Konfigurace Klient Azure VPN – ověřování Microsoft Entra ID – macOS

Tento článek vám pomůže nakonfigurovat klientský počítač s macOS tak, aby se připojil k virtuální síti Azure pomocí připojení point-to-site služby VPN Gateway (P2S). Tento postup platí pro brány Azure VPN nakonfigurované pro ověřování Microsoft Entra ID. Ověřování Microsoft Entra ID podporuje pouze připojení protokolu OpenVPN® a vyžaduje Klient Azure VPN. Klient Azure VPN pro macOS není v současné době k dispozici ve Francii a Číně kvůli místním předpisům a požadavkům.

Požadavky

Než budete pokračovat postupem v tomto článku, ujistěte se, že máte následující požadavky:

• Nakonfigurujte bránu VPN pro připojení VPN typu point-to-site, která určují ověřování Microsoft Entra ID. Viz Konfigurace brány VPN typu point-to-site pro ověřování Microsoft Entra ID.

• Ověřte, že klientský počítač používá podporovaný operační systém v podporovaném procesoru.

  • Podporované verze macOS: 15 (Sequoia), 14 (Sonoma), 13 (Ventura), 12 (Monterey)
  • Podporované procesory: x64, Arm64

• Pokud má vaše zařízení čip řady M-series a klienta VPN verze starší 2.7.101, musíte nainstalovat software Rosetta. Další informace najdete v článku podpory Společnosti Apple.

• Pokud používáte Klient Azure VPN verze 2.7.101 nebo novější, nemusíte instalovat software Rosetta.

Workflow

Tento článek pokračuje z konfigurace brány VPN typu P2S pro kroky ověřování Microsoft Entra ID. Tento článek vám pomůže:

1. Stáhněte a nainstalujte Klient Azure VPN pro macOS.
2. Extrahujte konfigurační soubory profilu klienta VPN.
3. Importujte nastavení profilu klienta do klienta VPN.
4. Vytvořte připojení a připojte se k Azure.

Stažení Klient Azure VPN

1. Stáhněte si nejnovější Klient Azure VPN z Apple Storu.
2. Nainstalujte klienta do počítače.

Extrahování konfiguračních souborů profilu klienta

Pokud jste použili kroky konfigurace serveru P2S, jak je uvedeno v části Požadavky , už jste vygenerovali a stáhli konfigurační balíček profilu klienta VPN, který obsahuje konfigurační soubory profilu SÍTĚ VPN. Pokud potřebujete vygenerovat konfigurační soubory, přečtěte si téma Stažení konfiguračního balíčku profilu klienta VPN.

Když vygenerujete a stáhnete konfigurační balíček profilu klienta VPN, budou všechna potřebná nastavení konfigurace pro klienty VPN obsažena v konfiguračním souboru ZIP profilu klienta VPN. Konfigurační soubory profilu klienta VPN jsou specifické pro konfiguraci brány VPN typu P2S pro virtuální síť. Pokud se po vygenerování souborů, například změn typu protokolu VPN nebo typu ověřování, změníte konfiguraci P2S VPN, musíte vygenerovat nové konfigurační soubory profilu klienta VPN a použít novou konfiguraci pro všechny klienty VPN, které chcete připojit.

Vyhledejte a rozbalte konfigurační balíček profilu klienta VPN, který jste vygenerovali a stáhli (uvedené v části Požadavky). Otevřete složku AzureVPN. V této složce uvidíte soubor azurevpnconfig_aad.xml nebo soubor azurevpnconfig.xml v závislosti na tom, jestli konfigurace P2S obsahuje více typů ověřování. Soubor .xml obsahuje nastavení, která používáte ke konfiguraci profilu klienta VPN.

Úprava konfiguračních souborů profilu

Pokud konfigurace P2S používá vlastní cílovou skupinu s VAŠÍM ID aplikace zaregistrované Microsoftem, můžou se při každém připojení zobrazit automaticky otevíraná okna, která vyžadují, abyste znovu zadali přihlašovací údaje a dokončili ověřování. Problém obvykle vyřešíte opakovaným pokusem o ověření. K tomu dochází, protože profil klienta VPN potřebuje jak vlastní ID cílové skupiny, tak ID aplikace Microsoftu. Pokud tomu chcete zabránit, upravte konfigurační .xml soubor profilu tak, aby zahrnoval ID vlastní aplikace i ID aplikace Microsoftu.

Poznámka:

Tento krok je nezbytný pro konfigurace brány P2S, které používají vlastní hodnotu cílové skupiny a vaše registrovaná aplikace je přidružená k ID aplikace zaregistrované Microsoftem Klient Azure VPN. Pokud se to netýká konfigurace brány P2S, můžete tento krok přeskočit.

1. Pokud chcete upravit Klient Azure VPN konfigurační .xml soubor, otevřete ho pomocí textového editoru, jako je Poznámkový blok.

2. Dále přidejte hodnotu applicationid a uložte změny. Následující příklad ukazuje hodnotu ID aplikace pro c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

   Příklad

   <aad>
      <audience>{customAudienceID}</audience>
      <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
      <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
      <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
   </aad>
   

Import konfiguračních souborů profilu klienta VPN

Poznámka:

Měníme pole Klient Azure VPN pro Azure Active Directory na Microsoft Entra ID. Pokud se v tomto článku zobrazí pole ID Microsoft Entra, ale tyto hodnoty se v klientovi zatím nezobrazují, vyberte srovnatelné hodnoty Azure Active Directory.

1. Na stránce Klient Azure VPN vyberte Importovat.

2. Přejděte do složky obsahující soubor, který chcete importovat, vyberte ho a klikněte na Otevřít.

3. Na této obrazovce si všimněte, že hodnoty připojení se vyplní pomocí hodnot v importovaném konfiguračním souboru klienta VPN.

   • Ověřte, že hodnota informace o certifikátu zobrazuje DigiCert Global Root G2 místo výchozí nebo prázdné hodnoty. V případě potřeby upravte hodnotu.
   • Všimněte si, že hodnoty ověřování klientů odpovídají hodnotám, které byly použity ke konfiguraci brány VPN pro ověřování Microsoft Entra ID. Hodnota Cílové skupiny v tomto příkladu odpovídá ID aplikace zaregistrované Microsoftem pro veřejný Azure. Pokud je brána P2S nakonfigurovaná pro jinou hodnotu cílové skupiny, musí toto pole odrážet tuto hodnotu.

   

4. Kliknutím na Uložit uložte konfiguraci profilu připojení.

5. V podokně připojení VPN vyberte profil připojení, který jste uložili. Potom klikněte na Připojit.

6. Po připojení se stav změní na Připojeno. Chcete-li se odpojit od relace, klepněte na tlačítko Odpojit.

Ruční vytvoření připojení

1. Otevřete Klient Azure VPN. V dolní části klienta vyberte Přidat a vytvořte nové připojení.

2. Na stránce Klient Azure VPN můžete nakonfigurovat nastavení profilu. Změňte hodnotu Informace o certifikátu tak, aby zobrazovala hodnotu DigiCert Global Root G2, nikoli výchozí nebo prázdnou hodnotu, a potom klikněte na uložit.

   Nakonfigurujte tato nastavení:

   • Název připojení: Název, podle kterého chcete odkazovat na profil připojení.
   • Server VPN: Tento název je název, který chcete použít pro odkaz na server. Název, který zde zvolíte, nemusí být formálním názvem serveru.
   • Ověření serveru
     • Informace o certifikátu: DigiCert Global Root G2
     • Tajný kód serveru: Tajný kód serveru.
   • Ověření klienta
     • Typ ověřování: Microsoft Entra ID
     • Tenant: Název tenanta.
     • Cílová skupina: Hodnota Cílové skupiny musí odpovídat hodnotě, kterou má brána P2S používat.
     • Vystavitel: Název vystavitele.

3. Po vyplnění polí klikněte na Uložit.

4. V podokně připojení VPN vyberte profil připojení, který jste nakonfigurovali. Potom klikněte na Připojit.

Odebrání profilu připojení VPN

Profil připojení VPN můžete ze svého počítače odebrat.

1. Otevřete Klient Azure VPN.
2. Vyberte připojení VPN, které chcete odebrat, a potom klikněte na odebrat.

Volitelné nastavení konfigurace Klient Azure VPN

Můžete nakonfigurovat Klient Azure VPN s volitelnými konfiguračními nastaveními, jako jsou další servery DNS, vlastní DNS, vynucené tunelování, vlastní trasy a další nastavení. Popis dostupných volitelných nastavení a kroků konfigurace najdete v tématu Klient Azure VPN nepovinná nastavení.

Další kroky

Další informace najdete v tématu Konfigurace brány VPN typu point-to-site pro ověřování Microsoft Entra ID.