Konfigurowanie sieci VPN użytkownika P2S na potrzeby uwierzytelniania identyfikatora entra firmy Microsoft — aplikacja zarejestrowana przez firmę Microsoft

Ten artykuł pomaga skonfigurować połączenie sieci VPN użytkownika typu punkt-lokacja z wirtualną siecią WAN, które korzysta z uwierzytelniania microsoft Entra ID i nowego identyfikatora aplikacji klienta sieci VPN platformy Azure zarejestrowanej przez firmę Microsoft.

Uwaga

Kroki opisane w tym artykule dotyczą uwierzytelniania identyfikatora Entra firmy Microsoft przy użyciu nowego identyfikatora klienta sieci VPN platformy Azure zarejestrowanego przez firmę Microsoft i skojarzonych wartości odbiorców. Ten artykuł nie dotyczy starszej, ręcznie zarejestrowanej aplikacji klienta sieci VPN platformy Azure dla dzierżawy. Aby uzyskać instrukcje ręcznie zarejestrowanego klienta sieci VPN platformy Azure, zobacz Konfigurowanie sieci VPN użytkownika P2S przy użyciu ręcznie zarejestrowanego klienta sieci VPN.

Usługa Virtual WAN obsługuje teraz nowy identyfikator aplikacji zarejestrowany przez firmę Microsoft i odpowiadające im wartości odbiorców dla najnowszych wersji klienta sieci VPN platformy Azure. Podczas konfigurowania bramy sieci VPN użytkownika punkt-lokacja przy użyciu nowych wartości Odbiorców pomijasz proces ręcznej rejestracji aplikacji klienckiej sieci VPN platformy Azure dla dzierżawy firmy Microsoft Entra. Identyfikator aplikacji został już utworzony i dzierżawa jest automatycznie w stanie jej używać bez dodatkowych kroków rejestracji. Ten proces jest bezpieczniejszy niż ręczne rejestrowanie klienta sieci VPN platformy Azure, ponieważ nie musisz autoryzować aplikacji ani przypisywać uprawnień za pośrednictwem roli administratora globalnego.

Wcześniej trzeba było ręcznie zarejestrować (zintegrować) aplikację klienta sieci VPN platformy Azure z dzierżawą firmy Microsoft Entra. Zarejestrowanie aplikacji klienckiej powoduje utworzenie identyfikatora aplikacji reprezentującej tożsamość aplikacji klienckiej sieci VPN platformy Azure i wymaga autoryzacji przy użyciu roli administratora globalnego. Aby lepiej zrozumieć różnice między typami obiektów aplikacji, zobacz How and why applications are added to Microsoft Entra ID (Jak i dlaczego aplikacje są dodawane do identyfikatora Entra firmy Microsoft).

Jeśli to możliwe, zalecamy skonfigurowanie nowych bram sieci VPN użytkownika typu punkt-lokacja przy użyciu zarejestrowanego przez firmę Microsoft identyfikatora aplikacji klienckiej sieci VPN platformy Azure i odpowiednich wartości odbiorców zamiast ręcznego rejestrowania aplikacji klienta sieci VPN platformy Azure w dzierżawie. Jeśli masz wcześniej skonfigurowaną bramę sieci VPN użytkownika typu punkt-lokacja, która korzysta z uwierzytelniania microsoft Entra ID, możesz zaktualizować bramę i klientów, aby skorzystać z nowego identyfikatora aplikacji zarejestrowanej przez firmę Microsoft. Zaktualizowanie bramy punkt-lokacja przy użyciu nowej wartości Odbiorców jest wymagane, jeśli klienci systemu Linux mają nawiązać połączenie. Klient sieci VPN platformy Azure dla systemu Linux nie jest zgodny z poprzednimi wartościami odbiorców.

Zagadnienia do rozważenia

• Brama sieci VPN użytkownika punkt-lokacja może obsługiwać tylko jedną wartość odbiorców. Nie może obsługiwać wielu wartości odbiorców jednocześnie.

• Klient Azure VPN Client dla systemu Linux nie jest zgodny z poprzednimi wersjami bram P2S skonfigurowanymi do używania starszych wartości odbiorców, które są zgodne z ręcznie zarejestrowaną aplikacją. Jednak klient sieci VPN platformy Azure dla systemu Linux obsługuje niestandardowe wartości odbiorców.

• Chociaż możliwe jest, że klient sieci VPN platformy Azure dla systemu Linux może działać w innych dystrybucjach i wydaniach systemu Linux, klient sieci VPN platformy Azure dla systemu Linux jest obsługiwany tylko w następujących wersjach:

  • Ubuntu 20.04
  • Ubuntu 22.04

• Najnowsze wersje klientów sieci VPN platformy Azure dla systemów macOS i Windows są zgodne z poprzednimi wersjami bram punkt-lokacja skonfigurowanymi do używania starszych wartości odbiorców, które są zgodne z ręcznie zarejestrowaną aplikacją. Ci klienci obsługują również niestandardowe wartości odbiorców.

Wartości odbiorców klienta sieci VPN platformy Azure

W poniższej tabeli przedstawiono wersje klienta sieci VPN platformy Azure, które są obsługiwane dla każdego identyfikatora aplikacji i odpowiednich dostępnych wartości odbiorców.

Identyfikator aplikacji	Obsługiwane wartości odbiorców	Obsługiwani klienci
Zarejestrowane przez firmę Microsoft	Wartość c632b3df-fb67-4d84-bdcf-b95ad541b5c8 odbiorców ma zastosowanie do: — Publiczna platforma Azure — Azure Government — Azure (Niemcy) — Platforma Microsoft Azure obsługiwana przez firmę 21Vianet	- Linux -Windows - macOS
Ręczne zarejestrowanie	— Publiczna platforma Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4 — Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426 — Azure (Niemcy): 538ee9e6-310a-468d-afef-ea97365856a9 — Platforma Microsoft Azure obsługiwana przez firmę 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa	-Windows - macOS
Niestandardowy	<custom-app-id>	- Linux -Windows - macOS

Uwaga

Uwierzytelnianie identyfikatora Entra firmy Microsoft jest obsługiwane tylko w przypadku połączeń protokołu OpenVPN® i wymaga klienta sieci VPN platformy Azure.

W tym artykule omówiono sposób wykonywania następujących zadań:

• Tworzenie wirtualnej sieci WAN
• Tworzenie konfiguracji sieci VPN użytkownika
• Pobieranie profilu sieci VPN użytkownika wirtualnej sieci WAN
• Tworzenie koncentratora wirtualnego
• Edytowanie koncentratora w celu dodania bramy punkt-lokacja
• Łączenie sieci wirtualnej z koncentratorem wirtualnym
• Pobieranie i stosowanie konfiguracji klienta sieci VPN użytkownika
• Wyświetlanie wirtualnej sieci WAN

Zanim rozpoczniesz

Przed rozpoczęciem konfiguracji sprawdź, czy zostały spełnione następujące kryteria:

• Masz sieć wirtualną, z którą chcesz nawiązać połączenie. Sprawdź, czy żadna z podsieci sieci lokalnych nie nakłada się na sieci wirtualne, z którymi chcesz się połączyć. Aby utworzyć sieć wirtualną w witrynie Azure Portal, zobacz Przewodnik Szybki start.

• Sieć wirtualna nie ma żadnych bram sieci wirtualnych. Jeśli sieć wirtualna ma bramę (sieć VPN lub ExpressRoute), musisz usunąć wszystkie bramy. Kroki tej konfiguracji ułatwiają połączenie sieci wirtualnej z bramą koncentratora wirtualnego usługi Virtual WAN.

• Uzyskaj zakres adresów IP w regionie koncentratora. Koncentrator to sieć wirtualna, która jest tworzona i używana przez usługę Virtual WAN. Zakres adresów określony dla centrum nie może pokrywać się z żadnymi istniejącymi sieciami wirtualnymi, z którymi nawiązujesz połączenie. Nie może również nakładać się na zakresy adresów, z którymi łączysz się lokalnie. Jeśli nie znasz zakresów adresów IP znajdujących się w konfiguracji sieci lokalnej, koordynuj się z osobą, która może podać te szczegóły.

• Do tej konfiguracji potrzebna jest dzierżawa identyfikatora entra firmy Microsoft. Jeśli go nie masz, możesz go utworzyć, postępując zgodnie z instrukcjami w temacie Tworzenie nowej dzierżawy.

• Jeśli chcesz użyć niestandardowej wartości odbiorców, zobacz Tworzenie lub modyfikowanie niestandardowego identyfikatora aplikacji odbiorców.

Tworzenie wirtualnej sieci WAN

Przejdź w przeglądarce do witryny Azure Portal i zaloguj się przy użyciu konta platformy Azure.

1. W portalu na pasku Wyszukaj zasoby wpisz Virtual WAN w polu wyszukiwania i wybierz Enter.

2. Wybierz pozycję Wirtualne sieci WAN z wyników. Na stronie Wirtualne sieci WAN wybierz pozycję + Utwórz, aby otworzyć stronę Tworzenie sieci WAN.

3. Na stronie Tworzenie sieci WAN na karcie Podstawy wypełnij pola. Zmodyfikuj przykładowe wartości, aby zastosować je do środowiska.

   

   • Subskrypcja: wybierz subskrypcję, której chcesz użyć.
   • Grupa zasobów: utwórz nową lub użyj istniejącej.
   • Lokalizacja grupy zasobów: wybierz lokalizację zasobu z listy rozwijanej. Sieć WAN jest zasobem globalnym i nie mieszka w określonym regionie. Należy jednak wybrać region, aby zarządzać utworzonym zasobem sieci WAN i lokalizować go.
   • Nazwa: wpisz nazwę, którą chcesz wywołać wirtualną sieć WAN.
   • Typ: Podstawowa lub Standardowa. Wybierz opcję Standardowa. Jeśli wybierzesz pozycję Podstawowa, dowiedz się, że wirtualne sieci WAN w warstwie Podstawowa mogą zawierać tylko podstawowe koncentratory. Podstawowe koncentratory mogą być używane tylko w przypadku połączeń typu lokacja-lokacja.

4. Po zakończeniu wypełniania pól w dolnej części strony wybierz pozycję Przejrzyj +Utwórz.

5. Po zakończeniu walidacji kliknij przycisk Utwórz , aby utworzyć wirtualną sieć WAN.

Tworzenie konfiguracji sieci VPN użytkownika

Konfiguracja sieci VPN użytkownika definiuje parametry łączenia klientów zdalnych. Przed skonfigurowaniem koncentratora wirtualnego przy użyciu ustawień punkt-lokacja należy utworzyć konfigurację sieci VPN użytkownika, ponieważ należy określić konfigurację sieci VPN użytkownika, której chcesz użyć.

Ważne

Witryna Azure Portal jest w trakcie aktualizowania pól usługi Azure Active Directory do usługi Entra. Jeśli widzisz odwołanie do identyfikatora Entra firmy Microsoft i nie widzisz tych wartości w portalu, możesz wybrać wartości usługi Azure Active Directory.

1. Przejdź do wirtualnej sieci WAN. W okienku po lewej stronie rozwiń węzeł Łączność i wybierz stronę Konfiguracje sieci VPN użytkownika. Na stronie Konfiguracje sieci VPN użytkownika kliknij pozycję +Utwórz konfigurację sieci VPN użytkownika.

2. Na stronie Podstawowe określ następujące parametry.

   • Nazwa konfiguracji — wprowadź nazwę, którą chcesz wywołać konfigurację sieci VPN użytkownika. Na przykład TestConfig1.
   • Typ tunelu — wybierz pozycję OpenVPN z menu rozwijanego.

3. W górnej części strony kliknij pozycję Azure Active Directory. Niezbędne wartości można wyświetlić na stronie Identyfikator entra firmy Microsoft dla aplikacji dla przedsiębiorstw w portalu.

   Skonfiguruj następujące wartości:

   • Azure Active Directory — wybierz pozycję Tak.
   • Odbiorcy — wprowadź odpowiednią wartość dla identyfikatora aplikacji klienta sieci VPN platformy Azure zarejestrowanej przez firmę Microsoft, Azure Public: c632b3df-fb67-4d84-bdcf-b95ad541b5c8. W tym polu jest również obsługiwana grupa odbiorców niestandardowych.
   • Wystawca — wprowadź .https://sts.windows.net/<your Directory ID>/
   • Dzierżawa usługi AAD — wprowadź identyfikator dzierżawy dla dzierżawy firmy Microsoft Entra. Upewnij się, że na końcu adresu URL dzierżawy firmy Microsoft Entra nie / ma adresu URL.

4. Kliknij przycisk Utwórz , aby utworzyć konfigurację sieci VPN użytkownika. Ta konfiguracja zostanie wybrana w dalszej części ćwiczenia.

Tworzenie pustego koncentratora

Następnie utwórz koncentrator wirtualny. Kroki opisane w tej sekcji umożliwiają utworzenie pustego koncentratora wirtualnego, do którego można później dodać bramę punkt-lokacja. Jednak zawsze bardziej wydajne jest łączenie centrum wraz z bramą, ponieważ za każdym razem, gdy wprowadzisz zmianę konfiguracji w centrum, musisz poczekać na skompilowanie ustawień centrum.

W celach demonstracyjnych najpierw utworzymy puste centrum, a następnie dodamy bramę punkt-lokacja w następnej sekcji. Można jednak uwzględnić ustawienia bramy P2S w następnej sekcji w tym samym czasie, w której skonfigurowaliśmy koncentrator.

1. Przejdź do utworzonej wirtualnej sieci WAN. W okienku po lewej stronie wirtualnej sieci WAN w obszarze Łączność wybierz pozycję Koncentratory.

2. Na stronie Koncentratory wybierz pozycję +Nowe centrum, aby otworzyć stronę Tworzenie koncentratora wirtualnego.

   

3. Na karcie Tworzenie koncentratora wirtualnego wypełnij następujące pola:

   • Region: wybierz region, w którym chcesz wdrożyć koncentrator wirtualny.
   • Nazwa: nazwa, według której ma być znane centrum wirtualne.
   • Prywatna przestrzeń adresowa centrum: zakres adresów centrum w notacji CIDR. Minimalna przestrzeń adresowa to /24, aby utworzyć koncentrator.
   • Pojemność koncentratora wirtualnego: wybierz z listy rozwijanej. Aby uzyskać więcej informacji, zobacz Ustawienia koncentratora wirtualnego.
   • Preferencja routingu koncentratora: pozostaw ustawienie domyślne ExpressRoute, chyba że musisz zmienić to pole. Aby uzyskać więcej informacji, zobacz Preferencja routingu koncentratora wirtualnego.

Po skonfigurowaniu ustawień kliknij pozycję Przejrzyj i utwórz , aby zweryfikować, a następnie utwórz centrum. Utworzenie centrum może potrwać do 30 minut.

Dodawanie bramy punkt-lokacja do koncentratora

W tej sekcji pokazano, jak dodać bramę do istniejącego koncentratora wirtualnego. Zaktualizowanie centrum może potrwać do 30 minut.

1. Przejdź do wirtualnej sieci WAN. W okienku po lewej stronie rozwiń węzeł Ustawienia i wybierz pozycję Koncentratory.

2. Kliknij nazwę centrum, które chcesz edytować.

3. Kliknij pozycję Edytuj koncentrator wirtualny w górnej części strony, aby otworzyć stronę Edytowanie koncentratora wirtualnego.

4. Na stronie Edytowanie koncentratora wirtualnego zaznacz pola wyboru Uwzględnij bramę sieci VPN dla lokacji sieci VPN i Uwzględnij bramę punkt-lokacja, aby wyświetlić ustawienia. Następnie skonfiguruj wartości.

   

   • Jednostki skalowania bramy: wybierz jednostki skalowania bramy. Jednostki skalowania reprezentują zagregowaną pojemność bramy sieci VPN użytkownika. Jeśli wybierzesz 40 lub więcej jednostek skalowania bramy, zaplanuj odpowiednio pulę adresów klienta. Aby uzyskać informacje na temat wpływu tego ustawienia na pulę adresów klienta, zobacz About client address pools (Informacje o pulach adresów klienta). Aby uzyskać informacje o jednostkach skalowania bramy, zobacz często zadawane pytania.
   • Konfiguracja sieci VPN użytkownika: wybierz utworzoną wcześniej konfigurację.
   • Mapowanie grup użytkowników na pule adresów: określ pule adresów. Aby uzyskać informacje o tym ustawieniu, zobacz Konfigurowanie grup użytkowników i pul adresów IP dla sieci VPN użytkowników P2S.

5. Po skonfigurowaniu ustawień kliknij przycisk Potwierdź , aby zaktualizować centrum. Zaktualizowanie centrum może potrwać do 30 minut.

Łączenie sieci wirtualnej z koncentratorem

W tej sekcji utworzysz połączenie między koncentratorem wirtualnym a siecią wirtualną.

1. W witrynie Azure Portal przejdź do usługi Virtual WAN W okienku po lewej stronie wybierz pozycję Połączenia sieci wirtualnej.

2. Na stronie Połączenia sieci wirtualnej wybierz pozycję + Dodaj połączenie.

3. Na stronie Dodawanie połączenia skonfiguruj ustawienia połączenia. Aby uzyskać informacje o ustawieniach routingu, zobacz Informacje o routingu.

   • Nazwa połączenia: nazwij połączenie.
   • Koncentratory: wybierz koncentrator, który chcesz skojarzyć z tym połączeniem.
   • Subskrypcja: Zweryfikuj subskrypcję.
   • Grupa zasobów: wybierz grupę zasobów zawierającą sieć wirtualną, z którą chcesz nawiązać połączenie.
   • Sieć wirtualna: wybierz sieć wirtualną, którą chcesz połączyć z tym koncentratorem. Wybrana sieć wirtualna nie może mieć już istniejącej bramy sieci wirtualnej.
   • Propagacja na wartość none: jest ona domyślnie ustawiona na Nie . Zmiana przełącznika na Tak powoduje, że opcje konfiguracji propagacji do tabel tras i propagują do etykiet niedostępnych dla konfiguracji.
   • Skojarz tabelę tras: z listy rozwijanej możesz wybrać tabelę tras, którą chcesz skojarzyć.
   • Propagacja do etykiet: Etykiety są logiczną grupą tabel tras. Dla tego ustawienia wybierz z listy rozwijanej.
   • Trasy statyczne: w razie potrzeby skonfiguruj trasy statyczne. Skonfiguruj trasy statyczne dla wirtualnych urządzeń sieciowych (jeśli ma to zastosowanie). Usługa Virtual WAN obsługuje pojedynczy adres IP następnego przeskoku dla trasy statycznej w połączeniu sieci wirtualnej. Jeśli na przykład masz oddzielne urządzenie wirtualne dla przepływów ruchu przychodzącego i wychodzącego, najlepiej byłoby mieć urządzenia wirtualne w oddzielnych sieciach wirtualnych i dołączyć sieci wirtualne do koncentratora wirtualnego.
   • Pomiń adres IP następnego przeskoku dla obciążeń w tej sieci wirtualnej: to ustawienie umożliwia wdrażanie urządzeń WUS i innych obciążeń w tej samej sieci wirtualnej bez wymuszania całego ruchu przez urządzenie WUS. To ustawienie można skonfigurować tylko podczas konfigurowania nowego połączenia. Jeśli chcesz użyć tego ustawienia dla połączenia, które zostało już utworzone, usuń połączenie, a następnie dodaj nowe połączenie.
   • Propagacja trasy statycznej: to ustawienie jest obecnie wdrażane. To ustawienie umożliwia propagację tras statycznych zdefiniowanych w sekcji Trasy statyczne do tabel tras określonych w sekcji Propagacja do tabel tras. Ponadto trasy będą propagowane do tabel tras, które mają etykiety określone jako Propagacja do etykiet. Te trasy można propagować między koncentratorami, z wyjątkiem trasy domyślnej 0/0.

4. Po zakończeniu ustawień, które chcesz skonfigurować, kliknij przycisk Utwórz , aby utworzyć połączenie.

Pobieranie profilu sieci VPN użytkownika

Wszystkie niezbędne ustawienia konfiguracji dla klientów sieci VPN są zawarte w pliku zip konfiguracji klienta sieci VPN. Ustawienia w pliku zip ułatwiają konfigurowanie klientów sieci VPN. Wygenerowane pliki konfiguracji klienta sieci VPN są specyficzne dla konfiguracji sieci VPN użytkownika dla bramy. Możesz pobrać profile globalne (na poziomie sieci WAN) lub profil dla określonego centrum. Aby uzyskać informacje i dodatkowe instrukcje, zobacz Pobieranie profilów globalnych i centrów. W poniższych krokach przedstawiono proces pobierania globalnego profilu na poziomie sieci WAN.

1. Aby wygenerować pakiet konfiguracji klienta sieci VPN profilu globalnego na poziomie sieci WAN, przejdź do wirtualnej sieci WAN (a nie koncentratora wirtualnego).

2. W okienku po lewej stronie wybierz pozycję Konfiguracje sieci VPN użytkownika.

3. Wybierz konfigurację, dla której chcesz pobrać profil. Jeśli masz wiele centrów przypisanych do tego samego profilu, rozwiń profil, aby wyświetlić koncentratory, a następnie wybierz jeden z koncentratorów korzystających z profilu.

4. Wybierz pozycję Pobierz profil sieci VPN użytkownika wirtualnej sieci WAN.

5. Na stronie pobierania wybierz pozycję EAPTLS, a następnie pozycję Generuj i pobierz profil. Pakiet profilu (plik zip) zawierający ustawienia konfiguracji klienta jest generowany i pobierany na komputer. Zawartość pakietu zależy od opcji uwierzytelniania i tunelu dla konfiguracji.

Konfigurowanie klienta sieci VPN platformy Azure

Następnie przeanalizujesz pakiet konfiguracji profilu, skonfigurujesz klienta sieci VPN platformy Azure dla komputerów klienckich i połączysz się z platformą Azure. Zapoznaj się z artykułami wymienionymi w sekcji Następne kroki.

Następne kroki

Konfigurowanie klienta sieci VPN platformy Azure. Kroki opisane w dokumentacji klienta usługi VPN Gateway można wykonać, aby skonfigurować klienta sieci VPN platformy Azure dla usługi Virtual WAN.

• Klient sieci VPN platformy Azure dla systemu Linux
• Klient sieci VPN platformy Azure dla systemu Windows
• Klient sieci VPN platformy Azure dla systemu macOS