Créer une connexion VPN utilisateur P2S à l’aide d’Azure Virtual WAN - Microsoft Entra authentification

Cet article vous montre comment utiliser Virtual WAN pour vous connecter à vos ressources dans Azure. Dans cet article, vous allez créer une connexion VPN utilisateur point à site à Virtual WAN qui utilise l’authentification Microsoft Entra. L’authentification Microsoft Entra est disponible uniquement pour les passerelles qui utilisent le protocole OpenVPN.

Remarque

L’authentification Azure AD est prise en charge uniquement pour les connexions de protocole OpenVPN® et nécessite Azure VPN Client.

Dans cet article, vous apprendrez comment :

  • Créer un WAN virtuel
  • Créer une configuration VPN d’utilisateur
  • Télécharger un profil VPN utilisateur du WAN virtuel
  • Créer un hub virtuel
  • Modifier un hub pour ajouter une passerelle P2S
  • Connecter un réseau virtuel à un hub virtuel
  • Télécharger et appliquer la configuration du client VPN utilisateur
  • Afficher votre WAN virtuel

Virtual WAN diagram.

Avant de commencer

Vérifiez que les critères suivants sont remplis avant de commencer votre configuration :

  • Vous avez un réseau virtuel auquel vous souhaitez vous connecter. Vérifiez qu’aucun des sous-réseaux de votre réseau local ne chevauche les réseaux virtuels auxquels vous souhaitez vous connecter. Pour créer un réseau virtuel dans le portail Azure, consultez le guide de démarrage rapide.

  • Votre réseau virtuel n’a pas de passerelle de réseau virtuel. Si votre réseau virtuel dispose d’une passerelle (VPN ou ExpressRoute), vous devez supprimer toutes les passerelles. Cette configuration nécessite que les réseaux virtuels soient connectés à la passerelle hub Virtual WAN.

  • Obtenez une plage d’adresses IP pour la région de votre hub. Le hub est un réseau virtuel qui est créé et utilisé par Virtual WAN. La plage d’adresses que vous spécifiez pour le hub ne peut pas chevaucher les réseaux virtuels existants auxquels vous vous connectez. Elle ne peut pas non plus chevaucher vos plages d’adresses auxquelles vous vous connectez en local. Si vous ne maîtrisez pas les plages d’adresses IP situées dans votre configuration de réseau local, contactez une personne en mesure de vous aider.

  • Si vous n’avez pas d’abonnement Azure, créez un compte gratuit.

Créer un WAN virtuel

Dans un navigateur, accédez au portail Azure et connectez-vous avec votre compte Azure.

  1. Dans le portail, dans la barre Rechercher des ressources, tapez WAN virtuel dans la zone de recherche, puis sélectionnez Entrée.

  2. Sélectionnez WAN virtuels parmi les résultats. Dans la page relative aux WAN virtuels, sélectionnez + Créer pour ouvrir la page Créer un WAN.

  3. Dans la page Créer un WAN, sous l’onglet Informations de base, renseignez les champs. Modifiez les exemples de valeurs à appliquer à votre environnement.

    Screenshot shows the Create WAN pane with the Basics tab selected.

    • Abonnement : sélectionnez l’abonnement à utiliser.
    • Groupe de ressources : créez-en un, ou utilisez un groupe de ressources existant.
    • Emplacement du groupe de ressources : choisissez un emplacement pour les ressources dans la liste déroulante. Un WAN est une ressource globale et ne réside pas dans une région particulière. Toutefois, vous devez sélectionner une région pour gérer et localiser la ressource WAN que vous créez.
    • Nom : tapez le nom de votre réseau WAN virtuel.
    • Type : de base ou standard. Sélectionnez Standard. Si vous sélectionnez le type de base, sachez que les WAN virtuels de base ne peuvent contenir que des hubs de base. Les hubs de base peuvent uniquement être utilisés pour les connexions de site à site.
  4. Une fois que vous avez fini de renseigner les champs, au bas de la page, sélectionnez Vérifier + créer.

  5. Après la validation, cliquez sur Créer pour créer le WAN virtuel.

Créer une configuration VPN d’utilisateur

Une configuration VPN d’utilisateur définit les paramètres permettant de connecter des clients distants. Il est important de créer la configuration VPN d’utilisateur avant de configurer votre hub virtuel avec les paramètres P2S, car vous devez spécifier la configuration VPN d’utilisateur que vous souhaitez utiliser.

  1. Accédez à la page WAN virtuel -> Configurations de VPN utilisateur, puis cliquez sur + Créer une configuration de VPN utilisateur.

    Screenshot of the Create User V P N configuration.

  2. Sur la page Informations de base, spécifiez les paramètres.

    Screenshot of the Basics page.

    • Nom de la configuration : entrez le nom que vous souhaitez utiliser pour votre configuration VPN d’utilisateur.
    • Type de tunnel : sélectionnez OpenVPN dans le menu déroulant.
  3. Cliquez sur Microsoft Entra ID pour ouvrir la page.

    Screenshot of the Microsoft Entra ID page.

    Basculez Microsoft Entra ID sur Oui et fournissez les valeurs suivantes en fonction des détails de votre locataire. Vous pouvez afficher les valeurs nécessaires sur la page Azure Active Directory pour les applications d’entreprise dans le portail.

    • Méthode d’authentification : sélectionnez Microsoft Entra ID.

    • Public visé : saisissez l’ID d’application de l’application VPN Azure Application d’entreprise inscrite dans votre locataire Microsoft Entra.

    • Émetteur - https://sts.windows.net/<your Directory ID>/

    • Locataire Microsoft Entra : TenantID pour le locataire Microsoft Entra. Vérifiez qu’il n’existe aucune / à la fin de l’URL du locataire Microsoft Entra.

      • Entrez https://login.microsoftonline.com/{AzureAD TenantID} pour Azure Public AD
      • Entrez https://login.microsoftonline.us/{AzureAD TenantID} pour Azure Government AD
      • Entrez https://login-us.microsoftonline.de/{AzureAD TenantID} pour Azure Allemagne AD
      • Entrez https://login.chinacloudapi.cn/{AzureAD TenantID} pour Chine 21Vianet AD
  4. Cliquez sur Créer pour créer la configuration de VPN utilisateur. Vous sélectionnerez cette configuration plus tard dans l’exercice.

Créer un hub vide

Pour cet exercice, nous créons un hub virtuel vide à cette étape et, dans la section suivante, vous ajoutez une passerelle P2S à ce hub. Toutefois, il est également possible de combiner ces étapes et de créer le hub avec les paramètres de passerelle P2S en une seule fois. Le résultat est le même dans les deux cas. Après avoir configuré les paramètres, cliquez sur Vérifier + créer pour valider, puis sur Créer.

  1. Accédez au WAN virtuel que vous avez créé. Dans le volet gauche de la page Virtual WAN, sous Connectivité, sélectionnez Hubs.

  2. Dans la page Hubs, cliquez sur +Nouveau hub pour ouvrir la page Créer un hub virtuel.

    Screenshot shows the Create virtual hub pane with the Basics tab selected.

  3. Dans la page Créer un hub virtuel, sous l’onglet Fonctions de base, renseignez les champs suivants :

    • Région : sélectionnez la région dans laquelle vous souhaitez déployer le hub virtuel.
    • Nom : nom sous lequel vous souhaitez que le hub virtuel soit connu.
    • Espace d’adressage privé du hub : plage d’adresses du hub en notation CIDR. Pour créer un hub, l’espace d’adressage minimal est /24.
    • Capacité du hub virtuel : sélectionnez-la dans la liste déroulante. Pour plus d’informations, consultez Paramètres de hub virtuel.
    • Préférence de routage du hub : Laissez la valeur par défaut. Pour plus d’informations, consultez Préférence de routage de hub virtuel.

Ajouter une passerelle P2S à un hub

Cette section vous montre comment ajouter une passerelle à un hub virtuel existant. Cette étape peut prendre jusqu’à 30 minutes, le temps de finaliser la mise à jour du hub.

  1. Accédez à la page Hubs sous le WAN virtuel.

  2. Cliquez sur le nom du hub que vous souhaitez modifier pour ouvrir la page du hub.

  3. Cliquez sur Modifier le hub virtuel en haut de la page pour ouvrir la page Modifier le hub virtuel.

  4. Sur la page Modifier le hub virtuel, activez les cases à cocher Inclure la passerelle VPN pour les sites VPN et Inclure la passerelle point à site pour afficher les paramètres. Configurez ensuite les valeurs.

    Screenshot shows the Edit virtual hub.

    • Unités d’échelle de la passerelle : sélectionnez les unités d’échelle de la passerelle. Les unités d’échelle représentent la capacité d’agrégation de la passerelle VPN utilisateur. Si vous sélectionnez 40 unités d’échelle de passerelle ou plus, planifiez votre pool d’adresses de clients en conséquence. Pour plus d’informations sur l’impact de ce paramètre sur le pool d’adresses de clients, consultez À propos des pools d’adresses de clients. Pour plus d’informations sur les unités d’échelle de passerelle, consultez la FAQ.
    • Configuration de VPN utilisateur : sélectionnez la configuration que vous avez créée plus tôt.
    • Mappage des groupes d’utilisateurs aux pools d’adresses : pour plus d’informations sur ce paramètre, consultez Configurer des groupes d’utilisateurs et des pools d’adresses IP pour les VPN utilisateur P2S (préversion).
  5. Après avoir configuré les paramètres, cliquez sur Confirmer pour mettre à jour le hub. La mise à jour d’un hub peut prendre jusqu’à 30 minutes.

Connecter un réseau virtuel à un hub

Dans cette section, vous créez une connexion entre votre hub virtuel et votre réseau virtuel.

  1. Dans le portail Azure, accédez à votre page Virtual WAN. Dans le volet gauche, sélectionnez Connexions de réseau virtuel.

  2. Sur la page Connexions de réseau virtuel, sélectionnez + Ajouter une connexion.

  3. Dans la page Ajouter une connexion, configurez les paramètres de connexion. Pour plus d’informations sur le type de routage, consultez À propos du routage.

    Screenshot of the Add connection page.

    • Nom de la connexion : nommez votre connexion.
    • Hubs : sélectionnez le hub à associer à cette connexion.
    • Abonnement: Vérifiez l’abonnement.
    • Groupe de ressources : sélectionnez le groupe de ressources qui contient le réseau virtuel auquel vous souhaitez vous connecter.
    • Réseau virtuel : sélectionnez le réseau virtuel à connecter à ce hub. Le réseau virtuel que vous sélectionnez ne doit pas comporter de passerelle de réseau virtuel.
    • Propagate to none (Propager à aucun) : par défaut, la valeur est Non. Si vous changez le commutateur en choisissant Oui, les options de configuration relatives à Propagate to Route Tables (Propager aux tables de routage) et Propagate to labels (Propager aux étiquettes) ne sont pas disponibles.
    • Associate Route Table (Associer une table de routage) : dans la liste déroulante, vous pouvez sélectionner une table de routage à associer.
    • Propager aux étiquettes : les étiquettes sont un groupe logique de tables de routage. Pour ce paramètre, sélectionnez un élément dans la liste déroulante.
    • Itinéraires statiques : configurez des itinéraires statiques, si nécessaire. Configurez des itinéraires statiques pour les appliances virtuelles réseau (le cas échéant). Le réseau étendu virtuel prend en charge une adresse IP de tronçon suivant unique pour l’itinéraire statique dans une connexion de réseau virtuel. Par exemple, si vous avez une appliance virtuelle distincte pour les flux de trafic entrants et sortants, il serait préférable que les appliances virtuelles se trouvent sur des réseaux virtuels distincts et que ceux-ci soient attachés au hub virtuel.
    • Ignorer l’adresse IP du tronçon suivant pour les charges de travail au sein de ce réseau virtuel : ce paramètre vous permet de déployer des appliances virtuelles réseau et d’autres charges de travail dans le même réseau virtuel sans forcer tout le trafic via l’appliance virtuelle réseau. Ce paramètre ne peut être configuré que lorsque vous configurez une nouvelle connexion. Si vous souhaitez utiliser ce paramètre pour une connexion que vous avez déjà créée, supprimez la connexion, puis ajoutez une nouvelle connexion.
    • Propager une route statique : ce paramètre est en cours de déploiement. Ce paramètre vous permet de propager des routes statiques définies dans la section Routes statiques vers les tables de routage spécifiées dans Propager vers des tables de routage. En outre, les routes sont propagées vers des tables de routage dont les étiquettes sont spécifiées comme Propager vers des étiquettes. Ces routes peuvent être propagées entre hubs, à l’exception de l’itinéraire par défaut 0/0.
  4. Quand vous avez fini de configurer les paramètres souhaités, cliquez sur Créer pour créer la connexion.

Télécharger un profil VPN d’utilisateur

Tous les paramètres de configuration nécessaires aux clients VPN sont contenus dans un fichier config zip de client VPN. Les paramètres dans le fichier zip vous aident à configurer facilement les clients VPN. Les fichiers de configuration du client VPN que vous générez sont spécifiques à la configuration VPN utilisateur de votre passerelle. Vous pouvez télécharger des profils globaux (de niveau WAN) ou un profil pour un hub spécifique. Pour plus d’informations et pour obtenir des instructions supplémentaires, consultez Télécharger des profils globaux et de hub. Les étapes suivantes vous guident tout au long du téléchargement d’un profil global de niveau WAN.

  1. Pour générer un package de configuration de client VPN de type Profil global de niveau WAN, accédez au WAN virtuel (pas au hub virtuel).

  2. Dans le volet gauche, sélectionnez Configurations VPN utilisateur.

  3. Sélectionnez la configuration pour laquelle vous voulez télécharger le profil. Si plusieurs hubs sont affectés au même profil, développez le profil pour afficher les hubs, puis sélectionnez un des hubs qui utilise le profil.

  4. Sélectionnez Télécharger le profil VPN utilisateur du WAN virtuel.

  5. Dans la page de téléchargement, sélectionnez EAPTLS, puis Générer et télécharger le profil. Un package de profil (fichier zip) contenant les paramètres de configuration du client est généré et téléchargé sur votre ordinateur. Le contenu du package dépend des choix d’authentification et de tunnel de votre configuration.

Configurer les clients VPN utilisateurs

Un client doit être installé sur chaque ordinateur qui se connecte. Vous configurez chaque client à l’aide des fichiers de profil client d’utilisateur VPN que vous avez téléchargés lors des étapes précédentes. Utilisez l’article qui se rapporte au système d’exploitation que vous souhaitez connecter.

Pour configurer des clients VPN macOS (préversion)

Pour obtenir des instructions pour les clients macOS, consultez Configurer un client VPN - macOS (préversion).

Pour configurer des clients VPN Windows

  1. Téléchargez la dernière version des fichiers d’installation d’Azure VPN Client à l’aide de l’un des liens suivants :

  2. Installez Azure VPN Client sur chaque ordinateur.

  3. Vérifiez qu’Azure VPN Client est autorisé à s’exécuter en arrière-plan. Pour connaître les étapes à suivre, consultez applications Windows en arrière-plan.

  4. Pour vérifier la version du client installée, ouvrez Azure VPN Client. Accédez au bas du client, puis cliquez sur ... -> ? Aide. Dans le volet de droite, vous pouvez voir le numéro de version du client.

Pour importer un profil client VPN (Windows)

  1. Dans la page, sélectionnez Importer.

    Screenshot shows import page.

  2. Accédez au fichier XML de profil et sélectionnez-le. Une fois le fichier sélectionné, sélectionnez Ouvrir.

    Screenshot shows an Open dialog box where you can select a file.

  3. Spécifiez le nom du profil et sélectionnez Enregistrer.

    Screenshot shows the Connection Name added and the Save button selected.

  4. Sélectionnez Se connecter pour vous connecter au VPN.

    Screenshot shows the Connect button for the for the connection you just created.

  5. Une fois que vous êtes connecté, l’icône devient verte et indique Connecté.

    Screenshot shows the connection in a Connected status with the option to disconnect.

Pour supprimer un profil client - Windows

  1. Sélectionnez le bouton de sélection (...) en regard du profil de client à supprimer. Sélectionnez ensuite Supprimer.

    Screenshot shows Remove selected from the menu.

  2. Sélectionnez Supprimer pour effectuer la suppression.

    Screenshot shows a confirmation dialog box with the option to Remove or Cancel.

Diagnostiquer les problèmes de connexion - Windows

  1. Pour diagnostiquer les problèmes de connexion, vous pouvez utiliser l’outil Diagnostiquer. Sélectionnez le bouton de sélection (...) en regard de la connexion VPN à diagnostiquer pour afficher le menu. Sélectionnez ensuite Diagnostiquer.

    Screenshot shows Diagnose selected from the menu.

  2. Dans la page Propriétés de connexion, sélectionnez Exécuter le diagnostic.

    Screenshot shows the Run Diagnosis button for a connection.

  3. Connectez-vous avec vos informations d’identification.

    Screenshot shows the Sign in dialog box for this action.

  4. Examinez les résultats du diagnostic.

    Screenshot shows the results of the diagnosis.

Afficher votre WAN virtuel

  1. Accédez au WAN virtuel.
  2. Dans la page Vue d’ensemble, chaque point sur la carte représente un hub.
  3. Dans la section des hubs et des connexions, vous pouvez voir l’état du hub, le site, la région, l’état de la connexion VPN et les octets entrés et sortis.

Nettoyer les ressources

Quand vous n’avez plus besoin des ressources que vous avez créées, supprimez-les. Certaines des ressources Virtual WAN doivent être supprimées dans un certain ordre en raison des dépendances. La suppression peut prendre environ 30 minutes.

  1. Ouvrez le WAN virtuel que vous avez créé.

  2. Sélectionnez un hub virtuel associé au WAN virtuel pour ouvrir la page du hub.

  3. Supprimez toutes les entités de passerelle dans l’ordre ci-dessous pour chaque type de passerelle. Cette opération peut prendre 30 minutes.

    VPN :

    • Déconnecter les sites VPN
    • Supprimer les connexions VPN
    • Supprimer les passerelles VPN

    ExpressRoute :

    • Supprimer les connexions ExpressRoute
    • Supprimer les passerelles ExpressRoute
  4. Répétez cette opération pour tous les hubs associés au WAN virtuel.

  5. Vous pouvez supprimer les hubs à ce stade ou les supprimer ultérieurement en même temps que vous supprimez le groupe de ressources.

  6. Accédez au groupe de ressources sur le portail Azure.

  7. Sélectionnez Supprimer le groupe de ressources. Les autres ressources du groupe de ressources sont alors supprimées, y compris les hubs et le WAN virtuel.

Étapes suivantes

Pour accéder aux questions fréquentes (FAQ) sur Virtual WAN, consultez FAQ sur Virtual WAN.