Поделиться через


Настройка VPN-клиента Azure — проверка подлинности идентификатора Microsoft Entra — Windows

В этой статье показано, как настроить VPN-клиент Azure на компьютере Windows для подключения к виртуальной сети с помощью VPN-подключения VPN-шлюз VPN типа "точка — сеть" (P2S) и проверки подлинности идентификатора Microsoft Entra ID. Дополнительные сведения о подключениях типа "точка — сеть" см. в разделе "Сведения о подключениях типа "точка — сеть". VPN-клиент Azure поддерживается в режиме Windows FIPS с помощью исправления KB4577063 .

Необходимые компоненты

Настройте VPN-шлюз для VPN-подключений типа "точка — сеть", которые указывают проверку подлинности идентификатора Microsoft Entra. Сведения о настройке VPN-шлюза P2S для проверки подлинности идентификатора Microsoft Entra.

Рабочий процесс

В этой статье показано, как настроить VPN-шлюз P2S для проверки подлинности идентификатора Microsoft Entra. В этой статье подробно описано, как выполнять следующее:

  1. Скачайте и установите VPN-клиент Azure для Windows.
  2. Извлеките файлы конфигурации профиля VPN-клиента.
  3. Обновите файлы конфигурации профиля с помощью настраиваемого значения аудитории (если применимо).
  4. Импортируйте параметры профиля клиента в VPN-клиент.
  5. Создайте подключение и подключитесь к Azure.

Загрузка VPN-клиента Azure

  1. Загрузите последнюю версию установочных файлов VPN-клиента Azure, используя одну из следующих ссылок:

    • Выполните установку с использованием установочных файлов клиента: https://aka.ms/azvpnclientdownload.
    • Установите напрямую после входа на клиентский компьютер: Microsoft Store.
  2. Установите клиент Azure на все компьютеры.

  3. Убедитесь в том, что у VPN-клиента Azure есть разрешение на запуск в фоновом режиме. Инструкции см. в статье Фоновые приложения Windows.

  4. Чтобы проверить установленную версию клиента, откройте VPN-клиент Azure. Перейдите в нижнюю часть клиента и щелкните ... -> ? Справка. В правой области отображается номер версии клиента.

Извлечение файлов конфигурации профиля клиента

Чтобы настроить профиль VPN-клиента Azure, необходимо сначала скачать пакет конфигурации профиля VPN-клиента из шлюза Azure P2S. Этот пакет предназначен для настроенного VPN-шлюза и содержит необходимые параметры для настройки VPN-клиента. Если вы использовали шаги настройки сервера P2S, как упоминалось в разделе предварительных требований, вы уже создали и скачали пакет конфигурации профиля VPN-клиента, содержащий файлы конфигурации профиля VPN. Если вам нужно создать файлы конфигурации, ознакомьтесь с пакетом конфигурации профиля VPN-клиента.

После получения пакета конфигурации профиля VPN-клиента извлеките ZIP-файл. Zip-файл содержит папку AzureVPN . Папка AzureVPN содержит файл azurevpnconfig_aad.xml или файл azurevpnconfig.xml в зависимости от того, включает ли конфигурация P2S несколько типов проверки подлинности. Если вы не видите azurevpnconfig_aad.xml или azurevpnconfig.xml или у вас нет папки AzureVPN, убедитесь, что VPN-шлюз настроен для использования типа туннеля OpenVPN и выбрана проверка подлинности Azure Active Directory (Microsoft Entra ID).

Изменение файлов конфигурации профиля

Если конфигурация P2S использует пользовательскую аудиторию, а зарегистрированное приложение связано с идентификатором приложения, зарегистрированным корпорацией Майкрософт, при попытке подключиться может появиться сообщение об ошибке AADSTS650057. При вводе учетных данных идентификатора записи во всплывающее окно во второй раз будет устранена проблема. Это происходит из-за того, что профиль VPN-клиента нуждается как в пользовательском идентификаторе аудитории, так и в идентификаторе приложения Майкрософт. Чтобы предотвратить это, измените конфигурацию профиля .xml файл, чтобы включить как пользовательский идентификатор приложения, так и идентификатор приложения Майкрософт.

Примечание.

Этот шаг необходим для конфигураций шлюза P2S, использующих настраиваемое значение аудитории, и зарегистрированное приложение связано с идентификатором vpn-клиента Microsoft Azure. Если это не относится к конфигурации шлюза P2S, этот шаг можно пропустить.

  1. Чтобы изменить конфигурацию VPN-клиента Azure, .xml файл, откройте файл с помощью текстового редактора, например Блокнота.

  2. Затем добавьте значение для applicationid и сохраните изменения. В следующем примере показано значение идентификатора приложения для c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

    Пример

    <aad>
       <audience>{customAudienceID}</audience>
       <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
       <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
       <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
    </aad>
    

Импорт параметров конфигурации профиля клиента

Примечание.

Мы в процессе изменения полей VPN-клиента Azure для Azure Active Directory на идентификатор Microsoft Entra. Если вы видите поля идентификатора Microsoft Entra, на которые ссылается эта статья, но пока не видите эти значения, отраженные в клиенте, выберите сопоставимые значения Azure Active Directory.

  1. На странице выберите Import (Импорт).

    Снимок экрана: выбранная кнопка

  2. Перейдите в папку конфигурации профиля VPN-клиента Azure, которую вы извлекли. Откройте папку AzureVPN и выберите файл конфигурации профиля клиента (azurevpnconfig_aad.xml или azurevpnconfig.xml). Нажмите кнопку "Открыть ", чтобы импортировать файл.

  3. Измените имя имени подключения (необязательно). В этом примере обратите внимание, что отображаемое значение аудитории — это новое общедоступное значение Azure, связанное с идентификатором приложения VPN-клиента Microsoft Azure. Значение в этом поле должно соответствовать значению, которое настроен для использования VPN-шлюза P2S.

    Снимок экрана: сохранение профиля.

  4. Нажмите кнопку "Сохранить", чтобы сохранить профиль подключения.

  5. В левой области выберите профиль подключения, который вы хотите использовать. Затем нажмите кнопку "Подключиться" , чтобы инициировать подключение.

    Снимок экрана: выбрана кнопка VPN и подключения.

  6. Проверка подлинности с помощью учетных данных при появлении запроса.

  7. После подключения значок становится зеленым и отображается "Подключено".

Автоматическое подключение

Эти действия помогут вам настроить автоматическое подключение с параметром Always On.

  1. На домашней странице VPN-клиента выберите Параметры VPN. Если появится диалоговое окно "Переключение приложений", нажмите кнопку "Да".

    Снимок экрана: домашняя страница VPN с выбранными параметрами VPN.

  2. Если профиль, который требуется настроить, отключите подключение, выделите профиль и установите флажок "Подключиться автоматически".

    Снимок экрана: окно параметров с флажом

  3. Нажмите кнопку Подключить, чтобы инициировать VPN-подключение.

Экспорт и распространение клиентского профиля

Если у вас есть рабочий профиль и вам нужно распространить его другим пользователям, его можно экспортировать. Для этого выполните следующие действия.

  1. Выделите профиль VPN-клиента, который требуется экспортировать, щелкните ... и выберите Экспорт.

    Снимок экрана: страница VPN-клиента Azure с выделенным многоточием и выделенным элементом

  2. Выберите расположение, в которое нужно сохранить этот профиль, оставьте имя файла без изменений, а затем нажмите кнопку Сохранить, чтобы сохранить XML-файл.

Удаление профиля клиента

  1. Нажмите кнопку с многоточием (...) рядом с клиентским профилем, который вы хотите удалить. Затем щелкните Remove (Удалить).

    Снимок экрана с выбранным параметром

  2. Во всплывающем окне подтверждения нажмите кнопку "Удалить ", чтобы удалить.

Диагностика проблем с подключением

  1. Для диагностики проблем с подключением можно использовать средство Diagnose (Диагностика). Нажмите кнопку с многоточием (...) рядом с VPN-подключением, которое нужно диагностировать, чтобы открыть меню. Затем выберите Diagnose (Диагностика). На странице "Свойства подключения" выберите "Выполнить диагностику".

    Снимок экрана с выбранным многоточием и диагностикой.

  2. При появлении запроса войдите с помощью учетных данных.

  3. Просмотрите результаты.

Необязательные параметры конфигурации клиента

Vpn-клиент Azure можно настроить с дополнительными параметрами конфигурации, такими как дополнительные DNS-серверы, настраиваемые DNS-серверы, принудительное туннелирование, пользовательские маршруты и другие параметры. Дополнительные сведения см. в статье о VPN-клиенте Azure — необязательные параметры.

Сведения о версии VPN-клиента Azure

Сведения о версии VPN-клиента Azure см. в версиях VPN-клиента Azure.

Следующие шаги

Сведения о подключениях типа "точка — сеть".