ITFORVNITFORVN
Tin tứccloud-computingsecuritynetworking

Azure VPN Gateway: Cập nhật Azure VPN Client dùng Microsoft Entra ID trước 31/03/2029

admin5 phút đọc
Azure VPN Gateway: Cập nhật Azure VPN Client dùng Microsoft Entra ID trước 31/03/2029

Microsoft đã công bố kế hoạch retirement đối với manually registered Azure VPN Client cho kết nối Point-to-Site (P2S) dùng Microsoft Entra ID authentication trong một số cloud cụ thể. Nếu hệ thống của bạn đang dùng mô hình này, nên chủ động cập nhật sang Microsoft-registered Azure VPN Client để tránh gián đoạn kết nối về sau.

Hình Thumbnail: Thể hiện Azure VPN Gateway, Microsoft Entra ID, mốc thời gian 2029, cảm giác retirement/migration

Microsoft vừa đưa ra hướng dẫn migrate từ manually registered Azure VPN Client sang Microsoft-registered Azure VPN Client cho mô hình P2S User VPN sử dụng Microsoft Entra ID authentication. Điểm cốt lõi của thay đổi này là Audience value sẽ khác, vì vậy khi cập nhật, quản trị viên phải thay đổi đồng thời ở P2S gateway và ở các VPN client đã cấu hình trước đó.

Bài viết này dành cho ai?

Những ai đang quản trị hệ thống Azure VPN Gateway và sử dụng kết nối Point-to-Site (P2S) với phương thức xác thực Microsoft Entra ID thông qua các manually registered VPN client.

Đối tượng bị ảnh hưởng

  • Kết nối Point-to-Site (P2S)
  • Xác thực bằng Microsoft Entra ID
  • Đang dùng manually registered Azure VPN Client

(Lưu ý: Không áp dụng cho cấu hình dùng custom Audience value theo bài hướng dẫn này)

Nếu làm rõ hơn theo sát tài liệu gốc, hệ thống sẽ phân tách ra:

  • Microsoft-registered client dùng Audience mới: c632b3df-fb67-4d84-bdcf-b95ad541b5c8
  • Manually registered client dùng các Audience cũ khác nhau theo từng cloud.

Workflow diagram: Quy trình migrate Azure VPN Client sang Microsoft-registered client (4 bước ngắn gọn)

Điều gì thay đổi?

Điểm thay đổi quan trọng nhất là hệ thống cần chuyển sang Microsoft-registered Azure VPN Client, đồng thời cập nhật Audience value mới là:

c632b3df-fb67-4d84-bdcf-b95ad541b5c8

Khi đổi Audience value, bạn phải cập nhật đồng bộ ở cả 2 nơi:

  1. Hệ thống P2S VPN gateway.
  2. Ứng dụng Azure VPN Client trên thiết bị người dùng cuối.

Screenshot cấu hình gateway: Cập nhật Audience value trong Point-to-site configuration (chụp Azure Portal phần Virtual Network Gateway > Field Audience)

Các bước xử lý khuyến nghị

Bước 1: Cập nhật P2S gateway settings

Trên Azure Portal, vào Virtual Network Gateway $\rightarrow$ Point-to-site configuration và đổi Audience sang giá trị mới. Theo khuyến cáo của Microsoft, việc cập nhật audience trên gateway hiện hữu thường gây gián đoạn downtime dưới 5 phút.

Bước 2: Tạo và tải cấu hình VPN client mới

Sau khi gateway đã được cập nhật, tiến hành tải lại VPN client configuration package để lấy bộ cấu hình mới nhất. Microsoft cho biết file zip tải về sẽ bao gồm một thư mục AzureVPN và bên trong đó chứa file azurevpnconfig.xml.

Screenshot file/profile client: File azurevpnconfig.xml có thể được phân phối cho người dùng để import profile VPN mới

Bước 3: Cập nhật client phía người dùng

Có 2 hướng xử lý chính ở khâu này:

  • Import profile package mới: Cung cấp package để người dùng import vào phần mềm như một connection mới hoàn toàn.
  • Chỉnh thủ công profile hiện có: Nếu bạn chỉ đổi giá trị Audience hoặc Tenant values, người dùng có thể tự bấm Configure để thay thủ công giá trị trên app khách đang dùng.

Bước 4: Dọn dẹp app registration cũ (Optional)

Việc remove old Azure VPN Client registration trong tenant hoàn toàn không bắt buộc để kết nối có thể hoạt động ổn định với giá trị mới, tuy nhiên phía Microsoft xem đây là động thái "good practice" về bảo mật và vận hành.

Lưu ý thực tế khi triển khai

Dựa vào thực tế vận hành hạ tầng cloud, đây là một số lưu ý dành cho bạn:

  • Kiểm tra trước: Nên rà soát và nắm rõ trước số lượng thiết bị đang dùng các profile P2S cũ trong hạ tầng.
  • Triển khai từng phần: Nên rollout đợt cập nhật theo từng nhóm người dùng nhỏ hoặc bộ phận (phòng ban) để đội IT/Support dễ xử lý sự cố.
  • Phương án khả thi hơn: Nếu môi trường doanh nghiệp đang sử dụng profile đã deploy rộng, cách đóng gói lại và hướng dẫn user import profile mới thường dễ kiểm soát hơn rất nhiều so với việc bắt buộc user phải tự mở phần mềm ra để sửa tay từng dòng thông số.
  • Truyền thông trước: Nên có kế hoạch chuẩn bị và đẩy mạnh truyền thông nội bộ trước khi đổi cấu hình sinh ra downtime gateway để giảm thiểu ticket hỗ trợ IT từ khối người dùng nội bộ.

Kết luận

Tóm lại, thay đổi di trú sang Microsoft-registered lần này không quá phức tạp nhưng yêu cầu cần phải làm đúng thứ tự: cập nhật gateway, tạo lại profile, cập nhật chiều client và kiểm tra lại kết nối.

Điểm đáng chú ý lưu tâm lớn nhất là Audience value mới (c632b...) phải được xác nhận đồng bộ chuẩn xác giữa gateway và client. Với các hệ thống đang chạy có nhiều người dùng P2S qua Azure, bạn nên lập kế hoạch migrate thật sớm từ bây giờ để tránh phát sinh gián đoạn dồn ứ cục bộ và giảm áp lực support về sau.

Tags:azurevpnentra-id

Bài viết liên quan

Quay lại Bài viết