Condividi tramite

Configurare la VPN utente da sito a sito per l'autenticazione con ID Entra Microsoft - App registrata da Microsoft

  • Articolo

Questo articolo illustra come configurare la connessione VPN utente da punto a sito per rete WAN virtuale che usa l'autenticazione Microsoft Entra ID e il nuovo ID app client VPN di Azure registrato da Microsoft.

Nota

Le procedure descritte in questo articolo si applicano all'autenticazione di Microsoft Entra ID usando il nuovo ID app client VPN di Azure registrato in Microsoft e i valori associati per Destinatari. Questo articolo non si applica all'app client VPN di Azure precedente registrata manualmente per il tenant. Per i passaggi del client VPN di Azure registrati manualmente, vedere Configurare la VPN utente da sito a sito usando il client VPN registrato manualmente.

rete WAN virtuale ora supporta un nuovo ID app registrato da Microsoft e i valori destinatari corrispondenti per le versioni più recenti del client VPN di Azure. Quando si configura un gateway VPN vpn utente da sito a sito usando i nuovi valori destinatari, ignorare il processo di registrazione manuale dell'app client VPN di Azure per il tenant Microsoft Entra. L'ID app è già stato creato e il tenant è in grado di usarlo automaticamente senza passaggi di registrazione aggiuntivi. Questo processo è più sicuro rispetto alla registrazione manuale del client VPN di Azure perché non è necessario autorizzare l'app o assegnare autorizzazioni tramite il ruolo Amministratore globale.

In precedenza era necessario registrare manualmente (integrare) l'app client VPN di Azure con il tenant di Microsoft Entra. La registrazione dell'app client crea un ID app che rappresenta l'identità dell'applicazione client VPN di Azure e richiede l'autorizzazione usando il ruolo Amministratore globale. Per comprendere meglio la differenza tra i tipi di oggetti applicazione, vedere Come e perché le applicazioni vengono aggiunte a Microsoft Entra ID.

Quando possibile, è consigliabile configurare nuovi gateway VPN utente da sito a sito usando l'ID app client VPN di Azure registrato da Microsoft e i relativi valori audience corrispondenti anziché registrare manualmente l'app client VPN di Azure con il tenant. Se in precedenza è stato configurato un gateway VPN utente da sito a sito che usa l'autenticazione MICROSOFT Entra ID, è possibile aggiornare il gateway e i client per sfruttare il nuovo ID app registrato da Microsoft. Per consentire la connessione dei client Linux, è necessario aggiornare il gateway da punto a sito con il nuovo valore per Destinatari. Il client VPN di Azure per Linux non è compatibile con i valori di Destinatari precedenti.

Considerazioni

  • Un gateway VPN utente da sito a sito può supportare un solo valore audience. Non può supportare più valori di destinatari contemporaneamente.

  • A questo punto, l'ID app registrato da Microsoft più recente non supporta il numero di valori di destinatario come l'app registrata manualmente in precedenza. Se è necessario un valore di destinatario per qualcosa di diverso da Azure Public o Custom, utilizzare il vecchio metodo e i valori registrati manualmente.

  • Il client VPN di Azure per Linux non è compatibile con le versioni precedenti con i gateway P2S configurati per l'uso dei valori di destinatario meno recenti allineati all'app registrata manualmente. Tuttavia, il client VPN di Azure per Linux supporta i valori di destinatari personalizzati.

  • Sebbene sia possibile che il client VPN di Azure per Linux funzioni in altre distribuzioni e versioni di Linux, il client VPN di Azure per Linux è supportato solo nelle versioni seguenti:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • Le versioni più recenti dei client VPN di Azure per macOS e Windows sono compatibili con le versioni precedenti dei gateway P2S configurati per usare i valori di destinatari precedenti allineati all'app registrata manualmente. Questi client supportano anche valori di destinatari personalizzati.

Valori destinatari del client VPN di Azure

La tabella seguente illustra le versioni del client VPN di Azure supportate per ogni ID app e i valori di Destinatari disponibili corrispondenti.

ID app Valori Destinatari supportati Client supportati
Microsoft-registered - Pubblico di Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 - Linux
- Windows
- macOS
Registrato manualmente - Pubblico di Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure per enti pubblici: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Germania: 538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure gestito da 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 - Windows
- macOS
Personalizzazione <custom-app-id> - Linux
- Windows
- macOS

Nota

L'autenticazione di Microsoft Entra ID è supportata solo per le connessioni al protocollo OpenVPN® e richiede il client VPN di Azure.

In questo articolo vengono illustrate le operazioni seguenti:

  • Creare una rete WAN virtuale
  • Creare una configurazione VPN utente
  • Scaricare un profilo VPN utente della rete WAN virtuale
  • Creare un hub virtuale
  • Modificare un hub per aggiungere un gateway connessione da punto a sito
  • Connettere una rete virtuale a un hub virtuale
  • Scaricare e applicare la configurazione del client VPN utente
  • Visualizzare la rete WAN virtuale

Screenshot del diagramma della rete WAN virtuale.

Operazioni preliminari

Prima di iniziare la configurazione, verificare di soddisfare i criteri seguenti:

  • Si ha una rete virtuale a cui ci si vuole connettere. Verificare che nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere. Per creare una rete virtuale nel portale di Azure, vedere l'Avvio rapido.

  • La rete virtuale non ha gateway di rete virtuale. Se la rete virtuale presenta un gateway (VPN o ExpressRoute) è necessario rimuovere tutti i gateway. I passaggi per questa configurazione consentono di connettere la rete virtuale al gateway hub virtuale rete WAN virtuale.

  • Ottenere un intervallo di indirizzi IP per l'area dell'hub. L'hub è una rete virtuale che viene creata e usata dalla rete WAN virtuale. L'intervallo di indirizzi specificati per l'hub non può sovrapporsi ad alcuna delle reti virtuali esistenti a cui ci si connette. Inoltre non può sovrapporsi agli intervalli di indirizzi a cui ci si connette in locale. Se non si ha familiarità con gli intervalli di indirizzi IP che si trovano nella configurazione di rete locale, coordinarsi con un utente in grado di fornire tali informazioni.

  • Per questa configurazione è necessario un tenant microsoft Entra ID. Se non è disponibile, è possibile crearne uno seguendo le istruzioni riportate in Creare un nuovo tenant.

  • Se si vuole usare un valore del gruppo di destinatari personalizzato, vedere Creare o modificare l'ID app del gruppo di destinatari personalizzato.

Creare una rete WAN virtuale

In un browser passare al portale di Azure e accedere con l'account Azure.

  1. Nel portale, nella barra Cerca risorse, digitare Rete WAN virtuale nella casella di ricerca e selezionare Immetti.

  2. Selezionare Reti WAN virtuali nei risultati. Nella pagina Reti WAN virtuali, selezionare + Crea per aprire la pagina Crea rete WAN.

  3. Nella pagina Crea rete WAN compilare i campi nella scheda Informazioni di base. Modificare i valori di esempio in base all'ambiente corrente.

    Screenshot che mostra il riquadro Crea rete WAN con la scheda Informazioni di base selezionata.

    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: creare un nuovo gruppo o usarne uno esistente.
    • Località del gruppo di risorse: scegliere una località delle risorse dall'elenco a discesa. Una rete WAN è una risorsa globale che non risiede in un'area specifica. Tuttavia, per gestire e individuare la risorsa WAN creata, è necessario selezionare un'area.
    • Nome: digitare il nome da usare per la rete WAN virtuale.
    • Tipo: Basic o Standard. Selezionare Standard. Se si seleziona Basic, tenere presente che le reti WAN virtuali Basic possono contenere solo hub Basic. Gli hub Basic possono essere usati solo per le connessioni da sito a sito.

  4. Dopo aver compilato i campi, nella parte inferiore della pagina selezionare Rivedi e crea.

  5. Una volta superata la convalida, fare clic su Crea per creare la rete WAN virtuale.

Creare una configurazione VPN utente

Una configurazione VPN utente definisce i parametri per la connessione di client remoti. È importante creare la configurazione VPN utente prima di configurare l'hub virtuale con le impostazioni di connessione da punto a sito: è necessario specificare la configurazione VPN utente da usare.

Importante

Il portale di Azure sta aggiornando i campi di Azure Active Directory a Entra. Se viene visualizzato Microsoft Entra ID a cui si fa riferimento e non vengono ancora visualizzati i valori nel portale, è possibile selezionare i valori di Azure Active Directory.

  1. Passare alla Rete WAN virtuale. Nel riquadro sinistro espandere Connettività e selezionare la pagina Configurazioni VPN utente. Nella pagina Configurazioni VPN utente fare clic su +Crea configurazione VPN utente.

  2. Nella pagina Informazioni di base specificare i parametri seguenti.

    • Nome configurazione: immettere il nome con cui si desidera chiamare la configurazione VPN utente. Ad esempio, TestConfig1.
    • Tipo di tunnel: selezionare OpenVPN dal menu a discesa.

  3. Nella parte superiore della pagina fare clic su Azure Active Directory. È possibile visualizzare i valori necessari nella pagina Microsoft Entra ID per le applicazioni Enterprise nel portale.

    Screenshot della pagina di Microsoft Entra ID. Configurare i valori seguenti:

    • Azure Active Directory : selezionare .
    • Destinatari : immettere il valore corrispondente per l'ID app client VPN di Azure registrato da Microsoft, Pubblico di Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8. Per questo campo sono anche supportati destinatari personalizzati.
    • Autorità di certificazione : immettere https://sts.windows.net/<your Directory ID>/.
    • Tenant di AAD: immettere l'ID tenant per il tenant di Microsoft Entra. Assicurarsi che non sia presente un oggetto / alla fine dell'URL del tenant di Microsoft Entra.

  4. Fare clic su Crea per creare la configurazione VPN utente. Questa configurazione verrà selezionata più avanti nell'esercizio.

Creare un hub vuoto

Creare quindi l'hub virtuale. I passaggi descritti in questa sezione creano un hub virtuale vuoto a cui è possibile aggiungere successivamente il gateway P2S. Tuttavia, è sempre più efficiente combinare la creazione dell'hub insieme al gateway perché ogni volta che si apporta una modifica di configurazione all'hub, è necessario attendere la compilazione delle impostazioni dell'hub.

A scopo dimostrativo, si creerà prima un hub vuoto, quindi si aggiungerà il gateway da punto a punto nella sezione successiva. Tuttavia, è possibile scegliere di incorporare le impostazioni del gateway da punto a sito nella sezione successiva contemporaneamente si configura l'hub.

  1. Passare alla rete WAN virtuale creata. Nel riquadro sinistro della pagina Rete WAN virtuale, in Connettività, selezionare Hub.

  2. Nella pagina Hub selezionare + Nuovo hub per aprire la pagina Crea hub virtuale.

    Screenshot del riquadro Crea hub virtuale con la scheda Informazioni di base selezionata.

  3. Nella scheda Generale della pagina Crea hub virtuale completare i campi seguenti:

    • Area: selezionare l'area in cui distribuire l'hub virtuale.
    • Nome: nome con cui deve essere noto l'hub virtuale.
    • Spazio di indirizzi privato dell'hub: intervallo di indirizzi dell'hub nella notazione CIDR. Per creare un hub, lo spazio indirizzi minimo è /24.
    • Capacità hub virtuale: effettuare una selezione dall'elenco a discesa. Per altre informazioni, vedere Impostazioni dell'hub virtuale.
    • Preferenza di routing hub: lasciare l'impostazione predefinita, ExpressRoute a meno che non sia necessario modificare questo campo. Per altre informazioni, vedere Preferenza di routing dell’hub virtuale.

Dopo aver configurato le impostazioni, fare clic su Rivedi e crea per convalidare e quindi su Crea l'hub. La creazione di un hub può richiedere fino a 30 minuti.

Aggiungere un gateway connessione da punto a sito a un hub

Questa sezione illustra come aggiungere un gateway a un hub virtuale già esistente. L'aggiornamento di un hub può richiedere fino a 30 minuti.

  1. Passare alla Rete WAN virtuale. Nel riquadro sinistro espandere Impostazioni e selezionare Hub.

  2. Fare clic sul nome dell'hub da modificare.

  3. Fare clic su Modifica hub virtuale nella parte superiore della pagina per aprire la pagina Modifica hub virtuale.

  4. Nella pagina Modifica hub virtuale, selezionare le caselle di controllo per Includi gateway VPN per i siti VPN e per Includi gateway da punto a sito per visualizzare le impostazioni. Quindi, configurare i valori.

    Screenshot che mostra Modifica hub virtuale.

    • Unità di scala gateway: selezionare le unità di scala del gateway. Le unità di scala rappresentano la capacità aggregata del gateway VPN utente. Se si selezionano 40 o più unità di scala gateway, pianificare di conseguenza il pool di indirizzi client. Per informazioni sugli impatti di questa impostazione sul pool di indirizzi client, vedere Informazioni sui pool di indirizzi client. Per informazioni sulle unità di scala del gateway, vedere le domande frequenti.
    • Configurazione VPN utente: selezionare la configurazione creata in precedenza.
    • Mapping dei gruppi di utenti ai pool di indirizzi: specificare i pool di indirizzi. Per informazioni su questa impostazione, vedere Configurare gruppi di utenti e pool di indirizzi IP per VPN utente da sito a sito.

  5. Dopo aver configurato le impostazioni, fare clic su Conferma per aggiornare l'hub. L'aggiornamento di un hub può richiedere fino a 30 minuti.

Connettere la rete virtuale all'hub

In questa sezione viene creata una connessione tra l'hub virtuale e la rete virtuale.

  1. Nel portale di Azure passare a Rete WAN virtuale. Nel riquadro sinistro selezionare Connessioni di rete virtuale.

  2. Nella pagina Connessioni rete virtuale selezionare + Aggiungi connessione.

  3. Nella pagina Aggiungi connessione configurare le impostazioni della connessione. Per informazioni sulle impostazioni di routing, vedere Informazioni sul routing.

    • Nome connessione: assegnare un nome alla connessione.
    • Hub: selezionare l'hub da associare a questa connessione.
    • Sottoscrizione: verificare la sottoscrizione.
    • Gruppo di risorse: selezionare il gruppo di risorse contenente la rete virtuale a cui connettersi.
    • Rete virtuale: selezionare la rete virtuale da connettere a questo hub. La rete virtuale selezionata non può contenere un gateway di rete virtuale già esistente.
    • Propaga a nessuno: per impostazione predefinita, questa opzione è impostata su No. Se si modifica l'opzione impostandola su , le opzioni di configurazione per Propaga alle tabelle di route e Propaga alle etichette non sono disponibili per la configurazione.
    • Associa tabella di route: dall'elenco a discesa è possibile selezionare una tabella di route da associare.
    • Propaga alle etichette: le etichette sono un gruppo logico di tabelle di route. Per questa impostazione, effettuare una selezione dall'elenco a discesa.
    • Route statiche: configurare le route statiche, se necessario. Configurare le route statici per le appliance virtuali di rete (se applicabile). La rete WAN virtuale supporta un singolo indirizzo IP hop successivo per la route statica in una connessione di rete virtuale. Ad esempio, se esiste un'appliance virtuale separata per i flussi di traffico in ingresso e in uscita, è preferibile avere le appliance virtuali in reti virtuali separate e collegare le reti virtuali all'hub virtuale.
    • Ignora indirizzo IP hop successivo per i carichi di lavoro all'interno di questa rete virtuale: questa impostazione consente di distribuire appliance virtuali di rete e altri carichi di lavoro nella stessa rete virtuale senza forzare tutto il traffico attraverso l'appliance virtuale di rete. È possibile configurare questa impostazione solo per una nuova connessione. Se si desidera usare questa impostazione per una connessione già creata, eliminare la connessione e aggiungerne una nuova.
    • Propaga route statica: questa impostazione è attualmente in fase di implementazione. Questa impostazione consente di propagare le route statiche definite nella sezione Route statiche alle tabelle di route specificate in Propaga a tabelle di route. Le route, inoltre, verranno propagate nelle tabelle di route con le etichette specificate come Propaga alle etichette. Queste route possono essere propagate tra hub, ad eccezione della route predefinita 0/0.

  4. Dopo aver completato le impostazioni da configurare, fare clic su Crea per creare la connessione.

Scaricare il profilo VPN utente

Tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP per la configurazione del client VPN. Le impostazioni nel file ZIP offrono una guida per configurare facilmente i client VPN. I file di configurazione del client VPN che sono stati generati sono specifici per la configurazione VPN utente del gateway. È possibile scaricare profili globali (livello WAN) o un profilo per un hub specifico. Per informazioni e istruzioni aggiuntive, vedere Scaricare profili globali e hub. La procedura seguente illustra come scaricare un profilo globale a livello WAN.

  1. Per generare un pacchetto di configurazione client VPN con profilo globale a livello WAN, passare a rete WAN virtuale (non all'hub virtuale).

  2. Nel riquadro sinistro, selezionare Configurazioni VN PN utente.

  3. Selezionare la configurazione per scaricare il profilo. Se sono stati assegnati più hub allo stesso profilo, espandere il profilo per visualizzare gli hub e selezionare uno degli hub che usano il profilo.

  4. Selezionare Scarica il profilo VPN utente della rete WAN virtuale.

  5. Nella pagina di download, selezionare EAPTLS, quindi Genera e scarica profilo. Un pacchetto del profilo (file ZIP) contenente le impostazioni di configurazione client viene generato e scaricato nel computer. Il contenuto del pacchetto dipende dalle scelte di autenticazione e tunnel per la configurazione.

Configurare il client VPN di Azure

Si esaminerà il pacchetto di configurazione del profilo, configurerà il client VPN di Azure per i computer client e si stabilirà la connessione ad Azure. Vedere gli articoli elencati nella sezione Passaggi successivi.

Passaggi successivi

Configurare il client VPN di Azure. È possibile usare la procedura descritta nella documentazione del client Gateway VPN per configurare il client VPN di Azure per rete WAN virtuale.