Creare una connessione VPN utente da punto a sito usando la rete WAN virtuale di Azure - Autenticazione di Microsoft Entra

Questo articolo mostra come usare la rete WAN virtuale per connettersi alle risorse in Azure. In questo articolo viene creata una connessione VPN utente da punto a sito alla rete WAN virtuale che usa l'autenticazione Microsoft Entra. L'autenticazione di Microsoft Entra è disponibile solo per i gateway che usano il protocollo OpenVPN.

Nota

L'autenticazione di Microsoft Entra ID è supportata solo per le connessioni al protocollo OpenVPN® e richiede il client VPN di Azure.

In questo articolo vengono illustrate le operazioni seguenti:

  • Creare una rete WAN virtuale
  • Creare una configurazione VPN utente
  • Scaricare un profilo VPN utente della rete WAN virtuale
  • Creare un hub virtuale
  • Modificare un hub per aggiungere un gateway connessione da punto a sito
  • Connettere una rete virtuale a un hub virtuale
  • Scaricare e applicare la configurazione del client VPN utente
  • Visualizzare la rete WAN virtuale

Screenshot del diagramma della rete WAN virtuale.

Operazioni preliminari

Prima di iniziare la configurazione, verificare di soddisfare i criteri seguenti:

  • Si ha una rete virtuale a cui ci si vuole connettere. Verificare che nessuna delle subnet della rete locale possa sovrapporsi alle reti virtuali a cui ci si vuole connettere. Per creare una rete virtuale nel portale di Azure, vedere l'Avvio rapido.

  • La rete virtuale non ha gateway di rete virtuale. Se la rete virtuale presenta un gateway (VPN o ExpressRoute) è necessario rimuovere tutti i gateway. Questa configurazione richiede che le reti virtuali siano invece connesse al gateway dell'hub della rete WAN virtuale.

  • Ottenere un intervallo di indirizzi IP per l'area dell'hub. L'hub è una rete virtuale che viene creata e usata dalla rete WAN virtuale. L'intervallo di indirizzi specificati per l'hub non può sovrapporsi ad alcuna delle reti virtuali esistenti a cui ci si connette. Inoltre non può sovrapporsi agli intervalli di indirizzi a cui ci si connette in locale. Se non si ha familiarità con gli intervalli di indirizzi IP che si trovano nella configurazione di rete locale, coordinarsi con un utente in grado di fornire tali informazioni.

  • Se non hai una sottoscrizione di Azure, crea un account gratuito.

Creare una rete WAN virtuale

In un browser passare al portale di Azure e accedere con l'account Azure.

  1. Nel portale, nella barra Cerca risorse, digitare Rete WAN virtuale nella casella di ricerca e selezionare Immetti.

  2. Selezionare Reti WAN virtuali nei risultati. Nella pagina Reti WAN virtuali, selezionare + Crea per aprire la pagina Crea rete WAN.

  3. Nella pagina Crea rete WAN compilare i campi nella scheda Informazioni di base. Modificare i valori di esempio in base all'ambiente corrente.

    Screenshot che mostra il riquadro Crea rete WAN con la scheda Informazioni di base selezionata.

    • Sottoscrizione: selezionare la sottoscrizione da usare.
    • Gruppo di risorse: creare un nuovo gruppo o usarne uno esistente.
    • Località del gruppo di risorse: scegliere una località delle risorse dall'elenco a discesa. Una rete WAN è una risorsa globale che non risiede in un'area specifica. Tuttavia, per gestire e individuare la risorsa WAN creata, è necessario selezionare un'area.
    • Nome: digitare il nome da usare per la rete WAN virtuale.
    • Tipo: Basic o Standard. Selezionare Standard. Se si seleziona Basic, tenere presente che le reti WAN virtuali Basic possono contenere solo hub Basic. Gli hub Basic possono essere usati solo per le connessioni da sito a sito.
  4. Dopo aver compilato i campi, nella parte inferiore della pagina selezionare Rivedi e crea.

  5. Una volta superata la convalida, fare clic su Crea per creare la rete WAN virtuale.

Creare una configurazione VPN utente

Una configurazione VPN utente definisce i parametri per la connessione di client remoti. È importante creare la configurazione VPN utente prima di configurare l'hub virtuale con le impostazioni di connessione da punto a sito: è necessario specificare la configurazione VPN utente da usare.

  1. Passare alla pagina rete WAN virtuale ->configurazioni VPN utente e fare clic su +Crea config VPN utente.

    Screenshot della configurazione Crea VPN utente.

  2. Nella pagina Dati principali specificare i parametri.

    Screenshot della pagina Dati principali.

    • Nome configurazione: immettere il nome con cui si desidera chiamare la configurazione VPN utente.
    • Tipo di tunnel: selezionare OpenVPN dal menu a discesa.
  3. Fare clic su Microsoft Entra ID per aprire la pagina.

    Screenshot della pagina di Microsoft Entra ID.

    Attivare o disattivare Microsoft Entra ID su e specificare i valori seguenti in base ai dettagli del tenant. È possibile visualizzare i valori necessari nella pagina Microsoft Entra ID per le applicazioni Enterprise nel portale.

    • Metodo di autenticazione: selezionare Microsoft Entra ID.

    • Destinatari: digitare l'ID applicazione dell'applicazione aziendale client VPN di Azure registrata nel tenant di Microsoft Entra. Per i valori, vedere Valori destinatari del client VPN di Azure

    • Autorità di certificazione - https://sts.windows.net/<your Directory ID>/

    • Tenant di Microsoft Entra: TenantID per il tenant di Microsoft Entra. Assicurarsi che alla fine dell'URL del tenant di Microsoft Entra non sia presente /.

      • Immettere https://login.microsoftonline.com/<your Directory Tenant ID> per Azure Public AD
      • Immettere https://login.microsoftonline.us/<your Directory Tenant ID> per Azure per enti pubblici AD
      • Immettere https://login-us.microsoftonline.de/<your Directory Tenant ID> per Azure Germania AD
      • Immettere https://login.chinacloudapi.cn/<your Directory Tenant ID> per Cina 21Vianet AD
  4. Fare clic su Crea per creare la configurazione VPN utente. Questa configurazione verrà selezionata più avanti nell'esercizio.

Creare un hub vuoto

Per questo esercizio: nel presente passaggio viene creato un hub virtuale vuoto e, nella sezione successiva, a tale hub sarà aggiunto un gateway connessione da punto a sito a questo hub. Tuttavia, è possibile combinare questi passaggi e creare contemporaneamente l'hub con le impostazioni del gateway connessione da punto a sito. Il risultato è identico per entrambi i modi. Dopo aver configurato le impostazioni, fare clic su Rivedi e crea per convalidare, quindi su Crea.

  1. Passare alla rete WAN virtuale creata. Nel riquadro sinistro della pagina Rete WAN virtuale, in Connettività, selezionare Hub.

  2. Nella pagina Hub selezionare + Nuovo hub per aprire la pagina Crea hub virtuale.

    Screenshot del riquadro Crea hub virtuale con la scheda Informazioni di base selezionata.

  3. Nella scheda Generale della pagina Crea hub virtuale completare i campi seguenti:

    • Area: selezionare l'area in cui distribuire l'hub virtuale.
    • Nome: nome con cui deve essere noto l'hub virtuale.
    • Spazio di indirizzi privato dell'hub: intervallo di indirizzi dell'hub nella notazione CIDR. Per creare un hub, lo spazio indirizzi minimo è /24.
    • Capacità hub virtuale: effettuare una selezione dall'elenco a discesa. Per altre informazioni, vedere Impostazioni dell'hub virtuale.
    • Preferenza di routing dell'hub: lasciare l'impostazione predefinita. Per altre informazioni, vedere Preferenza di routing dell’hub virtuale.

Aggiungere un gateway connessione da punto a sito a un hub

Questa sezione illustra come aggiungere un gateway a un hub virtuale già esistente. Per completare l'aggiornamento, questo passaggio può richiedere fino a 30 minuti.

  1. Passare alla pagina Hub nella rete WAN virtuale.

  2. Fare clic sul nome dell'hub da modificare per aprire la pagina per l'hub.

  3. Fare clic su Modifica hub virtuale nella parte superiore della pagina per aprire la pagina Modifica hub virtuale.

  4. Nella pagina Modifica hub virtuale, selezionare le caselle di controllo per Includi gateway VPN per i siti VPN e per Includi gateway da punto a sito per visualizzare le impostazioni. Quindi, configurare i valori.

    Screenshot che mostra Modifica hub virtuale.

  5. Dopo aver configurato le impostazioni, fare clic su Conferma per aggiornare l'hub. L'aggiornamento di un hub può richiedere fino a 30 minuti.

Connettere la rete virtuale all'hub

In questa sezione viene creata una connessione tra l'hub virtuale e la rete virtuale.

  1. Nel portale di Azure passare alla rete WAN virtuale. Nel riquadro sinistro selezionare Connessioni di rete virtuale.

  2. Nella pagina Connessioni rete virtuale selezionare + Aggiungi connessione.

  3. Nella pagina Aggiungi connessione configurare le impostazioni della connessione. Per informazioni sulle impostazioni di routing, vedere Informazioni sul routing.

    Screenshot della pagina Aggiungi connessione.

    • Nome connessione: assegnare un nome alla connessione.
    • Hub: selezionare l'hub da associare a questa connessione.
    • Sottoscrizione: verificare la sottoscrizione.
    • Gruppo di risorse: selezionare il gruppo di risorse contenente la rete virtuale a cui connettersi.
    • Rete virtuale: selezionare la rete virtuale da connettere a questo hub. La rete virtuale selezionata non può contenere un gateway di rete virtuale già esistente.
    • Propaga a nessuno: per impostazione predefinita, questa opzione è impostata su No. Se si modifica l'opzione impostandola su , le opzioni di configurazione per Propaga alle tabelle di route e Propaga alle etichette non sono disponibili per la configurazione.
    • Associa tabella di route: dall'elenco a discesa è possibile selezionare una tabella di route da associare.
    • Propaga alle etichette: le etichette sono un gruppo logico di tabelle di route. Per questa impostazione, effettuare una selezione dall'elenco a discesa.
    • Route statiche: configurare le route statiche, se necessario. Configurare le route statici per le appliance virtuali di rete (se applicabile). La rete WAN virtuale supporta un singolo indirizzo IP hop successivo per la route statica in una connessione di rete virtuale. Ad esempio, se esiste un'appliance virtuale separata per i flussi di traffico in ingresso e in uscita, è preferibile avere le appliance virtuali in reti virtuali separate e collegare le reti virtuali all'hub virtuale.
    • Ignora indirizzo IP hop successivo per i carichi di lavoro all'interno di questa rete virtuale: questa impostazione consente di distribuire appliance virtuali di rete e altri carichi di lavoro nella stessa rete virtuale senza forzare tutto il traffico attraverso l'appliance virtuale di rete. È possibile configurare questa impostazione solo per una nuova connessione. Se si desidera usare questa impostazione per una connessione già creata, eliminare la connessione e aggiungerne una nuova.
    • Propaga route statica: questa impostazione è attualmente in fase di implementazione. Questa impostazione consente di propagare le route statiche definite nella sezione Route statiche alle tabelle di route specificate in Propaga a tabelle di route. Le route, inoltre, verranno propagate nelle tabelle di route con le etichette specificate come Propaga alle etichette. Queste route possono essere propagate tra hub, ad eccezione della route predefinita 0/0. Questa funzionalità è in fase di implementazione. Se serve che questa funzionalità sia abilitata, aprire un caso di supporto
  4. Dopo aver completato le impostazioni da configurare, fare clic su Crea per creare la connessione.

Scaricare il profilo VPN utente

Tutte le impostazioni di configurazione necessarie per i client VPN sono contenute in un file ZIP per la configurazione del client VPN. Le impostazioni nel file ZIP offrono una guida per configurare facilmente i client VPN. I file di configurazione del client VPN che sono stati generati sono specifici per la configurazione VPN utente del gateway. È possibile scaricare profili globali (livello WAN) o un profilo per un hub specifico. Per informazioni e istruzioni aggiuntive, vedere Scaricare profili globali e hub. La procedura seguente illustra come scaricare un profilo globale a livello WAN.

  1. Per generare un pacchetto di configurazione client VPN con profilo globale a livello WAN, passare a rete WAN virtuale (non all'hub virtuale).

  2. Nel riquadro sinistro, selezionare Configurazioni VN PN utente.

  3. Selezionare la configurazione per scaricare il profilo. Se sono stati assegnati più hub allo stesso profilo, espandere il profilo per visualizzare gli hub e selezionare uno degli hub che usano il profilo.

  4. Selezionare Scarica il profilo VPN utente della rete WAN virtuale.

  5. Nella pagina di download, selezionare EAPTLS, quindi Genera e scarica profilo. Un pacchetto del profilo (file ZIP) contenente le impostazioni di configurazione client viene generato e scaricato nel computer. Il contenuto del pacchetto dipende dalle scelte di autenticazione e tunnel per la configurazione.

Configurare i client VPN utente

Ogni computer che si connette deve avere un client installato. È possibile configurare ogni client usando i file del profilo client Utente VPN scaricati nei passaggi precedenti. Usare l'articolo relativo al sistema operativo che si vuole connettere.

Per configurare i client VPN macOS (anteprima)

Per istruzioni sul client macOS, vedere Configurare un client VPN - macOS (anteprima).

Per configurare i client VPN Windows

  1. Scaricare la versione più recente dei file di installazione del client VPN di Azure usando uno dei collegamenti seguenti:

  2. Installare il client VPN di Azure in ogni computer.

  3. Verificare che il client VPN di Azure disponga dell'autorizzazione per l'esecuzione in background. Per i passaggi, vedere App in background di Windows.

  4. Per verificare la versione del client installata, aprire il client VPN di Azure. Passare alla parte inferiore del client e fare clic su ... -> ? Guida. Nel riquadro a destra è possibile visualizzare il numero di versione del client.

Per importare un profilo client VPN (Windows)

  1. Nella pagina selezionare Importa.

    Screenshot che mostra la pagina di importazione.

  2. Individuare il file XML del profilo e selezionarlo. Con il file selezionato, selezionare Apri.

    Screenshot che mostra una finestra di dialogo Apri in cui è possibile selezionare un file.

  3. Specificare il nome del profilo e selezionare Salva.

    Screenshot che mostra il nome della connessione aggiunto e il pulsante Salva selezionato.

  4. Selezionare Connetti per connettersi alla VPN.

    Screenshot che mostra il pulsante Connetti per la connessione appena creata.

  5. Una volta stabilita la connessione, l'icona diventerà verde mostrerà lo stato Connesso.

    Screenshot che mostra la connessione nello stato Connesso con l'opzione di disconnessione.

Per eliminare un profilo client - Windows

  1. Selezionare i puntini di sospensione (...) accanto al profilo client da eliminare. Selezionare quindi Rimuovi.

    Screenshot che mostra l'opzione Rimuovi selezionato dal menu.

  2. Per procedere all'eliminazione, selezionare Rimuovi.

    Screenshot che mostra una finestra di dialogo di conferma con l'opzione Rimuovi o Annulla.

Diagnosticare i problemi di connessione - Windows

  1. Per diagnosticare i problemi di connessione, è possibile usare lo strumento Diagnosi. Selezionare i puntini di sospensione (...) accanto alla connessione VPN che si vuole diagnosticare per visualizzare il menu. Selezionare quindi Diagnosi.

    Screenshot che mostra l'opzione Diagnosi selezionata dal menu.

  2. Nella pagina Proprietà connessione selezionare Esegui diagnosi.

    Screenshot che mostra il pulsante Esegui diagnosi per una connessione.

  3. Accedi con le tue credenziali.

    Screenshot che mostra la finestra di dialogo Accedi per questa azione.

  4. Visualizzare i risultati della diagnosi.

    Screenshot che mostra i risultati della diagnosi.

Visualizzare la rete WAN virtuale

  1. Passare alla rete WAN virtuale.
  2. Nella pagina Panoramica ogni punto sulla mappa rappresenta un hub.
  3. Nella sezione Hub e connessioni è possibile visualizzare lo stato dell'hub, il sito, l'area, lo stato della connessione VPN e i byte in entrata e in uscita.

Pulire le risorse

Quando non sono più necessarie, eliminare le risorse create. A causa delle dipendenze, alcune risorse della rete WAN virtuale devono essere eliminate seguendo un ordine definito. Il completamento dell'eliminazione può richiedere circa 30 minuti.

  1. Aprire la rete WAN virtuale creata.

  2. Selezionare un hub virtuale associato alla rete WAN virtuale per aprire la pagina dell'hub.

  3. Eliminare tutte le entità gateway seguendo l'ordine indicato di seguito, per ogni tipo di gateway. Per completare questa operazione possono essere necessari fino a 30 minuti.

    VPN:

    • Disconnettere i siti VPN
    • Eliminare le connessioni VPN
    • Eliminare i gateway VPN

    ExpressRoute:

    • Eliminare le connessioni ExpressRoute
    • Eliminare i gateway ExpressRoute
  4. Ripetere la procedura per tutti gli hub associati alla rete WAN virtuale.

  5. È possibile eliminare gli hub ora, oppure in un secondo momento, quando si elimina il gruppo di risorse.

  6. Passare al gruppo di risorse nel portale di Azure.

  7. Selezionare Elimina gruppo di risorse. In questo modo verranno eliminate le altre risorse nel gruppo di risorse, inclusi gli hub e la rete WAN virtuale.

Passaggi successivi

Per domande frequenti sulla rete WAN virtuale, vedere domande frequenti sulla rete WAN virtuale.