Konfigurieren des Azure VPN-Client – Microsoft Entra-ID-Authentifizierung – Windows

  • Artikel

Dieser Artikel unterstützt Sie beim Konfigurieren von Azure VPN Client auf einem Windows-Computer für die Verbindung zu einem virtuellen Netzwerk mithilfe einer Point-to-Site-Verbindung (P2S) von VPN Gateway und der Microsoft Entra ID-Authentifizierung. Weitere Informationen zu Point-to-Site-Verbindungen finden Sie unter Informationen zu Point-to-Site-VPN. Der Azure VPN-Client wird mit dem Windows FIPS-Modus mithilfe des KB4577063-Hotfix unterstützt.

Voraussetzungen

Konfigurieren Sie Ihr VPN-Gateway für Point-to-Site-VPN-Verbindungen, welche die Microsoft Entra ID-Authentifizierung angeben. Siehe Konfigurieren eines P2S-VPN-Gateways für die Microsoft Entra ID-Authentifizierung.

Workflow

In diesem Artikel werden die Schritte für das Konfigurieren eines P2S-VPN-Gateways für die Microsoft Entra ID-Authentifizierung fortgesetzt. Dieser Artikel hilft Ihnen bei Folgendem:

  1. Laden Sie den Azure VPN-Client für Windows herunter und installieren Sie ihn.
  2. Extrahieren von Profilkonfigurationsdateien für den VPN-Client.
  3. Aktualisieren Sie die Profilkonfigurationsdateien mit einem benutzerdefinierten Zielgruppenwert (falls zutreffend).
  4. Importieren Sie die Clientprofileinstellungen in den VPN-Client.
  5. Erstellen Sie eine Verbindung und stellen Sie eine Verbindung mit Azure her.

Azure VPN Client herunterladen

  1. Laden Sie die neueste Version der Installationsdateien von Azure VPN Client über einen der folgenden Links herunter:

  2. Installieren Sie den Azure VPN Client auf jedem Computer.

  3. Überprüfen Sie, dass der Azure VPN Client über die Berechtigung für die Ausführung im Hintergrund verfügt. Schritte dazu finden Sie unter Windows-Hintergrund-Apps.

  4. Öffnen Sie den Azure VPN Client, um die installierte Clientversion zu überprüfen. Wechseln Sie zum unteren Rand des Clients, und klicken Sie auf ... -> ? Hilfe. Im rechten Bereich wird die Versionsnummer des Clients angezeigt.

Extrahieren von Profilkonfigurationsdateien für den VPN-Client

Um Ihr Azure VPN-Clientprofil zu konfigurieren, müssen Sie zuerst das VPN-Clientprofilkonfigurationspaket vom Azure P2S-Gateway herunterladen. Dieses Paket ist spezifisch für das konfigurierte VPN-Gateway und enthält die erforderlichen Einstellungen zum Konfigurieren des VPN-Clients. Wenn Sie die P2S-Serverkonfigurationsschritte wie im Abschnitt Voraussetzungen erwähnt verwendet haben, haben Sie bereits das VPN-Clientprofilkonfigurationspaket generiert und heruntergeladen, das die VPN-Profilkonfigurationsdateien enthält. Wenn Sie Konfigurationsdateien generieren müssen, lesen Sie Herunterladen des VPN-Clientprofilkonfigurationspakets.

Nachdem Sie das VPN-Clientprofilkonfigurationspaket abgerufen haben, extrahieren Sie die ZIP-Datei. Die ZIP-Datei enthält den Ordner AzureVPN. Der Ordner AzureVPN enthält die Datei azurevpnconfig_aad.xml oder die Datei azurevpnconfig.xml, je nachdem, ob Ihre P2S-Konfiguration mehrere Authentifizierungstypen enthält. Wenn azurevpnconfig_aad.xml oder azurevpnconfig.xml nicht angezeigt wird oder der Ordner AzureVPN nicht vorhanden ist, vergewissern Sie sich, dass Ihr VPN-Gateway für die Verwendung des OpenVPN-Tunneltyps konfiguriert ist und dass die Azure Active Directory-Authentifizierung (Microsoft Entra ID) ausgewählt ist.

Generieren von Profilkonfigurationsdateien

Wenn Ihre P2S-Konfiguration eine benutzerdefinierte Zielgruppe verwendet und Ihre registrierte App mit einer von Microsoft registrierten App-ID verknüpft ist, erhalten Sie möglicherweise die Fehlermeldung AADSTS650057, wenn Sie versuchen, eine Verbindung herzustellen. Wenn Sie Ihre Entra-ID-Anmeldedaten ein zweites Mal in das Pop-up-Fenster eingeben, wird das Problem behoben. Dies geschieht, da das VPN-Clientprofil sowohl die benutzerdefinierte Zielgruppen-ID als auch die Microsoft-Anwendungs-ID benötigt. Um dies zu verhindern, ändern Sie Ihre die XML-Datei Ihrer Profilkonfiguration, um sowohl die benutzerdefinierte Anwendungs-ID als auch die Microsoft-Anwendungs-ID einzuschließen.

Hinweis

Dieser Schritt ist für P2S-Gatewaykonfigurationen erforderlich, die einen benutzerdefinierten Zielgruppenwert verwenden, und wenn Ihre registrierte App der von Microsoft registrierten Azure VPN Client-App-ID zugeordnet ist. Wenn dies für Ihre P2S-Gatewaykonfiguration nicht zutrifft, können Sie diesen Schritt überspringen.

  1. Um die XML-Datei der Azure VPN Client-Konfiguration zu ändern, öffnen Sie die Datei mit einem Texteditor wie dem Windows-Editor.

  2. Fügen Sie als Nächstes den Wert für applicationid hinzu, und speichern Sie Ihre Änderungen. Das folgende Beispiel zeigt den Anwendungs-ID-Wert für c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

    Beispiel

    <aad>
   <audience>{customAudienceID}</audience>
   <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
   <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
   <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
</aad>

Importieren von Clientprofilkonfigurationseinstellungen

Hinweis

Wir sind dabei, die Azure VPN Client-Felder für Azure Active Directory in Microsoft Entra ID zu ändern. Wenn in diesem Artikel auf Microsoft Entra ID-Felder verwiesen wird und diese Werte aber noch nicht im Client angezeigt werden, wählen Sie die vergleichbaren Azure Active Directory-Werte aus.

  1. Wählen Sie auf der Seite Importierenaus.

    Screenshot mit ausgewählter Schaltfläche „Hinzufügen“ und hervorgehobener „Importieren“-Aktion unten links im Fenster.

  2. Navigieren Sie zum Azure VPN-Clientprofilkonfigurationsordner, den Sie extrahiert haben. Öffnen Sie den Ordner AzureVPN, und wählen Sie die Clientprofilkonfigurationsdatei (azurevpnconfig_aad.xml oder azurevpnconfig.xml) aus. Wählen Sie Öffnen aus, um die Datei zu importieren.

  3. Ändern Sie den Namen des Verbindungsnamens (optional). In diesem Beispiel werden Sie feststellen, dass der angezeigte Zielgruppenwert der neue Azure Public-Wert ist, welcher der Microsoft-registrierten App-ID von Azure VPN-Client zugeordnet ist. Der Wert in diesem Feld muss mit dem Wert übereinstimmen, den Ihr P2S-VPN-Gateway für die Verwendung konfiguriert hat.

    Screenshot: Speichern des Profils.

  4. Klicken Sie auf Speichern, um das Verbindungsprofil zu speichern.

  5. Wählen Sie im linken Bereich das Verbindungsprofil aus, das Sie verwenden möchten. Klicken Sie dann zum Initiieren der Verbindung auf Verbinden.

    Screenshot mit ausgewähltem VPN und ausgewählter Schaltfläche „Verbinden“.

  6. Authentifizieren Sie sich mit Ihren Anmeldeinformationen, wenn Sie dazu aufgefordert werden.

  7. Nach der Verbindung wird das Symbol grün und zeigt Verbunden an.

So stellen Sie die Verbindung automatisch her

Diese Schritte unterstützen Sie beim Konfigurieren der Verbindung, sodass sie automatische hergestellt wird und immer aktiv ist.

  1. Wählen Sie auf der Homepage für den VPN-Client VPN-Einstellungen aus. Wenn das Dialogfeld „Apps wechseln“ angezeigt wird, wählen Sie Ja aus.

    Screenshot der VPN-Startseite mit ausgewählter Option „VPN-Einstellungen“.

  2. Wenn das Profil, das Sie konfigurieren möchten, verbunden ist, trennen Sie die Verbindung, markieren Sie das Profil, und aktivieren Sie das Kontrollkästchen Automatisch verbinden.

    Screenshot des Fensters „Einstellungen“ mit aktiviertem Kontrollkästchen „Automatisch verbinden“.

  3. Wählen Sie Verbinden aus, um die VPN-Verbindung zu initiieren.

Exportieren und Verteilen eines Clientprofils

Sobald Sie über ein Arbeitsprofil verfügen und es an andere Benutzer verteilen müssen, können Sie es mit den folgenden Schritten exportieren:

  1. Markieren Sie das VPN-Clientprofil, das Sie exportieren möchten, wählen Sie ... und dann Exportieren aus.

    Screenshot mit der Seite „Azure VPN-Client“, auf der die Auslassungspunkte ausgewählt sind und „Exportieren“ hervorgehoben ist.

  2. Wählen Sie den Speicherort aus, an dem Sie dieses Profil speichern möchten, lassen Sie den Dateinamen unverändert, und wählen Sie Speichern aus, um die XML-Datei zu speichern.

Löschen eines Clientprofils

  1. Wählen Sie die Auslassungszeichen neben dem Clientprofil aus, das Sie löschen möchten. Wählen Sie dann Entfernen aus.

    .Screenshot mit ausgewählten Auslassungspunkten und ausgewählter Option „Entfernen“.

  2. Wählen Sie im Bestätigungspopup Entfernen aus, um zu löschen.

Diagnose von Verbindungsproblemen

  1. Zum Diagnostizieren von Verbindungsproblemen können Sie das Diagnose-Tool verwenden. Wählen Sie die ... neben der VPN-Verbindung aus, die Sie diagnostizieren möchten, um das Menü einzublenden. Wählen Sie dann Diagnose aus. Wählen Sie auf der Seite Verbindungseigenschaften die Option Diagnose ausführen aus.

    Screenshot, in dem die Auslassungspunkte und „Diagnose“ ausgewählt sind.

  2. Wenn Sie gefragt werden, melden Sie sich mit Ihren Anmeldeinformationen an.

  3. Zeigen Sie die Ergebnisse an.

Optionale Clientkonfigurationseinstellungen

Sie können Azure VPN Client mit optionalen Konfigurationseinstellungen wie zusätzlichen DNS-Servern, benutzerdefiniertem DNS, erzwungenem Tunneln, benutzerdefinierten Routen und anderen Einstellungen konfigurieren. Weitere Informationen finden Sie unter Azure VPN Client – optionale Einstellungen.

Informationen zur Version von Azure VPN Client

Informationen zur Version von Azure VPN Client finden Sie unter Azure VPN Client-Versionen.

Nächste Schritte

Informationen zu Point-to-Site-Verbindungen.