Partilhar via

Criar uma conexão VPN de usuário P2S usando a WAN Virtual do Azure - autenticação do Microsoft Entra

  • Artigo

Este artigo mostra como usar a WAN Virtual para se conectar aos seus recursos no Azure. Neste artigo, você cria uma conexão VPN de usuário ponto a site para WAN Virtual que usa a autenticação do Microsoft Entra. A autenticação do Microsoft Entra só está disponível para gateways que usam o protocolo OpenVPN.

Nota

A autenticação do Microsoft Entra ID é suportada apenas para conexões de protocolo OpenVPN® e requer o Cliente VPN do Azure.

Neste artigo, vai aprender a:

  • Criar uma WAN Virtual
  • Criar uma configuração VPN de usuário
  • Baixar um perfil VPN de usuário WAN virtual
  • Criar um hub virtual
  • Editar um hub para adicionar gateway P2S
  • Conectar uma rede virtual a um hub virtual
  • Baixe e aplique a configuração do cliente VPN do usuário
  • Ver a WAN Virtual

Screenshot do diagrama de WAN Virtual.

Antes de começar

Verifique se você atendeu aos seguintes critérios antes de iniciar a configuração:

  • Você tem uma rede virtual à qual deseja se conectar. Verifique se nenhuma das sub-redes de suas redes locais se sobrepõe às redes virtuais às quais você deseja se conectar. Para criar uma rede virtual no portal do Azure, consulte o Guia de início rápido.

  • Sua rede virtual não tem nenhum gateway de rede virtual. Se sua rede virtual tiver um gateway (VPN ou Rota Expressa), você deverá remover todos os gateways. Essa configuração requer que as redes virtuais estejam conectadas ao gateway de hub WAN Virtual.

  • Obtenha um intervalo de endereços IP para a região do seu hub. O hub é uma rede virtual que é criada e usada pela WAN Virtual. O intervalo de endereços especificado para o hub não pode se sobrepor a nenhuma das redes virtuais existentes às quais você se conecta. Ele também não pode se sobrepor aos intervalos de endereços aos quais você se conecta localmente. Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, coordene com alguém que possa fornecer esses detalhes para você.

  • Se não tiver uma subscrição do Azure, crie uma conta gratuita.

Criar uma WAN Virtual

Num browser, navegue para o Portal do Azure e inicie sessão com a sua conta do Azure.

  1. No portal, na barra de recursos de pesquisa, digite WAN Virtual na caixa de pesquisa e selecione Enter.

  2. Selecione WANs virtuais nos resultados. Na página WANs Virtuais, selecione + Criar para abrir a página Criar WAN .

  3. Na página Criar WAN, na guia Noções básicas, preencha os campos. Modifique os valores de exemplo a serem aplicados ao seu ambiente.

    A captura de tela mostra o painel Criar WAN com a guia Noções básicas selecionada.

    • Subscrição: selecione a subscrição que pretende utilizar.
    • Grupo de recursos: crie novos ou use existentes.
    • Local do grupo de recursos: escolha um local de recurso na lista suspensa. Uma WAN é um recurso global e não vive em uma região específica. No entanto, você deve selecionar uma região para gerenciar e localizar o recurso WAN criado.
    • Nome: digite o Nome que você deseja chamar de WAN virtual.
    • Tipo: Básico ou Padrão. selecione Standard. Se você selecionar Básico, entenda que as WANs virtuais básicas só podem conter hubs básicos. Os hubs básicos só podem ser usados para conexões site a site.

  4. Depois de concluir o preenchimento dos campos, na parte inferior da página, selecione Rever + Criar.

  5. Quando a validação for aprovada, clique em Criar para criar a WAN virtual.

Criar uma configuração VPN de usuário

Uma configuração VPN de usuário define os parâmetros para conectar clientes remotos. É importante criar a configuração VPN do usuário antes de configurar seu hub virtual com as configurações P2S, pois você deve especificar a configuração VPN do usuário que deseja usar.

  1. Navegue até a página Configurações de VPN de usuário da WAN> virtual e clique em +Criar configuração de VPN de usuário.

    Captura de tela da configuração Create User V P N.

  2. Na página Noções básicas, especifique os parâmetros.

    Captura de ecrã da página Noções básicas.

    • Nome da configuração - Digite o nome que você deseja chamar de Configuração VPN do usuário.
    • Tipo de túnel - Selecione OpenVPN no menu suspenso.

  3. Clique em Microsoft Entra ID para abrir a página.

    Captura de ecrã da página Microsoft Entra ID.

    Alterne o ID do Microsoft Entra para Sim e forneça os seguintes valores com base nos detalhes do locatário. Você pode exibir os valores necessários na página ID do Microsoft Entra para aplicativos Enterprise no portal.

    • Método de autenticação - Selecione Microsoft Entra ID.

    • Audiência - Digite a ID do Aplicativo do Cliente VPN do Azure Enterprise registrado em seu locatário do Microsoft Entra. Para valores, consulte: Valores de Audiência do Cliente VPN do Azure

    • Emissor - https://sts.windows.net/<your Directory ID>/

    • Locatário do Microsoft Entra: ID do locatário do Microsoft Entra. Verifique se não há no / final da URL do locatário do Microsoft Entra.

      • Entrar https://login.microsoftonline.com/<your Directory Tenant ID> para o Azure Public AD
      • Enter https://login.microsoftonline.us/<your Directory Tenant ID> para Azure Government AD
      • Enter https://login-us.microsoftonline.de/<your Directory Tenant ID> para Azure Germany AD
      • Entrar https://login.chinacloudapi.cn/<your Directory Tenant ID> para China 21Vianet AD

  4. Clique em Criar para criar a configuração VPN do usuário. Você selecionará essa configuração mais adiante no exercício.

Criar um hub vazio

Para este exercício, criamos um hub virtual vazio nesta etapa e, na próxima seção, você adiciona um gateway P2S a esse hub. No entanto, você pode combinar essas etapas e criar o hub com as configurações do gateway P2S de uma só vez. O resultado é o mesmo em ambos os sentidos. Depois de definir as definições, clique em Rever + criar para validar e, em seguida, em Criar.

  1. Vá para a WAN virtual que você criou. No painel esquerdo da página WAN virtual, em Conectividade, selecione Hubs.

  2. Na página Hubs, selecione +Novo Hub para abrir a página Criar hub virtual.

    A captura de tela mostra o painel Criar hub virtual com a guia Noções básicas selecionada.

  3. Na guia Noções básicas da página Criar hub virtual, preencha os seguintes campos:

    • Região: selecione a região na qual você deseja implantar o hub virtual.
    • Nome: o nome pelo qual você deseja que o hub virtual seja conhecido.
    • Espaço de endereçamento privado do hub: o intervalo de endereços do hub na notação CIDR. O espaço de endereço mínimo é /24 para criar um hub.
    • Capacidade do hub virtual: selecione na lista suspensa. Para obter mais informações, consulte Configurações do hub virtual.
    • Preferência de roteamento de hub: deixe como padrão. Para obter mais informações, consulte Preferência de roteamento de hub virtual.

Adicionar um gateway P2S a um hub

Esta seção mostra como adicionar um gateway a um hub virtual já existente. Esta etapa pode levar até 30 minutos para que o hub conclua a atualização.

  1. Navegue até a página Hubs sob a WAN virtual.

  2. Clique no nome do hub que você deseja editar para abrir a página do hub.

  3. Clique em Editar hub virtual na parte superior da página para abrir a página Editar hub virtual.

  4. Na página Editar hub virtual, marque as caixas de seleção Incluir gateway vpn para sites vpn e Incluir gateway ponto a site para revelar as configurações. Em seguida, configure os valores.

    A captura de tela mostra o hub virtual Editar.

    • Unidades de escala de gateway: selecione as unidades de escala de gateway. As unidades de escala representam a capacidade agregada do gateway VPN do usuário. Se você selecionar 40 ou mais unidades de escala de gateway, planeje o pool de endereços do cliente de acordo. Para obter informações sobre como essa configuração afeta o pool de endereços do cliente, consulte Sobre pools de endereços do cliente. Para obter informações sobre unidades de escala de gateway, consulte as Perguntas frequentes.
    • Configuração de VPN do usuário: selecione a configuração que você criou anteriormente.
    • Mapeamento de grupos de usuários para pools de endereços: para obter informações sobre essa configuração, consulte Configurar grupos de usuários e pools de endereços IP para VPNs de usuário P2S (visualização).

  5. Depois de definir as configurações, clique em Confirmar para atualizar o hub. Pode levar até 30 minutos para atualizar um hub.

Conectar VNet ao hub

Nesta seção, você cria uma conexão entre seu hub virtual e sua rede virtual.

  1. No portal do Azure, vá para sua WAN Virtual No painel esquerdo, selecione Conexões de rede virtual.

  2. Na página Conexões de rede virtual, selecione + Adicionar conexão.

  3. Na página Adicionar ligação, configure as definições da ligação. Para obter informações sobre configurações de roteamento, consulte Sobre roteamento.

    Captura de ecrã da página Adicionar ligação.

    • Nome da conexão: nomeie sua conexão.
    • Hubs: selecione o hub que você deseja associar a essa conexão.
    • Assinatura: verifique a assinatura.
    • Grupo de recursos: selecione o grupo de recursos que contém a rede virtual à qual você deseja se conectar.
    • Rede virtual: selecione a rede virtual que você deseja conectar a este hub. A rede virtual selecionada não pode ter um gateway de rede virtual já existente.
    • Propagar para nenhum: é definido como Não por padrão. Alterar a opção para Sim torna as opções de configuração para Propagar para tabelas de rotas e Propagar para rótulos indisponíveis para configuração.
    • Associar tabela de rotas: Na lista suspensa, você pode selecionar uma tabela de rotas que deseja associar.
    • Propagar para rótulos: os rótulos são um grupo lógico de tabelas de rotas. Para essa configuração, selecione na lista suspensa.
    • Rotas estáticas: configure rotas estáticas, se necessário. Configure rotas estáticas para Dispositivos Virtuais de Rede (se aplicável). A WAN virtual suporta um único IP de salto seguinte para rota estática em uma conexão de rede virtual. Por exemplo, se você tiver um dispositivo virtual separado para fluxos de tráfego de entrada e saída, seria melhor ter os dispositivos virtuais em VNets separadas e anexar as VNets ao hub virtual.
    • Ignorar IP do próximo salto para cargas de trabalho dentro desta VNet: essa configuração permite implantar NVAs e outras cargas de trabalho na mesma VNet sem forçar todo o tráfego através do NVA. Essa configuração só pode ser definida quando você estiver configurando uma nova conexão. Se pretender utilizar esta definição para uma ligação que já criou, elimine a ligação e, em seguida, adicione uma nova ligação.
    • Propagar rota estática: essa configuração está sendo implementada no momento. Essa configuração permite propagar rotas estáticas definidas na seção Rotas estáticas para tabelas de rotas especificadas em Propagar para tabelas de rotas. Além disso, as rotas serão propagadas para tabelas de rotas que tenham rótulos especificados como Propagar para rótulos. Essas rotas podem ser propagadas entre hubs, exceto para a rota padrão 0/0. Este recurso está em processo de implantação. Se você precisar desse recurso ativado, abra um caso de suporte

  4. Depois de concluir as configurações que deseja definir, clique em Criar para criar a conexão.

Baixar perfil VPN do usuário

Todas as definições de configuração necessárias para os clientes VPN estão contidas em um arquivo zip de configuração do cliente VPN. As configurações no arquivo zip ajudam você a configurar facilmente os clientes VPN. Os arquivos de configuração do cliente VPN que você gera são específicos para a configuração VPN do usuário para seu gateway. Você pode baixar perfis globais (nível WAN) ou um perfil para um hub específico. Para obter informações e instruções adicionais, consulte Baixar perfis globais e de hub. As etapas a seguir orientam você no download de um perfil global de nível WAN.

  1. Para gerar um pacote de configuração de cliente VPN de perfil global de nível WAN, vá para a WAN virtual (não para o hub virtual).

  2. No painel esquerdo, selecione Configurações de VPN do usuário.

  3. Selecione a configuração para a qual você deseja baixar o perfil. Se você tiver vários hubs atribuídos ao mesmo perfil, expanda o perfil para mostrar os hubs e selecione um dos hubs que usa o perfil.

  4. Selecione Baixar perfil VPN de usuário WAN virtual.

  5. Na página de download, selecione EAPTLS, depois Gerar e baixar perfil. Um pacote de perfil (arquivo zip) contendo as definições de configuração do cliente é gerado e baixado para o seu computador. O conteúdo do pacote depende das opções de autenticação e túnel para sua configuração.

Configurar clientes VPN de usuário

Cada computador que se conecta deve ter um cliente instalado. Você configura cada cliente usando os arquivos de perfil de cliente de usuário VPN que você baixou nas etapas anteriores. Use o artigo referente ao sistema operacional que você deseja conectar.

Para configurar clientes VPN macOS (Pré-visualização)

Para obter instruções sobre o cliente macOS, consulte Configurar um cliente VPN - macOS (Pré-visualização).

Para configurar clientes VPN do Windows

  1. Baixe a versão mais recente dos arquivos de instalação do Cliente VPN do Azure usando um dos seguintes links:

  2. Instale o Cliente VPN do Azure em cada computador.

  3. Verifique se o Cliente VPN do Azure tem permissão para ser executado em segundo plano. Para conhecer as etapas, consulte Aplicativos em segundo plano do Windows.

  4. Para verificar a versão do cliente instalado, abra o Cliente VPN do Azure. Vá para a parte inferior do cliente e clique em ... -> ? Ajuda. No painel direito, você pode ver o número da versão do cliente.

Para importar um perfil de cliente VPN (Windows)

  1. Na página, selecione Importar.

    A captura de tela mostra a página de importação.

  2. Navegue até o arquivo xml do perfil e selecione-o. Com o arquivo selecionado, selecione Abrir.

    A captura de tela mostra uma caixa de diálogo Abrir onde você pode selecionar um arquivo.

  3. Especifique o nome do perfil e selecione Salvar.

    A captura de tela mostra o Nome da Conexão adicionado e o botão Salvar selecionado.

  4. Selecione Conectar para se conectar à VPN.

    A captura de tela mostra o botão Conectar para a conexão que você acabou de criar.

  5. Uma vez conectado, o ícone ficará verde e dirá Conectado.

    A captura de tela mostra a conexão em um status Conectado com a opção de desconectar.

Para excluir um perfil de cliente - Windows

  1. Selecione as reticências (...) ao lado do perfil do cliente que você deseja excluir. Em seguida, selecione Remover.

    A captura de tela mostra Remover selecionado no menu.

  2. Selecione Remover para excluir.

    A captura de tela mostra uma caixa de diálogo de confirmação com a opção Remover ou Cancelar.

Diagnosticar problemas de conexão - Windows

  1. Para diagnosticar problemas de conexão, você pode usar a ferramenta Diagnosticar . Selecione as reticências (...) ao lado da conexão VPN que você deseja diagnosticar para revelar o menu. Em seguida, selecione Diagnosticar.

    A captura de tela mostra Diagnosticar selecionado no menu.

  2. Na página Propriedades da Conexão, selecione Executar Diagnóstico.

    A captura de tela mostra o botão Executar diagnóstico para uma conexão.

  3. Inicie sessão com as suas credenciais.

    A captura de tela mostra a caixa de diálogo Entrar para esta ação.

  4. Veja os resultados do diagnóstico.

    A captura de tela mostra os resultados do diagnóstico.

Ver a WAN Virtual

  1. Navegue para a WAN virtual.
  2. Na página Overview, cada ponto no mapa representa um hub.
  3. Na secção Hubs e ligações, pode ver o estado do hub, o site, a região, o estado da ligação VPN e os bytes de entrada e saída.

Clean up resources (Limpar recursos)

Quando não precisar mais dos recursos que criou, exclua-os. Alguns dos recursos da WAN Virtual devem ser excluídos em uma determinada ordem devido a dependências. A conclusão da eliminação pode demorar cerca de 30 minutos.

  1. Abra a WAN virtual que você criou.

  2. Selecione um hub virtual associado à WAN virtual para abrir a página do hub.

  3. Exclua todas as entidades de gateway seguindo a ordem abaixo para cada tipo de gateway. Isso pode levar 30 minutos para ser concluído.

    VPN:

    • Desconectar sites VPN
    • Excluir conexões VPN
    • Excluir gateways VPN

    ExpressRoute:

    • Excluir conexões de Rota Expressa
    • Excluir gateways de Rota Expressa

  4. Repita para todos os hubs associados à WAN virtual.

  5. Você pode excluir os hubs neste momento ou excluir os hubs mais tarde quando excluir o grupo de recursos.

  6. Navegue até o grupo de recursos no portal do Azure.

  7. Selecione Eliminar grupo de recursos. Isso exclui os outros recursos no grupo de recursos, incluindo os hubs e a WAN virtual.

Próximos passos

Para perguntas frequentes sobre a WAN Virtual, consulte as Perguntas frequentes sobre a WAN Virtual.