Partilhar via

Configurar o Gateway VPN P2S para autenticação do Microsoft Entra ID – aplicativo registrado manualmente

  • Artigo

Este artigo ajuda você a configurar um gateway VPN ponto a site (P2S) para autenticação de ID do Microsoft Entra e registrar manualmente o cliente VPN do Azure. Este tipo de configuração é suportado apenas para conexões de protocolo OpenVPN.

Você também pode criar esse tipo de configuração do Gateway VPN P2S usando as etapas para o novo aplicativo Cliente VPN registrado pela Microsoft. Usar a versão mais recente ignora as etapas para registrar o Cliente VPN do Azure com seu locatário do Microsoft Entra. Ele também suporta mais sistemas operacionais cliente. No entanto, nem todos os valores de audiência são suportados. Para obter mais informações sobre autenticação e protocolos ponto a site, consulte Sobre VPN ponto a site do Gateway VPN. Para obter informações sobre como criar e modificar audiências personalizadas, consulte Criar ou modificar uma audiência personalizada.

Nota

Quando possível, recomendamos que você use as novas instruções do aplicativo Cliente VPN registrado pela Microsoft.

Pré-requisitos

As etapas neste artigo exigem um locatário do Microsoft Entra. Se você não tiver um locatário do Microsoft Entra, poderá criar um usando as etapas no artigo Criar um novo locatário . Observe os seguintes campos ao criar seu diretório:

  • Nome organizacional
  • Nome de domínio inicial

Se você já tiver um gateway P2S existente, as etapas neste artigo ajudarão a configurar o gateway para autenticação do Microsoft Entra ID. Você também pode criar um novo gateway VPN. O link para criar um novo gateway está incluído neste artigo.

Nota

A autenticação do Microsoft Entra ID é suportada apenas para conexões de protocolo OpenVPN® e requer o Cliente VPN do Azure.

Criar usuários locatários do Microsoft Entra

  1. Crie duas contas no locatário recém-criado do Microsoft Entra. Para conhecer as etapas, consulte Adicionar ou excluir um novo usuário.

    A função Cloud Application Administrator é usada para conceder consentimento para o registro do aplicativo VPN do Azure. A conta de usuário pode ser usada para testar a autenticação OpenVPN.

  2. Atribua a uma das contas a função Cloud Application Administrator . Para conhecer as etapas, consulte Atribuir funções de administrador e não administrador a usuários com o Microsoft Entra ID.

Autorizar o aplicativo VPN do Azure

  1. Entre no portal do Azure como um usuário ao qual é atribuída a função de Administrador de Aplicativo de Nuvem .

  2. Em seguida, conceda consentimento de administrador para sua organização. Isso permite que o aplicativo VPN do Azure entre e leia perfis de usuário. Copie e cole o URL que pertence ao seu local de implantação na barra de endereço do seu navegador:

    Público

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Alemanha

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Microsoft Azure operado pela 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Nota

    Se você estiver usando uma conta de Administrador do Aplicativo de Nuvem que não seja nativa do locatário do Microsoft Entra para fornecer consentimento, substitua "comum" pelo ID do locatário do Microsoft Entra na URL. Também poderá ter de substituir "comum" pelo seu ID de inquilino em alguns outros casos. Para obter ajuda com a localização do ID do inquilino, consulte Como encontrar o ID do inquilino do Microsoft Entra.

  3. Selecione a conta que tem a função Cloud Application Administrator, se solicitado.

  4. Na página Permissões solicitadas, selecione Aceitar.

  5. Vá para Microsoft Entra ID. No painel esquerdo, clique em Aplicativos corporativos. Você verá a VPN do Azure listada.

    Captura de ecrã da página da aplicação Enterprise a mostrar o Azure V P N listado.

Configurar o gateway VPN

Importante

O portal do Azure está no processo de atualização dos campos do Azure Ative Directory para o Entra. Se vir o Microsoft Entra ID referenciado e ainda não vir esses valores no portal, pode selecionar os valores do Azure Ative Directory.

  1. Localize a ID do locatário do diretório que você deseja usar para autenticação. Ele está listado na seção de propriedades da página do Ative Directory. Para obter ajuda com a localização do ID do inquilino, consulte Como encontrar o ID do inquilino do Microsoft Entra.

  2. Se você ainda não tiver um ambiente ponto a site em funcionamento, siga as instruções para criar um. Consulte Criar uma VPN ponto a site para criar e configurar um gateway VPN ponto a site. Quando você cria um gateway VPN, o SKU básico não é suportado para OpenVPN.

  3. Vá para o gateway de rede virtual. No painel esquerdo, clique em Configuração ponto a site.

    Captura de tela mostrando as configurações para Tipo de túnel, Tipo de autenticação e Configurações do Microsoft Entra.

    Configure os seguintes valores:

    • Pool de endereços: pool de endereços do cliente
    • Tipo de túnel: OpenVPN (SSL)
    • Tipo de autenticação: Microsoft Entra ID

    Para valores de ID do Microsoft Entra, use as diretrizes a seguir para valores de Locatário, Audiência e Emissor . Substitua {TenantID} pelo ID do locatário, tendo o cuidado de remover {} dos exemplos quando substituir esse valor.

    • Inquilino: TenantID para o locatário do Microsoft Entra. Insira o ID do locatário que corresponde à sua configuração. Certifique-se de que o URL do inquilino não tem uma \ barra invertida (barra invertida) no final. É permitida a barra para a frente.

      • Azure Public AD: https://login.microsoftonline.com/{TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{TenantID}
      • Azure Alemanha AD: https://login-us.microsoftonline.de/{TenantID}
      • China 21Vianet AD: https://login.chinacloudapi.cn/{TenantID}

    • Público-alvo: A ID do aplicativo "Azure VPN" Microsoft Entra Enterprise App.

      • Azure Público: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Alemanha: 538ee9e6-310a-468d-afef-ea97365856a9
      • Microsoft Azure operado pela 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

    • Emissor: URL do Serviço de Token Seguro. Inclua uma barra à direita no final do valor do Emissor . Caso contrário, a conexão pode falhar. Exemplo:

      • https://sts.windows.net/{TenantID}/

  4. Quando terminar de definir as configurações, clique em Salvar na parte superior da página.

Baixe o pacote de configuração do perfil do Cliente VPN do Azure

Nesta seção, você gera e baixa o pacote de configuração de perfil do Cliente VPN do Azure. Este pacote contém as configurações que você pode usar para configurar o perfil do Cliente VPN do Azure em computadores cliente.

  1. Na parte superior da página de configuração Ponto a Site, clique em Baixar cliente VPN. Leva alguns minutos para o pacote de configuração do cliente gerar.

  2. Seu navegador indica que um arquivo zip de configuração do cliente está disponível. Tem o mesmo nome que o seu gateway.

  3. Extraia o arquivo zip baixado.

  4. Navegue até a pasta "AzureVPN" descompactada.

  5. Anote o local do arquivo "azurevpnconfig.xml". O azurevpnconfig.xml contém a configuração para a conexão VPN. Você também pode distribuir esse arquivo para todos os usuários que precisam se conectar via e-mail ou outros meios. O usuário precisará de credenciais válidas do Microsoft Entra ID para se conectar com êxito.

Próximos passos