你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

配置 Azure VPN 客户端 - Microsoft Entra ID 身份验证 - macOS

本文可帮助你配置 macOS 客户端计算机，以使用 VPN 网关点到站点 (P2S) 连接连接到 Azure 虚拟网络。 这些步骤适用于配置为使用 Microsoft Entra ID 身份验证的 Azure VPN 网关。 Microsoft Entra ID 身份验证仅支持 OpenVPN® 协议连接，并且需要 Azure VPN 客户端。 由于本地法规和要求，macOS 的 Azure VPN 客户端目前无法在法国和中国使用。

先决条件

在继续执行本文中的步骤之前，请确保满足以下先决条件：

• 为指定 Microsoft Entra ID 身份验证的点到站点 VPN 连接配置 VPN 网关。 请参阅为 Microsoft Entra ID 身份验证配置 P2S VPN 网关。

• 验证客户端计算机是否在支持的处理器上运行支持的 OS。

  • 支持的 macOS 版本：15 (Sonoma)、14 (Sonoma)、13 (Ventura)、12 (Monterey)
  • 支持的处理器：x64、Arm64

• 如果你的设备具有早于 2.7.101 的 M 系列芯片和 VPN 客户端版本，则必须安装 Rosetta 软件。 有关详细信息，请参阅 Apple 支持文章

• 如果使用 Azure VPN 客户端版本 2.7.101 或更高，则无需安装 Rosetta 软件。

Workflow

本文继续介绍为 Microsoft Entra ID 身份验证配置 P2S VPN 网关的步骤。 本文将会帮助你：

1. 下载并安装适用于 macOS 的 Azure VPN 客户端。
2. 提取 VPN 客户端配置文件。
3. 将客户端配置文件设置导入 VPN 客户端。
4. 创建连接并连接到 Azure。

下载 Azure VPN 客户端

1. 从 Apple Store 商店下载最新的 Azure VPN 客户端。
2. 在计算机上安装客户端。

提取客户端配置文件

如果你使用了先决条件部分中提到的 P2S 服务器配置步骤，则已生成并已下载包含 VPN 配置文件的 VPN 客户端配置文件配置包。 如果需要生成配置文件，请参阅下载 VPN 客户端配置文件配置包。

生成并下载 VPN 客户端配置文件配置包时，VPN 客户端的所有必需配置设置都包含在 VPN 客户端 zip 配置文件中。 每个虚拟网络的 P2S VPN 网关配置都有自己的 VPN 客户端配置文件。 如果生成文件后 P2S VPN 配置有任何更改，例如 VPN 协议类型或身份验证类型出现更改，则需要生成新的 VPN 客户端配置文件，并将新配置应用到所有要连接的 VPN 客户端。

找到已生成生成并下载的 VPN 客户端配置文件配置包并解压缩（已在先决条件中列出）。 打开 AzureVPN 文件夹。 在此文件夹中，你将看到 azurevpnconfig_aad.xml 文件或 azurevpnconfig.xml 文件，具体取决于 P2S 配置是否包含多种身份验证类型。 .xml 文件包含用于配置 VPN 客户端配置文件的设置。

修改配置文件

如果 P2S 配置使用具有 Microsoft 注册应用 ID 的自定义受众，则每次连接时可能会显示弹出窗口，要求你再次输入凭据并完成身份验证。 重试身份验证通常会解决该问题。 发生这种情况的原因是 VPN 客户端配置文件需要自定义受众 ID 和 Microsoft 应用程序 ID。 为了防止发生这种情况，请修改配置文件配置 .xml 文件，以包含自定义应用程序 ID 和 Microsoft 应用程序 ID。

注意

如果 P2S 网关配置使用自定义受众值，并且已注册的应用与 Microsoft 注册的 Azure VPN 客户端应用 ID 相关联，则必须执行此步骤。 如果这不适用于你的 P2S 网关配置，则可以跳过此步骤。

1. 要修改 Azure VPN 客户端配置 .xml 文件，请使用文本编辑器（如记事本）打开该文件。

2. 接下来，添加 applicationid 的值并保存更改。 以下示例显示了 c632b3df-fb67-4d84-bdcf-b95ad541b5c8 的应用程序 ID 值。

   示例

   <aad>
      <audience>{customAudienceID}</audience>
      <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
      <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
      <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
   </aad>
   

导入 VPN 客户端配置文件

注意

我们正在将 Azure Active Directory 的 Azure VPN 客户端字段更改为 Microsoft Entra ID。 如果你看到本文中提到的 Microsoft Entra ID 字段，但尚未看到客户端中反映这些值，请选择对应的 Azure Active Directory 值。

1. 在“Azure VPN 客户端”页上，选择“导入”。

2. 导航到包含要导入的文件的文件夹，将其选中，然后单击“打开”。

3. 在此屏幕上，请注意连接值是使用导入的 VPN 客户端配置文件中的值填充的。

   • 确认“证书信息”值显示的是 DigiCert 全局根 G2，而不是默认值或留空。 如有必要，修改该值。
   • 请注意，客户端身份验证值与用于配置 VPN 网关以进行 Microsoft Entra ID 身份验证的值保持一致。 此示例中的受众值与 Azure 公共版 Microsoft 注册的应用 ID 保持一致。 如果为其他受众值配置了 P2S 网关，此字段必须反映该值。

   

4. 点击“保存”以保存连接配置文件的配置。

5. 在“VPN 连接”窗格中，选择保存的连接配置文件。 然后单击“连接”。

6. 连接后，状态将更改为“已连接”。 若要断开与会话的连接，请单击“断开连接”。

手动创建连接

1. 打开 Azure VPN 客户端。 在客户端底部，选择“添加”以创建新连接。

2. 在“Azure VPN 客户端”页上，你可以对配置文件设置进行配置。 更改“证书信息”值，以显示 DigiCert 全局根 G2，而不是默认值或留空，然后单击“保存”。

   配置下列设置：

   • 连接名称：用于引用此连接配置文件的名称。
   • VPN 服务器：此名称是要用于引用服务器的名称。 此处选择的名称无需是服务器的正式名称。
   • 服务器验证
     • 证书信息：DigiCert 全局根 G2
     • 服务器机密：服务器的机密。
   • 客户端身份验证
     • 身份验证类型：Microsoft Entra ID
     • 租户：租户的名称。
     • 受众：受众值必须与 P2S VPN 网关配置使用的值一致。
     • 颁发者：颁发者的名称。

3. 填写这些字段后，请单击“保存”。

4. 在“VPN 连接”窗格中，选择已配置的连接配置文件。 然后单击“连接”。

删除 VPN 连接配置文件

可以从计算机中删除 VPN 连接配置文件。

1. 打开 Azure VPN 客户端。
2. 选择要删除的 VPN 连接，然后单击“删除”。

可选的 Azure VPN Client 配置设置

可以使用可选的配置设置来配置 Azure VPN Client，例如其他 DNS 服务器、自定义 DNS、强制隧道、自定义路由和其他附加设置。 有关可用的可选设置和配置步骤的说明，请参阅 Azure VPN Client 可选设置。

后续步骤

有关详细信息，请参阅为 Microsoft Entra ID 身份验证配置 P2S VPN 网关。