設定 P2S VPN 閘道以進行 Microsoft Entra ID 驗證 - Microsoft 註冊的應用程式 (預覽)

本文可協助您使用新 Microsoft 註冊的 Azure VPN Client App ID，設定點對站 (P2S) VPN 閘道以進行 Microsoft Entra ID 驗證。

注意

本文中的步驟適用於 Microsoft Entra ID 驗證，其會使用新 Microsoft 註冊的 Azure VPN Client App ID 和相關聯的對象值。 本文不適用於為您的租用戶手動註冊的舊版 Azure VPN Client 應用程式。 如需手動註冊的 Azure VPN Client 步驟，請參閱使用手動註冊的 VPN 用戶端設定 P2S。

VPN 閘道現在支援新 Microsoft 註冊的 App ID，以及最新版 Azure VPN Client 的對應對象值。 當您使用新的對象值設定 P2S VPN 閘道時，請略過您 Microsoft Entra 租用戶的 Azure VPN Client 應用程式手動註冊流程。 已建立 App ID，無需額外的註冊步驟，您的租用戶便能自動使用該 App ID。 此流程比手動註冊 Azure VPN Client 更安全，因為您不需要授權應用程式或透過全域管理員角色指派權限。

先前，您必須向 Microsoft Entra 租用戶手動註冊 (整合) Azure VPN Client 應用程式。 註冊用戶端應用程式會建立代表 Azure VPN Client 應用程式身分識別的 App ID，並且需要使用全域管理員角色進行授權。 若要進一步了解應用程式物件類型之間的差異，請參閱如何將應用程式新增至 Microsoft Entra ID 及其原因。

可能的話，建議您使用 Microsoft 註冊的 Azure VPN Client App ID 及其對應的對象值來設定新的 P2S 閘道，而不是手動向您的租用戶註冊 Azure VPN Client 應用程式。 如果先前已設定使用 Microsoft Entra ID 驗證的 Azure VPN 閘道，您可以更新閘道和用戶端，以利用新 Microsoft 註冊的 App ID。 如果您想要 Linux 用戶端連線，則需要以新的對象值更新 P2S 閘道。 適用於 Linux 的 Azure VPN Client 不與舊版對象值回溯相容。 如果您有想要更新為使用新對象值的現有 P2S 閘道，請參閱變更 P2S VPN 閘道的對象。

考量與限制：

• 一個 P2S VPN 閘道只能支援一個對象值。 其無法同時支援多個對象值。

• 目前，新版 Microsoft 註冊的 App ID 不支援與舊版手動註冊的應用程式一樣多的對象值。 如果針對 Azure 公用或自訂以外的任何項目，您需要一個對象值，請使用舊版手動註冊的方法和值。

• 適用於 Linux 的 Azure VPN Client 不與設定為使用舊版對象值 (與手動註冊的應用程式一致) 的 P2S 閘道回溯相容。 適用於 Linux 的 Azure VPN Client 支援自訂對象值。

• 雖然適用於 Linux 的 Azure VPN Client 可能在其他 Linux 發行版和版本上運作，這是可行的，但下列版本僅支援適用於 Linux 的 Azure VPN Client：

  • Ubuntu 20.04
  • Ubuntu 22.04

• 適用於 macOS 和 Windows 的 Azure VPN Client 與設定為使用舊版對象值 (與手動註冊的應用程式一致) 的 P2S 閘道回溯相容。 您也可以使用自訂對象值搭配這些用戶端。

下表顯示每個 App ID 所支援的 Azure VPN Client 版本，以及對應的可用對象值。

應用程式識別碼	支援的對象值	支援的用戶端
Microsoft 註冊 (預覽)	- Azure 公用：c632b3df-fb67-4d84-bdcf-b95ad541b5c8	- Linux - Windows - macOS
手動註冊	- Azure 公用：41b23e61-6c1e-4545-b367-cd054e0ed4b4 - Azure Government：51bb15d4-3a4f-4ebf-9dca-40096fe32426 - Azure 德國：538ee9e6-310a-468d-afef-ea97365856a9 - 由 21Vianet 營運的 Microsoft Azure：49f817b6-84ae-4cc0-928c-73f27289b3aa	- Windows - macOS
自訂	<custom-app-id>	- Linux - Windows - macOS

點對站工作流程

使用 Microsoft Entra ID 驗證來成功設定 P2S 連線需要一連串的步驟。

本文可協助您：

1. 驗證您的租用戶。
2. 使用適當的必要設定來設定 VPN 閘道。
3. 產生並下載 VPN 用戶端設定套件。

後續步驟一節中的文章可協助您：

1. 將 Azure VPN Client 下載到用戶端電腦。
2. 使用 VPN 用戶端設定套件中的設定來設定用戶端。
3. 連線。

必要條件

本文假設下列先決條件：

• 一個 VPN 閘道

  • 某些閘道選項與使用 Microsoft Entra ID 驗證的 P2S VPN 閘道不相容。 VPN 閘道無法使用基本 SKU 或原則型 VPN 類型。 如需閘道 SKU 的詳細資訊，請參閱關於閘道 SKU。 如需 VPN 類型的詳細資訊，請參閱 VPN 閘道設定。

  • 如果您還沒有與 Microsoft Entra ID 驗證相容的有效 VPN 閘道，請參閱建立和管理 VPN 閘道 - Azure 入口網站。 建立相容的 VPN 閘道，然後返回本文以設定 P2S 設定。

• 一個 Microsoft Entra 租用戶

  • 本文中的步驟需要 Microsoft Entra 租用戶。 如需詳細資訊，請參閱在 Microsoft Entra ID 中建立新的租用戶。

新增 VPN 用戶端位址集區

用戶端位址集區是您指定的私人 IP 位址範圍。 透過點對站 VPN 連線的用戶端會動態收到這個範圍內的 IP 位址。 使用不會重疊的私人 IP 位址範圍搭配您從其連線的內部部署位置，或搭配您要連線至的 VNet。 如果您設定多個通訊協定，且 SSTP 是其中一個通訊協定，則設定的位址集區會平均地在設定的通訊協定之間進行分割。

1. 在 Azure 入口網站中，移至您的 VPN 閘道。

2. 在閘道的頁面上，於左側窗格中，選取 [點對站設定]。

3. 按一下 [立即設定] 以開啟 [組態] 頁面。

   

4. 在 [點對站設定] 頁面上的 [位址集區] 方塊中，新增您要使用的私人 IP 位址範圍。 VPN 用戶端會動態收到您指定範圍內的 IP 位址。 主動/被動設定的最小子網路遮罩為 29 位元，主動/主動設定的最小子網路遮罩為 28 位元。

5. 繼續前往下一節以進行其他設定。

設定通道類型和驗證

重要

Azure 入口網站正在將 Azure Active Directory 欄位更新為 Entra。 如果您看到參考的 Microsoft Entra ID，而且您尚未在入口網站中看到這些值，您可以選取 Azure Active Directory 值。

1. 找出目錄 (您要用於驗證) 的租用戶識別碼。 如需如何尋找租用戶識別碼的說明，請參閱如何尋找 Microsoft Entra 租用戶識別碼。

2. 設定通道類型和驗證值。

   

   設定下列值：

   • 位址集區：用戶端位址集區
   • 通道類型：OpenVPN (SSL)
   • 驗證類型：Microsoft Entra ID

   對於 Microsoft Entra ID 值，請對 Tenant、Audience 及 Issuer 值使用下列指導方針。 將 {Microsoft ID Entra 租用戶識別碼} 取代為您的租用戶識別碼，當您取代此值時，請小心從範例中移除 {}。

   • 租用戶：Microsoft Entra ID 租用戶的 TenantID。 輸入對應至設定的租用戶識別碼。 請確定租用戶 URL 結尾沒有 \ (反斜線)。 允許斜線。

     • Azure 公用：https://login.microsoftonline.com/{Microsoft ID Entra Tenant ID}

   • 對象：Microsoft 註冊的 Azure VPN Client App ID 的對應值。 此欄位也支援自訂對象。

     • Azure 公用：c632b3df-fb67-4d84-bdcf-b95ad541b5c8

   • 簽發者：安全權杖服務的 URL。 請務必在 Issuer 值的結尾包括後置斜線。 否則連線可能會失敗。 範例：

     • https://sts.windows.net/{Microsoft ID Entra Tenant ID}/

3. 您不需要按一下 [授與 Azure VPN Client 應用程式的系統管理員同意]。 此連結僅適用於手動註冊的 VPN 用戶端，這些用戶端會使用舊版對象值。 其會在 Azure 入口網站中開啟頁面。

4. 完成設定之後，請按一下頁面頂端的 [儲存]。

下載 VPN 用戶端設定檔設定套件

在本節中，您會產生並下載 Azure VPN Client 設定檔設定套件。 此套件包含您可以用來在用戶端電腦上設定 Azure VPN Client 設定檔的設定。

1. 在 [點對站台組態] 頁面頂端，按一下 [下載 VPN 用戶端]。 產生用戶端組態套件需耗費幾分鐘的時間。

2. 您的瀏覽器指出用戶端組態 zip 檔可用。 其名稱與您的閘道名稱相同。

3. 將已下載的 ZIP 檔案解壓縮。

4. 瀏覽至解壓縮的「AzureVPN」資料夾。

5. 記下 “azurevpnconfig.xml” 檔案的位置。 azurevpnconfig.xml 包含 VPN 連線的設定。 您也可以將此檔案散發給需要透過電子郵件或其他方式連線的所有使用者。 使用者將需要有效的 Microsoft Entra ID 認證才能成功連線。

設定 Azure VPN Client

接下來，您會檢查設定檔設定套件、設定用戶端電腦的 Azure VPN Client，以及連線到 Azure。 請參閱後續步驟一節中所列的文章。

下一步

設定 Azure VPN Client。

• 適用於 Linux 的 Azure VPN Client
• 適用於 Windows 的 Azure VPN Client
• 適用於 macOS 的 Azure VPN Client