Configuración de la puerta de enlace de VPN P2S para la autenticación de Microsoft Entra ID: aplicación registrada manualmente
Este artículo le ayuda a configurar una puerta de enlace de VPN de punto a sitio (P2S) para la autenticación de Microsoft Entra ID y el registro manual del cliente VPN de Azure. Este tipo de configuración solo se admite para las conexiones de protocolo OpenVPN.
También puede crear este tipo de configuración de VPN Gateway P2S mediante los pasos para la nueva aplicación cliente VPN registrada por Microsoft. El uso de la versión más reciente omite los pasos para registrar el cliente VPN de Azure con el inquilino de Microsoft Entra. También admite más sistemas operativos cliente. Sin embargo, es posible que aún no admita ciertos valores de audiencia. Para más información sobre los protocolos y la autenticación de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio de VPN Gateway.
Requisitos previos
Los pasos de este artículo requieren un inquilino de Microsoft Entra. Si no tiene ningún inquilino de Microsoft Entra, para crearlo siga los pasos del artículo Creación de un nuevo inquilino. Tenga en cuenta los siguientes campos al crear el directorio:
- Nombre organizativo
- Nombre de dominio inicial
Si ya tiene una puerta de enlace P2S existente, los pasos de este artículo le ayudarán a configurar la puerta de enlace para la autenticación de Microsoft Entra ID. También puede crear una puerta de enlace de VPN nueva. En este artículo se incluye el vínculo para crear una nueva puerta de enlace.
Nota:
La autenticación de Microsoft Entra ID solo se admite para las conexiones de protocolo OpenVPN® y requiere el cliente VPN de Azure.
Creación de usuarios de inquilino de Microsoft Entra
Cree dos cuentas en el inquilino de Microsoft Entra recién creado. Para obtener los pasos, consulte Incorporación o eliminación de un nuevo usuario.
- Rol de administrador de aplicaciones en la nube
- Cuenta de usuario
El rol Administrador de aplicaciones en la nube se usa para conceder consentimiento al registro de aplicaciones VPN de Azure. La cuenta de usuario se puede usar para probar la autenticación de OpenVPN.
Asigne a una de las cuentas el rol de Administrador de aplicaciones en la nube. Para ver los pasos, consulte Asignación de roles de administrador y no administrador a usuarios con Microsoft Entra ID.
Autorización de la aplicación VPN de Azure
Inicie sesión en Azure Portal como un usuario al que se le ha asignado el rol Administrador de aplicaciones en la nube.
A continuación, conceda consentimiento de administrador para su organización. De este modo, la aplicación de VPN de Azure permitirá iniciar sesión y leer los perfiles de usuario. Copie y pegue la dirección URL que pertenece a la ubicación de implementación en la barra de direcciones del explorador:
Público
https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
Azure Government
https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
Microsoft Cloud Germany
https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
Microsoft Azure operado por 21Vianet
https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
Nota:
Si utiliza una cuenta de Administrador de aplicaciones en la nube que no sea nativa del inquilino de Microsoft Entra para dar el consentimiento, reemplace "common" por el identificador de inquilino de Microsoft Entra en la dirección URL. Es posible que también tenga que reemplazar "common" por el identificador de inquilino en algunos otros casos. Para obtener ayuda para buscar el identificador de inquilino, consulte Búsqueda del identificador de inquilino de Microsoft Entra.
Seleccione la cuenta que tenga el rol Administrador de aplicaciones en la nube si se le indica.
En la página Permisos solicitados, seleccione Aceptar.
Vaya a Microsoft Entra ID. En el panel izquierdo, haga clic en Aplicaciones empresariales. Verá la VPN de Azure en la lista.
Configuración de una puerta de enlace de VPN
Importante
Azure Portal está en proceso de actualizar los campos de Azure Active Directory a Entra. Si ve que se hace referencia a Microsoft Entra ID y aún no ve esos valores en el portal, puede seleccionar los valores de Azure Active Directory.
Busque el identificador de inquilino del directorio que desea utilizar para la autenticación. Aparece en la sección de propiedades de la página Active Directory. Para obtener ayuda para buscar el identificador de inquilino, consulte Búsqueda del identificador de inquilino de Microsoft Entra.
Si no dispone de un entorno de punto a sitio funcionando, siga las instrucciones para crear uno. Consulte Creación de una VPN de punto a sitio para crear una puerta de enlace de VPN de punto a sitio. Al crear una puerta de enlace de VPN, la SKU básica no es compatible con OpenVPN.
Vaya a la puerta de enlace de la red virtual. En el panel izquierdo, haga clic en Configuración punto a sitio.
Configure los valores siguientes:
- Grupo de direcciones: grupo de direcciones de cliente
- Tipo de túnel: OpenVPN (SSL)
- Tipo de autenticación: Microsoft Entra ID
En el caso de los valores de Microsoft Entra ID, use las siguientes directrices para los valores Inquilino, Audiencia y Emisor. Reemplace {TenantID} con su id. de inquilino teniendo cuidado de quitar {} de los ejemplos cuando reemplace este valor.
Inquilino: TenantID para el inquilino de Microsoft Entra. Escriba el id. de inquilino correspondiente a la configuración. Asegúrese de que la dirección URL del inquilino no tiene una
\
(barra diagonal inversa) al final. La barra diagonal está permitida.- Azure Public AD:
https://login.microsoftonline.com/{TenantID}
- Azure Government AD:
https://login.microsoftonline.us/{TenantID}
- Azure Alemania AD:
https://login-us.microsoftonline.de/{TenantID}
- China 21Vianet AD:
https://login.chinacloudapi.cn/{TenantID}
- Azure Public AD:
Audiencia: el identificador de aplicación de la aplicación "VPN de Azure" Microsoft Entra Enterprise App.
- Azure público:
41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government:
51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Alemania:
538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure operado por 21Vianet:
49f817b6-84ae-4cc0-928c-73f27289b3aa
- Azure público:
Emisor: dirección URL del servicio de token seguro. Incluya una barra diagonal al final del valor del Emisor. De lo contrario, es posible que se produzca un error en la conexión. Ejemplo:
https://sts.windows.net/{TenantID}/
Una vez que termine de configurar los valores, haga clic en Guardar en la parte superior de la página.
Descarga del paquete de configuración del perfil de cliente VPN de Azure
En esta sección, generará y descargará el paquete de configuración del perfil de cliente VPN de Azure. Este paquete contiene la configuración que puede usar para configurar el perfil de cliente VPN de Azure en equipos cliente.
En la parte superior de la página Configuración de punto a sitio, haga clic en Descargar cliente de VPN. La generación del paquete de configuración del cliente tarda unos minutos.
El explorador indica que hay disponible un archivo ZIP de configuración del cliente. Tiene el mismo nombre que su puerta de enlace.
Extraiga el archivo zip descargado.
Busque la carpeta "AzureVPN" descomprimida.
Anote la ubicación del archivo "azurevpnconfig. xml". azurevpnconfig.xml contiene la configuración de la conexión VPN. También puede distribuir este archivo a todos los usuarios que necesiten conectarse a través del correo electrónico u otros medios. El usuario necesitará credenciales de Microsoft Entra ID válidas para poder conectarse.
Pasos siguientes
- Para conectarse a la red virtual, debe configurar el cliente VPN de Azure en los equipos cliente. Consulte Configuración de un cliente VPN para conexiones VPN P2S: Windows o Configuración de un cliente VPN para conexiones VPN P2S: macOS.
- Para ver las preguntas más frecuentes, consulte la sección Punto a sitio de las Preguntas más frecuentes sobre VPN Gateway.