如何使用 Intune 部署始终在线的 Azure VPN

在本教程中，我将向您展示如何设置和部署始终在线的 P2S（点到站点）VPN 到 Azure，从而允许您远程访问 Azure 资源。我将引导您了解如何通过 Azure 管理门户创建虚拟网络网关、配置点到站点连接、创建 VPN 配置文件并使用 Microsoft Intune 将其部署到最终用户。

我们场景的目标是通过实施“始终在线”的 Point 2 Site VPN 来扩展我们当前的 Azure 环境。用户将使用其 Azure Active Directory 凭据对 VPN 进行身份验证。

当前环境

让我们看看我们现在的环境。出于本教程的目的，我们的环境非常简单。我们有一个 VNET，其中包含一个子网，连接到该子网的是运行 Windows Server 2022 的虚拟机。

以下是我们的 IP 寻址架构。如果您熟悉 Azure，您可能会注意到这些是构建 VNET、子网和虚拟机时的默认设置。

• VNET地址空间：10.0.0.0/16
• 子网：10.0.0.0/24
• 虚拟机：10.0.0.4

一旦我们构建了永远在线的 Azure VPN 部署，我将分享下面更新的图表图像。

创建和配置虚拟网络网关

我们需要在环境中实现的第一件事是虚拟网络网关。在幕后，虚拟网络网关是 2 个运行网关服务并包含特定路由信息的虚拟机。当我们设置虚拟网关时，我们只会在 Azure 门户中看到一个设置边栏选项卡，我们可以对其进行配置以实现我们想要的结果。

1. 首先登录 Azure 门户，然后在主页上选择创建资源。

3. 在 Marketplace 中搜索虚拟网络网关并从列表中选择它。将出现“虚拟网络网关”页面，然后单击创建。

4. 您现在将进入网关配置向导。在下面的屏幕截图中，我突出显示了一些重要的设置：

• 区域：确保选择部署 VNET 的同一区域。
• 网关类型：必须将其设置为 VPN，因为这是我们要部署的类型。
• VPN 类型：选择基于路由，因为这支持 P2S、S2S 和虚拟网络间连接等 VPN 类型。
• SKU：我为我的最小设置选择了支持的最低 SKU。您应该知道，基本 SKU 不支持我们要部署的 P2S VPN 类型。您可以使用此参考作为尺寸指南。
• 虚拟网络：选择您现有的虚拟网络。

5. 在同一页面上向下滚动，我们需要配置网络设置。我将建议的网关子网地址范围保留为默认值，但您可以根据需要进行调整。对于其余设置，我突出显示：

• 公共 IP 地址：类型：选择标准
• 公共IP地址：选择新建。
• 公共 IP 地址名称：为公共 IP 输入一个有意义的名称。

6. 准备就绪后，单击查看 + 创建，然后单击创建。您将看到部署状态页面，这大约需要 27 分钟才能完成，因此请等待一些时间。

授权 Azure VPN 客户端

要在最终用户的计算机上使用 Azure VPN 客户端，我们必须首先通过授权应用程序登录并读取基本配置文件信息，将其集成到我们的解决方案中。

通过以下链接授权应用程序：

https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

您将看到以下页面：

单击接受，您就完成了此步骤。

配置 P2S VPN 设置

我们现在必须在虚拟网络网关上完成点到站点配置。

1. 首先在 Azure 中打开虚拟网络网关并选择点到站点配置。

2. 单击立即配置。

3. 您需要填写屏幕上的所有选项，以下是完成每个选项的一些指导：

• 地址池：这是 VPN 客户端用户连接到 VPN 时将收到 IP 的子网。这应该是 Azure 中未使用的子网，位于可用的 Azure VNET 地址空间之外，以避免冲突。
• 隧道类型：应设置为 OpenVPN (SSL)。
• 身份验证类型：Azure Active Directory 将允许我们的目录用户使用其工作电子邮件和密码对 VPN 进行身份验证。
• 租户：https://login.microsoftonline.com/您的 AZURE AD 租户 ID/
• 受众：您的 AZURE VPN 客户端应用程序 ID
• 颁发者：https://sts.windows.net/您的 AZURE AD 租户 ID/

要查找您的租户 ID：Azure Active Directory > 概述 > 租户 ID

要查找 Azure VPN 客户端应用程序 ID： Azure Active Directory > 企业应用程序 > Azure VPN > 应用程序 ID

如果地址池配置有任何问题，您可能会看到如下错误：

错误：虚拟网络网关的 VPN 客户端地址池与虚拟网络的地址空间重叠。

它还将详细介绍重叠的地址空间，以帮助您解决问题并进行设置。

4. 输入所有详细信息后，单击页面顶部的保存。

手动测试 Azure VPN 客户端

现在我们已经配置了 P2S VPN，在使用 Intune 进行部署试点之前，我们应该按预期测试连接是否正常工作。

1. 在 P2S 配置页面上，单击下载 VPN 客户端并解压 .zip 文件夹。

2. 现在您需要手动下载/安装Azure VPN客户端（仅用于测试）。您可以在此处下载离线安装程序。或者通过 Microsoft Store 安装。

如果您下载离线安装程序，请确保首先打开开发者模式（设置 > 隐私和安全 > 对于开发者）。

然后运行安装脚本：（您必须接受安全警告几次）

3. 现在客户端已安装，从 Windows 开始菜单将其打开，单击 + 符号，然后单击导入。

4. 在文件资源管理器窗口中，浏览到下载的 zip 文件夹，然后从 AzureVPN 文件夹中选择 azurevpnconfig.xml 文件，然后单击打开。

5. 将屏幕上的所有选项保留为默认值，然后单击保存。单击连接并使用您的工作帐户登录，VPN 应成功连接。花点时间查看连接属性并确保 VPN 路由看起来正确。

6. 默认情况下，在 Azure 中为虚拟机配置的网络安全组将允许来自虚拟网络的所有流量，但虚拟服务器上的本地防火墙不会。假设您运行的是 Windows，您将需要创建本地防火墙规则以允许必要的范围访问您的服务器。

7. 最终结果应该是您可以通过 VPN 与 Azure 资源进行通信。

使用 Microsoft Intune 部署 Azure VPN 客户端

现在我们已完成所有配置和测试，我们可以使用 Intune 将 Azure VPN 客户端部署到最终用户设备。

1. 首先通过 https://intune.microsoft.com 登录 Intune。

2. 从左侧菜单中，选择应用程序 > 所有应用程序 > 添加。

3. 从应用程序类型下拉列表中，选择Microsoft Store 应用程序（新），然后单击底部的“选择”。

4. 单击搜索 Microsoft Store 应用（新）。

5. 搜索Azure VPN 客户端，单击一次，然后单击页面底部的选择。

6. 在应用程序信息页面上，您可以更改各种设置。大多数选项可以保留为默认值，但我突出显示了一些您可能想要更改的选项。

关于图像文件，我通过导航到 https://apps.microsoft.com/ 并搜索 Azure VPN 客户端，然后右键单击应用程序图像并保存文件来检索该文件。然后需要将文件扩展名更改为.png，然后可以将其上传到上面的应用程序信息页面。

7. 准备就绪后，点击下一步，然后点击查看 + 创建。

8. 创建应用程序后，在属性页面上，单击“作业”旁边的编辑。

9. 在必需标题下，单击添加组并选择包含您的试点用户的组（在部署到所有用户之前，您应该对一些志愿者用户进行测试）。就我而言，我选择了所有用户。然后点击查看 + 保存。

配置您的 VPN 配置文件

我们现在需要配置 VPN 配置文件并将其部署到我们的端点。在设备上安装配置文件后，系统将提示用户登录 VPN 客户端并将其激活。

该配置文件将采用 XML 格式，并且是我将在下面提供的模板文件和您之前在 .zip 文件中下载的 azurevpnconfig.xml 的组合。

1. 首先将以下内容复制并粘贴到文本编辑器中：（我使用的是记事本++）

<VPNProfile>
   <!--<EdpModeId>corp.contoso.com</EdpModeId>-->
   <RememberCredentials>true</RememberCredentials>
   <AlwaysOn>true</AlwaysOn>
   <TrustedNetworkDetection>contoso.com,test.corp.contoso.com</TrustedNetworkDetection>
   <DeviceTunnel>false</DeviceTunnel>
   <RegisterDNS>false</RegisterDNS>
   <PluginProfile>
     <ServerUrlList>azuregateway-7cee0077-d553-4323-87df-069c331f58cb-053dd0f6af02.vpn.azure.com</ServerUrlList> 
     <CustomConfiguration>

     </CustomConfiguration>
     <PluginPackageFamilyName>Microsoft.AzureVpn_8wekyb3d8bbwe</PluginPackageFamilyName>
   </PluginProfile>
 </VPNProfile>

2. 现在，与上面的代码并排打开 azurevpnconfig.xml 文件。

3. 在打开的 XML 文件副本中，将以“.vpn.azure.com”结尾的 FQDN 并将其放置在上面代码中的 之间。另外，如果需要，请将 之间的值更改为您的内部域。

4. 现在，复制并粘贴 azurevpnconfig.xml 文件的全部内容，并将其粘贴到 之间。

5.最后，你的代码中会有一个“name”标签，这是我的代码在更改之前的样子：

rg-vm-fileserver1-vnet

这将显示为最终用户的 VPN 连接名称。默认情况下，它将是 Azure 中关联虚拟网络的名称，因此请将其更改为有意义的名称。例如，我将我的设置为

OCN VPN。

6. 保存您创建的文件，以免丢失。

使用 Microsoft Intune 部署您的 VPN 配置文件

为了部署 VPN 配置文件，我们将在 Intune 中使用自定义配置配置文件。

1. 首先登录 Intune https://endpoint.microsoft.com/

2. 从左侧菜单中，选择设备。

3. 然后选择配置配置文件。

4. 选择创建配置文件。

5. 在“创建配置文件”弹出窗口中，选择 Windows 10、模板，从模板列表中选择自定义，然后单击创建。

5. 输入您的个人资料的名称和描述，然后单击下一步。

6. 在配置设置页面上单击添加。

7. 在“添加行”弹出窗口中，填写信息：

• 名称：为您的配置选择一个名称（这不会影响部署）
• OMA-URI： ./User/Vendor/MSFT/VPNv2//ProfileXML - 将粗体文本修改为您的 VPN 配置文件的名称，这应该与您在 XML 文件中 之间设置的内容相同。就我而言，这就是我所使用的：“./User/Vendor/MSFT/VPNv2/OCN VPN/ProfileXML”
• 自定义XML： 选择文件夹图标并上传您之前创建的 XML 文件。

8. 准备就绪后，单击保存，然后单击下一步。

9. 在“分配”选项卡上，包含您想要应用配置文件的所有用户或设备组，然后单击下一步。

10. 单击下一步完成其余设置，然后单击查看 + 保存。

最终用户体验

对于最终用户来说，首先，安装 Azure VPN 客户端后，他们将看到该客户端出现在 Windows 开始菜单中：

在部署配置文件之前，不会向最终用户发出进一步通知。

一旦部署 VPN 配置文件（设备与 Intune 同步后就会发生），他们将收到弹出通知以及保存在通知区域中的通知。

用户应单击该通知，然后 Azure VPN 客户端将打开。

他们所需要做的就是单击连接并使用其工作电子邮件登录到交互式登录提示，VPN 将成功连接。您会注意到，如果他们单击断开连接，VPN 将在一两秒后自动重新连接。