VPN e acesso condicional

Agora o cliente VPN é capaz de integrar-se com a Plataforma de Acesso Condicional com base na nuvem para fornecer uma opção de conformidade do dispositivo para clientes remotos. O Acesso Condicional é um mecanismo de avaliação com base em política que permite que você crie regras de acesso para qualquer aplicativo conectado ao Azure Active Directory (Azure AD).

Observação

O Acesso Condicional é um recurso do Azure AD Premium.

Os componentes da Plataforma de Acesso Condicional usados para fins de conformidade do dispositivo incluem os seguintes serviços baseados na nuvem:

  • Estrutura de Acesso Condicional

  • Azure AD Connect Health

  • Serviço de Atestado de Integridade do Windows 10 (opcional)

  • Autoridade de Certificação do Azure AD – é fundamental que o certificado de cliente usado para a solução de conformidade do dispositivo baseada na nuvem seja emitido por uma Autoridade de Certificação (CA) baseada no Azure Active Directory. Uma Autoridade de Certificação do Azure AD é essencialmente um minilocatário na nuvem CA do Azure. A Autoridade de Certificação do Azure AD não pode ser configurada como parte de uma Autoridade de Certificação Empresarial local. Consulte também Always On implantação de VPN para Windows Server e Windows 10.

  • Certificados de curta duração emitidos pelo Azure AD – Quando é feita uma tentativa de conexão VPN, o Agente de Token do Azure AD no dispositivo local se comunica com o Azure Active Directory, que verifica a integridade com base nas regras de conformidade. Se estiver em conformidade, o Azure AD retorna um certificado de curta duração que é usado para autenticar a VPN. Observe que métodos de autenticação de certificado, como EAP-TLS, podem ser usados. Quando esse certificado expirar, o cliente verificará novamente com Azure AD para validação de integridade antes que um novo certificado seja emitido.

  • Políticas de conformidade do dispositivo do Microsoft Intune – A conformidade do dispositivo baseada na nuvem usa as Políticas de Conformidade do Microsoft Intune, que são capazes de consultar o estado do dispositivo e definir as regras de conformidade para o seguinte, entre outras coisas:

    • Status do antivírus
    • Status da atualização automática e conformidade da atualização
    • Conformidade da política de senha
    • Conformidade da criptografia
    • Estado do atestado de integridade do dispositivo (validado pelo serviço de atestado após consulta)

Os seguintes componentes do cliente também são necessários:

Conformidade do dispositivo da VPN

No momento, os certificados Azure AD emitidos aos usuários não contêm uma CDP (Ponto de Distribuição de CRL) e não são adequados para KDCs (Key Distribution Centers) emitir tokens Kerberos. Para que os usuários obtenham acesso a recursos locais, como arquivos em um compartilhamento de rede, os certificados de autenticação do cliente devem ser implantados nos perfis do Windows dos usuários e seus perfis VPNv2 devem conter a <seção SSO> .

Os requisitos de infraestrutura do servidor para dar suporte à conformidade do dispositivo da VPN incluem:

  • O servidor VPN deve ser configurado para autenticação de certificado.
  • O servidor VPN deve confiar na AC de Azure AD específica do locatário.
  • Para acesso ao cliente usando Kerberos/NTLM, um certificado confiável em domínio é implantado no dispositivo cliente e está configurado para ser usado para SSO (logon único).

Depois de configurar o servidor, os administradores da VPN podem adicionar as configurações de política de acesso condicional ao perfil de VPN usando o nó DeviceCompliance do VPNv2.

Dois provedores de serviço de configuração de cliente são usados para conformidade do dispositivo da VPN.

  • Configurações do VPNv2 CSP DeviceCompliance:

    • Enabled: habilita o fluxo de Conformidade do Dispositivo no cliente. Se marcado como true, o cliente VPN tenta se comunicar com Azure AD para obter um certificado a ser usado para autenticação. A VPN deve estar configurada para usar o certificado de autenticação, e o servidor VPN deve confiar no servidor retornado pelo Azure AD.
    • Sso: as entradas no SSO devem ser usadas para direcionar o cliente VPN a usar um certificado diferente do certificado de autenticação VPN ao acessar recursos que exigem autenticação Kerberos.
    • Sso/Habilitado: se esse campo for definido como true, o cliente VPN procurará um certificado separado para autenticação Kerberos.
    • Sso/IssuerHash: hashes para o cliente VPN procura o certificado correto para a autenticação Kerberos.
    • Sso/Eku: lista separada por vírgulas de extensões de EKU (uso de chave estendida) para o cliente VPN procurar o certificado correto para autenticação Kerberos.
  • CSP HealthAttestation (não é um requisito) – as funções executadas pelo CSP HealthAttestation incluem:

    • Coleta dados do TPM usados para verificar os estados de integridade
    • Encaminha os dados para o Serviço de Atestado de Integridade (HAS)
    • Provisiona o Certificado de Atestado de Integridade recebido do HAS
    • Após a solicitação, encaminhe o Certificado de Atestado de Integridade (recebido do HAS) e informações relacionadas de runtime para o servidor MDM para verificação

Observação

Atualmente, é necessário que os certificados usados para obter tíquetes Kerberos sejam emitidos de uma AC local e que o SSO seja habilitado no perfil VPN do usuário. Isso permitirá que o usuário acesse recursos locais.

No caso de dispositivos ingressados somente AzureAD (não dispositivos híbridos ingressados), se o certificado de usuário emitido pela AC local tiver o UPN do usuário do AzureAD em Subject e SAN (Nome Alternativo do Assunto), o perfil VPN deverá ser modificado para garantir que o cliente não faça cache das credenciais usadas para autenticação VPN. Para fazer isso, depois de implantar o perfil VPN no cliente, modifique o Rasphone.pbk no cliente alterando a entrada UseRasCredentials de 1 (padrão) para 0 (zero).

Fluxo de conexão do cliente

O fluxo de conexão do lado do cliente VPN funciona da seguinte maneira:

Fluxo de trabalho de conformidade do dispositivo quando o cliente VPN tenta se conectar.

Quando um perfil VPNv2 é configurado com <DeviceCompliance<>Habilitado>true</Habilitado>, o cliente VPN usa esse fluxo de conexão:

  1. O cliente VPN chama Windows 10 ou Windows 11 Azure AD Token Broker, identificando-se como um cliente VPN.

  2. O Agente de Token do Azure AD faz a autenticação no Azure AD e fornece informações sobre o dispositivo que está tentando se conectar. O Servidor do Azure AD verifica se o dispositivo está em conformidade com as políticas.

  3. Se estiver em conformidade, Azure AD solicitará um certificado de curta duração.

  4. O Azure AD envia um certificado de curta duração ao Repositório de Certificados por meio do Agente de Token. Em seguida, o Token Broker retorna o controle para o cliente VPN para processamento de conexão adicional.

  5. O cliente VPN usa o certificado emitido pelo AD Azure para autenticação no servidor VPN.

Configurar o acesso condicional

Consulte Opções de perfil de VPN e CSP VPNv2 para saber a configuração XML.

Saiba mais sobre Acesso Condicional e Integridade do Azure AD