設定 Azure VPN 用戶端 – Microsoft Entra ID 驗證 – Windows

發行項
02/25/2025

本文可協助您設定 Windows 電腦上的 Azure VPN 用戶端，以使用虛擬 WAN 使用者 VPN（點對站）和Microsoft Entra ID 驗證來連線到虛擬網路。透過使用 KB4577063 Hotfix 的 Windows FIPS 模式支援 Azure VPN Client。

注意

Microsoft只有 OpenVPN® 通訊協定連線才支援 Entra ID 驗證。

開始之前

請確認您正在閱讀正確的文章。下表顯示 Azure 虛擬 WAN 點對站（P2S） VPN 用戶端可用的設定文章。步驟會根據驗證類型、通道類型和用戶端 OS 而有所不同。

驗證方法	通道類型	用戶端作業系統	VPN 用戶端
[MSSQLSERVER 的通訊協定內容]	IKEv2、SSTP	Windows	原生 VPN 用戶端
	IKEv2	macOS	原生 VPN 用戶端
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Azure VPN 用戶端 OpenVPN 用戶端 2.x 版 OpenVPN 用戶端 3.x 版
	OpenVPN	macOS	OpenVPN 用戶端
	OpenVPN	iOS	OpenVPN 用戶端
	OpenVPN	Linux	Azure VPN 用戶端 OpenVPN 用戶端
Microsoft Entra ID	OpenVPN	Windows	Azure VPN 用戶端
	OpenVPN	macOS	Azure VPN 用戶端
	OpenVPN	Linux	Azure VPN 用戶端

必要條件

本文假設您已經執行下列的必要條件:

您根據設定使用者 VPN （P2S）閘道以進行 Microsoft Entra ID 驗證一文中的步驟，設定虛擬 WAN。您的使用者 VPN 組態必須使用 Microsoft Entra ID （Azure Active Directory）驗證和 OpenVPN 信道類型。
您已產生並下載 VPN 用戶端組態檔。如需產生 VPN 用戶端配置檔組態套件的步驟，請參閱下載全域和中樞配置檔。

工作流程

本文會從設定使用者 VPN （P2S）網關繼續執行Microsoft Entra ID 驗證步驟。本文可協助您：

下載並安裝適用於 Windows 的 Azure VPN Client。
擷取 VPN 用戶端設定檔組態檔。
使用自訂物件值更新配置檔組態檔（如果適用的話）。
將用戶端設定檔設定匯入 VPN 用戶端。
建立連線並連線至 Azure。

下載 Azure VPN Client

使用以下連結之一下載最新版本的 Azure VPN 用戶端安裝檔案：
- 使用 [用戶端安裝檔案] 進行安裝：https://aka.ms/azvpnclientdownload。
- 在用戶端電腦上登入時直接安裝：Microsoft Store。
將 Azure VPN Client 安裝到每部電腦。
確認 Azure VPN Client 具有在背景中執行的權限。如需步驟，請參閱 Windows 背景應用程式。
若要驗證已安裝的用戶端版本，請開啟 Azure VPN Client。移至用戶端底部，然後按一下 [...] -> [?說明]。在右窗格中，您可以看到用戶端版本號碼。

解壓縮用戶端設定檔組態檔

若要設定 Azure VPN Client 設定檔，您必須先從 Azure P2S 閘道中下載 VPN 用戶端設定檔組態套件。此套件專屬於已設定的 VPN 閘道，並包含設定 VPN 用戶端的必要設定。如果您使用了必要條件一節中提到的 P2S 伺服器設定步驟，則表示您已經產生並下載了包含 VPN 設定檔組態檔的 VPN 用戶端設定檔組態套件。

取得 VPN 用戶端設定檔組態套件之後，請解壓縮 ZIP 檔案。該 zip 檔案包含 AzureVPN 資料夾。 AzureVPN 資料夾包含 arevpnconfig_aad.xml 檔案或 azurevpnconfig.xml 檔案，依您的 P2S 設定是否包括多個驗證類型而定。如果您沒有看到 azurevpnconfig_aad.xml 或 azurevpnconfig.xml，或沒有 AzureVPN 資料夾，請確認 VPN 閘道已設定為使用 OpenVPN 通道類型，並已選取 Azure Active Directory (Microsoft Entra ID) 驗證。

修改配置檔組態檔

如果您的 P2S 組態使用自定義物件搭配Microsoft註冊的應用程式識別碼，則每次連線時可能會收到彈出視窗，要求您再次輸入認證並完成驗證。重試驗證通常可解決問題。這是因為 VPN 用戶端配置檔需要自定義物件識別碼，以及Microsoft應用程式識別碼。若要避免這種情況，請修改配置檔組態.xml檔案，以同時包含自定義應用程式識別碼和Microsoft應用程式標識符。

注意

對於使用自定義物件值的 P2S 閘道組態而言，此步驟是必要的，且已註冊的應用程式會與Microsoft註冊的 Azure VPN 用戶端應用程式識別碼相關聯。如果這不適用於 P2S 閘道設定，您可以略過此步驟。

若要修改 Azure VPN 用戶端組態.xml檔案，請使用記事本之類的文本編輯器開啟檔案。

接下來，新增的值 applicationid 並儲存變更。下列範例顯示應用程式識別碼值 c632b3df-fb67-4d84-bdcf-b95ad541b5c8。

範例

<aad>
   <audience>{customAudienceID}</audience>
   <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
   <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
   <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
</aad>

匯入用戶端設定檔組態設定

注意

我們要將 Azure Active Directory 的 Azure VPN Client 欄位變更為 Microsoft Entra ID。如果您看到本文所參考的 Microsoft Entra ID 欄位，但尚未看到這些值反映在用戶端中，請選取接近的 Azure Active Directory 值。

開啟 Azure VPN Client。

選取頁面左下角的 +，然後選取 [匯入]。

瀏覽至您解壓縮的 Azure VPN Client 設定檔組態資料夾。開啟 AzureVPN 資料夾，然後選取用戶端設定檔組態檔 (azurevpnconfig_aad.xml 或 azurevpnconfig.xml)。選取 [開啟] 以匯入檔案。

在用戶端設定檔頁面上，請注意已指定許多設定。您匯入的 VPN 用戶端設定檔套件中包含預先設定的設定。即使大部分的設定都已經指定，您還是需要設定用戶端電腦的具體設定。

變更連線名稱的名稱 (選擇性)。在此範例中，請注意顯示的 Audience 值是與Microsoft註冊的 Azure VPN 用戶端應用程式識別符相關聯的值。此欄位中的值必須符合您的 P2S VPN 閘道設定要使用的值。

按一下 [儲存] 以儲存連線設定檔。

在左窗格中，選取您想要使用的連線設定檔。然後按一下 [連線] 起始連線。

如果出現提示，請使用您的認證進行驗證。

連線之後，圖示會變成綠色，並顯示 [已連線]。

自動連線

這些步驟可協助您設定連線以自動與 Always-on 連線。

在 VPN 用戶端的首頁上，選取 [VPN 設定]。如果您看到切換應用程式對話方塊，請選取 [是]。

如果您想要設定的配置檔已連線，請中斷連線，然後反白顯示配置檔，然後選取 [ 自動連線] 複選框。

選取 [連線] 以起始 VPN 連線。

匯出和散發用戶端設定檔

一旦您擁有工作設定檔，且需要將其散發給其他使用者，便可以使用下列步驟來匯出設定檔：

反白顯示您要匯出的 VPN 用戶端設定檔，選取 [...]，然後選取 [匯出]。

選取您要儲存此設定檔的位置，讓檔案名保持原狀，然後選取 [儲存] 以儲存 xml 檔案。

刪除用戶端設定檔

反白顯示您想要匯出的 VPN 用戶端設定檔，選取 ...，然後選取 [ 移除]。

在確認快顯上，選取 [移除] 以刪除。

診斷連線問題

若要診斷連線問題，您可以使用診斷工具。選取要診斷的 VPN 連線旁的 [...]，以顯示功能表。然後，選取 [診斷]。

在 [連線屬性] 頁面上，選取 [執行診斷]。

如果系統詢問您，請使用您的認證登入。

檢視結果。