Acesso condicional para conectividade de VPN usando o Microsoft Entra ID

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, Windows 10

Neste guia de instruções, você saberá como permitir que os usuários de VPN acessem seus recursos usando o Acesso condicional do Microsoft Entra. Com o acesso condicional do Microsoft Entra para conectividade de VPN (rede virtual privada), você pode ajudar a proteger as conexões de VPN. O Acesso Condicional é um mecanismo de avaliação com base em política que permite criar regras de acesso para qualquer aplicativo conectado ao Microsoft Entra.

Pré-requisitos

Antes de começar a configurar o Acesso condicional para sua VPN, você deve ter concluído os seguintes pré-requisitos:

• Acesso condicional no Microsoft Entra ID

• VPN e acesso condicional

• Você concluiu o Tutorial: implantar VPN Always On – Infraestrutura de instalação para VPN Always On ou já configurou a infraestrutura de VPN Always On em seu ambiente.

• Seu computador cliente do Windows já foi configurado com uma conexão VPN usando o Intune. Se você não souber como configurar e implantar um perfil da VPN com o Intune, consulte Implantar perfil da VPN Always On em Windows 10 ou clientes mais recentes com o Microsoft Intune.

Configurar o EAP-TLS para ignorar a verificação de lista de revogação de certificados (CRL)

Um cliente EAP-TLS não pode se conectar, a menos que o servidor NPS conclua uma verificação de revogação da cadeia de certificados (incluindo o certificado raiz). Os certificados de nuvem emitidos para o usuário pelo Microsoft Entra ID não têm uma CRL porque são certificados de curta duração com um tempo de vida de uma hora. O EAP no NPS precisa ser configurado para ignorar a ausência de uma CRL. Como o método de autenticação é o EAP-TLS, esse valor do Registro só é necessário em EAP\13. Se outros métodos de autenticação EAP forem usados, o valor do Registro também deverá ser adicionado a eles.

Nesta seção, você adicionará IgnoreNoRevocationCheck e NoRevocationCheck. Por padrão, IgnoreNoRevocationCheck e NoRevocationCheck são definidos como 0 (desabilitados).

Para saber mais sobre as configurações do Registro de CRL do NPS, consulte Configurar as configurações de registro de verificação de certificado revogado do servidor de política de rede.

Importante

Se um RRAS (Servidor de roteamento e acesso remoto) do Windows usar o NPS para proxy de chamadas RADIUS em um segundo NPS, você deve definir IgnoreNoRevocationCheck=1 nos dois servidores.

A falha ao implementar essa alteração do registro fará com que as conexões IKEv2 usando certificados de nuvem com PEAP falhem, mas as conexões IKEv2 usando certificados de autenticação de cliente emitidos da CA local continuariam funcionando.

1. Abra o regedit.exe no Servidor de Políticas de Rede.

2. Navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.

3. Selecione Editar > Novo e selecione Valor DWORD (32 bits) e insira IgnoreNoRevocationCheck.

4. Clique duas vezes em IgnoreNoRevocationCheck e defina os dados de Valor como 1.

5. Selecione Editar > Novo e selecione Valor DWORD (32 bits) e insira NoRevocationCheck.

6. Clique duas vezes em NoRevocationCheck e defina os dados de Valor como 1.

7. Selecione OK e reinicie o servidor. Reiniciar os serviços de RRAS e NPS não é suficiente.

Caminho do Registro	Extensão de EAP
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13	EAP-TLS
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25	PEAP

Criar certificados raiz para autenticação de VPN com o Microsoft Entra ID

Nesta seção, você vai configurar os certificados de acesso condicional para a autenticação VPN com o Microsoft Entra ID, o que cria automaticamente um aplicativo de nuvem chamado Servidor VPN no locatário. Para configurar o acesso condicional para conectividade VPN, você precisa:

1. Criar um certificado VPN no Portal do Azure.
2. Baixar o certificado VPN.
3. Implante o certificado em sua VPN e seus servidores NPS.

Importante

Depois que um certificado da VPN for criado no portal do Azure, o Microsoft Entra ID começará a usá-lo imediatamente para emitir certificados de curta duração para o cliente VPN. É fundamental que o certificado da VPN seja implantado imediatamente no servidor VPN para evitar problemas com a validação de credenciais do cliente VPN.

Quando um usuário tenta uma conexão VPN, o cliente VPN faz uma chamada para o Gerenciador de Contas da Web (WAM) no cliente com Windows 10. O WAM faz uma chamada para o aplicativo de nuvem do servidor VPN. Quando as condições e os controles na política de acesso condicional são atendidos, o Microsoft Entra ID emite um token na forma de um certificado de curta duração (1 hora) para o WAM. O WAM coloca o certificado no repositório de certificados do usuário e transmite o controle para o cliente da VPN. 

Em seguida, o cliente da VPN envia o certificado emitido pelo Microsoft Entra ID para a VPN para validação de credenciais. 

Observação

O Microsoft Entra ID usa o certificado criado mais recentemente na folha de conectividade da VPN como o Emissor. Os certificados de folha de conexão VPN de Acesso Condicional do Microsoft Entra agora dão suporte a mapeamentos de certificados fortes, um requisito de autenticação baseado em certificado introduzido pelo KB5014754. Os certificados de folha de conexão VPN agora incluem uma extensão de SID (1.3.6.1.4.1.311.25.2), que contém uma versão codificada do SID do usuário obtida do atributo onPremisesSecurityIdentifier.

Para criar certificados raiz:

1. Entre no Portal do Azure como administrador global.
2. No menu à esquerda, clique em Microsoft Entra ID.
3. Na página do Microsoft Entra ID, na seção Gerenciar, selecione Segurança.
4. Na página Segurança, na seção Proteger, clique em Acesso Condicional.
5. Na página Acesso Condicional | Políticas, na seção Gerenciar, clique em Conectividade VPN.
6. Na página Conectividade VPN, clique em Novo certificado.
7. Na página Novo, realize as seguintes etapas: a. Em Selecionar duração, selecione 1, 2 ou 3 anos. b. Selecione Criar.

Configure a política de acesso condicional

Nesta seção, você vai configurar a política de acesso condicional para a conectividade VPN. Quando o primeiro certificado raiz é criado na folha 'Conectividade VPN', ele cria automaticamente um aplicativo de nuvem 'Servidor VPN' no locatário.

Crie uma política de Acesso Condicional atribuída ao grupo de usuários VPN e escopo do aplicativo de nuvem para o Servidor VPN:

• Usuários: Usuários de VPN
• Aplicativo de Nuvem: Servidor VPN
• Concessão (controle de acesso): 'Exigir autenticação multifator'. Outros controles podem ser usados, se desejado.

Procedimento: Esta etapa aborda a criação da política de Acesso Condicional mais básica.  Se desejado, Condições e Controles adicionais podem ser usados.

1. Na página Acesso Condicional, na barra de ferramentas na parte superior, selecione Adicionar.

   

2. Na página Novo, na caixa Nome, insira um nome para sua política. Por exemplo, insira Política de VPN.

   

3. Na seção Atribuição, selecione Usuários e grupos.

   

4. Na página Usuários e grupos, execute as seguintes etapas:

   

   a. Selecione Selecionar usuários e grupos.

   b. Selecione Selecionar.

   c. Na página Selecionar, selecione o grupo Usuários de VPN e selecione Selecionar.

   d. Na página Usuários e grupos, selecione Concluído.

5. Na página Novo, execute as seguintes etapas:

   

   a. Na seção Atribuições, selecione Aplicativos em nuvem.

   b. Na página Aplicativos de nuvem, selecione Selecionar aplicativos.

   d. Selecione Servidor VPN.

6. Na página Novo, para abrir a folha Conceder, na seção Controles, selecioneConceder.

   

7. Na página Conceder, execute as seguintes etapas:

   

   a. Selecione Exigir autenticação multifator.

   b. Selecione Selecionar.

8. Na página Novo, em Habilitar política, selecione Ativado.

   

9. Na página Novo, selecione Criar.

Implantar certificados raiz de acesso condicional no AD local

Nesta seção, você implantará um certificado raiz confiável para a autenticação de VPN no AD local.

1. Na página Conectividade VPN, selecione Baixar certificado.

   Observação

   A opção Baixar certificado base64 está disponível para algumas configurações que exigem certificados base64 para implantação.

2. Faça logon com direitos de Admin Corporativo em um computador conectado ao domínio e execute estes comandos a partir de um prompt de comando de Administrador para adicionar o certificado raiz de nuvem no repositório NTauth Corporativo:

   Observação

   Para ambientes em que o servidor VPN não está conectado ao domínio do Active Directory, os certificados raiz de nuvem deverão ser adicionados manualmente ao repositório Autoridades de Certificação Raiz Confiáveis.

   Comando	Descrição
   certutil -dspublish -f VpnCert.cer RootCA	Cria dois contêineres de AC raiz de VPN da Microsoft gen 1 nos contêineres CN=AIA e CN=Certification Authorities e publica cada certificado raiz como um valor no atributo cACertificate de ambos os contêineres de AC raiz de VPN da Microsoft gen 1.
   certutil -dspublish -f VpnCert.cer NTAuthCA	Cria um contêiner CN=NTAuthCertificates nos contêineres CN=AIA e CN=Certification Authorities e publica cada certificado raiz como um valor no atributo cACertificate do contêiner CN=NTAuthCertificates.
   gpupdate /force	Agiliza a adição de certificados raiz para servidor Windows e computadores clientes.

3. Verifique se os certificados raiz estão presentes no repositório NTauth Corporativo e mostrados como confiáveis:

   1. Faça logon com direitos de Admin Corporativo em um servidor que tenha as Ferramentas de Gerenciamento de Autoridade de Certificação instaladas.

   Observação

   Por padrão, as Ferramentas de Gerenciamento de Autoridade de Certificação são servidores de Autoridade de Certificação instalados. Podem ser instaladas em outros servidores membros como parte das Ferramentas de Administração de Funções no Gerenciador do Servidor.

   1. No servidor VPN, no menu Iniciar, insira pkiview.msc para abrir a caixa de diálogo de PKI Corporativa.
   2. No menu Iniciar, insira pkiview.msc para abrir a caixa de diálogo de PKI Corporativa.
   3. Clique com o botão direito do mouse em PKI Corporativa e selecione Gerenciar Contêineres do AD.
   4. Verifique se cada certificado de AC raiz de VPN da Microsoft gen 1 está presente em:
      • NTAuthCertificates
      • Contêiner AIA
      • Contêiner de Autoridades de Certificação

Criar perfis VPNv2 baseados em OMA-DM para dispositivos Windows 10

Nesta seção, você criará perfis da VPNv2 baseados em OMA-DM usando o Intune para implantar uma política de Configuração de dispositivo da VPN.

1. No portal do Azure, selecione Intune>Configuração de dispositivo>Perfis e selecione o perfil VPN que você criou em Configurar o cliente VPN usando o Intune.

2. No editor de políticas, selecione Propriedades >Configurações>VPN Base. Estenda o Xml de EAP existente para incluir um filtro que fornece ao cliente VPN a lógica de que ele precisa para recuperar o certificado de Acesso Condicional do Microsoft Entra do armazenamento de certificados do usuário, em vez de deixá-lo ao acaso e permitindo que use o primeiro certificado descoberto.

   Observação

   Sem isso, o cliente VPN poderia recuperar o certificado de usuário emitido da autoridade de certificação local, resultando em uma conexão VPN com falha.

   

3. Localize a seção que termina com </AcceptServerName></EapType> e insira a seguinte cadeia de caracteres entre esses dois valores a fim de fornecer ao cliente VPN a lógica para selecionar o Certificado de Acesso Condicional do Microsoft Entra:

   <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>
   

4. Selecione a folha Acesso Condicional e alterne o Acesso condicional para esta conexão VPN para Habilitado.

   A habilitação dessa configuração altera a configuração <DeviceCompliance><Enabled>true</Enabled> no XML do Perfil VPNv2.

   

5. Selecione OK.

6. Selecione Atribuições; em Incluir, selecione Selecionar grupos para incluir.

7. Selecione o grupo correto que recebe essa política e selecione Salvar.

   

Forçar sincronização de política de MDM no cliente

Se o perfil VPN não aparecer no dispositivo cliente, em Configurações\Rede e Internet\VPN, você poderá forçar a política de MDM a sincronizar.

1. Entre em um computador cliente ingressado no domínio como membro do grupo Usuários de VPN.

2. No menu Iniciar, insira conta e pressione Enter.

3. No painel de navegação esquerdo, selecione Acessar trabalho ou escola.

4. Em Acessar trabalho ou escola, selecione Conectado a <\domain> MDM e selecione Informação.

5. Selecione Sincronizar e verifique se o perfil VPN aparece em Configurações\Rede e Internet\VPN.

Próximas etapas

Você terminou de configurar o perfil de VPN para usar o acesso condicional do Microsoft Entra.

• Para saber mais sobre como o acesso condicional funciona com VPNs, consulte VPN e acesso condicional.

• Para saber mais sobre os recursos avançados de VPN, confira Recursos avançados de VPN.

• Para conferir uma visão geral do CSP da VPNv2, consulte CSP da VPNv2: este tópico fornece uma visão geral do CSP da VPNv2.