Configuración de una puerta de enlace de VPN P2S y un inquilino de Microsoft Entra para la autenticación de Microsoft Entra

Este artículo le ayuda a configurar el inquilino de AD y la configuración de VPN Gateway P2S (de punto a sitio) para la autenticación de Microsoft Entra. Para más información sobre los protocolos y la autenticación de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio de VPN Gateway. Para autenticarse mediante el tipo de autenticación Microsoft Entra, debe incluir el tipo de túnel OpenVPN en la configuración de punto a sitio.

Nota:

La autenticación de Microsoft Entra solo es compatible con las conexiones del protocolo OpenVPN® y requiere el cliente VPN de Azure.

Requisitos previos

Los pasos de este artículo requieren un inquilino de Microsoft Entra. Si no tiene ningún inquilino de Microsoft Entra, para crearlo siga los pasos del artículo Creación de un nuevo inquilino. Tenga en cuenta los siguientes campos al crear el directorio:

  • Nombre organizativo
  • Nombre de dominio inicial

Si ya tiene una puerta de enlace P2S existente, los pasos de este artículo le ayudarán a configurar la puerta de enlace para la autenticación de Microsoft Entra. También puede crear una nueva puerta de enlace de VPN que especifique la autenticación de Microsoft Entra. En este artículo se incluye el vínculo para crear una nueva puerta de enlace.

Crear usuarios de inquilino de Microsoft Entra

  1. Cree dos cuentas en el inquilino de Microsoft Entra recién creado. Para obtener los pasos, consulte Incorporación o eliminación de un nuevo usuario.

    • Cuenta de administrador global
    • Cuenta de usuario

    La cuenta de administrador global se usará para conceder consentimiento con fines de registro de la aplicación de VPN de Azure. La cuenta de usuario se puede usar para probar la autenticación de OpenVPN.

  2. Asigne a una de las cuentas el rol Administrador global. Para ver los pasos, consulte Asignación de roles de administrador y no administrador a usuarios con Microsoft Entra ID.

Autorización de la aplicación VPN de Azure

  1. Inicie sesión en el Azure Portal como un usuario al que se le ha asignado el rol de administrador global.

  2. A continuación, conceda consentimiento de administrador para su organización. De este modo, la aplicación de VPN de Azure permitirá iniciar sesión y leer los perfiles de usuario. Copie y pegue la dirección URL que pertenece a la ubicación de implementación en la barra de direcciones del explorador:

    Público

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
    

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
    

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
    

    Microsoft Azure operado por 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
    

    Nota:

    Si utiliza una cuenta de administrador global que no sea nativa del inquilino de Microsoft Entra para dar su consentimiento, reemplace "common" por el identificador de inquilino de Microsoft Entra en la dirección URL. Es posible que también tenga que reemplazar "common" por el identificador de inquilino en algunos otros casos. Para obtener ayuda para buscar el identificador de inquilino, consulte Búsqueda del identificador de inquilino de Microsoft Entra.

  3. Si se le solicita, seleccione la cuenta que tiene el rol Administrador global.

  4. En la página Permisos solicitados, seleccione Aceptar.

  5. Vaya a Microsoft Entra ID. En el panel izquierdo, haga clic en Aplicaciones empresariales. Verá la VPN de Azure en la lista.

    Captura de pantalla de la aplicación empresarial que muestra Azure V P N en la lista.

Configuración de la puerta de enlace de VPN: autenticación Entra

Importante

Azure Portal está en proceso de actualizar los campos de Azure Active Directory a Entra. Si ve que se hace referencia a Microsoft Entra ID y aún no ve esos valores en el portal, puede seleccionar los valores de Azure Active Directory.

  1. Busque el identificador de inquilino del directorio que desea utilizar para la autenticación. Aparece en la sección de propiedades de la página Active Directory. Para obtener ayuda para buscar el identificador de inquilino, consulte Búsqueda del identificador de inquilino de Microsoft Entra.

  2. Si no dispone de un entorno de punto a sitio funcionando, siga las instrucciones para crear uno. Consulte Creación de una VPN de punto a sitio para crear una puerta de enlace de VPN de punto a sitio. Al crear una puerta de enlace de VPN, la SKU básica no es compatible con OpenVPN.

  3. Vaya a la puerta de enlace de la red virtual. En el panel izquierdo, haga clic en Configuración punto a sitio.

    Captura de pantalla que muestra la configuración del tipo de túnel, el tipo de autenticación y la configuración de Microsoft Entra.

    Configure los valores siguientes:

    • Grupo de direcciones: grupo de direcciones de cliente
    • Tipo de túnel: OpenVPN (SSL)
    • Tipo de autenticación: Microsoft Entra ID

    En el caso de los valores de Microsoft Entra ID, use las siguientes directrices para los valores Inquilino, Audiencia y Emisor. Reemplace {AzureAD TenantID} con su ID de arrendatario, teniendo cuidado de quitar {} de los ejemplos cuando reemplace este valor.

    • Inquilino: TenantID para el inquilino de Microsoft Entra. Escriba el id. de inquilino correspondiente a la configuración. Asegúrese de que la dirección URL del inquilino no tiene una \ (barra diagonal inversa) al final. La barra diagonal está permitida.

      • Azure Public AD: https://login.microsoftonline.com/{AzureAD TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{AzureAD TenantID}
      • Azure Alemania AD: https://login-us.microsoftonline.de/{AzureAD TenantID}
      • China 21Vianet AD: https://login.chinacloudapi.cn/{AzureAD TenantID}
    • Audiencia: el identificador de aplicación de la aplicación "VPN de Azure" Microsoft Entra Enterprise App.

      • Azure público: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Alemania: 538ee9e6-310a-468d-afef-ea97365856a9
      • Microsoft Azure operado por 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa
    • Emisor: dirección URL del servicio de token seguro. Incluya una barra diagonal al final del valor del Emisor. De lo contrario, es posible que se produzca un error en la conexión. Ejemplo:

      • https://sts.windows.net/{AzureAD TenantID}/
  4. Una vez que termine de configurar los valores, haga clic en Guardar en la parte superior de la página.

Descarga del paquete de configuración del perfil de cliente VPN de Azure

En esta sección, generará y descargará el paquete de configuración del perfil de cliente VPN de Azure. Este paquete contiene la configuración que puede usar para configurar el perfil de cliente VPN de Azure en equipos cliente.

  1. En la parte superior de la página Configuración de punto a sitio, haga clic en Descargar cliente de VPN. La generación del paquete de configuración del cliente tarda unos minutos.

  2. El explorador indica que hay disponible un archivo ZIP de configuración del cliente. Tiene el mismo nombre que su puerta de enlace.

  3. Extraiga el archivo zip descargado.

  4. Busque la carpeta "AzureVPN" descomprimida.

  5. Anote la ubicación del archivo "azurevpnconfig. xml". azurevpnconfig.xml contiene la configuración de la conexión VPN. También puede distribuir este archivo a todos los usuarios que necesiten conectarse a través del correo electrónico u otros medios. El usuario necesitará credenciales de Microsoft Entra válidas para conectarse correctamente. Para más información, consulte Archivos de configuración de perfil de cliente VPN de Azure para la autenticación de Microsoft Entra.

Pasos siguientes