Настройка VPN-клиента Azure — проверка подлинности идентификатора Microsoft Entra — macOS

В этой статье показано, как настроить клиентский компьютер macOS для подключения к виртуальной сети Azure с помощью подключения VPN-шлюз "точка — сеть" (P2S). Эти действия применяются к VPN-шлюзам Azure, настроенным для проверки подлинности идентификатора Microsoft Entra. Проверка подлинности Идентификатора Microsoft Entra поддерживает только подключения к протоколу OpenVPN® и требует vpn-клиента Azure. Сейчас VPN-клиент Azure для macOS недоступен во Франции и Китае из-за местных предписаний и требований.

Необходимые компоненты

Перед выполнением действий, описанных в этой статье, убедитесь, что у вас есть следующие предварительные требования:

• Настройте VPN-шлюз для VPN-подключений типа "точка — сеть", которые указывают проверку подлинности идентификатора Microsoft Entra. Сведения о настройке VPN-шлюза P2S для проверки подлинности идентификатора Microsoft Entra.

• Убедитесь, что на клиентском компьютере запущена поддерживаемая ОС на поддерживаемом процессоре.

  • Поддерживаемые выпуски macOS: 15 (Sequoia), 14 (Sonoma), 13 (Ventura), 12 (Монтерей)
  • Поддерживаемые процессоры: x64, Arm64

• Если на устройстве есть микросхема серии M и VPN-клиент, выпущенный ранее 2.7.101, необходимо установить программное обеспечение Rosetta. Дополнительные сведения см. в статье о поддержке Apple

• Если вы используете VPN-клиент Azure версии 2.7.101 или более поздней версии, вам не нужно устанавливать программное обеспечение Rosetta.

Рабочий процесс

В этой статье показано, как настроить VPN-шлюз P2S для проверки подлинности идентификатора Microsoft Entra. В этой статье подробно описано, как выполнять следующее:

1. Скачайте и установите VPN-клиент Azure для macOS.
2. Извлеките файлы конфигурации профиля VPN-клиента.
3. Импортируйте параметры профиля клиента в VPN-клиент.
4. Создайте подключение и подключитесь к Azure.

Загрузка VPN-клиента Azure

1. Скачайте последний VPN-клиент Azure из Apple Store.
2. Установите клиент на компьютере.

Извлечение файлов конфигурации профиля клиента

Если вы использовали шаги настройки сервера P2S, как упоминалось в разделе предварительных требований, вы уже создали и скачали пакет конфигурации профиля VPN-клиента, содержащий файлы конфигурации профиля VPN. Если вам нужно создать файлы конфигурации, ознакомьтесь с пакетом конфигурации профиля VPN-клиента.

При создании и скачивании пакета конфигурации профиля VPN-клиента все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации профиля VPN-клиента. Файлы конфигурации профиля VPN-клиента относятся к конфигурации VPN-шлюза P2S для виртуальной сети. Если после создания файлов есть какие-либо изменения в конфигурации VPN P2S, например изменения типа VPN-протокола или типа проверки подлинности, необходимо создать новые файлы конфигурации профиля VPN-клиента и применить новую конфигурацию ко всем VPN-клиентам, которые требуется подключить.

Найдите и распакуйте пакет конфигурации профиля VPN-клиента, который вы создали и скачали (перечислены в предварительных требованиях). Откройте папку AzureVPN . В этой папке вы увидите файл azurevpnconfig_aad.xml или файл azurevpnconfig.xml в зависимости от того, включает ли конфигурация P2S несколько типов проверки подлинности. Файл .xml содержит параметры, используемые для настройки профиля VPN-клиента.

Изменение файлов конфигурации профиля

Если конфигурация P2S использует настраиваемую аудиторию с идентификатором приложения, зарегистрированным корпорацией Майкрософт, вы можете получать всплывающие окна при каждом подключении, требующем повторного ввода учетных данных и завершения проверки подлинности. Повторная проверка подлинности обычно устраняет проблему. Это происходит из-за того, что профиль VPN-клиента нуждается как в пользовательском идентификаторе аудитории, так и в идентификаторе приложения Майкрософт. Чтобы предотвратить это, измените конфигурацию профиля .xml файл, чтобы включить как пользовательский идентификатор приложения, так и идентификатор приложения Майкрософт.

Примечание.

Этот шаг необходим для конфигураций шлюза P2S, использующих настраиваемое значение аудитории, и зарегистрированное приложение связано с идентификатором vpn-клиента Microsoft Azure. Если это не относится к конфигурации шлюза P2S, этот шаг можно пропустить.

1. Чтобы изменить конфигурацию VPN-клиента Azure, .xml файл, откройте файл с помощью текстового редактора, например Блокнота.

2. Затем добавьте значение для applicationid и сохраните изменения. В следующем примере показано значение идентификатора приложения для c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

   Пример

   <aad>
      <audience>{customAudienceID}</audience>
      <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
      <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
      <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
   </aad>
   

Импорт файлов конфигурации профиля VPN-клиента

Примечание.

Мы в процессе изменения полей VPN-клиента Azure для Azure Active Directory на идентификатор Microsoft Entra. Если вы видите поля идентификатора Microsoft Entra, на которые ссылается эта статья, но пока не видите эти значения, отраженные в клиенте, выберите сопоставимые значения Azure Active Directory.

1. На странице VPN-клиента Azure выберите Импорт.

2. Перейдите к папке, содержащей файл, который вы хотите импортировать, выберите его, а затем нажмите кнопку "Открыть".

3. На этом экране обратите внимание, что значения подключения заполняются с помощью значений в импортированном файле конфигурации VPN-клиента.

   • Убедитесь, что значение сведений о сертификате отображает Global Root G2 DigiCert, а не значение по умолчанию или пустое. При необходимости измените значение.
   • Обратите внимание, что значения проверки подлинности клиента соответствуют значениям, которые использовались для настройки VPN-шлюза для проверки подлинности идентификатора Microsoft Entra ID. Значение аудитории в этом примере соответствует идентификатору приложения, зарегистрированного Корпорацией Майкрософт для общедоступной версии Azure. Если шлюз P2S настроен для другого значения аудитории, это поле должно отражать это значение.

   

4. Нажмите кнопку "Сохранить", чтобы сохранить конфигурацию профиля подключения.

5. В области VPN-подключений выберите сохраненный профиль подключения. Щелкните Подключить.

6. После подключения состояние изменяется на Подключено. Чтобы отключиться от сеанса, нажмите кнопку Отключить.

Создание подключения вручную

1. Откройте VPN-клиент Azure. В нижней части клиента нажмите кнопку "Добавить ", чтобы создать новое подключение.

2. На странице VPN-клиент Azure можно настроить параметры профиля. Измените значение сведений о сертификате, чтобы отобразить Global Root G2 DigiCert, а не значение по умолчанию или пустое, а затем нажмите кнопку "Сохранить".

   Настройте следующие параметры:

   • Имя подключения: имя, которое будет использоваться для указания ссылки на этот профиль подключения.
   • VPN-сервер: это имя, которое будет использоваться для указания ссылки на сервер. Выбранное здесь имя не обязательно должно быть формальным именем сервера.
   • Проверка сервера
     • Сведения о сертификате: DigiCert Global Root G2
     • Секрет сервера: секрет сервера.
   • Аутентификация клиента
     • Тип проверки подлинности: идентификатор Microsoft Entra
     • Клиент: имя арендатора.
     • Аудитория: значение аудитории должно соответствовать значению, которое настроено для использования шлюза P2S.
     • Издатель: имя издателя.

3. Заполнив указанные выше поля, щелкните Сохранить.

4. В области VPN-подключений выберите настроенный вами профиль подключения. Щелкните Подключить.

Удаление профиля VPN-подключения

Профиль VPN-подключения можно удалить с компьютера.

1. Откройте VPN-клиент Azure.
2. Выберите VPN-подключение, которое нужно удалить, и нажмите кнопку " Удалить".

Необязательные параметры конфигурации VPN-клиента Azure

Вы можете настроить VPN-клиент Azure с дополнительными параметрами конфигурации, такими как дополнительные DNS-серверы, настраиваемые DNS-серверы, принудительное туннелирование, настраиваемые маршруты и другие дополнительные параметры. Описание доступных дополнительных параметров и действий по настройке см. в дополнительных параметрах VPN-клиента Azure.

Следующие шаги

Дополнительные сведения см. в статье "Настройка VPN-шлюз P2S для проверки подлинности идентификатора Microsoft Entra ID".