Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как настроить VPN-клиент Azure на компьютере с Windows для подключения к виртуальной сети с использованием пользовательского VPN в Виртуальной глобальной сети и аутентификации с Microsoft Entra ID. VPN-клиент Azure поддерживается в режиме Windows FIPS с помощью исправления KB4577063 .
Примечание.
Проверка подлинности идентификатора Microsoft Entra поддерживается только для подключений протокола OpenVPN®.
Прежде чем начать
Убедитесь, что вы находитесь в правильной статье. В следующей таблице приведены статьи о конфигурации, доступные для клиентов VPN Azure Virtual WAN типа "точка-точка" (P2S). Шаги различаются в зависимости от типа проверки подлинности, типа туннеля и клиентской ОС.
| Метод аутентификации | Тип туннеля | ОС клиента | VPN-клиент |
|---|---|---|---|
| Сертификат | IKEv2, SSTP | Windows | Собственный VPN-клиент |
| IKEv2 | macOS | Собственный VPN-клиент | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
VPN-клиент Azure Клиент OpenVPN версии 2.x Клиент OpenVPN версии 3.x |
|
| OpenVPN | macOS | Клиент OpenVPN | |
| OpenVPN | iOS | Клиент OpenVPN | |
| OpenVPN | Linux |
VPN-клиент Azure Клиент OpenVPN |
|
| Microsoft Entra ID | OpenVPN | Windows | VPN-клиент Azure |
| OpenVPN | macOS | VPN-клиент Azure | |
| OpenVPN | Linux | VPN-клиент Azure |
Предварительные требования
В этой статье предполагается, что вы уже выполнили следующие предварительные требования:
- Вы настроили виртуальную глобальную сеть в соответствии с инструкциями, описанными в статье "Настройка vpn-подключения пользователя (P2S) для проверки подлинности идентификатора Microsoft Entra ID. Конфигурация VPN пользователя должна использовать проверку подлинности Microsoft Entra ID (Azure Active Directory) и тип туннеля OpenVPN.
- Вы создали и скачали файлы конфигурации VPN-клиента. Инструкции по созданию пакета конфигурации профиля VPN-клиента см. в разделе "Скачать глобальные и центральные профили".
Рабочий процесс
Эта статья следует за шагами настройки шлюза VPN (P2S) для пользователя с аутентификацией Microsoft Entra ID. В этой статье подробно описано, как выполнять следующее:
- Скачайте и установите VPN-клиент Azure для Windows.
- Извлеките файлы конфигурации профиля VPN-клиента.
- Обновите файлы конфигурации профиля с помощью настраиваемого значения аудитории (если применимо).
- Импортируйте параметры профиля клиента в VPN-клиент.
- Создайте подключение и подключитесь к Azure.
Загрузка VPN-клиента Azure
Функции и параметры, доступные для VPN-клиента Azure, зависят от используемой версии клиента. Для получения сведений о версиях VPN-клиента Azure обратитесь к разделу версии VPN-клиента Azure.
Загрузите последнюю версию установочных файлов VPN-клиента Azure, используя одну из следующих ссылок:
- Выполните установку с использованием установочных файлов клиента: https://aka.ms/azvpnclientdownload.
- Установите напрямую после входа на клиентский компьютер: Microsoft Store.
- Установите с помощью диспетчера пакетов Windows (WinGet). Чтобы установить и узнать больше о методе WinGet в этом документе, выполните следующую команду.
winget install Microsoft.AzureVPNClient --source winget
Установите клиент Azure на все компьютеры.
Убедитесь в том, что у VPN-клиента Azure есть разрешение на запуск в фоновом режиме. Инструкции см. в статье Фоновые приложения Windows.
Чтобы проверить установленную версию клиента, откройте VPN-клиент Azure. Перейдите к нижней части клиента и выберите ... -> ? Справка. В правой области отображается номер версии клиента.
Извлечение файлов конфигурации профиля клиента
Чтобы настроить профиль VPN-клиента Azure, необходимо сначала скачать пакет конфигурации профиля VPN-клиента из шлюза Azure P2S. Этот пакет предназначен для настроенного VPN-шлюза и содержит необходимые параметры для настройки VPN-клиента. Если вы использовали шаги настройки сервера P2S, как упоминалось в разделе предварительных требований, вы уже создали и скачали пакет конфигурации профиля VPN-клиента, содержащий файлы конфигурации профиля VPN.
После получения пакета конфигурации профиля VPN-клиента извлеките ZIP-файл. Zip-файл содержит папку AzureVPN . Папка AzureVPN содержит файл azurevpnconfig_aad.xml или файл azurevpnconfig.xml в зависимости от того, включает ли конфигурация P2S несколько типов проверки подлинности. Если вы не видите azurevpnconfig_aad.xml или azurevpnconfig.xml или у вас нет папки AzureVPN, убедитесь, что VPN-шлюз настроен для использования типа туннеля OpenVPN и выбрана проверка подлинности Azure Active Directory (Microsoft Entra ID).
Изменение файлов конфигурации профиля
Если конфигурация P2S использует настраиваемую аудиторию с идентификатором приложения, зарегистрированным корпорацией Майкрософт, вы можете получать всплывающие окна при каждом подключении, требующем повторного ввода учетных данных и завершения проверки подлинности. Повторная проверка подлинности обычно устраняет проблему. Это происходит, так как профиль VPN-клиента требует как пользовательского идентификатора аудитории, так и идентификатора приложения Майкрософт. Чтобы предотвратить это, измените конфигурацию профиля .xml файл, чтобы включить как пользовательский идентификатор приложения, так и идентификатор приложения Майкрософт.
Примечание.
Этот шаг необходим для конфигураций шлюза P2S, использующих настраиваемое значение аудитории, и зарегистрированное приложение связано с идентификатором vpn-клиента Microsoft Azure. Если это не относится к конфигурации шлюза P2S, этот шаг можно пропустить.
Чтобы изменить файл конфигурации VPN-клиента Azure .xml, откройте его с помощью текстового редактора, например, блокнота.
Затем добавьте значение для
applicationid, и сохраните изменения. В следующем примере показано значениеc632b3df-fb67-4d84-bdcf-b95ad541b5c8идентификатора приложения.Пример
<aad> <audience>{customAudienceID}</audience> <issuer>https://sts.windows.net/{tenant ID value}/</issuer> <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant> <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> </aad>
Для профилей VPN-клиента Windows Azure дополнительное поле для единого входа устройства (SSO) включено для упрощения проверки подлинности пользователей. Подробнее смотрите в статье о VPN-клиенте Azure и единой регистрации устройства.
Настройка VPN-клиента Azure и подключение
Примечание.
Мы в процессе изменения полей VPN-клиента Azure для Azure Active Directory на идентификатор Microsoft Entra. Если вы видите поля идентификатора Microsoft Entra, на которые ссылается эта статья, но пока не видите эти значения, отраженные в клиенте, выберите сопоставимые значения Azure Active Directory.
Откройте VPN-клиент Azure.
Выберите + в нижней левой части страницы и нажмите кнопку "Импорт".
Перейдите в папку конфигурации профиля VPN-клиента Azure, которую вы извлекли. Откройте папку AzureVPN и выберите файл конфигурации профиля клиента (azurevpnconfig_aad.xml или azurevpnconfig.xml). Нажмите кнопку "Открыть ", чтобы импортировать файл.
На странице профиля клиента обратите внимание, что многие параметры уже указаны. Предварительно настроенные параметры содержатся в пакете профиля VPN-клиента, который вы импортировали. Несмотря на то что большинство параметров уже указаны, необходимо настроить параметры, относящиеся к клиентскому компьютеру.
Измените имя имени подключения (необязательно). В этом примере обратите внимание, что отображаемое значение аудитории — это значение, связанное с идентификатором приложения VPN-клиента Microsoft Azure. Значение в этом поле должно соответствовать значению, на использование которого настроен ваш VPN-шлюз P2S.
Нажмите кнопку "Сохранить", чтобы сохранить профиль подключения.
В левой области выберите профиль подключения, который вы хотите использовать. Затем нажмите кнопку "Подключиться" , чтобы инициировать подключение.
Авторизуйтесь, используя свои учетные данные, если вас об этом попросят.
После подключения значок становится зеленым и отображается "Подключено".
-
Область доступа к системе VPN-клиента Azure, доступная в версии 4.0.0.0 и более поздних версий, позволяет закрыть приложение VPN-клиента Azure, сохраняя подключение активным. При закрытии приложения вы увидите приложение в системном трее Windows. Вы можете повторно открыть приложение VPN-клиента Azure в компактном режиме, щелкнув значок в трее.
Экспорт и распространение клиентского профиля
Если у вас есть рабочий профиль и вам нужно распространить его другим пользователям, его можно экспортировать. Для этого выполните следующие действия.
Выделите профиль VPN-клиента, который требуется экспортировать, щелкните ... и выберите Экспорт.
Выберите расположение, в которое нужно сохранить этот профиль, оставьте имя файла без изменений, а затем нажмите кнопку Сохранить, чтобы сохранить XML-файл.
Удаление профиля клиента
Выделите профиль VPN-клиента, который требуется экспортировать, выберите ..., а затем нажмите кнопку "Удалить".
Во всплывающем окне подтверждения нажмите кнопку "Удалить ", чтобы удалить.
Работа с подключениями
Автоматическое подключение
Вы можете настроить подключение для автоматического подключения с помощью Always-on.
На домашней странице VPN-клиента выберите Параметры VPN. Если появится диалоговое окно "Переключение приложений", нажмите кнопку "Да".
Если профиль, который вы хотите настроить, подключен, сначала отключите подключение, затем выделите профиль и установите флажок «Подключаться автоматически».
Нажмите кнопку Подключить, чтобы инициировать VPN-подключение.
Диагностика проблем с подключением
Проверка предварительных условий
Если VPN-клиент Azure версии 4.0.0.0 или более поздней версии, можно выполнить проверку необходимых компонентов, чтобы убедиться, что компьютер настроен и установлен для успешного подключения. Чтобы просмотреть номер версии установленного VPN-клиента Azure, запустите клиент и выберите "Справка".
- Щелкните ... в нижней части страницы VPN-клиента Azure и выберите Предварительные условия.
- На странице предварительных требований тестового приложения выберите Запустить тест предварительных требований.
- Исправьте все проблемы и повторите попытку подключения. Дополнительные сведения см. в предварительных требованиях для VPN-клиента Azure.
Средство диагностики
Нажмите кнопку с многоточием (...) рядом с VPN-подключением, которое нужно диагностировать, чтобы открыть меню. Затем выберите Diagnose (Диагностика).
На странице "Свойства подключения" выберите "Выполнить диагностику". Если появится запрос, войдите, используя данные для входа, а затем просмотрите результаты.
Настройка настраиваемых параметров: DNS и маршрутизация
Vpn-клиент Azure можно настроить с дополнительными параметрами конфигурации, такими как дополнительные DNS-серверы, настраиваемые DNS-серверы, принудительное туннелирование, пользовательские маршруты и другие параметры. Дополнительные сведения см. в разделе "Настройка необязательных параметров VPN-клиента Azure".
Следующие шаги
Дополнительные сведения о vpn-клиенте Azure, зарегистрированном в Microsoft, см. в разделе Настройка VPN-подключения пользователя P2S для проверки подлинности идентификатора Microsoft Entra ID.