Configurare il client VPN di Azure - Autenticazione di Microsoft Entra ID - Windows
Questo articolo illustra come configurare il client VPN di Azure in un computer Windows per connettersi a una rete virtuale usando una VPN da punto a sito del gateway VPN e l'autenticazione di Microsoft Entra ID. Per altre informazioni sulle connessioni da punto a sito, vedere Informazioni sulle connessioni da punto a sito. Il client VPN di Azure è supportato con la modalità FIPS di Windows usando l'hotfix KB4577063.
Prerequisiti
Configurare il Gateway VPN per le connessioni VPN da punto a sito che specificano l'autenticazione di Microsoft Entra ID. Vedere Configurare un gateway VPN da punto a sito per l'autenticazione di Microsoft Entra ID.
Workflow
Questo articolo continua dalla procedura Configurare un gateway VPN da sito a sito per l'autenticazione con Microsoft Entra ID. Questo articolo offre informazioni utili per:
- Scaricare e installare il client VPN di Azure per Windows.
- Estrarre i file di configurazione del profilo del client VPN.
- Aggiornare i file di configurazione del profilo con un valore del gruppo di destinatari personalizzato (se applicabile).
- Importare le impostazioni del profilo client nel client VPN.
- Creare una connessione e connettersi ad Azure.
Scaricare il client VPN di Azure
Scaricare la versione più recente dei file di installazione del client VPN di Azure usando uno dei collegamenti seguenti:
- Installare usando i file di installazione client: https://aka.ms/azvpnclientdownload.
- Installare direttamente, quando è stato eseguito l'accesso in un computer client: Microsoft Store.
Installare il client VPN di Azure in ogni computer.
Verificare che il client VPN di Azure disponga dell'autorizzazione per l'esecuzione in background. Per i passaggi, vedere App in background di Windows.
Per verificare la versione del client installata, aprire il client VPN di Azure. Passare alla parte inferiore del client e fare clic su ... -> ? Guida. Nel riquadro a destra è possibile visualizzare il numero di versione del client.
Estrarre i file di configurazione del profilo client
Per configurare il profilo client VPN di Azure, è prima necessario scaricare il pacchetto di configurazione del profilo client VPN dal gateway di connessione da punto a sito di Azure. Questo pacchetto è specifico del gateway VPN configurato e contiene le impostazioni necessarie per configurare il client VPN. Se è stata usata la procedura di configurazione del server da punto a sito come indicato nella sezione Prerequisiti, il pacchetto di configurazione del profilo client VPN che contiene i file di configurazione del profilo VPN è già stato generato e scaricato. Se è necessario generare i file di configurazione, vedere Scaricare il pacchetto di configurazione del profilo client VPN.
Dopo aver ottenuto il pacchetto di configurazione del profilo client VPN, estrarre il file ZIP. Il file ZIP contiene la cartella AzureVPN. La cartella AzureVPN contiene il file azurevpnconfig_aad.xml o il file azurevpnconfig.xml, a seconda che la configurazione da punto a sito includa più tipi di autenticazione o meno. Se non vengono visualizzati azurevpnconfig_aad.xml o azurevpnconfig.xml o non si dispone di una cartella AzureVPN, verificare che il gateway VPN sia configurato per l'uso del tipo di tunnel OpenVPN e che sia selezionata l'autenticazione di Azure Active Directory (Microsoft Entra ID).
Modificare i file di configurazione del profilo
Se la configurazione da sito a sito usa un gruppo di destinatari personalizzato e l'app registrata è associata all'ID app registrato da Microsoft, è possibile che venga visualizzato il messaggio di errore AADSTS650057 quando si tenta di connettersi. Se si immette la credenziale dell'ID Entra nel popup per la seconda volta, il problema verrà risolto. Ciò si verifica perché il profilo client VPN richiede sia l'ID gruppo di destinatari personalizzato che l'ID applicazione Microsoft. Per evitare questo problema, modificare il file di configurazione del profilo .xml in modo da includere sia l'ID applicazione personalizzato che l'ID applicazione Microsoft.
Nota
Questo passaggio è necessario per le configurazioni del gateway da punto a sito che usano un valore di gruppo di destinatari personalizzato e l'app registrata è associata all'ID app client VPN di Azure registrato da Microsoft. Se non si applica alla configurazione del gateway da punto a sito, è possibile ignorare questo passaggio.
Per modificare il file di configurazione del client VPN di Azure .xml, aprire il file usando un editor di testo, ad esempio Blocco note.
Aggiungere quindi il valore per applicationid e salvare le modifiche. Nell'esempio seguente viene illustrato il valore dell'ID applicazione per
c632b3df-fb67-4d84-bdcf-b95ad541b5c8
.Esempio
<aad> <audience>{customAudienceID}</audience> <issuer>https://sts.windows.net/{tenant ID value}/</issuer> <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant> <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> </aad>
Importare le impostazioni di configurazione del profilo client
Nota
È in corso la sostituzione dei campi del client VPN di Azure relativi ad Azure Active Directory con Microsoft Entra ID. Se in questo articolo si fa riferimento a campi di Microsoft Entra ID, ma tali valori non sono ancora visualizzati nel client, selezionare i valori di Azure Active Directory corrispondenti.
Nella pagina selezionare Importa.
Passare alla cartella di configurazione del profilo client VPN di Azure estratta. Aprire la cartella AzureVPN e selezionare il file di configurazione del profilo client (azurevpnconfig_aad.xml o azurevpnconfig.xml). Selezionare Apri per importare il file.
Modificare il nome in Nome connessione (facoltativo). In questo esempio si noti che il valore Audience visualizzato è il nuovo valore pubblico di Azure associato all'ID app client VPN di Azure registrato da Microsoft. Il valore in questo campo deve corrispondere al valore configurato che deve essere usato del gateway VPN da punto a sito.
fare clic su Salva per salvare il profilo di connessione.
Nel riquadro sinistro selezionare il profilo di connessione da usare. Fare quindi clic su Connetti per avviare la connessione.
Eseguire l'autenticazione usando le proprie credenziali, se richiesto.
Una volta stabilita la connessione, l'icona diventerà verde mostrerà lo stato Connesso.
Per connettersi automaticamente
Questa procedura consente di configurare la connessione per connettersi automaticamente con Always-On.
Nella home page del client VPN selezionare Impostazioni VPN. Se viene visualizzata la finestra di dialogo Cambia app, selezionare Sì.
Se il profilo da configurare è connesso, disconnettere la connessione, evidenziare il profilo e selezionare la casella di controllo Connetti automaticamente .
Selezionare Connetti per avviare la connessione VPN.
Esportare e distribuire un profilo client
Dopo aver creato un profilo di lavoro, se è necessario distribuirlo ad altri utenti, è possibile esportarlo seguendo questa procedura:
Evidenziare il profilo client VPN da esportare, selezionare i puntini di sospensione ... e quindi selezionare Esporta.
Selezionare il percorso in cui salvare il profilo, lasciare invariato il nome del file e quindi selezionare Salva per salvare il file XML.
Eliminare un profilo client
Selezionare i puntini di sospensione (...) accanto al profilo client da eliminare. Selezionare quindi Rimuovi.
Nel popup di conferma selezionare Rimuovi per procedere all'eliminazione.
Diagnosticare i problemi di connessione
Per diagnosticare i problemi di connessione, è possibile usare lo strumento Diagnosi. Selezionare i puntini di sospensione ... accanto alla connessione VPN che si vuole diagnosticare per visualizzare il menu. Selezionare quindi Diagnosi. Nella pagina Proprietà connessione selezionare Esegui diagnostica.
Se richiesto, accedere con le credenziali personali.
Visualizzare i risultati.
Impostazioni di configurazione client facoltative
È possibile configurare il client VPN di Azure con impostazioni di configurazione facoltative, ad esempio server DNS aggiuntivi, DNS personalizzato, tunneling forzato, route personalizzate e altre impostazioni. Per altre informazioni, vedere Client VPN di Azure - Impostazioni facoltative.
Informazioni sulla versione del client VPN di Azure
Per informazioni sulla versione del client VPN di Azure, vedere Versioni del client VPN di Azure.