Configurare il client VPN di Azure - Autenticazione CON ID Microsoft Entra - Windows
Questo articolo illustra come configurare il client VPN di Azure in un computer Windows per connettersi a una rete virtuale usando una VPN utente rete WAN virtuale (da punto a sito) e l'autenticazione microsoft Entra ID. Il client VPN di Azure è supportato con la modalità FIPS di Windows usando l'hotfix KB4577063.
Nota
L'autenticazione con ID Entra di Microsoft è supportata solo per le connessioni al protocollo OpenVPN®.
Operazioni preliminari
Verificare che questo sia l'articolo corretto. La tabella seguente illustra gli articoli di configurazione disponibili per i client VPN da punto a sito (P2S) di Azure rete WAN virtuale. I passaggi variano a seconda del tipo di autenticazione, del tipo di tunnel e del sistema operativo client.
| Authentication method | Tipo di tunnel | Sistema operativo client | Client VPN |
|---|---|---|---|
| Certificate | IKEv2, SSTP | Finestre | Client VPN nativo |
| IKEv2 | macOS | Client VPN nativo | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Finestre |
Client VPN di Azure Client OpenVPN versione 2.x Client OpenVPN versione 3.x |
|
| OpenVPN | macOS | Client OpenVPN | |
| OpenVPN | iOS | Client OpenVPN | |
| OpenVPN | Linux |
Client VPN di Azure Client OpenVPN |
|
| Microsoft Entra ID | OpenVPN | Finestre | Client VPN di Azure |
| OpenVPN | macOS | Client VPN di Azure | |
| OpenVPN | Linux | Client VPN di Azure |
Prerequisiti
Questo articolo presuppone che l'utente abbia già soddisfatto i prerequisiti seguenti:
- È stata configurata una rete WAN virtuale in base alla procedura descritta nell'articolo Configurare un gateway VPN utente (P2S) per l'autenticazione con ID Entra Microsoft. La configurazione VPN utente deve usare l'autenticazione microsoft Entra ID (Azure Active Directory) e il tipo di tunnel OpenVPN.
- Sono stati generati e scaricati i file di configurazione del client VPN. Per la procedura per generare un pacchetto di configurazione del profilo client VPN, vedere Scaricare profili globali e hub.
Workflow
Questo articolo continua dalla procedura configurare un gateway VPN utente (P2S) per l'autenticazione dell'ID Microsoft Entra. Questo articolo offre informazioni utili per:
- Scaricare e installare il client VPN di Azure per Windows.
- Estrarre i file di configurazione del profilo del client VPN.
- Aggiornare i file di configurazione del profilo con un valore del gruppo di destinatari personalizzato (se applicabile).
- Importare le impostazioni del profilo client nel client VPN.
- Creare una connessione e connettersi ad Azure.
Scaricare il client VPN di Azure
Scaricare la versione più recente dei file di installazione del client VPN di Azure usando uno dei collegamenti seguenti:
- Installare usando i file di installazione client: https://aka.ms/azvpnclientdownload.
- Installare direttamente, quando è stato eseguito l'accesso in un computer client: Microsoft Store.
Installare il client VPN di Azure in ogni computer.
Verificare che il client VPN di Azure disponga dell'autorizzazione per l'esecuzione in background. Per i passaggi, vedere App in background di Windows.
Per verificare la versione del client installata, aprire il client VPN di Azure. Passare alla parte inferiore del client e fare clic su ... -> ? Guida. Nel riquadro a destra è possibile visualizzare il numero di versione del client.
Estrarre i file di configurazione del profilo client
Per configurare il profilo client VPN di Azure, è prima necessario scaricare il pacchetto di configurazione del profilo client VPN dal gateway di connessione da punto a sito di Azure. Questo pacchetto è specifico del gateway VPN configurato e contiene le impostazioni necessarie per configurare il client VPN. Se è stata usata la procedura di configurazione del server da punto a sito come indicato nella sezione Prerequisiti, il pacchetto di configurazione del profilo client VPN che contiene i file di configurazione del profilo VPN è già stato generato e scaricato.
Dopo aver ottenuto il pacchetto di configurazione del profilo client VPN, estrarre il file ZIP. Il file ZIP contiene la cartella AzureVPN. La cartella AzureVPN contiene il file azurevpnconfig_aad.xml o il file azurevpnconfig.xml, a seconda che la configurazione da punto a sito includa più tipi di autenticazione o meno. Se non vengono visualizzati azurevpnconfig_aad.xml o azurevpnconfig.xml o non si dispone di una cartella AzureVPN, verificare che il gateway VPN sia configurato per l'uso del tipo di tunnel OpenVPN e che sia selezionata l'autenticazione di Azure Active Directory (Microsoft Entra ID).
Modificare i file di configurazione del profilo
Se la configurazione da punto a sito usa un gruppo di destinatari personalizzato con l'ID app registrato da Microsoft, è possibile ricevere popup ogni volta che ci si connette che richiedono di immettere di nuovo le credenziali e completare l'autenticazione. La ripetizione dei tentativi di autenticazione risolve in genere il problema. Ciò si verifica perché il profilo client VPN richiede sia l'ID gruppo di destinatari personalizzato che l'ID applicazione Microsoft. Per evitare questo problema, modificare il file di configurazione del profilo .xml in modo da includere sia l'ID applicazione personalizzato che l'ID applicazione Microsoft.
Nota
Questo passaggio è necessario per le configurazioni del gateway da punto a sito che usano un valore di gruppo di destinatari personalizzato e l'app registrata è associata all'ID app client VPN di Azure registrato da Microsoft. Se non si applica alla configurazione del gateway da punto a sito, è possibile ignorare questo passaggio.
Per modificare il file di configurazione del client VPN di Azure .xml, aprire il file usando un editor di testo, ad esempio Blocco note.
Aggiungere quindi il valore per
applicationide salvare le modifiche. Nell'esempio seguente viene illustrato il valorec632b3df-fb67-4d84-bdcf-b95ad541b5c8dell'ID applicazione .Esempio
<aad> <audience>{customAudienceID}</audience> <issuer>https://sts.windows.net/{tenant ID value}/</issuer> <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant> <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> </aad>
Importare le impostazioni di configurazione del profilo client
Nota
È in corso la sostituzione dei campi del client VPN di Azure relativi ad Azure Active Directory con Microsoft Entra ID. Se in questo articolo si fa riferimento a campi di Microsoft Entra ID, ma tali valori non sono ancora visualizzati nel client, selezionare i valori di Azure Active Directory corrispondenti.
Aprire il client VPN di Azure.
Selezionare + nella parte inferiore sinistra della pagina, quindi selezionare Importa.
Passare alla cartella di configurazione del profilo client VPN di Azure estratta. Aprire la cartella AzureVPN e selezionare il file di configurazione del profilo client (azurevpnconfig_aad.xml o azurevpnconfig.xml). Selezionare Apri per importare il file.
Nella pagina del profilo client si noti che molte delle impostazioni sono già specificate. Le impostazioni preconfigurate sono contenute nel pacchetto del profilo client VPN importato. Anche se la maggior parte delle impostazioni è già specificata, è necessario configurare le impostazioni specifiche per il computer client.
Modificare il nome in Nome connessione (facoltativo). In questo esempio si noti che il valore Audience visualizzato è il valore associato all'ID app client VPN di Azure registrato da Microsoft. Il valore in questo campo deve corrispondere al valore configurato che deve essere usato del gateway VPN da punto a sito.
fare clic su Salva per salvare il profilo di connessione.
Nel riquadro sinistro selezionare il profilo di connessione da usare. Fare quindi clic su Connetti per avviare la connessione.
Eseguire l'autenticazione usando le proprie credenziali, se richiesto.
Una volta stabilita la connessione, l'icona diventerà verde mostrerà lo stato Connesso.
Per connettersi automaticamente
Questa procedura consente di configurare la connessione per connettersi automaticamente con Always-On.
Nella home page del client VPN selezionare Impostazioni VPN. Se viene visualizzata la finestra di dialogo Cambia app, selezionare Sì.
Se il profilo da configurare è connesso, disconnettere la connessione, evidenziare il profilo e selezionare la casella di controllo Connetti automaticamente .
Selezionare Connetti per avviare la connessione VPN.
Esportare e distribuire un profilo client
Dopo aver creato un profilo di lavoro, se è necessario distribuirlo ad altri utenti, è possibile esportarlo seguendo questa procedura:
Evidenziare il profilo client VPN da esportare, selezionare i puntini di sospensione ... e quindi selezionare Esporta.
Selezionare il percorso in cui salvare il profilo, lasciare invariato il nome del file e quindi selezionare Salva per salvare il file XML.
Eliminare un profilo client
Evidenziare il profilo client VPN che si vuole esportare, selezionare ..., quindi selezionare Rimuovi.
Nel popup di conferma selezionare Rimuovi per procedere all'eliminazione.
Diagnosticare i problemi di connessione
Per diagnosticare i problemi di connessione, è possibile usare lo strumento Diagnosi. Selezionare i puntini di sospensione ... accanto alla connessione VPN che si vuole diagnosticare per visualizzare il menu. Selezionare quindi Diagnosi.
Nella pagina Proprietà connessione selezionare Esegui diagnostica.
Se richiesto, accedere con le credenziali personali.
Visualizzare i risultati.
Impostazioni di configurazione client facoltative
È possibile configurare il client VPN di Azure con impostazioni di configurazione facoltative, ad esempio server DNS aggiuntivi, DNS personalizzato, tunneling forzato, route personalizzate e altre impostazioni. Per altre informazioni, vedere Configurare le impostazioni facoltative del client VPN di Azure.
Informazioni sulla versione del client VPN di Azure
Per informazioni sulla versione del client VPN di Azure, vedere Versioni del client VPN di Azure.
Passaggi successivi
Per altre informazioni sul client VPN di Azure registrato da Microsoft, vedere Configurare la VPN utente da sito a sito per l'autenticazione di Microsoft Entra ID.