Udostępnij za pośrednictwem

Konfigurowanie bramy VPN Point-to-Site do uwierzytelniania Microsoft Entra ID

Ten artykuł ułatwia skonfigurowanie bramy sieci VPN typu punkt-lokacja (P2S) na potrzeby uwierzytelniania identyfikatora Entra firmy Microsoft przy użyciu nowego identyfikatora aplikacji klienta sieci VPN zarejestrowanej przez firmę Microsoft azure VPN Client App ID.

Usługa VPN Gateway obsługuje teraz nowy identyfikator aplikacji zarejestrowany przez firmę Microsoft i odpowiadające im wartości odbiorców dla najnowszych wersji klienta sieci VPN platformy Azure. Podczas konfigurowania bramy VPN typu P2S przy użyciu nowych wartości dla odbiorców pomijasz wcześniej wymagany proces ręcznej rejestracji aplikacji klienckiej VPN Azure dla dzierżawy Microsoft Entra. Identyfikator aplikacji został już utworzony i dzierżawa jest automatycznie w stanie jej używać bez dodatkowych kroków rejestracji. Ten proces jest bezpieczniejszy niż ręczne rejestrowanie klienta sieci VPN platformy Azure, ponieważ nie musisz autoryzować aplikacji ani przypisywać uprawnień za pośrednictwem roli Administrator aplikacji w chmurze. Aby lepiej zrozumieć różnice między typami obiektów aplikacji, zobacz How and why applications are added to Microsoft Entra ID (Jak i dlaczego aplikacje są dodawane do identyfikatora Entra firmy Microsoft).

  • Jeśli brama sieci VPN użytkownika typu punkt-lokacja jest skonfigurowana przy użyciu wartości Odbiorców dla ręcznie skonfigurowanej aplikacji klienckiej sieci VPN platformy Azure, możesz łatwo zmienić bramy i ustawień klienta, aby skorzystać z nowego identyfikatora aplikacji zarejestrowanej przez firmę Microsoft. Jeśli chcesz, aby klienci systemu Linux nawiązali połączenie, musisz zaktualizować bramę punkt-lokacja przy użyciu nowej wartości Odbiorcy. Klient VPN platformy Azure dla systemu Linux nie jest zgodny z wcześniejszymi wartościami Audience.
  • Jeśli chcesz utworzyć lub zmodyfikować niestandardową wartość odbiorcy, zobacz Tworzenie niestandardowego identyfikatora aplikacji użytkownika dla sieci VPN P2S.
  • Jeśli chcesz skonfigurować lub ograniczyć dostęp do połączenia punkt-lokacja na podstawie użytkowników i grup, zobacz Scenariusz: Konfigurowanie dostępu do sieci VPN punkt-lokacja na podstawie użytkowników i grup.

Zagadnienia do rozważenia

  • Brama sieci VPN P2S może obsługiwać tylko jedną wartość Audience. Nie może obsługiwać wielu wartości odbiorców jednocześnie.

  • Klient Azure VPN dla systemu Linux nie jest wstecznie kompatybilny z bramami P2S skonfigurowanymi do używania starszych wartości Audience, które były zgodne z ręcznie rejestrowaną aplikacją. Jednak klient sieci VPN platformy Azure dla systemu Linux obsługuje niestandardowe wartości odbiorców.

  • Chociaż możliwe jest, że klient sieci VPN platformy Azure dla systemu Linux może działać w innych dystrybucjach i wydaniach systemu Linux, klient sieci VPN platformy Azure dla systemu Linux jest obsługiwany tylko w następujących wersjach:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • Chociaż możliwe jest, że klient sieci VPN platformy Azure dla systemu Windows może działać w innych wersjach systemu operacyjnego, klient sieci VPN platformy Azure dla systemu Windows jest obsługiwany tylko w następujących wersjach:

    • Obsługiwane wersje systemu Windows: Windows 10, Windows 11 na procesorach X64.
    • Klient sieci VPN platformy Azure dla systemu Windows nie jest obsługiwany w przypadku systemów działających na procesorze ARM.

  • Najnowsze wersje klientów VPN platformy Azure dla systemów macOS i Windows są wstecznie kompatybilne z bramami punkt-do-sieci skonfigurowanymi do używania starszych wartości odbiorców (Audience), odnoszących się do ręcznie zarejestrowanej aplikacji. Ci klienci obsługują również niestandardowe wartości odbiorców.

Wartości odbiorców klienta sieci VPN platformy Azure

W poniższej tabeli przedstawiono wersje klienta sieci VPN platformy Azure, które są obsługiwane dla każdego identyfikatora aplikacji i odpowiednich dostępnych wartości odbiorców.

identyfikator aplikacji Obsługiwane wartości odbiorców Obsługiwani klienci
Zarejestrowane przez firmę Microsoft Wartość c632b3df-fb67-4d84-bdcf-b95ad541b5c8 odbiorców ma zastosowanie do:
— Publiczna platforma Azure
— Azure Government
Azure Niemcy
— Platforma Microsoft Azure obsługiwana przez firmę 21Vianet		 - Linux
-Windows
- macOS
Ręczne zarejestrowanie — Publiczna platforma Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
— Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
— Azure (Niemcy): 538ee9e6-310a-468d-afef-ea97365856a9
— Platforma Microsoft Azure obsługiwana przez firmę 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 -Windows
- macOS
Dostosowany <custom-app-id> - Linux
-Windows
- macOS

Przepływ pracy typu punkt-lokacja

Pomyślne skonfigurowanie połączenia P2S przy użyciu uwierzytelniania Microsoft Entra ID wymaga wykonania sekwencji kroków.

Ten artykuł zawiera informacje, które pomogą:

  1. Zweryfikuj najemcę.
  2. Skonfiguruj bramę sieci VPN przy użyciu odpowiednich wymaganych ustawień.
  3. Wygeneruj i pobierz pakiet konfiguracji klienta sieci VPN.

Artykuły w sekcji Następne kroki ułatwiają:

  1. Pobierz klienta sieci VPN platformy Azure na komputerze klienckim.
  2. Skonfiguruj klienta przy użyciu ustawień z pakietu konfiguracji klienta sieci VPN.
  3. Połącz.

Wymagania wstępne

W tym artykule przyjęto założenie, że są spełnione następujące wymagania wstępne:

  • Brama sieci VPN

    • Niektóre opcje bramy są niezgodne z bramami P2S VPN, które korzystają z uwierzytelniania Microsoft Entra ID. Brama sieci VPN nie może używać jednostki SKU w wersji podstawowej ani typu sieci VPN opartej na zasadach. Aby uzyskać więcej informacji na temat jednostek SKU bramy, zobacz About gateway SKUUs (Informacje o jednostkach SKU bramy). Aby uzyskać więcej informacji na temat typów sieci VPN, zobacz Ustawienia usługi VPN Gateway.

    • Jeśli nie masz jeszcze działającej bramy sieci VPN zgodnej z uwierzytelnianiem microsoft Entra ID, zobacz Tworzenie bramy sieci VPN i zarządzanie nią — Azure Portal. Utwórz zgodną bramę sieci VPN, a następnie wróć do tego artykułu, aby skonfigurować ustawienia P2S.

  • Dzierżawa firmy Microsoft Entra

Dodawanie puli adresów klienta sieci VPN

Pula adresów klienta to określony przez Ciebie zakres prywatnych adresów IP. Klienci łączący się za pośrednictwem sieci VPN typu punkt-lokacja dynamicznie otrzymują adres IP z tego zakresu. Użyj zakresu prywatnych adresów IP, który nie nakłada się na lokalizację lokalną, z której nawiązujesz połączenie, lub sieć wirtualną, z którą chcesz nawiązać połączenie. Jeśli skonfigurujesz wiele protokołów, a protokół SSTP jest jednym z protokołów, skonfigurowana pula adresów zostanie równomiernie podzielona między skonfigurowane protokoły.

  1. W witrynie Azure Portal przejdź do bramy sieci VPN.
  2. Na stronie bramy w okienku po lewej stronie wybierz pozycję Konfiguracja punkt-do-sieci.
  3. Na stronie konfiguracji punkt-do-sieci kliknij pozycję Konfiguruj teraz.
  4. Na stronie konfiguracji połączenia punkt-do-sieci zobaczysz pole konfiguracji dla puli adresów .
  5. W polu Pula adresów dodaj zakres prywatnych adresów IP, którego chcesz użyć. Jeśli na przykład dodasz zakres adresów 172.16.201.0/24, klienci łączący się przez VPN otrzymują jeden z adresów IP w tym zakresie. Minimalna maska podsieci to 29 bitów dla konfiguracji aktywne/pasywnej i 28-bitowej dla konfiguracji aktywne/aktywne.

Po dodaniu zakresu przejdź do następnych sekcji, aby skonfigurować pozostałe wymagane ustawienia.

Konfigurowanie typu tunelu i uwierzytelniania

Ważne

Portal Azure jest w trakcie aktualizowania pól usługi Azure Active Directory do Entra. Jeśli widzisz odwołanie do identyfikatora Entra firmy Microsoft i nie widzisz tych wartości w portalu, możesz wybrać wartości usługi Azure Active Directory.

  1. Znajdź identyfikator dzierżawcy katalogu, którego chcesz użyć do uwierzytelniania. Aby uzyskać pomoc dotyczącą znajdowania identyfikatora dzierżawy, zobacz Jak znaleźć identyfikator dzierżawy firmy Microsoft Entra.

  2. Skonfiguruj wartości typu tunelu i uwierzytelniania.

    Zrzut ekranu przedstawiający ustawienia typu tunelu, typu uwierzytelniania i Microsoft Entra ID.

    Skonfiguruj następujące wartości:

    • Pula adresów: pula adresów klienta
    • Typ tunelu: OpenVPN (SSL)
    • Typ uwierzytelniania: Microsoft Entra ID

    W przypadku wartości Identyfikatora Entra Microsoft użyj następujących wskazówek dotyczących wartości dzierżawy, odbiorcy i wystawcy. Zastąp {Microsoft ID Entra Tenant ID} identyfikatorem dzierżawy, upewniając się, że usuniesz {} z przykładów, gdy zastępujesz tę wartość.

    • Dzierżawca: Identyfikator Dzierżawcy dla Microsoft Entra ID. Wprowadź identyfikator dzierżawy, który odpowiada konfiguracji. Upewnij się, że adres URL najemcy nie ma ukośnika odwrotnego (\) na końcu. Ukośnik do przodu jest dopuszczalny.

      • Publiczna platforma Azure: https://login.microsoftonline.com/{TenantID}
      • Azure Government: https://login.microsoftonline.us/{TenantID}
      • Azure (Niemcy): https://login-us.microsoftonline.de/{TenantID}
      • Chiny 21Vianet: https://login.chinacloudapi.cn/{TenantID}

    • Odbiorca: odpowiadająca wartość identyfikatora aplikacji klienta VPN Azure zarejestrowanej przez Microsoft. Grupa odbiorców niestandardowych jest również obsługiwana w tym polu.

      • c632b3df-fb67-4d84-bdcf-b95ad541b5c8

    • Wystawca: adres URL usługi bezpiecznego tokenu. Dołącz ukośnik końcowy na końcu wartości Issuer. W przeciwnym razie połączenie może zakończyć się niepowodzeniem. Przykład:

      • https://sts.windows.net/{Microsoft ID Entra Tenant ID}/

  3. Nie musisz klikać Udziel zgody administratora dla aplikacji klienckiej Azure VPN. Ten link dotyczy tylko ręcznie zarejestrowanych klientów VPN korzystających ze starszych wartości Audience. Spowoduje to otwarcie strony w witrynie Azure Portal.

  4. Po zakończeniu konfigurowania ustawień kliknij pozycję Zapisz w górnej części strony.

Pobieranie pakietu konfiguracji profilu klienta sieci VPN

W tej sekcji wygenerujesz i pobierzesz pakiet konfiguracji profilu klienta sieci VPN platformy Azure. Ten pakiet zawiera ustawienia, których można użyć do skonfigurowania profilu klienta sieci VPN platformy Azure na komputerach klienckich.

  1. W górnej części strony konfiguracji punktu-do-sieci kliknij pozycję Pobierz klienta VPN. Wygenerowanie pakietu konfiguracji klienta trwa kilka minut.

  2. Przeglądarka wskazuje, że plik zip konfiguracji klienta jest dostępny. Ma ona taką samą nazwę jak brama.

  3. Wyodrębnij pobrany plik zip.

  4. Przejdź do rozpakowanego folderu "AzureVPN".

  5. Zanotuj lokalizację pliku "azurevpnconfig.xml". Azurevpnconfig.xml zawiera ustawienie połączenia sieci VPN. Ten plik można również dystrybuować do wszystkich użytkowników, którzy muszą łączyć się za pośrednictwem poczty e-mail lub innych środków. Aby pomyślnie nawiązać połączenie, użytkownik będzie musiał mieć prawidłowe poświadczenia Microsoft Entra ID.

Konfigurowanie klienta sieci VPN platformy Azure

Następnie przeanalizujesz pakiet konfiguracji profilu, skonfigurujesz klienta sieci VPN platformy Azure dla komputerów klienckich i połączysz się z platformą Azure. Zapoznaj się z artykułami wymienionymi w sekcji Następne kroki.

Następne kroki

Konfigurowanie klienta sieci VPN platformy Azure.