连续6年不跑路的安全速度最适合国人VPN
几天前,我们宣布现在可以使用 Azure Active Directory(Azure AD)对点对站点(P2S)VPN 连接进行身份验证,以连接到您的 Azure 虚拟网络(VNet)。之前,您只能通过基于证书或 RADIUS 身份验证连接到 Azure 虚拟网络,但如果您使用的是 Open VPN 协议,现在也可以使用 Azure Active Directory 进行身份验证。在这篇文章中,我将指导您如何使用 Azure AD 身份验证设置 Azure P2S VPN 连接。
前提条件
在开始之前,您需要准备以下几个条件:
- Azure Active Directory 租户 - 创建一个新的租户。
- Azure AD 用户 - 向 Azure Active Directory 租户添加用户。
- 带有点对站点 VPN 连接的网关 - 使用原生 Azure 证书身份验证配置与 VNet 的点对站点 VPN 连接:Azure 门户。
如果您已经具备上述条件,您可以继续进行。
如何配置 Azure P2S VPN 与 Azure AD 身份验证
首先,您需要查找要用于身份验证的 Azure AD 目录 ID。该 ID 列在 Azure AD 页面属性中。
接下来,您需要授予管理员同意。您可以将以下 URL 复制到浏览器的地址栏中。此 URL 适用于 Azure 公有云,如果您在 Azure 政府、Azure 德国云或 Azure 中国部署,请查看以下 Microsoft 文档文章。
https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
系统会提示您接受 Azure AD VPN 应用程序。您需要使用具有全局管理员权限的帐户登录。
如果您现在返回到 Azure Active Directory 租户,可以在企业应用程序中看到 Azure VPN 列表。
之后,您将找到在 Azure Active Directory 中注册的 Azure VPN 应用程序。
在 VPN 网关上启用 Azure AD 身份验证
现在,我们需要配置 Azure 虚拟网络网关本身。为此,您需要已经有一个功能正常的点对站点 VPN 环境(请参见前提条件)。如果您没有,可以按照以下步骤操作:使用原生 Azure 证书身份验证配置与 VNet 的点对站点 VPN 连接:Azure 门户。
要在 Azure 虚拟网络网关(VPN 网关)上启用 Azure AD 身份验证,您需要运行以下 Azure PowerShell 命令。
您还可以根据需要修改客户端 IP 地址池。GUID 41b23e61-6c1e-4545-b367-cd054e0ed4b4 是 Azure 公有云中 Azure VPN 客户端的应用程序 ID。
现在,您可以通过运行以下 Azure PowerShell 命令为客户端创建 VPN 配置文件。顺便提一下,您也可以直接从 Azure Cloud Shell 运行 Azure PowerShell。
将 URL 复制到浏览器中以下载配置文件的 ZIP 文件。
此 ZIP 文件包含 azurevpnconfig.xml 文件,其中包含 VPN 连接的设置,用户可以将其导入到 Azure VPN 客户端中。有关如何设置的更多信息,请查看 Microsoft 文档。
使用 Azure AD 身份验证配置 P2S OpenVPN 协议连接的 VPN 客户端
接下来的步骤是从此处下载 Azure VPN 客户端。
安装 Azure VPN 客户端后,您可以开始配置 VPN 客户端。在左下角点击“+”号,然后点击“导入”。选择 azurevpnconfig.xml 文件。
您现在可以查看配置的设置。如果您愿意,也可以手动设置配置。它是指向您的 Azure AD 租户的链接,受众是注册在您 Azure AD 租户中的 Azure VPN 应用程序。
之后,您现在可以使用 Azure VPN 客户端连接到您的虚拟网络。系统会提示您使用 Azure AD 凭据登录。
如果您需要更多信息来设置 VPN 客户端或发现一些额外的故障排除信息,可以查看此 Microsoft 文档文章。
我希望这能为您提供一个关于如何使用 OpenVPN 和 Azure Active Directory(Azure AD)进行身份验证设置 Azure VPN 的良好概述。有关配置 Azure AD 租户以及 VPN 网关的官方文档,请查看此处,您可以在此处找到配置 VPN 客户端的文档。如果您有任何问题,请随时留言。
相关标签
AAD, 身份验证, Azure, Azure Active Directory, Azure AD, Azure VPN, Microsoft, Microsoft Azure, VPN, VPN 网关
我很高兴地告诉您,我将在苏黎世的 Microsoft Ignite The Tour 上发言。这将是我参加的第六个 Microsoft Ignite The Tour(MITT)站点,之前的站点包括深圳、伦敦、米兰、布拉格和哥本哈根。这也是我在瑞士苏黎世的主场站点。对于那些还不熟悉 MITT 的人来说,Microsoft Ignite The Tour 将 Microsoft Ignite 的最佳内容带到您附近的城市。此次巡回活动提供由 Microsoft 专家和您的社区主导的技术培训。您将学习构建解决方案、迁移和管理基础设施的新方法,并与当地行业领袖和同行建立联系。
日期:2020年3月4-5日
地点:Hallenstadion,苏黎世
我们的行业领先会议正在上路——来到了您附近的城市。您不想错过有关云技术和开发工具的最新内容,届时将有嘉宾演讲者、行业专家等。今天就加入我们的名单吧!
我将在 Microsoft Ignite The Tour 学习路径中发言。我很高兴向您展示有关 PowerShell、Windows Server 2019、Windows Admin Center、Azure Arc 等一些酷炫的内容!我将呈现以下会议:
Tailwind Traders 现在已经将大多数服务器主机从 Windows Server 2008 R2 迁移到 Windows Server 2019。他们现在对可用的 Azure 混合技术感兴趣。在本次会议中,了解 Tailwind Traders 如何开始使用 Windows Admin Center 和 Azure Arc 管理其 Windows Server 计算机集群,并集成 Azure 文件同步、Azure 站点恢复和 Azure 更新管理等混合技术,以提高部署性能和可管理性。
Tailwind Traders 的部署以临时方式进行,主要是由于缺乏协议和各个操作员或员工的未批准决定。有些部署甚至违反了组织的合规义务,例如以未加密的方式进行部署而没有 DR 保护。在将现有的 IaaS VM 集群纳入控制后,Tailwind Traders 希望确保未来的部署符合政策和组织要求。在本次会议中,了解将帮助 Tailwind Traders 的部署保持合规的过程和技术,例如 Azure Blueprints、Azure Policy、基于角色的访问控制(RBAC)等。
我期待在 2019-2020 年的 Microsoft Ignite The Tour(MITT)中在苏黎世发言。如果您也要去,请在评论中告诉我,我希望在那里见到您!
