分享方式:

設定 Azure VPN Client – Microsoft Entra ID 驗證 – Linux (預覽)

  • 文章

本文協助您使用 VPN 閘道點對站 (P2S) VPN 和 Microsoft Entra ID 驗證,在 Linux 電腦 (Ubuntu) 上設定 Azure VPN Client 以連線到虛擬網路。 如需點對站連線的詳細資訊,請參閱關於點對站連線

本文中的步驟適用於使用已註冊 Microsoft 的 Azure VPN Client 應用程式,搭配相關聯的 App ID 和對象值來進行 Microsoft Entra ID 驗證。 本文不適用於您租用戶的舊版手動註冊 Azure VPN Client 應用程式。 如需詳細資訊,請參閱關於點對站 VPN - Microsoft Entra ID 驗證

雖然適用於 Linux 的 Azure VPN Client 可能在其他 Linux 發行版和版本上運作,但下列版本僅支援適用於 Linux 的 Azure VPN Client:

  • Ubuntu 20.04
  • Ubuntu 22.04

必要條件

完成點對站伺服器設定的步驟。 請參閱「設定 P2S VPN 閘道以進行 Microsoft Entra ID 驗證」

工作流程

完成 Azure VPN 閘道 P2S 伺服器設定之後,後續步驟如下:

  1. 下載並安裝適用於 Linux 的 Azure VPN Client。
  2. 將用戶端設定檔設定匯入 VPN 用戶端。
  3. 建立連線。

下載並安裝 Azure VPN Client

使用以下步驟下載及安裝適用於 Linux 的最新版本 Azure VPN Client。

注意

僅新增 Ubuntu 20.04 或 22.04 版的存放庫清單。 如需詳細資訊,請參閱適用於 Microsoft 產品的 Linux 軟體存放庫

# install curl utility
sudo apt-get install curl

# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc

# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-focal-prod.list

# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-jammy-prod.list

sudo apt-get update
sudo apt-get install microsoft-azurevpnclient

下載 VPN 用戶端設定檔的組態檔

若要設定 Azure VPN Client 設定檔,您可以從 Azure P2S 閘道中下載 VPN 用戶端設定檔套件。 此套件包含設定 VPN 用戶端的必要設定。

如果您使用了必要條件一節中提到的 P2S 伺服器設定步驟,則表示您已經產生並下載了包含您所需 VPN 設定檔組態檔的 VPN 用戶端設定檔組態套件。 如果您需要產生組態檔,請參閱下載 VPN 用戶端設定檔組態套件

關於 VPN 用戶端設定檔的組態檔

在本節中,您會設定適用於 Linux 的 Azure VPN Client。

  • 如果您的 P2S 閘道設定先前已設定為使用舊版、手動註冊的 App ID 版本,則 P2S 設定不支援 Linux VPN 用戶端。 請參閱關於適用於 Azure VPN Client 已註冊 Microsoft 的 App ID

  • 針對 Microsoft Entra ID 驗證,請使用 azurevpnconfig_aad.xml 檔案。 此檔案位於 VPN 用戶端設定檔設定套件的 AzureVPN 資料夾中。

  1. 在 Azure VPN Client 頁面上,選取 [匯入]

    Azure VPN Client 匯入選取項目的螢幕擷取畫面。

  2. 選取 [匯入設定檔],然後瀏覽以尋找設定檔 xml 檔案。 選取 檔案。 選取檔案後,請選取 [確定]

    Azure VPN Client 的螢幕擷取畫面,其中顯示要匯入的檔案。

  3. 檢視連線設定檔資訊。 變更 [憑證資訊] 值,以顯示預設 DigiCert_Global_Root G2.pemDigiCert_Global_Root_CA.pem。 不要保留空白。

  4. 如果您的 VPN 用戶端設定檔包含多個用戶端驗證,則針對 [用戶端驗證]、[驗證類型] 選取 [Microsoft Entra ID] 的選項。

    [伺服器驗證] 和 [用戶端驗證] 欄位的螢幕擷取畫面。

  5. 針對 [租用戶] 欄位,指定您 Microsoft Entra Tenant 的 URL。 請確定租用戶 URL 結尾沒有 \ (反斜線)。 允許斜線。

    租用戶識別碼具有下列結構:https://login.microsoftonline.com/{Entra TenantID}

  6. 針對 [對象] 欄位,指定 [應用程式識別碼] (App ID)。

    Azure 公用的 App ID 為:c632b3df-fb67-4d84-bdcf-b95ad541b5c8。 我們也支援此欄位的自訂 App ID。

  7. 針對 [簽發者] 欄位,指定安全權杖服務的 URL。 請務必在 Issuer 值的結尾包括後置斜線。 否則連線可能會失敗。

    範例:https://sts.windows.net/{AzureAD TenantID}/

  8. 填入欄位時,按一下 [儲存]

  9. 在 [VPN 連線] 窗格中,選取您所儲存的連線設定檔。 然後,從下拉式清單中,按一下 [連線]

    顯示連線設定檔和下拉式清單中要尋找連線的區域螢幕擷取畫面。

  10. 隨即自動出現網頁瀏覽器。 填入使用者名稱/密碼認證以進行 Microsoft Entra ID 驗證,然後連線。

    驗證認證登入頁面的螢幕擷取畫面。

  11. 如果連線順利完成,用戶端會顯示綠色圖示,而 [狀態記錄] 視窗會顯示 [狀態 = 已連線]

    VPN 用戶端的螢幕擷取畫面,其中顯示已連線的狀態記錄視窗。

  12. 連線之後,狀態會變更為 [已連線]。 若要中斷工作階段的連線,請從下拉式清單中選取 [中斷連線]

刪除 VPN 用戶端設定檔

  1. 在 Azure VPN Client 上,選取您要移除的連線。 然後,從下拉式清單中選取 [移除]

    VPN 用戶端的螢幕擷取畫面,其中下拉式清單顯示三個選項:[連線]、[設定]、[移除]。

  2. 在 [移除 VPN 連線?] 上,選取 [確定]

    已開啟 [移除 VPN 連線] 彈出視窗的 VPN 用戶端螢幕擷取畫面。

查看記錄

若要診斷問題,您可以使用 Azure VPN Client [記錄]

  1. 在 Azure VPN Client 中,移至 [設定]。 在右側窗格中,選取 [顯示記錄目錄]

    VPN 用戶端的螢幕擷取畫面,其中顯示 [顯示記錄目錄] 選項。

  2. 若要存取記錄檔,請移至 /var/log/azurevpnclient 資料夾,並找出 AzureVPNClient.log 檔案。

    Azure VPN Client 記錄檔位置的螢幕擷取畫面。

下一步