Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
本文将帮助你使用新的由 Microsoft 注册的 Azure VPN 客户端应用 ID 配置点到站点 (P2S) VPN 网关,以进行 Microsoft Entra ID 身份验证。
VPN 网关现在支持为最新版本的 Azure VPN 客户端提供新的Microsoft注册的应用 ID 和相应的受众值。 使用新的受众值配置 P2S VPN 网关时,请跳过以前所需的Azure VPN 客户端应用手动注册Microsoft Entra租户过程。 应用 ID 已创建,租户会自动使用它,而无需额外的注册步骤。 此过程比手动注册 Azure VPN 客户端更安全,因为你不需要通过 Cloud App Administrator 角色授权应用或分配权限。 若要更好地了解应用程序对象类型之间的差异,请参阅 如何及为何将应用程序添加到 Microsoft Entra ID。
- 如果 P2S 用户 VPN 网关是使用手动配置的 Azure VPN 客户端应用的受众配置的,则可以轻松地更改网关和客户端设置,以利用新的微软已注册的应用 ID。 如果希望 Linux 客户端连接,则必须使用新的受众值更新 P2S 网关。 适用于 Linux 的 Azure VPN 客户端与较旧的受众值不向后兼容。
- 要创建或修改自定义受众值,请参阅为 P2S VPN 创建自定义受众应用 ID。
- 如果要根据用户和组配置或限制对 P2S 的访问,请参阅方案:根据用户和组配置 P2S VPN 访问。
注意事项
P2S VPN 网关只能支持一个受众值。 无法同时支持多个受众值。
Linux 版 Azure VPN 客户端与配置为使用旧的受众值(与手动注册应用一致)的 P2S 网关不向后兼容。 但是,适用于 Linux 的 Azure VPN 客户端支持自定义受众值。
-
尽管适用于 Linux 的 Azure VPN 客户端可能适用于其他 Linux 发行版和版本,但以下版本仅支持适用于 Linux 的 Azure VPN 客户端:
- Ubuntu 20.04
- Ubuntu 22.04
-
虽然适用于Windows的 Azure VPN 客户端可能适用于其他操作系统版本,但以下版本仅支持适用于 Windows 的 Azure VPN 客户端:
- 支持的Windows版本:X64、X86、ARM 和 ARM64 体系结构上的Windows 10、Windows 11。
适用于 macOS 和 Windows 的 Azure VPN 客户端的最新版本向后兼容 P2S 网关,这些网关配置为使用与手动注册应用一致的旧的 Audience 值。 这些客户端也支持自定义受众值。
Azure VPN 客户端受众值
下表显示了每个应用 ID 支持的 Azure VPN 客户端版本以及相应的可用受众值。
| 应用 ID | 支持的受众值 | 支持的客户端 |
|---|---|---|
| 已注册Microsoft | c632b3df-fb67-4d84-bdcf-b95ad541b5c8 |
-Linux - Windows |
| 手动注册 | 49f817b6-84ae-4cc0-928c-73f27289b3aa |
Windows |
| 习惯 | <custom-app-id> |
-Linux - Windows |
点到站点工作流
使用Microsoft Entra ID身份验证成功配置 P2S 连接需要一系列步骤。
本文将会帮助你:
- 验证租户。
- 使用适当的所需设置配置 VPN 网关。
- 生成并下载 VPN 客户端配置包。
“后续步骤”部分中的文章可帮助你:
- 在客户端计算机上下载Azure VPN 客户端。
- 使用 VPN 客户端配置包中的设置配置客户端。
- 连接。
先决条件
本文假设满足以下先决条件:
VPN 网关
某些网关选项与使用Microsoft Entra ID身份验证的 P2S VPN 网关不兼容。 VPN 网关无法使用基本 SKU 或基于策略的 VPN 类型。 有关网关 SKU 的详细信息,请参阅《关于网关 SKU》。 有关 VPN 类型的详细信息,请参阅 VPN 网关 设置。
如果还没有与Microsoft Entra ID身份验证兼容的正常运行的 VPN 网关,请参阅 创建和管理 VPN 网关 - Azure门户。 创建兼容的 VPN 网关,然后返回到本文以配置 P2S 设置。
Microsoft Entra 租户
- 本文中的步骤需要 Microsoft Entra 帐户租户。 有关详细信息,请参阅
在 Microsoft Entra ID 。
- 本文中的步骤需要 Microsoft Entra 帐户租户。 有关详细信息,请参阅
添加 VPN 客户端地址池
客户端地址池是指定的专用 IP 地址的范围。 通过点到站点 VPN 进行连接的客户端动态接收此范围内的 IP 地址。 使用专用 IP 地址范围时,该范围不得与要由其进行连接的本地位置重叠,也不得与要连接到的虚拟网络重叠。 如果配置了多个协议,并且 SSTP 是其中一个协议,则配置的地址池将在配置的协议之间平均分配。
- 在 Azure 门户中,导航至 VPN 网关。
- 在网关页面的左窗格中,选择“点到站点配置”。
- 在“点到站点配置”页上,单击“立即配置”。
- 在“点到站点配置”页上,你将看到“地址池”的配置框。
- 在“地址池”框中,添加要使用的专用 IP 地址范围。 例如,如果添加地址范围
172.16.201.0/24,则连接 VPN 客户端会收到此范围内的一个 IP 地址。 主动/被动配置的最小子网掩码为 29 位,主动/主动配置的最小子网掩码为 28 位。
添加范围后,请继续转到下一部分,配置所需设置的其余部分。
配置隧道类型和身份验证
重要
Azure 门户网站正在将 Azure Active Directory 字段更新为 Entra。 如果看到提到 Microsoft Entra ID,但在门户中尚未看到这些值,则可以选择 Azure Active Directory 中的值。
找到要用于身份验证的目录的租户 ID。 您可以参阅 如何查找 Microsoft Entra 租户 ID 来获取查找租户 ID 的帮助。
配置隧道类型和身份验证值。
截图显示隧道类型、身份验证类型和 Microsoft Entra ID 设置。 配置以下值:
- 地址池:客户端地址池
- 隧道类型:OpenVPN (SSL)
- 认证类型:Microsoft Entra ID
对于 Microsoft Entra ID 值,请使用以下针对 Tenant、Audience 和 Issuer 值的准则。 将 {Microsoft ID Entra Tenant ID} 替换为租户 ID,在替换此值时,请小心删除示例中的 {}。
租户: Microsoft Entra ID 租户的 TenantID。 输入对应于你的配置的租户 ID。 确保“租户 URL”的末尾没有
\(反斜杠)。 允许使用正斜杠。- 中国世纪互联:
https://login.chinacloudapi.cn/{TenantID}
- 中国世纪互联:
Audience:Microsoft注册Azure VPN 客户端应用 ID 的相应值。 此字段还支持自定义受众。
c632b3df-fb67-4d84-bdcf-b95ad541b5c8
颁发者:安全令牌服务的 URL。 在“颁发者”值的末尾包含尾随斜杠。 否则,连接可能会失败。 示例:
https://sts.chinacloudapi.cn/{Microsoft ID Entra Tenant ID}/
无需单击 Azure VPN 客户端应用程序的 Grant 管理员同意。 此链接仅适用于使用较旧受众值的手动注册 VPN 客户端。 它会在Azure门户中打开一个页面。
完成设置配置后,点击页面顶部的“保存”。
下载 VPN 客户端配置文件配置包
在本部分中,你将生成并下载Azure VPN 客户端配置文件配置包。 此包包含可用于在客户端计算机上配置 Azure VPN 客户端配置文件的设置。
在“点到站点配置”页的顶部,单击“下载 VPN 客户端”。 需要几分钟才能生成客户端配置包。
浏览器会指示客户端配置 zip 文件可用。 其名称与网关名称相同。
解压缩已下载的 zip 文件。
浏览到解压缩后的“AzureVPN”文件夹。
记下“azurevpnconfig.xml”文件的位置。 azurevpnconfig.xml 包含 VPN 连接的设置。 还可以将此文件分发给需要通过电子邮件或其他方式建立连接的所有用户。 用户需要有效的Microsoft Entra ID凭据才能成功连接。
配置 Azure VPN 客户端
接下来,检查配置文件配置包,为客户端计算机配置Azure VPN 客户端,并连接到Azure。 请参阅“后续步骤”部分中列出的文章。
后续步骤
配置 Azure VPN 客户端。
- 适用于 Linux 的 Azure VPN 客户端
- Azure VPN 客户端适用于 Windows