Teilen über

Konfigurieren des Azure VPN-Clients – Microsoft Entra ID-Authentifizierung – Linux (Vorschau)

  • Artikel

Dieser Artikel unterstützt Sie beim Konfigurieren von Azure VPN Client auf einem Linux-Computer (Ubuntu) für die Verbindung zu einem virtuellen Netzwerk mithilfe einer Point-to-Site-Verbindung (P2S) von VPN Gateway und der Microsoft Entra-Authentifizierung. Weitere Informationen zu Point-to-Site-Verbindungen finden Sie unter Informationen zu Point-to-Site-Verbindungen.

Die Schritte in diesem Artikel gelten für die Microsoft Entra ID-Authentifizierung mithilfe der von Microsoft registrierten Azure VPN-Client-App mit zugehöriger App-ID und Zielgruppenwerten. Dieser Artikel gilt nicht für die ältere, manuell registrierte Azure VPN-Client-App für Ihren Mandanten. Weitere Informationen finden Sie unter Informationen zu Point-to-Site-VPN – Microsoft Entra ID-Authentifizierung.

Es ist zwar möglich, dass der Azure VPN-Client für Linux möglicherweise auf anderen Linux-Distributionen und -Versionen funktioniert, der Azure VPN-Client für Linux wird jedoch nur in den folgenden Versionen unterstützt:

  • Ubuntu 20.04
  • Ubuntu 22.04

Voraussetzungen

Führen Sie die Schritte für die Konfiguration des Point-to-Site-Servers aus. Siehe Konfigurieren eines P2S-VPN-Gateways für die Microsoft Entra ID-Authentifizierung.

Workflow

Nachdem Ihre Azure VPN Gateway P2S-Serverkonfiguration abgeschlossen ist, gehen Sie wie folgt vor:

  1. Laden Sie den Azure VPN-Client für Linux herunter und installieren Sie es.
  2. Importieren Sie die Clientprofileinstellungen in den VPN-Client.
  3. Erstellen Sie eine Verbindung.

Laden Sie den Azure VPN Client herunter und installieren Sie ihn

Führen Sie die folgenden Schritte aus, um die neueste Version des Azure VPN-Clients für Linux herunterzuladen und zu installieren.

Hinweis

Fügen Sie nur die Repositoryliste Ihrer Ubuntu-Version 20.04 oder 22.04 hinzu. Weitere Informationen finden Sie im Linux-Softwarerepository für Microsoft-Produkte.

# install curl utility
sudo apt-get install curl

# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc

# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-focal-prod.list

# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-jammy-prod.list

sudo apt-get update
sudo apt-get install microsoft-azurevpnclient

Extrahieren des Profilkonfigurationspakets für den VPN-Client

Um Ihr Azure VPN-Clientprofil zu konfigurieren, laden Sie ein VPN-Clientprofilkonfigurationspaket aus dem Azure P2S-Gateway herunter. Dieses Paket enthält die erforderlichen Einstellungen zum Konfigurieren des VPN-Clients.

Wenn Sie die P2S-Serverkonfigurationsschritte wie im Abschnitt Voraussetzungen erwähnt verwendet haben, haben Sie bereits das VPN-Clientprofilkonfigurationspaket generiert und heruntergeladen, das die erforderlichen VPN-Profilkonfigurationsdateien enthält. Wenn Sie Konfigurationsdateien generieren müssen, lesen Sie das Herunterladen des VPN-Clientprofilkonfigurationspakets.

Wenn Ihre P2S-Gatewaykonfiguration zuvor für die Verwendung der älteren, manuell registrierten App-ID-Versionen konfiguriert wurde, unterstützt Ihre P2S-Konfiguration den Linux VPN-Client nicht. Siehe Informationen zur von Microsoft registrierten App-ID für den Azure VPN-Client.

Suchen Sie die ZIP-Datei, die das Konfigurationspaket für das VPN-Client-Profil enthält, und extrahieren Sie sie. Die ZIP-Datei enthält den Ordner AzureVPN. Im Ordner „AzureVPN“ sehen Sie entweder die Datei azurevpnconfig_aad.xml oder die Datei azurevpnconfig.xml, je nachdem, ob Ihre P2S-Konfiguration mehrere Authentifizierungstypen enthält. Die XML-Datei enthält die Einstellungen, die Sie zum Konfigurieren des VPN-Clientprofils verwenden.

Generieren von Profilkonfigurationsdateien

Wenn Ihre P2S-Konfiguration eine benutzerdefinierte Zielgruppe mit Ihrer bei Microsoft registrierten App-ID verwendet, erhalten Sie möglicherweise die Fehlermeldung AADSTS650057, wenn Sie versuchen, eine Verbindung herzustellen. Das Wiederholen der Authentifizierung behebt das Problem in der Regel. Dies geschieht, da das VPN-Clientprofil sowohl die benutzerdefinierte Zielgruppen-ID als auch die Microsoft-Anwendungs-ID benötigt. Um dies zu verhindern, ändern Sie Ihre die XML-Datei Ihrer Profilkonfiguration, um sowohl die benutzerdefinierte Anwendungs-ID als auch die Microsoft-Anwendungs-ID einzuschließen.

Hinweis

Dieser Schritt ist für P2S-Gatewaykonfigurationen erforderlich, die einen benutzerdefinierten Zielgruppenwert verwenden, und wenn Ihre registrierte App der von Microsoft registrierten Azure VPN Client-App-ID zugeordnet ist. Wenn dies für Ihre P2S-Gatewaykonfiguration nicht zutrifft, können Sie diesen Schritt überspringen.

  1. Um die XML-Datei der Azure VPN Client-Konfiguration zu ändern, öffnen Sie die Datei mit einem Texteditor wie dem Windows-Editor.

  2. Fügen Sie als Nächstes den Wert für applicationid hinzu, und speichern Sie Ihre Änderungen. Das folgende Beispiel zeigt den Anwendungs-ID-Wert für c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

    Beispiel

    <aad>
   <audience>{customAudienceID}</audience>
   <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
   <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
   <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
</aad>

Importieren von Clientprofilkonfigurationseinstellungen

In diesem Abschnitt konfigurieren Sie den Azure VPN-Client für Linux.

  1. Wählen Sie auf der Azure VPN Client-Seite die Option zum Importieren aus.

    Screenshot: Auswählen der Importoption von Azure VPN Client

  2. Wählen Sie Profil importieren aus und suchen Sie nach der XML-Profildatei. Wählen Sie die Datei aus. Wählen Sie bei ausgewählter Datei OK aus.

    Screenshot des Azure VPN-Clients mit der zu importierenden Datei.

  3. Zeigen Sie die Verbindungsprofilinformationen an. Ändern Sie den Wert Zertifikatinformationen, um den Standardwert DigiCert_Global_Root G2.pem oder DigiCert_Global_Root_CA.pem anzuzeigen. Lassen Sie keinen Wert leer.

  4. Wenn Ihr VPN-Clientprofil mehrere Clientauthentifizierungen enthält, wählen Sie für Clientauthentifizierung, Authentifizierungstyp die Option für Microsoft Entra ID aus.

    Screenshot Serverüberprüfungs- und Clientauthentifizierungsfelder.

  5. Geben Sie für das Feld Mandant die URL Ihres Microsoft Entra-Mandanten an. Stellen Sie sicher, dass die Mandanten-URL keinen umgekehrten Schrägstrich (\) am Ende aufweist. Der Schrägstrich ist zulässig.

    Die Mandanten-ID weist die folgende Struktur auf: https://login.microsoftonline.com/{Entra TenantID}

  6. Geben Sie für das Feld Zielgruppe die Anwendungs-ID (App-ID) an.

    Die App-ID für Azure Public lautet: c632b3df-fb67-4d84-bdcf-b95ad541b5c8. Wir unterstützen auch die benutzerdefinierte App-ID für dieses Feld.

  7. Geben Sie für das Feld Aussteller die URL des Secure Token Service an. Fügen Sie einen nachgestellten Schrägstrich am Ende des Werts für Aussteller ein. Andernfalls könnte die Verbindung fehlschlagen.

    Beispiel: https://sts.windows.net/{AzureAD TenantID}/

  8. Wenn die Felder ausgefüllt sind, klicken Sie auf Speichern.

  9. Wählen Sie im Bereich VPN-Verbindungen das von Ihnen gespeicherte Verbindungsprofil aus. Klicken Sie dann in der Dropdownliste auf Verbinden.

    Screenshot des Verbindungsprofils und des Bereichs zum Suchen der Verbindung im Dropdownmenü.

  10. Der Webbrowser wird automatisch angezeigt. Geben Sie die Anmeldeinformationen für Benutzernamen/Kennwort für die Microsoft Entra ID-Authentifizierung ein und stellen Sie dann eine Verbindung her.

    Screenshot der Anmeldeinformationsseite für die Authentifizierung.

  11. Wenn die Verbindung erfolgreich abgeschlossen wurde, zeigt der Client ein grünes Symbol an, und das Fenster Statusprotokolle zeigt Status = Verbunden.

    Screenshot des VPN-Clients mit dem Fenster „Statusprotokolle“ mit verbundener Verbindung.

  12. Sobald die Verbindung hergestellt wurde, ändert sich der Status in Verbunden. Um die Verbindung mit der Sitzung zu trennen, wählen Sie in der Dropdownliste Trennen aus.

Löschen eines VPN-Clientprofils

  1. Wählen Sie auf dem Azure VPN-Client die Verbindung aus, die Sie entfernen möchten. Wählen Sie dann in der Dropdownliste Entfernen aus.

    Screenshot des VPN-Clients mit der Dropdownliste mit drei Optionen: Verbinden, Konfigurieren, Entfernen.

  2. Bei VPN-Verbindung entfernen?, wählen Sie OK aus.

    Screenshot des VPN-Clients mit geöffneter Popup „VPN-Verbindung entfernen“.

Überprüfen der Protokolle

Um Probleme zu diagnostizieren, können Sie die Azure VPN-Clientprotokolle verwenden.

  1. Wechseln Sie im Azure-VPN-Client zu Einstellungen. Wählen Sie im rechten Bereich Protokollverzeichnis anzeigen aus.

    Screenshot des VPN-Clients mit der Option „Protokollverzeichnis anzeigen“.

  2. Um auf die Protokolldatei zuzugreifen, wechseln Sie zum Ordner /var/log/azurevpnclient und suchen Sie die AzureVPNClient.log-Datei.

    Screenshot des Speicherorts der Azure VPN-Clientprotokolldatei.

Nächste Schritte