通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将手动注册的 Azure VPN 客户端迁移到 Microsoft 注册的客户端

  • 项目

本文帮助你从手动注册的 Azure VPN 客户端迁移到 Microsoft 注册的 Azure VPN 客户端,以实现点到站点 (P2S) Microsoft Entra ID 身份验证。 Microsoft 注册的 Azure VPN 客户端使用不同的受众值。 更新“受众”值时,必须同时在 P2S VPN 网关和任何以前配置的 VPN 客户端上进行更改。 有关“受众”值的详细信息,请参阅关于点到站点 VPN - Microsoft Entra ID 身份验证

下表显示了受支持的可用“受众”值。

应用 ID 支持的受众值 支持的客户端
已完成 Microsoft 注册 - Azure 公有云:c632b3df-fb67-4d84-bdcf-b95ad541b5c8 - Linux
- Windows
- macOS
手动注册 - Azure 公有云:41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure 政府:51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure 德国:538ee9e6-310a-468d-afef-ea97365856a9
- 由世纪互联运营的 Microsoft Azure:49f817b6-84ae-4cc0-928c-73f27289b3aa		 - Windows
- macOS
自定义 <custom-app-id> - Linux
- Windows
- macOS

本文中的示例使用 Azure 公有云的新受众值。 本文不适用于自定义受众值配置。 若要修改自定义受众应用 ID,请参阅“为 P2S VPN Microsoft Entra ID 身份验证创建或修改自定义受众应用 ID”。

Workflow

标准工作流为:

  1. 更新 P2S 网关设置。
  2. 生成并下载新的 VPN 客户端配置文件。
  3. 通过导入客户端配置包或(可选)更新已配置的 VPN 客户端上的设置来更新 VPN 客户端。
  4. 从租户中删除旧的 Azure VPN 客户端。 使用新的“受众”值建立 P2S 连接不需要此步骤,但这是一种很好的做法。

更新 P2S 网关设置

在现有网关上更新“受众”值时,停机时间少于 5 分钟。

  1. 转到虚拟网络网关。 在左窗格中单击“点到站点配置”,然后单击“立即配置”以打开“点到站点配置”页。

    显示隧道类型、身份验证类型和 Microsoft Entra 设置的设置的屏幕截图。

  2. 更改“受众”值。 在此示例中,我们已将“受众”值更改为 Microsoft 注册的 Azure VPN 客户端的 Azure 公有云值:c632b3df-fb67-4d84-bdcf-b95ad541b5c8

  3. 保持其他设置不变,除非已更改租户且需要更改租户 ID。 如果更新“颁发者”字段,请注意在末尾添加尾随斜杠。 有关每个字段的详细信息,请参阅 Microsoft Entra ID 值。

  4. 配置设置后,单击页面顶部的“保存”。

  5. 新设置保存到 P2S 网关,网关会更新。 这大约需要 5 分钟才能完成。

更新 VPN 客户端设置

对 P2S 网关进行更改时,通常需要生成并下载新的 VPN 客户端配置文件配置包。 此包包含来自 P2S VPN 网关的已更新设置。 如果你正在配置新的 Azure VPN 客户端,则必须生成此配置包。

但是,如果仅更新“受众”或“租户”值,则重新配置已部署的 Azure VPN 客户端时有几个选项。

  • 如果已将 Azure VPN 客户端配置为连接到此 P2S 网关,则可手动更新 VPN 客户端。

  • 如果你已更新 P2S 网关上的多个值,或者想要通过导入新值轻松更新 VPN 客户端,则可生成并下载新的 P2S VPN 客户端配置文件配置包,并将其导入到每个客户端。

更新 Azure VPN 客户端

这些步骤可帮助你在不使用配置文件配置包的情况下手动更新 Azure VPN 客户端。

  1. 启动 Azure VPN 客户端应用。
  2. 选择要更新的 VPN 连接配置文件。
  3. 单击“...”,然后单击“配置”
  4. 将“受众”字段更新为新的“受众”值。 此值必须与此客户端连接到的 P2S 网关值匹配。
  5. 如果还更新了租户 ID 值,请在客户端上更改它们。 这些值必须与 P2S 网关值匹配。
  6. 单击“保存” 保存这些设置。

使用配置文件配置包进行更新

如果要使用 VPN 客户端配置文件来配置 Azure VPN 客户端,可以生成包含新 P2S 网关设置的配置文件配置包。

  1. 在“点到站点配置”页面顶部,单击“下载 VPN 客户端”。 需要几分钟才能生成客户端配置包。

  2. 浏览器会指示客户端配置 zip 文件可用。 其名称与网关名称相同。

  3. 解压缩已下载的 zip 文件。

  4. 浏览到解压缩后的“AzureVPN”文件夹。

  5. 记下“azurevpnconfig.xml”文件的位置。 azurevpnconfig.xml 包含 VPN 连接的设置。 还可以将此文件分发给需要通过电子邮件或其他方式建立连接的所有用户。 用户需要有效的 Microsoft Entra ID 凭据才能成功连接。

后续步骤

若要详细了解如何为 Microsoft Entra ID 身份验证配置 Azure VPN 客户端,请参阅以下文章: