Поделиться через

Настройка VPN-клиента Azure — проверка подлинности идентификатора Microsoft Entra — Windows

В этой статье описывается, как настроить Azure VPN Client на компьютере с Windows для подключения к виртуальной сети через VPN-шлюз типа "точка-сеть" (P2S) с аутентификацией с помощью Microsoft Entra ID. Дополнительные сведения о подключениях типа "точка — сеть" см. в разделе "Сведения о подключениях типа "точка — сеть". VPN-клиент Azure поддерживается в режиме Windows FIPS с помощью исправления KB4577063 .

Предварительные условия

Настройте VPN-шлюз для VPN-подключений типа "точка — сеть", которые указывают проверку подлинности идентификатора Microsoft Entra. См. Настройка VPN-шлюза P2S для проверки подлинности с использованием Microsoft Entra ID.

Хотя возможно, что VPN-клиент Azure для Windows может работать в других версиях операционной системы, VPN-клиент Azure для Windows поддерживается только в следующих выпусках:

  • Поддерживаемые выпуски Windows: Windows 10, Windows 11 на процессорах X64.
  • VPN-клиент Azure для Windows не поддерживается для систем, работающих на процессоре ARM.

Рабочий процесс

В этой статье показано, как настроить VPN-шлюз P2S для проверки подлинности идентификатора Microsoft Entra. В этой статье подробно описано, как выполнять следующее:

  1. Скачайте и установите VPN-клиент Azure для Windows.
  2. Извлеките файлы конфигурации профиля VPN-клиента.
  3. Обновите файлы конфигурации профиля с помощью настраиваемого значения аудитории (если применимо).
  4. Импортируйте параметры профиля клиента в VPN-клиент.
  5. Создайте подключение и подключитесь к Azure.

Загрузка VPN-клиента Azure

Функции и параметры, доступные для VPN-клиента Azure, зависят от используемой версии клиента. Сведения о версиях VPN-клиента Azure см. в разделе VPN-клиент Azure – версии.

  1. Загрузите последнюю версию установочных файлов VPN-клиента Azure, используя одну из следующих ссылок:

    • Выполните установку с использованием установочных файлов клиента: https://aka.ms/azvpnclientdownload.
    • Установите напрямую после входа на клиентский компьютер: Microsoft Store.

  2. Установите клиент Azure на все компьютеры.

  3. Убедитесь в том, что у VPN-клиента Azure есть разрешение на запуск в фоновом режиме. Инструкции см. в статье Фоновые приложения Windows.

  4. Чтобы проверить установленную версию клиента, откройте VPN-клиент Azure. Перейдите в нижнюю часть клиентского приложения и кликните ... -> ? Справка. В правой области отображается номер версии клиента.

Извлечение файлов конфигурации профиля клиента

Чтобы настроить профиль VPN-клиента Azure, необходимо сначала скачать пакет конфигурации профиля VPN-клиента из шлюза Azure P2S. Этот пакет предназначен для настроенного VPN-шлюза и содержит необходимые параметры для настройки VPN-клиента. Если вы использовали шаги настройки сервера P2S, как упоминалось в разделе предварительных требований, вы уже создали и скачали пакет конфигурации профиля VPN-клиента, содержащий файлы конфигурации профиля VPN. Если вам нужно создать файлы конфигурации, прочтите инструкции по загрузке пакета конфигурации профиля VPN-клиента.

После получения пакета конфигурации профиля VPN-клиента извлеките ZIP-файл. Zip-файл содержит папку AzureVPN . Папка AzureVPN содержит файл azurevpnconfig_aad.xml или файл azurevpnconfig.xml в зависимости от того, включает ли конфигурация P2S несколько типов проверки подлинности. Если вы не видите azurevpnconfig_aad.xml или azurevpnconfig.xml или у вас нет папки AzureVPN, убедитесь, что VPN-шлюз настроен для использования типа туннеля OpenVPN и выбрана проверка подлинности Azure Active Directory (Microsoft Entra ID).

Изменение файлов конфигурации профиля

Если конфигурация P2S использует настраиваемую аудиторию с идентификатором приложения, зарегистрированным корпорацией Майкрософт, вы можете получать всплывающие окна при каждом подключении, требующем повторного ввода учетных данных и завершения проверки подлинности. Повторная проверка подлинности обычно устраняет проблему. Это происходит, так как профиль VPN-клиента требует как пользовательского идентификатора аудитории, так и идентификатора приложения Майкрософт. Чтобы предотвратить это, измените конфигурацию профиля .xml файл, чтобы включить как пользовательский идентификатор приложения, так и идентификатор приложения Майкрософт.

Примечание.

Этот шаг необходим для конфигураций шлюза P2S, использующих настраиваемое значение аудитории, и зарегистрированное приложение связано с идентификатором vpn-клиента Microsoft Azure. Если это не относится к конфигурации шлюза P2S, этот шаг можно пропустить.

  1. Чтобы изменить конфигурационный файл .xml VPN-клиента Azure, откройте его с помощью текстового редактора, например Блокнота.

  2. Затем добавьте значение для applicationid и сохраните изменения. В следующем примере показано значение c632b3df-fb67-4d84-bdcf-b95ad541b5c8идентификатора приложения.

    Пример

    <aad>
   <audience>{customAudienceID}</audience>
   <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
   <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
   <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
</aad>

Настройка VPN-клиента Azure и подключение

Примечание.

Мы в процессе изменения полей VPN-клиента Azure для Azure Active Directory на идентификатор Microsoft Entra. Если вы видите поля идентификатора Microsoft Entra, на которые ссылается эта статья, но пока не видите эти значения, отраженные в клиенте, выберите сопоставимые значения Azure Active Directory.

  1. Откройте VPN-клиент Azure.

  2. Выберите + в нижней левой части страницы и нажмите кнопку "Импорт".

  3. Перейдите в папку конфигурации профиля VPN-клиента Azure, которую вы извлекли. Откройте папку AzureVPN и выберите файл конфигурации профиля клиента (azurevpnconfig_aad.xml или azurevpnconfig.xml). Нажмите кнопку "Открыть ", чтобы импортировать файл.

  4. На странице профиля клиента обратите внимание, что многие параметры уже указаны. Предварительно настроенные параметры содержатся в пакете профиля VPN-клиента, который вы импортировали. Несмотря на то что большинство параметров уже указаны, необходимо настроить параметры, относящиеся к клиентскому компьютеру.

  5. Измените имя имени подключения (необязательно). В этом примере обратите внимание, что отображаемое значение аудитории — это значение, связанное с идентификатором приложения VPN-клиента Microsoft Azure. Значение в этом поле должно соответствовать значению, которое настроено для использования вашим VPN-шлюзом P2S.

    Снимок экрана: сохранение профиля.

  6. Нажмите кнопку "Сохранить", чтобы сохранить профиль подключения.

  7. В левой области выберите профиль подключения, который вы хотите использовать. Затем нажмите кнопку "Подключиться" , чтобы инициировать подключение.

  8. Авторизуйтесь, используя свои учетные данные, если вас об этом попросят.

  9. После подключения значок становится зеленым и отображается "Подключено".

  10. Область доступа к системе VPN-клиента Azure, доступная в версии 4.0.0.0 и более поздних версий, позволяет закрыть приложение VPN-клиента Azure, сохраняя подключение активным. При закрытии приложения вы увидите приложение в системном трее Windows. Вы можете повторно открыть приложение VPN-клиента Azure в компактном режиме, щелкнув значок в трее.

    снимок экрана VPN-клиента Azure.

Экспорт и распространение клиентского профиля

Если у вас есть рабочий профиль и вам нужно распространить его другим пользователям, его можно экспортировать. Для этого выполните следующие действия.

  1. Выделите профиль VPN-клиента, который требуется экспортировать, щелкните ... и выберите Экспорт.

    Снимок экрана страницы VPN-клиента Azure, где выбрано меню многоточия и выделен пункт

  2. Выберите расположение, в которое нужно сохранить этот профиль, оставьте имя файла без изменений, а затем нажмите кнопку Сохранить, чтобы сохранить XML-файл.

Удаление профиля клиента

  1. Выделите профиль VPN-клиента, который требуется экспортировать, выберите ..., а затем нажмите кнопку "Удалить".

  2. Во всплывающем окне подтверждения нажмите кнопку "Удалить ", чтобы удалить.

Работа с подключениями

Автоматическое подключение

Вы можете настроить подключение для автоматического подключения с помощью Always-on.

  1. На домашней странице VPN-клиента выберите Параметры VPN. Если появится диалоговое окно "Переключение приложений", нажмите кнопку "Да".

    Снимок экрана: домашняя страница VPN с выбранными параметрами VPN.

  2. Если профиль, который вы хотите настроить, подключен, отключите его, затем выделите профиль и установите флажок «Подключаться автоматически».

    Снимок экрана: окно параметров с флажом

  3. Нажмите кнопку Подключить, чтобы инициировать VPN-подключение.

Диагностика проблем с подключением

Проверка предварительных условий

Если VPN-клиент Azure версии 4.0.0.0 или более поздней версии, можно выполнить проверку необходимых компонентов, чтобы убедиться, что компьютер настроен и установлен для успешного подключения. Чтобы просмотреть номер версии установленного VPN-клиента Azure, запустите клиент и выберите "Справка".

  1. Щелкните ... в нижней части страницы VPN-клиента Azure и выберите Предварительные условия.
  2. На странице предварительных требований тестового приложения выберите Запустить тест предварительных требований.
  3. Исправьте все проблемы и повторите попытку подключения. Дополнительные сведения см. в предварительных требованиях для VPN-клиента Azure.

Средство диагностики

  1. Нажмите кнопку с многоточием (...) рядом с VPN-подключением, которое нужно диагностировать, чтобы открыть меню. Затем выберите Diagnose (Диагностика).

  2. На странице "Свойства подключения" выберите "Выполнить диагностику". Если появится запрос, войдите, используя данные для входа, а затем просмотрите результаты.

    Снимок экрана с выбранным многоточием и диагностикой.

Настройка настраиваемых параметров: DNS и маршрутизация

Vpn-клиент Azure можно настроить с дополнительными параметрами конфигурации, такими как дополнительные DNS-серверы, настраиваемые DNS-серверы, принудительное туннелирование, пользовательские маршруты и другие параметры. Дополнительные сведения см. в статье о VPN-клиенте Azure — необязательные параметры.

Следующие шаги

Сведения о подключениях типа "точка-сайт".