Compartilhar via


VPN e acesso condicional

Agora o cliente VPN é capaz de integrar-se com a Plataforma de Acesso Condicional com base na nuvem para fornecer uma opção de conformidade do dispositivo para clientes remotos. O Acesso Condicional é um mecanismo de avaliação baseado em política que permite criar regras de acesso para qualquer aplicativo conectado Microsoft Entra.

Observação

O Acesso Condicional é um recurso Microsoft Entra ID P1 ou P2.

Os componentes da Plataforma de Acesso Condicional usados para fins de conformidade do dispositivo incluem os seguintes serviços baseados na nuvem:

  • Estrutura de Acesso Condicional
  • Microsoft Entra Conectar Integridade
  • Serviço de Atestado de Integridade do Windows 10 (opcional)
  • Microsoft Entra Autoridade de Certificado – é um requisito que o certificado cliente usado para a solução de conformidade de dispositivo baseada em nuvem seja emitido por uma AC (Autoridade de Certificado baseada em Microsoft Entra ID). Uma CA Microsoft Entra é essencialmente um locatário de nuvem mini-AC no Azure. A AC Microsoft Entra não pode ser configurada como parte de uma AC Enterprise local. Consulte também Always On implantação de VPN para Windows Server e Windows 10.
  • certificados de curta duração emitidos por Microsoft Entra ID - Quando uma tentativa de conexão VPN é feita, o Microsoft Entra Token Broker no dispositivo local se comunica com Microsoft Entra ID, que verifica a integridade com base nas regras de conformidade. Se estiver em conformidade, Microsoft Entra ID enviará de volta um certificado de curta duração usado para autenticar a VPN. Observe que métodos de autenticação de certificado, como EAP-TLS, podem ser usados. Quando o cliente se reconectar e determinar que o certificado expirou, o cliente novamente marcar com Microsoft Entra ID para validação de integridade antes que um novo certificado seja emitido.
  • Microsoft Intune políticas de conformidade do dispositivo: a conformidade do dispositivo baseada em nuvem usa Microsoft Intune Políticas de Conformidade, que são capazes de consultar o estado do dispositivo e definir regras de conformidade para o seguinte, entre outras coisas.
    • Status do antivírus
    • Status da atualização automática e conformidade da atualização
    • Conformidade da política de senha
    • Conformidade da criptografia
    • Estado do atestado de integridade do dispositivo (validado pelo serviço de atestado após consulta)

Os seguintes componentes do cliente também são necessários:

Conformidade do dispositivo da VPN

Neste momento, os certificados Microsoft Entra emitidos aos usuários não contêm um CDP (Ponto de Distribuição de CRL) e não são adequados para KDCs (Key Distribution Centers) emitir tokens Kerberos. Para que os usuários obtenham acesso a recursos locais, como arquivos em um compartilhamento de rede, os certificados de autenticação do cliente devem ser implantados nos perfis do Windows dos usuários e seus perfis VPNv2 devem conter a <seção SSO> .

Os requisitos de infraestrutura do servidor para dar suporte à conformidade do dispositivo da VPN incluem:

  • O servidor VPN deve ser configurado para autenticação de certificado.
  • O servidor VPN deve confiar na AC de Microsoft Entra específica do locatário.
  • Para acesso ao cliente usando Kerberos/NTLM, um certificado confiável em domínio é implantado no dispositivo cliente e está configurado para ser usado para SSO (logon único).

Depois de configurar o servidor, os administradores da VPN podem adicionar as configurações de política de acesso condicional ao perfil de VPN usando o nó DeviceCompliance do VPNv2.

Dois provedores de serviço de configuração de cliente são usados para conformidade do dispositivo da VPN.

  • Configurações do VPNv2 CSP DeviceCompliance:
    • Enabled: habilita o fluxo de Conformidade do Dispositivo no cliente. Se marcado como true, o cliente VPN tenta se comunicar com Microsoft Entra ID para obter um certificado a ser usado para autenticação. A VPN deve ser configurada para usar a autenticação de certificado e o servidor VPN deve confiar no servidor retornado por Microsoft Entra ID.
    • Sso: as entradas no SSO devem ser usadas para direcionar o cliente VPN a usar um certificado diferente do certificado de autenticação VPN ao acessar recursos que exigem autenticação Kerberos.
    • Sso/Habilitado: se esse campo for definido como true, o cliente VPN procurará um certificado separado para autenticação Kerberos.
    • Sso/IssuerHash: hashes para o cliente VPN procura o certificado correto para a autenticação Kerberos.
    • Sso/Eku: lista separada por vírgulas de extensões de EKU (uso de chave estendida) para o cliente VPN procurar o certificado correto para autenticação Kerberos.
  • CSP HealthAttestation (não é um requisito) – as funções executadas pelo CSP HealthAttestation incluem:
    • Coleta dados do TPM usados para verificar os estados de integridade
    • Encaminha os dados para o Serviço de Atestado de Integridade (HAS)
    • Provisiona o Certificado de Atestado de Integridade recebido do HAS
    • Após a solicitação, encaminhe o Certificado de Atestado de Integridade (recebido do HAS) e informações relacionadas de runtime para o servidor MDM para verificação

Observação

É necessário que os certificados usados para obter tíquetes Kerberos sejam emitidos de uma AC local e que o SSO seja habilitado no perfil VPN do usuário. Isso permitirá que o usuário acesse recursos locais. No caso de dispositivos ingressados somente AzureAD (não dispositivos híbridos ingressados), se o certificado de usuário emitido pela AC local tiver o UPN do usuário do AzureAD em Subject e SAN (Nome Alternativo do Assunto), o perfil VPN deverá ser modificado para garantir que o cliente não faça cache das credenciais usadas para autenticação VPN. Para fazer isso, depois de implantar o perfil VPN no cliente, modifique o Rasphone.pbk no cliente alterando a entrada UseRasCredentials de 1 (padrão) para 0 (zero).

Fluxo de conexão do cliente

O fluxo de conexão do lado do cliente VPN funciona da seguinte maneira:

Fluxo de trabalho de conformidade do dispositivo quando o cliente VPN tenta se conectar.

Quando um perfil VPNv2 é configurado com <DeviceCompliance<>Habilitado>true</Habilitado>, o cliente VPN usa esse fluxo de conexão:

  1. O cliente VPN chama Windows 10 ou Windows 11 Microsoft Entra Token Broker, identificando-se como um cliente VPN.
  2. O Microsoft Entra Token Broker se autentica para Microsoft Entra ID e fornece informações sobre o dispositivo que tenta se conectar. O servidor Microsoft Entra verifica se o dispositivo está em conformidade com as políticas.
  3. Se estiver em conformidade, Microsoft Entra ID solicitará um certificado de curta duração.
  4. Microsoft Entra ID envia um certificado de curta duração para o Repositório de Certificados por meio do Token Broker. Em seguida, o Token Broker retorna o controle para o cliente VPN para processamento de conexão adicional.
  5. O cliente VPN usa o certificado emitido por Microsoft Entra ID para se autenticar com o servidor VPN.

Configurar o acesso condicional

Consulte Opções de perfil de VPN e CSP VPNv2 para saber a configuração XML.

Saiba mais sobre acesso condicional e integridade Microsoft Entra