskočit.

  1. Pokud chcete upravit Klient Azure VPN konfigurační .xml soubor, otevřete ho pomocí textového editoru, jako je Poznámkový blok.

  2. Dále přidejte hodnotu applicationid a uložte změny. Následující příklad ukazuje hodnotu ID aplikace pro c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

    Příklad

    <aad>
   <audience>{customAudienceID}</audience>
   <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
   <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
   <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
</aad>

Import nastavení konfigurace profilu klienta

Poznámka:

Měníme pole Klient Azure VPN pro Azure Active Directory na Microsoft Entra ID. Pokud se v tomto článku zobrazí pole ID Microsoft Entra, ale tyto hodnoty se v klientovi zatím nezobrazují, vyberte srovnatelné hodnoty Azure Active Directory.

  1. Na stránce vyberte Importovat.

    Snímek obrazovky znázorňující vybrané tlačítko Přidat a zvýrazněnou akci Importovat v levém dolním rohu okna

  2. Přejděte do konfigurační složky Klient Azure VPN profilu, kterou jste extrahovali. Otevřete složku AzureVPN a vyberte konfigurační soubor profilu klienta (azurevpnconfig_aad.xml nebo azurevpnconfig.xml). Vyberte Otevřít a importujte soubor.

  3. Změňte název názvu připojení (volitelné). V tomto příkladu si všimněte, že zobrazená hodnota cílové skupiny je nová veřejná hodnota Azure přidružená k ID aplikace zaregistrované microsoftem Klient Azure VPN. Hodnota v tomto poli se musí shodovat s hodnotou, kterou má brána VPN typu P2S používat.

    Snímek obrazovky ukazuje uložit profil.

  4. Kliknutím na Uložit uložíte profil připojení.

  5. V levém podokně vyberte profil připojení, který chcete použít. Potom kliknutím na Připojit zahájíte připojení.

    Snímek obrazovky s vybraným tlačítkem VPN a Připojit

  6. Pokud se zobrazí výzva, ověřte se pomocí svých přihlašovacích údajů.

  7. Po připojení se ikona změní na zelenou a zobrazí připojeno.

Automatické připojení

Tento postup vám pomůže nakonfigurovat připojení tak, aby se automaticky připojilo pomocí funkce Always-On.

  1. Na domovské stránce klienta VPN vyberte Nastavení sítě VPN. Pokud se zobrazí dialogové okno Přepnout aplikace, vyberte Ano.

    Snímek obrazovky domovské stránky SÍTĚ VPN s vybranou možností Nastavení sítě VPN

  2. Pokud je profil, který chcete nakonfigurovat, připojený, odpojte připojení, zvýrazněte profil a zaškrtněte políčko Připojit automaticky .

    Snímek obrazovky s oknem Nastavení a zaškrtnutým políček Připojit automaticky

  3. Výběrem možnosti Připojit zahájíte připojení VPN.

Export a distribuce profilu klienta

Jakmile budete mít pracovní profil a potřebujete ho distribuovat ostatním uživatelům, můžete ho exportovat pomocí následujícího postupu:

  1. Zvýrazněte profil klienta VPN, který chcete exportovat, vyberte ...a pak vyberte Exportovat.

    Snímek obrazovky znázorňující stránku Klient Azure VPN se zvýrazněnými třemi tečkami a zvýrazněnou možností Exportovat

  2. Vyberte umístění, do kterého chcete tento profil uložit, ponechte název souboru tak, jak je, a pak vyberte Uložit a uložte soubor XML.

Odstranění profilu klienta

  1. Vyberte tři tečky vedle profilu klienta, který chcete odstranit. Pak vyberte Odebrat.

    Snímek obrazovky znázorňující vybranou možnost se třemi tečkami a možností Odebrat

  2. V potvrzovací místní nabídce vyberte Odebrat , které chcete odstranit.

Diagnostika problémů s připojením

  1. K diagnostice problémů s připojením můžete použít nástroj Diagnostika . Vyberte ... vedle připojení VPN, které chcete diagnostikovat, aby se nabídka zobrazila. Pak vyberte Diagnostikovat. Na stránce Vlastnosti připojení vyberte Spustit diagnostiku.

    Snímek obrazovky s vybranými třemi tečky a diagnostikou

  2. Pokud se zobrazí výzva, přihlaste se pomocí svých přihlašovacích údajů.

  3. Zkontrolujte výsledky.

Volitelná nastavení konfigurace klienta

Můžete nakonfigurovat Klient Azure VPN s volitelnými konfiguračními nastaveními, jako jsou další servery DNS, vlastní DNS, vynucené tunelování, vlastní trasy a další nastavení. Další informace najdete v tématu Klient Azure VPN – volitelné nastavení.

informace o verzi Klient Azure VPN

Informace o Klient Azure VPN verzi najdete v Klient Azure VPN verzích.

Další kroky

Informace o připojeních typu point-to-site