配置 Azure VPN 客户端 - Microsoft Entra ID 身份验证 - Linux（预览版）

本文介绍如何在 Linux 计算机 (Ubuntu) 上配置 Azure VPN 客户端，以使用虚拟 WAN 用户 VPN（点到站点）和 Microsoft Entra ID 身份验证连接到虚拟网络。

本文中的步骤适用于使用 Microsoft 注册的 Azure VPN 客户端应用以及关联的应用 ID 和受众值进行 Microsoft Entra ID 身份验证。 本文不适用于租户中旧版手动注册的 Azure VPN 客户端应用。 有关详细信息，请参阅 Microsoft Entra ID 身份验证的点到站点用户 VPN - Microsoft 注册的应用。

开始之前

请确认你阅读的是正确的文章。 下表显示了 Azure 虚拟 WAN 点到站点 (P2S) VPN 客户端可用的配置文章。 步骤因身份验证类型、隧道类型和客户端 OS 而有所不同。

先决条件

本文假定你已执行以下先决条件：

• 已根据为用户 VPN (P2S) 网关配置 Microsoft Entra ID 身份验证一文中的步骤配置了虚拟 WAN。 用户 VPN 配置必须使用 Microsoft Entra ID (Azure Active Directory) 身份验证和 OpenVPN 隧道类型。
• 你已生成并下载了 VPN 客户端配置文件。 有关生成 VPN 客户端配置文件配置包的步骤，请参阅下载全局配置文件和中心配置文件。

Workflow

虚拟 WAN 服务器配置完成后，后续步骤如下：

1. 下载并安装适用于 Linux 的 Azure VPN 客户端。
2. 将客户端配置文件设置导入 VPN 客户端。
3. 创建连接。

安装 Azure VPN 客户端

使用以下步骤下载并安装最新版本的适用于 Linux 的 Azure VPN 客户端。

# install curl utility
sudo apt-get install curl

# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc

# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-focal-prod.list

# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-jammy-prod.list

sudo apt-get update
sudo apt-get install microsoft-azurevpnclient

提取 VPN 客户端配置包

若要配置 Azure VPN 客户端配置文件，请从 Azure P2S 网关下载 VPN 客户端配置文件包。 此包包含配置 VPN 客户端所需的设置。

如果 P2S 网关配置以前配置为使用旧版手动注册的应用 ID 版本，则 P2S 配置不支持 Linux VPN 客户端。 你需要更改 P2S 配置以使用 Microsoft 注册的应用 ID 版本。 有关详细信息，请参阅配置 Microsoft Entra ID 身份验证的 P2S 用户 VPN - Microsoft 注册的应用。

1. 找到并提取包含 VPN 客户端配置文件配置包的 zip 文件。 该 zip 文件包含 AzureVPN 文件夹。
2. 在 AzureVPN 文件夹中，你将看到 azurevpnconfig_aad.xml 文件或 azurevpnconfig.xml 文件，具体取决于 P2S 配置是否包含多种身份验证类型。 .xml 文件包含用于配置 VPN 客户端配置文件的设置。

修改 VPN 配置文件

如果 P2S 配置使用具有 Microsoft 注册应用 ID 的自定义受众，则每次连接时可能会显示弹出窗口，要求你再次输入凭据并完成身份验证。 重试身份验证通常会解决该问题。 发生这种情况的原因是 VPN 客户端配置文件需要自定义受众 ID 和 Microsoft 应用程序 ID。 为了防止发生这种情况，请修改配置文件配置 .xml 文件，以包含自定义应用程序 ID 和 Microsoft 应用程序 ID。

1. 要修改 Azure VPN 客户端配置 .xml 文件，请使用文本编辑器（如记事本）打开该文件。

2. 接下来，添加 applicationid 的值并保存更改。 以下示例显示了应用程序 ID 值 c632b3df-fb67-4d84-bdcf-b95ad541b5c8。

   示例

   <aad>
      <audience>{customAudienceID}</audience>
      <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
      <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
      <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
   </aad>
   

导入 VPN 客户端配置文件配置设置

在本部分中，将配置适用于 Linux 的 Azure VPN 客户端。

1. 在 Azure VPN 客户端页上的左下窗格中，选择“导入”。

2. 选择“导入配置文件”并浏览以查找配置文件 xml 文件。 选择 文件。 选择该文件后，选择“确定”。

   

3. 查看连接配置文件信息。 更改“证书信息”值以显示默认的“DigiCert_Global_Root G2.pem”或“DigiCert_Global_Root_CA.pem”。 不要留空。

4. 如果 VPN 客户端配置文件包含多个客户端身份验证，则对于“客户端身份验证”>“身份验证类型”，请从下拉菜单中选择“Microsoft Entra ID”。

   

5. 对于“租户”字段，请指定 Microsoft Entra 租户的 URL。 确保“租户 URL”的末尾没有 \（反斜杠）。 允许正斜杠。

   租户 ID 的结构如下：https://login.microsoftonline.com/{Entra TenantID}

6. 对于“受众”字段，请指定应用程序 ID（应用 ID）。

   Microsoft 注册的 Azure VPN 客户端的应用 ID 为：c632b3df-fb67-4d84-bdcf-b95ad541b5c8。 我们还支持为此字段自定义应用 ID。

7. 对于“颁发者”字段，请指定安全令牌服务的 URL。 在“颁发者”值的末尾包含尾部斜杠。 否则，连接可能会失败。

   示例：https://sts.windows.net/{AzureAD TenantID}/

8. 填写这些字段后，单击“保存”。

9. 在“VPN 连接”窗格中，选择保存的连接配置文件。 然后，在下拉列表中，单击“连接”。

   

10. Web 浏览器会自动出现。 填写 Microsoft Entra ID 身份验证的用户名/密码凭据，然后连接。

11. VPN 连接成功完成后，客户端配置文件会显示绿色图标，且“状态日志”窗口中的左侧窗格会显示“状态 = 已连接”。

12. 连接后，状态将更改为“已连接”。 若要断开与会话的连接，请从下拉列表中选择“断开连接”。

删除 VPN 客户端配置文件

1. 在 Azure VPN 客户端上，选择要移除的连接。 然后，从下拉列表中选择“移除”。

   

2. 在“移除 VPN 连接?”中选择“确定”。

检查日志

若要诊断问题，可以使用 Azure VPN 客户端“日志”。

1. 在 Azure VPN 客户端中，转到“设置”。 在右侧窗格中，选择“显示日志目录”。

2. 若要访问日志文件，请转到 /var/log/azurevpnclient 文件夹并找到 AzureVPNClient.log 文件。

后续步骤

有关 Microsoft 注册的 Azure VPN 客户端的详细信息，请参阅为 P2S 用户 VPN 配置 Microsoft Entra ID 身份验证。