Configurar um gateway VPN P2S para autenticação do Microsoft Entra ID

  • Artigo

Este artigo ajuda você a configurar suas configurações de locatário do Microsoft Entra e do Gateway VPN ponto a site (P2S) para autenticação de ID do Microsoft Entra. Para obter mais informações sobre autenticação e protocolos ponto a site, consulte Sobre VPN ponto a site do Gateway VPN. Para autenticar usando a autenticação do Microsoft Entra ID, você deve incluir o tipo de túnel OpenVPN em sua configuração ponto a site.

Nota

A autenticação do Microsoft Entra é suportada apenas para conexões de protocolo OpenVPN® e requer o Cliente VPN do Azure.

Pré-requisitos

As etapas neste artigo exigem um locatário do Microsoft Entra. Se você não tiver um locatário do Microsoft Entra, poderá criar um usando as etapas no artigo Criar um novo locatário . Observe os seguintes campos ao criar seu diretório:

  • Nome organizacional
  • Nome de domínio inicial

Se você já tiver um gateway P2S existente, as etapas neste artigo ajudarão a configurar o gateway para autenticação do Microsoft Entra ID. Você também pode criar um novo gateway VPN. O link para criar um novo gateway está incluído neste artigo.

Criar usuários locatários do Microsoft Entra

  1. Crie duas contas no locatário recém-criado do Microsoft Entra. Para conhecer as etapas, consulte Adicionar ou excluir um novo usuário.

    • Conta de administrador global
    • Conta de utilizador

    A conta de administrador global será usada para conceder consentimento para o registro do aplicativo VPN do Azure. A conta de usuário pode ser usada para testar a autenticação OpenVPN.

  2. Atribua a uma das contas a função de administrador Global. Para conhecer as etapas, consulte Atribuir funções de administrador e não administrador a usuários com o Microsoft Entra ID.

Autorizar o aplicativo VPN do Azure

  1. Entre no portal do Azure como um usuário ao qual é atribuída a função de administrador Global.

  2. Em seguida, conceda consentimento de administrador para sua organização. Isso permite que o aplicativo VPN do Azure entre e leia perfis de usuário. Copie e cole o URL que pertence ao seu local de implantação na barra de endereço do seu navegador:

    Público

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Alemanha

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    Microsoft Azure operado pela 21Vianet

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    Nota

    Se você estiver usando uma conta de administrador global que não seja nativa do locatário do Microsoft Entra para fornecer consentimento, substitua "comum" pela ID do locatário do Microsoft Entra na URL. Também poderá ter de substituir "comum" pelo seu ID de inquilino em alguns outros casos. Para obter ajuda com a localização do ID do inquilino, consulte Como encontrar o ID do inquilino do Microsoft Entra.

  3. Selecione a conta que tem a função de administrador global, se solicitado.

  4. Na página Permissões solicitadas, selecione Aceitar.

  5. Vá para Microsoft Entra ID. No painel esquerdo, clique em Aplicativos corporativos. Você verá a VPN do Azure listada.

    Captura de ecrã da página da aplicação Enterprise a mostrar o Azure V P N listado.

Configurar o gateway VPN

Importante

O portal do Azure está no processo de atualização dos campos do Azure Ative Directory para o Entra. Se vir o Microsoft Entra ID referenciado e ainda não vir esses valores no portal, pode selecionar os valores do Azure Ative Directory.

  1. Localize a ID do locatário do diretório que você deseja usar para autenticação. Ele está listado na seção de propriedades da página do Ative Directory. Para obter ajuda com a localização do ID do inquilino, consulte Como encontrar o ID do inquilino do Microsoft Entra.

  2. Se você ainda não tiver um ambiente ponto a site em funcionamento, siga as instruções para criar um. Consulte Criar uma VPN ponto a site para criar e configurar um gateway VPN ponto a site. Quando você cria um gateway VPN, o SKU básico não é suportado para OpenVPN.

  3. Vá para o gateway de rede virtual. No painel esquerdo, clique em Configuração ponto a site.

    Captura de tela mostrando as configurações para Tipo de túnel, Tipo de autenticação e Configurações do Microsoft Entra.

    Configure os seguintes valores:

    • Pool de endereços: pool de endereços do cliente
    • Tipo de túnel: OpenVPN (SSL)
    • Tipo de autenticação: Microsoft Entra ID

    Para valores de ID do Microsoft Entra, use as diretrizes a seguir para valores de Locatário, Audiência e Emissor . Substitua {TenantID} pelo ID do locatário, tendo o cuidado de remover {} dos exemplos quando substituir esse valor.

    • Inquilino: TenantID para o locatário do Microsoft Entra. Insira o ID do locatário que corresponde à sua configuração. Certifique-se de que o URL do inquilino não tem uma \ barra invertida (barra invertida) no final. É permitida a barra para a frente.

      • Azure Public AD: https://login.microsoftonline.com/{TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{TenantID}
      • Azure Alemanha AD: https://login-us.microsoftonline.de/{TenantID}
      • China 21Vianet AD: https://login.chinacloudapi.cn/{TenantID}

    • Público-alvo: A ID do aplicativo "Azure VPN" Microsoft Entra Enterprise App.

      • Azure Público: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure Alemanha: 538ee9e6-310a-468d-afef-ea97365856a9
      • Microsoft Azure operado pela 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

    • Emissor: URL do Serviço de Token Seguro. Inclua uma barra à direita no final do valor do Emissor . Caso contrário, a conexão pode falhar. Exemplo:

      • https://sts.windows.net/{TenantID}/

  4. Quando terminar de definir as configurações, clique em Salvar na parte superior da página.

Baixe o pacote de configuração do perfil do Cliente VPN do Azure

Nesta seção, você gera e baixa o pacote de configuração de perfil do Cliente VPN do Azure. Este pacote contém as configurações que você pode usar para configurar o perfil do Cliente VPN do Azure em computadores cliente.

  1. Na parte superior da página de configuração Ponto a Site, clique em Baixar cliente VPN. Leva alguns minutos para o pacote de configuração do cliente gerar.

  2. Seu navegador indica que um arquivo zip de configuração do cliente está disponível. Tem o mesmo nome que o seu gateway.

  3. Extraia o arquivo zip baixado.

  4. Navegue até a pasta "AzureVPN" descompactada.

  5. Anote o local do arquivo "azurevpnconfig.xml". O azurevpnconfig.xml contém a configuração para a conexão VPN. Você também pode distribuir esse arquivo para todos os usuários que precisam se conectar via e-mail ou outros meios. O usuário precisará de credenciais válidas do Microsoft Entra para se conectar com êxito. Para obter mais informações, consulte Arquivos de configuração de perfil de cliente VPN do Azure para autenticação do Microsoft Entra.

Próximos passos

  • Para se conectar à sua rede virtual, você deve configurar o cliente VPN do Azure em seus computadores cliente. Consulte Configurar um cliente VPN para conexões VPN P2S.
  • Para perguntas frequentes, consulte a seção Ponto a Site das Perguntas frequentes sobre o Gateway de VPN.