Configuración de un inquilino de Azure AD y una configuración de P2S para conexiones P2S de VPN Gateway

Este artículo le ayuda a configurar el inquilino de AD y los ajustes de punto a sitio para la autenticación de Azure AD. Para más información sobre los protocolos y la autenticación de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio de VPN Gateway. Para autenticarse mediante el tipo de autenticación de Azure AD, debe incluir el tipo de túnel OpenVPN en la configuración de punto a sitio.

Nota

La autenticación de Azure AD solo es compatible con las conexiones del protocolo OpenVPN® y requiere el cliente VPN de Azure.

Inquilino de Azure AD

Los pasos de este artículo requieren un inquilino de Azure AD. Si no tiene ningún inquilino de Azure AD, para crearlo siga los pasos del artículo Creación de un nuevo inquilino. Tenga en cuenta los siguientes campos al crear el directorio:

  • Nombre organizativo
  • Nombre de dominio inicial

Crear usuario de inquilino Azure AD

  1. Cree dos cuentas en el inquilino de Azure AD recién creado. Para obtener los pasos, consulte Incorporación o eliminación de un nuevo usuario.

    • Cuenta de administrador global
    • Cuenta de usuario

    La cuenta de administrador global se usará para conceder consentimiento con fines de registro de la aplicación de VPN de Azure. La cuenta de usuario se puede usar para probar la autenticación de OpenVPN.

  2. Asigne a una de las cuentas el rol Administrador global. Para ver los pasos, consulte Asignación de roles de administrador y no administrador a usuarios con Azure Active Directory.

Autorización de la aplicación VPN de Azure

Autorización de la aplicación

  1. Inicie sesión en el Azure Portal como un usuario al que se le ha asignado el rol de administrador global.

  2. A continuación, conceda consentimiento de administrador para su organización. De este modo, la aplicación de VPN de Azure permitirá iniciar sesión y leer los perfiles de usuario. Copie y pegue la dirección URL que pertenece a la ubicación de implementación en la barra de direcciones del explorador:

    Público

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
    

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
    

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
    

    Azure China 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
    

    Nota

    Si utiliza una cuenta de administrador global que no sea nativa del inquilino de Azure AD para dar su consentimiento, reemplace "common" por el identificador de inquilino de Azure AD en la dirección URL. Es posible que también tenga que reemplazar "common" por el identificador de inquilino en algunos otros casos. Para obtener ayuda para buscar el identificador de inquilino, consulte Búsqueda del identificador de inquilino de Azure Active Directory.

  3. Si se le solicita, seleccione la cuenta que tiene el rol Administrador global.

  4. En la página Permisos solicitados, seleccione Aceptar.

  5. Vaya a Azure Active Directory. En el panel izquierdo, haga clic en Aplicaciones empresariales. Verá la VPN de Azure en la lista.

    Captura de pantalla de la aplicación empresarial que muestra Azure V P N en la lista.

Configurar la autenticación de una puerta de enlace

  1. Busque el identificador de inquilino del directorio que desea utilizar para la autenticación. Aparece en la sección de propiedades de la página Active Directory. Para obtener ayuda para buscar el identificador de inquilino, consulte Búsqueda del identificador de inquilino de Azure Active Directory.

  2. Si no dispone de un entorno de punto a sitio funcionando, siga las instrucciones para crear uno. Consulte Creación de una VPN de punto a sitio para crear una puerta de enlace de VPN de punto a sitio.

    Importante

    La SKU de nivel Básico no es compatible con OpenVPN.

  3. Vaya a la puerta de enlace de la red virtual. En el panel izquierdo, haga clic en Configuración punto a sitio.

    Captura de pantalla que muestra la configuración del tipo de túnel, el tipo de autenticación y la configuración de Azure Active Directory.

    Configure los valores siguientes:

    • Grupo de direcciones: grupo de direcciones de cliente
    • Tipo de túnel: OpenVPN (SSL)
    • Tipo de autenticación: Azure Active Directory

    En el caso de los valores de Azure Active Directory, use las siguientes directrices para los valores Inquilino, Audiencia y Emisor. Reemplace {AzureAD TenantID} por el identificador de inquilino.

    • Inquilino: valor TenantID del inquilino de Azure AD. Escriba el id. de inquilino correspondiente a la configuración. Asegúrese de que la dirección URL del inquilino no tiene el signo \ al final.

      • Azure Public AD: https://login.microsoftonline.com/{AzureAD TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{AzureAD TenantID}
      • Azure Alemania AD: https://login-us.microsoftonline.de/{AzureAD TenantID}
      • China 21Vianet AD: https://login.chinacloudapi.cn/{AzureAD TenantID}
    • Público: id. de la aplicación empresarial de Azure AD "Azure VPN".

      • Azure público: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Alemania: 538ee9e6-310a-468d-afef-ea97365856a9
      • Azure China 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa
    • Emisor: dirección URL del servicio de token seguro. Incluya una barra diagonal al final del valor del Emisor. De lo contrario, se puede producir un error en la conexión.

      • https://sts.windows.net/{AzureAD TenantID}/
  4. Una vez que termine de configurar los valores, haga clic en Guardar en la parte superior de la página.

Descarga del paquete de configuración del perfil de cliente VPN de Azure

En esta sección, generará y descargará el paquete de configuración del perfil de cliente VPN de Azure. Este paquete contiene la configuración que puede usar para configurar el perfil de cliente VPN de Azure en equipos cliente.

  1. En la parte superior de la página Configuración de punto a sitio, haga clic en Descargar cliente de VPN. La generación del paquete de configuración del cliente tarda unos minutos.

  2. El explorador indica que hay disponible un archivo ZIP de configuración del cliente. Tiene el mismo nombre que su puerta de enlace.

  3. Extraiga el archivo zip descargado.

  4. Busque la carpeta "AzureVPN" descomprimida.

  5. Anote la ubicación del archivo "azurevpnconfig. xml". azurevpnconfig.xml contiene la configuración de la conexión VPN. También puede distribuir este archivo a todos los usuarios que necesiten conectarse a través del correo electrónico u otros medios. El usuario necesitará credenciales de Azure AD válidas para conectarse correctamente. Para más información, consulte Archivos de configuración de perfil de cliente VPN de Azure para la autenticación de Azure AD.

Pasos siguientes