共用方式為


使用 Azure 虛擬 WAN 建立 P2S 使用者 VPN 連線 - Microsoft Entra 驗證

本文將說明如何使用虛擬 WAN 連線至 Azure 中的資源。 在本文中,您會建立使用 Microsoft Entra 驗證的虛擬 WAN 點對站使用者 VPN 連線。 Microsoft Entra 驗證僅適用於使用 OpenVPN 通訊協定的閘道。

注意

Microsoft Entra ID 驗證僅支援 OpenVPN® 通訊協定連線,而且需要 Azure VPN Client。

在本文中,您將學會如何:

  • 建立虛擬 WAN
  • 建立使用者 VPN 設定
  • 下載虛擬 WAN 使用者 VPN 設定檔
  • 建立虛擬中樞
  • 編輯中樞以新增 P2S 閘道
  • 將 VNet 連線至虛擬中樞
  • 下載並套用使用者 VPN 用戶端設定
  • 檢視您的虛擬 WAN

虛擬 WAN 圖表的螢幕擷取畫面。

開始之前

在開始設定之前,請確認您已符合下列條件:

  • 您有一個要連線的虛擬網路。 驗證沒有任何內部部署網路的子網路與您要連線的虛擬網路子網路重疊。 若要在 Azure 入口網站中建立虛擬網路,請參閱快速入門

  • 您的虛擬網路沒有任何虛擬網路閘道。 如果您的虛擬網路有閘道 (VPN 或 ExpressRoute),則必須移除所有閘道。 此設定需要將虛擬網路改為連線到虛擬 WAN 中樞閘道。

  • 為您的中樞區域取得一個 IP 位址範圍。 中樞是虛擬 WAN 建立和使用的虛擬網路。 您為中樞區域指定的位址範圍不能與任何連線的現有虛擬網路重疊。 也不能與連線至內部部署的位址範圍重疊。 如果您不熟悉位於內部部署網路設定中的 IP 位址範圍,請與可以為您提供這些詳細資料的人員協調。

  • 如果您沒有 Azure 訂閱,請建立免費帳戶

建立虛擬 WAN

透過瀏覽器瀏覽至 Azure 入口網站 ,並使用您的 Azure 帳戶登入。

  1. 在入口網站前往 [搜尋資源] 列,接著在搜尋方塊中輸入 [虛擬 WAN],然後選取 [Enter]

  2. 從結果中選取 [虛擬 WAN] 在 [虛擬 WAN] 頁面中,選取 [+ 建立],以開啟 [建立 WAN] 頁面。

  3. 在 [建立 WAN] 頁面的 [基本] 索引標籤中,填寫欄位。 修改範例值以套用至您的環境。

    螢幕擷取畫面顯示 [建立 WAN] 窗格,並選取 [基本] 索引標籤。

    • 訂閱:選取您要使用的訂閱。
    • 資源群組:建立新的或使用現有的。
    • 資源群組位置:從下拉式清單中選擇資源位置。 WAN 是全域資源,並不會在特定區域存留。 不過,您必須選取一個區域以管理及放置所建立的 WAN 資源。
    • 名稱:鍵入要用來稱呼虛擬 WAN 的名稱。
    • 類型:基本或標準。 選取 [標準]。 如果您選取 [基本],請了解基本虛擬 WAN 只能包含基本中樞。 基本中樞只能用於站對站連線。
  4. 填寫欄位完成後,請在頁面底部選取 [檢閱 + 建立]

  5. 驗證通過後,按一下 [建立],以建立虛擬 WAN。

建立使用者 VPN 設定

使用者 VPN 設定會定義用於連線遠端用戶端的參數。 請務必先建立使用者 VPN 設定,再使用 P2S 設定來設定虛擬中樞,因為您必須指定要使用的使用者 VPN 設定。

  1. 瀏覽至您的 [虛擬 WAN - 使用者 VPN 設定]> 頁面,然後按一下 [+ 建立使用者 VPN 設定]

    建立使用者 VPN 設定的螢幕擷取畫面。

  2. 在 [基本] 頁面中指定參數。

    [基本] 頁面的螢幕擷取畫面。

    • 設定名稱 - 輸入您要稱呼使用者 VPN 設定的名稱。
    • [通道類型] - 從下拉式清單中選取 [OpenVPN]。
  3. 按一下 [Microsoft Entra ID] 以開啟頁面。

    [Microsoft Entra ID] 頁面的螢幕擷取畫面。

    將 [Microsoft Entra ID] 切換為 [是],並根據租用戶詳細資料提供下列值。 您可以在入口網站中,企業應用程式的 [Microsoft Entra ID] 頁面上檢視必要的值。

    • 驗證方法 - 選取 [Microsoft Entra ID]。

    • 對象 - 輸入在 Microsoft Entra 租用戶中註冊的 Azure VPN Client 企業應用程式所用應用程式識別碼。 如需值,請參閱:Azure VPN Client 對象值

    • 簽發者 - https://sts.windows.net/<your Directory ID>/

    • Microsoft Entra 租用戶:Microsoft Entra 租用戶的 TenantID。 請確認 Microsoft Entra 租用戶 URL 的結尾沒有 /

      • 針對 Azure 公用 AD 輸入 https://login.microsoftonline.com/<your Directory Tenant ID>
      • 針對 Azure Government AD 輸入 https://login.microsoftonline.us/<your Directory Tenant ID>
      • 針對 Azure 德國 AD 輸入 https://login-us.microsoftonline.de/<your Directory Tenant ID>
      • 針對 China 21Vianet AD 輸入 https://login.chinacloudapi.cn/<your Directory Tenant ID>
  4. 按一下 [建立] 來建立使用者 VPN 設定。 您稍後會在練習中選取這個設定。

建立空白中樞

在這項練習中,我們會在此步驟建立空的虛擬中樞,並且在下一節將 P2S 網路閘道新增到此中樞。 不過,您可以結合這些步驟,並一次建立具有 P2S 網路閘道設定的中樞。 不管哪種方式,結果都相同。 在設定完成後,按一下 [檢閱 + 建立] 進行驗證,然後按一下 [建立]

  1. 移至您建立的虛擬 WAN。 在虛擬 WAN 頁面的左側窗格上,於 [連線能力] 下,選取 [中樞]

  2. 在 [中樞] 頁面上,選取 [+ 新增中樞] 來開啟 [建立虛擬中樞] 頁面。

    螢幕擷取畫面顯示 [建立虛擬中樞] 窗格,並選取 [基本] 索引標籤。

  3. 在 [建立虛擬中樞] 頁面的 [基本] 索引標籤中,完成以下欄位:

    • 區域:選取您要在其中部署虛擬中樞的區域。
    • 名稱:您希望虛擬中樞顯示的名稱。
    • 中樞私人位址空間:採用 CIDR 標記法的中樞位址範圍。 最小位址空間是 /24 以便建立中樞。
    • 虛擬中樞容量:從下拉式清單中選取。 如需詳細資訊,請參閱虛擬中樞設定
    • 中樞路由喜好設定:保留為預設值。 如需詳細資訊,請參閱虛擬中樞路由偏好設定

將 P2S 閘道新增至中樞

本節說明如何將閘道新增至已經存在的虛擬中樞。 這個步驟可能需要 30 分鐘的時間,閘道才能完成更新。

  1. 瀏覽至虛擬 WAN 底下的 [中樞] 頁面。

  2. 按一下您要編輯的中樞名稱,以開啟中樞的頁面。

  3. 按一下頁面頂端的 [編輯虛擬中樞],開啟 [編輯虛擬中樞] 頁面。

  4. 在 [編輯虛擬中樞] 頁面上,勾選 [包含 VPN 網站的 VPN 閘道] 及 [包含點對站閘道] 核取方塊以顯示設定。 然後設定值。

    螢幕擷取畫面:編輯虛擬中樞。

    • 閘道縮放單位:選取閘道縮放單位。 縮放單位代表使用者 VPN 閘道的彙總容量。 如果您選取 40 個或以上的閘道縮放單位,請據此規劃您的用戶端位址集區。 如需這個設定會如何影響用戶端位址集區的詳細資訊,請參閱關於用戶端位址集區。 如需閘道縮放單位的詳細資訊,請參閱常見問題集
    • 使用者 VPN 設定:選取您稍早建立的設定。
    • 使用者群組至位址集區對應:如需此設定的相關資訊,請參閱設定 P2S 使用者 VPN 適用的使用者群組和 IP 位址集區 (預覽)
  5. 完成設定後,按一下 [確認] 更新中樞。 更新中樞最多可能需要 30 分鐘。

將 VNet 連線至中樞

在本節中,您會建立虛擬中樞和 VNet 之間的連線。

  1. 在 Azure 入口網站中前往 [虛擬 WAN],並在左窗格中選取 [虛擬網路連線]

  2. 在 [虛擬網路連線] 頁面上,選取 [+ 新增連線]

  3. 在 [新增連線] 頁面上,進行連線設定。 如需路由設定的資訊,請參閱關於路由

    螢幕擷取畫面:[新增連線] 頁面。

    • 連線名稱:命名您的連線。
    • 中樞:選取要與此連線產生關聯的中樞。
    • 訂用帳戶:請確認訂用帳戶。
    • 資源群組:選取包含您要連線之虛擬網路的資源群組。
    • 虛擬網路:選取要與此中樞連線的虛擬網路。 您選取的虛擬網路不能有現有的虛擬網路閘道。
    • 傳播到無:這會根據預設設為 [否]。 將開關變更為 [是],可讓 [傳播到路由表] 和 [傳播到標籤] 的設定選項無法用於設定。
    • 為路由表建立關聯:您可以從下拉式清單中選取您想要建立關聯的路由表。
    • 傳播至標籤:標籤是路由表的邏輯群組。 針對此設定,從下拉式清單中進行選取。
    • 靜態路由:視需要設定靜態路由。 設定網路虛擬設備的靜態路由 (若適用)。 虛擬 WAN 支援虛擬網路連線中靜態路由的單一下一個躍點 IP。 例如,如果您有用於輸入和輸出流量的個別虛擬設備,則最好讓虛擬設備位於個別的 VNet 中,並將 VNet 連結至虛擬中樞。
    • 略過此 VNet 內工作負載的下一個躍點 IP:此設定可讓您將 NVA 和其他工作負載部署到相同的 VNet,而不會強制所有流量通過 NVA。 只有在您設定新的連線時,才能進行此設定。 如果您想要針對已建立的連線使用此設定,請刪除連線,然後新增連線。
    • 傳播靜態路由:目前即將推出此設定。此設定可讓您將 [靜態路由] 區段中定義的靜態路由,傳播至 [傳播至路由表] 中指定的路由表。 此外,針對具有已指定為 [傳播至標籤] 標籤的路由表,路由也會傳播至此路由表。 這些路由可以跨中樞傳播,但預設路由 0/0 除外。 本功能正在推出中。如果您需要啟用此功能,請開啟支援案例
  4. 完成您想要的設定後,請按一下 [建立] 以建立連線。

下載使用者 VPN 設定檔

VPN 用戶端的所有必要設定都會包含在 VPN 用戶端組態 ZIP 檔案中。 ZIP 檔案中的設定可以協助您輕鬆地設定 VPN 用戶端。 您產生的 VPN 用戶端設定檔是您閘道的使用者 VPN 設定專用。 您可以下載全域 (WAN 層級) 設定檔,或是特定中樞的設定檔。 如需相關資訊和其他指示,請參閱下載全域和中樞設定檔。 下列步驟會逐步引導您下載全域 WAN 層級設定檔。

  1. 若要產生 WAN 層級全域設定檔 VPN 用戶端設定套件,請前往 [虛擬 WAN] (而非虛擬中樞)。

  2. 在左窗格中,選取 [使用者 VPN 設定]

  3. 選取您要下載其設定檔的設定。 如果您有多個中樞指派給相同的設定檔,請展開設定檔以顯示中樞,然後選取其中一個使用此設定檔的中樞。

  4. 選取 [下載虛擬 WAN 使用者 VPN 設定檔]

  5. 在下載頁面上選取 [EAPTLS],然後選取 [產生並下載設定檔]。 設定檔套件 (ZIP 檔案) 包含會產生並下載到您電腦中的用戶端組態設定。 套件的內容取決於您為設定選擇的驗證和通道。

設定使用者 VPN 用戶端

每個連線的電腦都必須安裝用戶端。 您可以使用您在先前步驟中下載的 VPN 使用者用戶端設定檔來設定每個用戶端。 如果要與作業系統建立連線,請利用與該作業系統相關的文章。

如果要設定 macOS VPN 用戶端 (預覽)

如需 macOS 用戶端指示,請參閱設定 VPN 用戶端 - macOS (預覽)

如果要設定 Windows VPN 用戶端

  1. 使用以下連結之一下載最新版本的 Azure VPN 用戶端安裝檔案:

  2. 將 Azure VPN Client 安裝到每部電腦。

  3. 確認 Azure VPN Client 具有在背景中執行的權限。 如需步驟,請參閱 Windows 背景應用程式

  4. 若要驗證已安裝的用戶端版本,請開啟 Azure VPN Client。 移至用戶端底部,然後按一下 [...] -> [?說明]。 在右窗格中,您可以看到用戶端版本號碼。

如果要匯入 VPN 用戶端設定檔 (Windows)

  1. 在頁面上,選取 [匯入]

    此螢幕擷取畫面顯示匯入頁面。

  2. 瀏覽至設定檔 xml 檔案,並加以選取。 選取檔案後,請選取 [開啟]

    此螢幕擷取畫面顯示一個開啟的對話方塊,您可以在此選取檔案。

  3. 指定設定檔的名稱,然後選取 [儲存]

    此螢幕擷取畫面顯示新增的連線名稱和選取的儲存按鈕。

  4. 選取 [連線] 以連線至 VPN。

    此螢幕擷取畫面顯示您剛才建立連線的連線按鈕。

  5. 連線之後,圖示將會變成綠色,並顯示為 [已連線]

    此螢幕擷取畫面顯示在連線狀態下中斷連線選項中的連線。

如果要刪除用戶端設定檔 - Windows

  1. 選取要刪除的用戶端設定檔旁的省略符號 (...)。 然後,選取 [移除]

    此螢幕擷取畫面顯示從功能表選取的 [移除]。

  2. 選取 [移除] 以刪除。

    螢幕擷取畫面顯示一個確認對話方塊,該方塊具有 [移除] 或 [取消] 的選項。

診斷連線問題 - Windows

  1. 若要診斷連線問題,您可以使用診斷工具。 選取要診斷的 VPN 連線旁的省略符號 (...),以顯示功能表。 然後,選取 [診斷]

    此螢幕擷取畫面顯示從功能表選取的診斷。

  2. 在 [連線屬性] 頁面上,選取 [執行診斷]

    螢幕擷取畫面顯示連線的 [執行診斷] 按鈕。

  3. 使用您的認證登入。

    此螢幕擷取畫面顯示此動作的登入對話方塊。

  4. 檢視診斷結果。

    此螢幕擷取畫面顯示診斷的結果。

檢視您的虛擬 WAN

  1. 瀏覽至虛擬 WAN。
  2. 在 [概觀] 頁面中,地圖上的每個點都代表著中樞。
  3. 在 [中樞與連線] 區段中,您可以檢視中樞狀態、網站、區域、VPN 連線狀態和輸入與輸出位元組。

清除資源

當您不再需要您所建立的資源時,請將其刪除。 由於相依性,某些虛擬 WAN 資源必須依特定順序刪除。 刪除需要大約 30 分鐘才能完成。

  1. 開啟您建立的虛擬 WAN。

  2. 選取與虛擬 WAN 相關聯的虛擬中樞,以開啟中樞頁面。

  3. 依照下列順序刪除每個閘道類型的所有閘道實體。 這項作業可能需要 30 分鐘的時間來完成。

    VPN

    • 中斷與 VPN 站點的連線
    • 刪除 VPN 連線
    • 刪除 VPN 閘道

    ExpressRoute:

    • 刪除 ExpressRoute 連線
    • 刪除 ExpressRoute 閘道
  4. 針對與虛擬 WAN 相關聯的所有中樞重複這些動作。

  5. 您可以在此時刪除中樞,或在稍後刪除資源群組時刪除中樞。

  6. 在 Azure 入口網站中前往資源群組。

  7. 選取 [刪除資源群組]。 這會刪除資源群組中的其他資源,包括中樞和虛擬 WAN。

下一步

關於虛擬 WAN 的常見問題,請參閱虛擬 WAN 常見問題集