Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł pomoże Ci skonfigurować klienta VPN platformy Azure na komputerze z systemem Windows, aby połączyć się z siecią wirtualną, korzystając z usługi VPN użytkownika Virtual WAN (punkt-sieć) i uwierzytelniania za pomocą Microsoft Entra ID. Klient sieci VPN platformy Azure jest obsługiwany w trybie FIPS systemu Windows przy użyciu poprawki KB4577063.
Uwaga
Uwierzytelnianie za pomocą identyfikatora Entra firmy Microsoft jest obsługiwane tylko w przypadku połączeń protokołu OpenVPN®.
Zanim rozpoczniesz
Sprawdź, czy jesteś w prawidłowym artykule. W poniższej tabeli przedstawiono artykuły konfiguracyjne dostępne dla klientów usługi VPN punkt-do-lokacji (P2S) usługi Azure Virtual WAN. Kroki różnią się w zależności od typu uwierzytelniania, typu tunelu i systemu operacyjnego klienta.
| Metoda uwierzytelniania | Typ tunelu | System operacyjny klienta | Klient sieci VPN |
|---|---|---|---|
| Certyfikat | IKEv2, SSTP | Windows | Natywny klient sieci VPN |
| IKEv2 | macOS | Natywny klient sieci VPN | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Klient sieci VPN platformy Azure Klient OpenVPN w wersji 2.x Klient OpenVPN w wersji 3.x |
|
| OpenVPN | macOS | Klient OpenVPN | |
| OpenVPN | iOS | Klient OpenVPN | |
| OpenVPN | Linux |
Klient sieci VPN platformy Azure Klient OpenVPN |
|
| Microsoft Entra ID | OpenVPN | Windows | Klient sieci VPN platformy Azure |
| OpenVPN | macOS | Klient sieci VPN platformy Azure | |
| OpenVPN | Linux | Klient sieci VPN platformy Azure |
Wymagania wstępne
W tym artykule założono, że zostały już spełnione następujące wymagania wstępne:
- Skonfigurowano wirtualną sieć WAN zgodnie z instrukcjami opisanymi w artykule Konfigurowanie bramy sieci VPN użytkownika (P2S) dla uwierzytelniania przy użyciu identyfikatora Microsoft Entra. Konfiguracja sieci VPN użytkownika musi używać uwierzytelniania Microsoft Entra ID (Azure Active Directory) oraz tunelu typu OpenVPN.
- Wygenerowano i pobrano pliki konfiguracji klienta sieci VPN. Aby uzyskać instrukcje dotyczące tworzenia pakietu konfiguracji profilu klienta sieci VPN, zobacz Pobieranie profilów globalnych i profilów centrów.
Przepływ pracy
Ten artykuł kontynuuje kroki z konfigurowania bramy VPN użytkownika (P2S) dla uwierzytelniania Microsoft Entra ID. Ten artykuł zawiera informacje, które pomogą:
- Pobierz i zainstaluj klienta sieci VPN platformy Azure dla systemu Windows.
- Wyodrębnij pliki konfiguracji profilu klienta sieci VPN.
- Zaktualizuj pliki konfiguracji profilu, uwzględniając niestandardowy parametr odbiorcy (jeśli ma to zastosowanie).
- Zaimportuj ustawienia profilu klienta do klienta sieci VPN.
- Utwórz połączenie i połącz się z platformą Azure.
Pobieranie klienta sieci VPN platformy Azure
Funkcje i ustawienia dostępne dla klienta sieci VPN platformy Azure są zależne od używanej wersji klienta. Aby uzyskać informacje o wersji klienta sieci VPN platformy Azure, zobacz Wersje klienta sieci VPN platformy Azure.
Pobierz najnowszą wersję plików instalacyjnych klienta sieci VPN platformy Azure, korzystając z jednego z następujących linków:
- Zainstaluj przy użyciu plików instalacji klienta: https://aka.ms/azvpnclientdownload.
- Zainstaluj bezpośrednio po zalogowaniu się na komputerze klienckim: Microsoft Store.
Zainstaluj klienta sieci VPN platformy Azure na każdym komputerze.
Sprawdź, czy klient sieci VPN platformy Azure ma uprawnienia do uruchamiania w tle. Aby uzyskać instrukcje, zobacz Aplikacje w tle systemu Windows.
Aby sprawdzić zainstalowaną wersję klienta, otwórz klienta sieci VPN platformy Azure. Przejdź do dołu klienta i kliknij przycisk ... -> ? Pomoc. W okienku po prawej stronie zobaczysz numer wersji klienta.
Wyodrębnianie plików konfiguracji profilu klienta
Aby skonfigurować profil klienta sieci VPN platformy Azure, należy najpierw pobrać pakiet konfiguracji profilu klienta sieci VPN z bramy usługi Azure P2S. Ten pakiet jest specyficzny dla skonfigurowanej bramy sieci VPN i zawiera niezbędne ustawienia do skonfigurowania klienta sieci VPN. Jeśli użyto kroków konfiguracji serwera P2S, jak wspomniano w sekcji Wymagania wstępne , wygenerowano i pobrano pakiet konfiguracji profilu klienta sieci VPN zawierający pliki konfiguracji profilu sieci VPN.
Po uzyskaniu pakietu konfiguracji profilu klienta sieci VPN wyodrębnij plik zip. Plik zip zawiera folder AzureVPN . Folder AzureVPN zawiera plik azurevpnconfig_aad.xml lub plik azurevpnconfig.xml , w zależności od tego, czy konfiguracja P2S zawiera wiele typów uwierzytelniania. Jeśli nie widzisz azurevpnconfig_aad.xml lub azurevpnconfig.xml lub nie masz folderu AzureVPN, sprawdź, czy brama sieci VPN jest skonfigurowana do używania typu tunelu OpenVPN i czy wybrano uwierzytelnianie usługi Azure Active Directory (Microsoft Entra ID).
Modyfikowanie plików konfiguracji profilu
Jeśli konfiguracja P2S używa niestandardowej grupy odbiorców z zarejestrowanym przez Microsoft identyfikatorem aplikacji, za każdym razem, gdy się połączysz, mogą pojawiać się wyskakujące okienka, które wymagają ponownego wprowadzenia poświadczeń i ukończenia uwierzytelniania. Ponawianie próby uwierzytelniania zwykle rozwiązuje problem. Dzieje się tak, ponieważ profil klienta sieci VPN wymaga zarówno niestandardowego identyfikatora odbiorców, jak i identyfikatora aplikacji firmy Microsoft. Aby temu zapobiec, zmodyfikuj plik konfiguracji profilu .xml, aby uwzględnić zarówno identyfikator aplikacji niestandardowej, jak i identyfikator aplikacji firmy Microsoft.
Uwaga
Ten krok jest niezbędny w przypadku konfiguracji bramy punkt-punkt, które używają niestandardowej wartości odbiorców, a zarejestrowana aplikacja jest skojarzona z identyfikatorem aplikacji Azure VPN Client zarejestrowanej przez Microsoft. Jeśli nie ma to zastosowania do konfiguracji bramy P2S, możesz pominąć ten krok.
Aby zmodyfikować plik .xml konfiguracji klienta sieci VPN platformy Azure, otwórz plik przy użyciu edytora tekstów, takiego jak Notatnik.
Następnie dodaj wartość dla
applicationidi zapisz zmiany. W poniższym przykładzie przedstawiono wartośćc632b3df-fb67-4d84-bdcf-b95ad541b5c8identyfikatora aplikacji .Przykład
<aad> <audience>{customAudienceID}</audience> <issuer>https://sts.windows.net/{tenant ID value}/</issuer> <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant> <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> </aad>
Konfigurowanie klienta sieci VPN platformy Azure i nawiązywanie połączenia
Uwaga
Jesteśmy w trakcie zmiany pól klienta Azure VPN w ramach usługi Azure Active Directory na Microsoft Entra ID. Jeśli w tym artykule zostaną wyświetlone pola Identyfikator entra firmy Microsoft, do których się odwołujesz, ale nie widzisz jeszcze tych wartości odzwierciedlonych w kliencie, wybierz porównywalne wartości usługi Azure Active Directory.
Otwórz klienta sieci VPN platformy Azure.
Wybierz + w lewym dolnym rogu strony, a następnie wybierz Importuj.
Przejdź do wyodrębnionego folderu konfiguracji profilu klienta sieci VPN platformy Azure. Otwórz folder AzureVPN i wybierz plik konfiguracji profilu klienta (azurevpnconfig_aad.xml lub azurevpnconfig.xml). Wybierz pozycję Otwórz, aby zaimportować plik.
Na stronie profilu klienta zwróć uwagę, że wiele ustawień jest już określonych. Wstępnie skonfigurowane ustawienia znajdują się w zaimportowanym pakiecie profilu klienta sieci VPN. Mimo że większość ustawień jest już określona, należy skonfigurować ustawienia specyficzne dla komputera klienckiego.
Zmień nazwę nazwy połączenia (opcjonalnie). W tym przykładzie zwróć uwagę, że wyświetlona wartość Odbiorcy to wartość skojarzona z identyfikatorem aplikacji klienckiej sieci VPN platformy Azure zarejestrowanym przez firmę Microsoft. Wartość w tym polu musi być zgodna z wartością skonfigurowaną do użycia przez bramę sieci VPN P2S.
Kliknij przycisk Zapisz , aby zapisać profil połączenia.
W okienku po lewej stronie wybierz profil połączenia, którego chcesz użyć. Następnie kliknij przycisk Połącz, aby zainicjować połączenie.
Uwierzytelnij się przy użyciu poświadczeń, jeśli pojawi się monit.
Po nawiązaniu połączenia ikona zmieni kolor na zielony i będzie wyświetlana wartość Połączono.
-
Zasobnik systemu klienta sieci VPN platformy Azure dostępny w wersji 4.0.0.0 lub nowszej umożliwia zamknięcie aplikacji klienckiej sieci VPN platformy Azure przy zachowaniu aktywności połączenia. Po zamknięciu aplikacji aplikacja będzie widoczna na pasku zadań systemu Windows. Możesz ponownie otworzyć aplikację klienta sieci VPN platformy Azure w trybie kompaktowym, klikając ikonę zasobnika.
Eksportowanie i dystrybuowanie profilu klienta
Po utworzeniu profilu służbowego i konieczności dystrybucji go do innych użytkowników możesz wyeksportować, wykonując następujące czynności:
Wyróżnij profil klienta sieci VPN, który chcesz wyeksportować, wybierz ikonę ..., a następnie wybierz pozycję Eksportuj.
Wybierz lokalizację, do której chcesz zapisać ten profil, pozostaw nazwę pliku w następujący sposób, a następnie wybierz pozycję Zapisz , aby zapisać plik XML.
Usuwanie profilu klienta
Wyróżnij profil klienta sieci VPN, który chcesz wyeksportować, wybierz ikonę ..., a następnie wybierz pozycję Usuń.
W oknie podręcznym potwierdzenia wybierz Usuń, aby usunąć.
Zarządzanie połączeniami
Połącz automatycznie
Połączenie można skonfigurować tak, aby łączyło się automatycznie z funkcją Always-on.
Na stronie głównej klienta sieci VPN wybierz pozycję Ustawienia sieci VPN. Jeśli zostanie wyświetlone okno dialogowe Przełączanie aplikacji, wybierz pozycję Tak.
Jeśli profil, który chcesz skonfigurować, jest połączony, odłącz połączenie, zaznacz profil i zaznacz pole wyboru Połącz automatycznie .
Wybierz pozycję Połącz, aby zainicjować połączenie sieci VPN.
Diagnozowanie problemów z połączeniem
Sprawdzanie wymagań wstępnych
Jeśli klient sieci VPN platformy Azure ma wersję 4.0.0.0 lub nowszą, możesz uruchomić sprawdzanie wymagań wstępnych, aby sprawdzić, czy komputer ma skonfigurowane i zainstalowane elementy niezbędne do pomyślnego nawiązania połączenia. Aby wyświetlić numer wersji zainstalowanego klienta sieci VPN platformy Azure, uruchom klienta i wybierz pozycję Pomoc.
- Kliknij pozycję ... w dolnej części strony Klient sieci VPN platformy Azure i wybierz pozycję Wymagania wstępne.
- Na stronie Test Application Prerequisites (Wymagania wstępne aplikacji testowej ) wybierz pozycję Run Prerequisites Test (Uruchom test wymagań wstępnych).
- Rozwiąż wszelkie problemy i spróbuj ponownie nawiązać połączenie. Aby uzyskać więcej informacji, zobacz Wymagania wstępne klienta sieci VPN platformy Azure.
Narzędzie diagnostyczne
Wybierz ... obok połączenia sieci VPN, które chcesz zdiagnozować, aby wyświetlić menu. Następnie wybierz pozycję Diagnozuj.
Na stronie Właściwości połączenia wybierz pozycję Uruchom diagnostykę. Jeśli zostanie wyświetlony monit, zaloguj się przy użyciu swoich poświadczeń, a następnie wyświetl wyniki.
Skonfiguruj ustawienia niestandardowe: DNS i routing
Klienta sieci VPN platformy Azure można skonfigurować przy użyciu opcjonalnych ustawień konfiguracji, takich jak dodatkowe serwery DNS, niestandardowe ustawienia DNS, wymuszone tunelowanie, trasy niestandardowe i inne ustawienia. Aby uzyskać więcej informacji, zobacz Konfigurowanie opcjonalnych ustawień klienta sieci VPN platformy Azure.
Następne kroki
Aby uzyskać więcej informacji na temat zarejestrowanego przez firmę Microsoft klienta sieci VPN platformy Azure, zobacz Configure P2S User VPN for Microsoft Entra ID authentication (Konfigurowanie sieci VPN użytkownika P2S dla uwierzytelniania identyfikatora entra firmy Microsoft).