配置 Azure VPN 客户端 - Microsoft Entra ID身份验证 - Windows

本文介绍如何在Windows计算机上配置 Azure VPN 客户端，以使用VPN 网关点到站点 （P2S） VPN 连接到虚拟网络，并Microsoft Entra ID身份验证。 有关点到站点连接的详细信息，请参阅关于点到站点连接。 使用 KB4577063 修补程序可以支持 Azure VPN 客户端在 Windows FIPS 模式下运行。

先决条件

为使用 Microsoft Entra ID 身份验证的点对站点 VPN 连接配置 VPN 网关。 请参阅 配置 P2S VPN 网关进行Microsoft Entra ID身份验证。

虽然适用于Windows的 Azure VPN 客户端可能适用于其他操作系统版本，但以下版本仅支持适用于 Windows 的 Azure VPN 客户端：

• 支持的Windows版本：X64、X86、ARM 和 ARM64 体系结构上的Windows 10、Windows 11。

Workflow

本文继续介绍 配置 P2S VPN 网关以 Microsoft Entra ID 身份验证的步骤。 本文将会帮助你：

1. 下载并安装用于Windows的 Azure VPN 客户端。
2. 提取 VPN 客户端配置文件。
3. 用自定义受众值（如果适用）更新个人配置文件。
4. 将客户端配置文件设置导入 VPN 客户端。
5. 创建连接并连接到Azure。

下载Azure VPN 客户端

Azure VPN 客户端可用的功能和设置取决于所使用的客户端版本。 有关 Azure VPN 客户端版本信息，请参阅 Azure VPN 客户端版本。

1. 使用以下链接之一下载最新版本的 Azure VPN 客户端安装文件：

   • 使用客户端安装程序文件进行安装：https://aka.ms/azvpnclientdownload。
   • 直接在客户端计算机上登录时安装：Microsoft Store。
   • 使用 Windows 程序包管理器 （WinGet） 进行安装。 可以运行以下命令来安装和了解有关 本文档中 WinGet 方法的详细信息。

winget install Microsoft.AzureVPNClient --source winget

1. 将 Azure VPN 客户端安装到每台计算机。

2. 验证Azure VPN 客户端是否有权在后台运行。 有关步骤，请参阅 Windows 后台应用。

3. 若要验证已安装的客户端版本，请打开Azure VPN 客户端。 转到客户端底部并选择 ... -> ？帮助。 在右窗格中，可以看到客户端版本号。

提取客户端配置文件

若要配置 Azure VPN 客户端配置文件，必须先从 Azure P2S 网关下载 VPN 客户端配置文件配置包。 此包专用于已配置的 VPN 网关，并包含配置 VPN 客户端所需的设置。 如果你使用了先决条件部分中提到的 P2S 服务器配置步骤，则已生成并已下载包含 VPN 配置文件的 VPN 客户端配置文件配置包。 如果需要生成配置文件，请参阅下载 VPN 客户端配置文件配置包。

获取 VPN 客户端配置包后，解压 zip 文件。 该 zip 文件包含 AzureVPN 文件夹。 AzureVPN 文件夹包含 azurevpnconfig_aad.xml 文件或 azurevpnconfig.xml 文件，具体取决于 P2S 配置是否包含多个身份验证类型。 如果没有看到 azurevpnconfig_aad.xml 或 azurevpnconfig.xml，或者没有 AzureVPN 文件夹，请验证 VPN 网关是否已配置为使用 OpenVPN 隧道类型，并且选择了Azure Active Directory（Microsoft Entra ID）身份验证。

修改个人配置文件

如果 P2S 配置使用具有Microsoft注册的应用 ID 的自定义受众，则每次连接时可能会收到弹出窗口，要求你再次输入凭据并完成身份验证。 重试身份验证通常会解决该问题。 发生这种情况是因为 VPN 客户端配置文件需要自定义受众 ID 和 Microsoft 应用程序 ID。 若要防止这种情况，请修改您的配置文件 .xml 文件，以包括自定义应用程序 ID 和 Microsoft 应用程序 ID。

1. 若要修改 Azure VPN 客户端配置 .xml 文件，请使用文本编辑器（如记事本）打开该文件。

2. 接下来，添加 applicationid 的值并保存更改。 以下示例显示了应用程序 ID 值 c632b3df-fb67-4d84-bdcf-b95ad541b5c8。

   示例

   <aad>
      <audience>{customAudienceID}</audience>
      <issuer>https://sts.chinacloudapi.cn/{tenant ID value}/</issuer>
      <tenant>https://login.chinacloudapi.cn/{tenant ID value}/</tenant>
      <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
   </aad>
   

对于微软 Azure VPN 客户端配置文件，启用了设备单项登录（SSO）字段，以简化用户身份验证。 了解更多关于 Azure VPN 客户端及设备 SSO的信息。

配置 Azure VPN 客户端并连接

1. 打开Azure VPN 客户端。

2. 选择页面左下方的 +，然后选择“导入”。

3. 浏览到解压后的 Azure VPN 客户端配置文件夹。 打开 AzureVPN 文件夹并选择客户端配置文件（azurevpnconfig_aad.xml 或 azurevpnconfig.xml）。 选择“打开”以导入文件。

4. 在客户端配置文件页上，你会注意到许多设置已指定。 预配置的设置包含在已导入的 VPN 客户端配置文件包中。 即使已指定大部分设置，也需要配置特定于客户端计算机的设置。

5. 更改连接名称（可选）。 在此示例中，请注意显示的受众值是与Microsoft注册Azure VPN 客户端应用 ID 关联的值。 此字段中的值必须与 P2S VPN 网关配置使用的值一致。

   

6. 单击“保存”以保存连接配置文件。

7. 在左窗格中，选择要使用的连接配置文件。 然后单击“连接”来启动连接。

8. 如果系统提示，请使用凭据进行身份验证。

9. 连接后，图标会变为绿色并显示“已连接”。

10. Azure VPN 客户端系统托盘在版本 4.0.0.0 及更高版本中提供，可让你关闭 Azure VPN 客户端应用程序，同时使连接保持活动状态。 关闭应用程序时，可以在Windows系统托盘中看到该应用程序。 可以通过单击托盘图标以压缩模式重新打开Azure VPN 客户端应用。

    Azure VPN 客户端的截屏。

导出和分发客户资料

创建有效的配置文件后，如果需要将其分发给其他用户，可使用以下步骤将其导出：

1. 突出显示您要导出的 VPN 客户端配置文件，先选择...，然后选择导出。

2. 选择要将此配置文件保存到的位置，保留默认的文件名，然后选择“保存”以保存 xml 文件。

删除客户端配置文件

1. 突出显示要导出的 VPN 客户端配置文件，然后依次选择“...”、“移除”。

2. 在确认弹出窗口中，选择“删除”以删除。

使用连接

自动连接

可将连接配置为使用 Always-on 自动连接。

1. 在 VPN 客户端的主页上，选择“VPN 设置”。 如果看到切换应用对话框，请选择“是”。

   

2. 如果已连接要配置的配置文件，请断开连接，然后突出显示配置文件，并选中“自动连接”复选框。

   

3. 选择“连接”启动 VPN 连接。

诊断连接问题

先决条件检查

如果Azure VPN 客户端版本为 4.0.0.0 或更高版本，则可以运行先决条件检查，以验证计算机是否已配置并安装必要的项目才能成功连接。 若要查看已安装Azure VPN 客户端的版本号，请启动客户端并选择 Help。

1. 单击...Azure VPN 客户端页底部的 ，然后选择 Prerequisites。
2. 在“测试应用程序先决条件”页面上，选择“运行先决条件测试”。
3. 解决出现的任何问题，然后再次尝试连接。 有关详细信息，请参阅 Azure VPN 客户端先决条件检查。

诊断工具

1. 选择要诊断的 VPN 连接旁边的“...”以显示菜单。 然后选择“诊断”。

2. 在“连接属性”页上，选择“运行诊断”。 如果系统提示，请使用你的凭据登录，然后查看结果。

   

配置自定义设置：DNS 和路由

可以使用可选配置设置（例如其他 DNS 服务器、自定义 DNS、强制隧道、自定义路由和其他设置）配置 Azure VPN 客户端。 有关详细信息，请参阅 Azure VPN 客户端 - 可选设置。

后续步骤

关于点对站点连接。