Configurar o Acesso Condicional para conectividade VPN usando o Microsoft Entra ID

Este guia mostra como conceder aos utilizadores de VPN acesso aos seus recursos usando Acesso Condicional do Microsoft Entra. Ao usar o Acesso Condicional do Microsoft Entra para conectividade de rede privada virtual (VPN), pode ajudar a proteger as ligações VPN. O Acesso Condicional é um motor de avaliação baseado em políticas que pode usar para criar regras de acesso para qualquer aplicação ligada ao Microsoft Entra.

Prerequisites

Antes de começar a configurar o Acesso Condicional para a sua VPN, cumpra os seguintes pré-requisitos:

• Rever Acesso Condicional em Microsoft Entra ID.
  • Os administradores que interagem com o Acesso Condicional devem ter uma das seguintes atribuições de função, dependendo das tarefas que estão executando. Para seguir o princípio Confiança Zero de menor privilégio, considere usar Privileged Identity Management (PIM) para ativar atribuições de funções privilegiadas em tempo real.
    • Acesso Security Reader para ler políticas e configurações de Acesso Condicional.
    • Administrador de Acesso Condicional para criar ou modificar políticas de Acesso Condicional.
• Configurar VPN e Acesso Condicional.
• Configure a infraestrutura Always On VPN no seu ambiente, ou complete o Tutorial: Implante Always On VPN - Configure a infraestrutura para Always On VPN.
• Configure o seu computador cliente Windows com uma ligação VPN usando o Intune. Para mais detalhes, consulte Implementar o perfil de VPN Always On nos clientes do Windows com o Microsoft Intune.

Configurar EAP-TLS para ignorar a verificação da Lista de Certificados Revogados (CRL)

Um cliente EAP-TLS não consegue ligar-se a menos que o Servidor de Políticas de Rede (NPS) complete uma verificação de revogação da cadeia de certificados (incluindo o certificado raiz). Os certificados cloud emitidos ao utilizador pelo Microsoft Entra ID não têm CRL porque são certificados de curta duração com uma vida útil de uma hora. Precisas de configurar o EAP no NPS para ignorar a ausência de um CRL. Como o método de autenticação é EAP-TLS, só precisa de adicionar este valor de registo em EAP\13. Se usares outros métodos de autenticação EAP, adiciona também o valor do registo sob esses métodos.

Nesta secção, adiciona-se IgnoreNoRevocationCheck e NoRevocationCheck. Por padrão, IgnoreNoRevocationCheck e NoRevocationCheck são definidos como 0 (desativado).

Para saber mais sobre as configurações do Registo CRL do NPS, consulte Configurar as definições de verificação da Lista de Revogação de Certificados do Servidor de Políticas de Rede.

Important

Se um Windows Routing and Remote Access Server (RRAS) usar NPS para fazer proxy de chamadas RADIUS para um segundo NPS, então deve definir-se IgnoreNoRevocationCheck=1 em ambos os servidores.

Se não implementar esta alteração no registo, as ligações IKEv2 usando certificados cloud com PEAP falham, mas as ligações IKEv2 com certificados de Autenticação do Cliente emitidos pela CA local continuam a funcionar.

1. Abra regedit.exe no NPS.

2. Vai para HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13.

3. Selecione Editar > Novo e selecione Valor DWORD (32 bits). Ativar IgnoreNoRevocationCheck.

4. Clique duas vezes em IgnoreNoRevocationCheck e defina os dados do valor como 1.

5. Selecione Editar > Novo e selecione Valor DWORD (32 bits). Entrar NoRevocationCheck.

6. Clique duas vezes em NoRevocationCheck e defina os dados do valor como 1.

7. Selecione OK e reinicie o servidor. Reiniciar os serviços RRAS e NPS não é suficiente.

Caminho do Registro	Extensão EAP
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13	EAP-TLS
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25	PEAP

Criar certificados raiz para autenticação VPN com Microsoft Entra ID

Nesta secção, configura os certificados raiz de acesso condicional para autenticação VPN com o Microsoft Entra ID. Quando crias o primeiro certificado, Microsoft Entra ID cria automaticamente uma aplicação na cloud chamada VPN Server no tenant. Um administrador deve conceder o consentimento do administrador para esta aplicação uma vez antes de a conectividade VPN estar totalmente operacional. Para configurar o acesso condicional à conectividade VPN, complete os seguintes passos:

1. Crie um certificado VPN no portal do Azure.

2. Faça o download do certificado VPN.

3. Implante o certificado em seus servidores VPN e NPS.

Important

Quando cria um certificado VPN no portal Azure, o Microsoft Entra ID começa imediatamente a usá-lo para emitir certificados de curta duração ao cliente VPN. Para evitar quaisquer problemas de validação de credenciais para o cliente VPN, é fundamental implementar imediatamente o certificado VPN no servidor VPN.

Quando um utilizador tenta uma ligação VPN, o cliente VPN faz uma chamada para o Gestor de Contas Web (WAM) no cliente Windows. O WAM faz uma chamada para a aplicação em nuvem do Servidor VPN. Quando as Condições e Controlos da política de Acesso Condicional são cumpridos, o Microsoft Entra ID emite um token sob a forma de um certificado de curta duração (uma hora) para o WAM. O WAM coloca o certificado no armazenamento de certificados do utilizador e passa o controlo para o cliente VPN.

O cliente VPN envia então o certificado emitido pelo Microsoft Entra ID para a VPN para validação das credenciais. 

Note

O Microsoft Entra ID utiliza o certificado mais recentemente criado no painel de conectividade da VPN como Emissor. Acesso Condicional do Microsoft Entra certificados de folha para ligação VPN agora suportam mapeamentos robustos de certificados, um requisito de autenticação com base em certificados que foi introduzido pelo KB5014754. Os certificados finais de ligação VPN incluem agora uma extensão SID de (1.3.6.1.4.1.311.25.2), que contém uma versão codificada do SID do utilizador obtida a partir do atributo onPremisesSecurityIdentifier.

Criar certificados raiz

1. Inicie sessão no seu portal Azure como Administrador Global.

2. No menu esquerdo, selecione Microsoft Entra ID.

3. Na página Microsoft Entra ID, na secção Gerir, selecione Security.

4. Na página de Segurança , na secção Proteger , selecione Acesso Condicional.

5. Sobre o Acesso Condicional | Página de políticas , na secção Gerir , selecione Conectividade VPN.

6. Na página de conectividade VPN , selecione Novo certificado.

7. Na nova página:

   1. Para a duração Selecionada, selecione 1, 2 ou 3 anos.
   2. Selecione Criar.

8. Para o primeiro certificado VPN que criar no tenant, aparece um banner de aviso solicitando o consentimento do administrador para a aplicação Servidor VPN. Selecione Conceder consentimento do administrador (requer a função de Administrador Global) e aceite as permissões solicitadas. É necessário realizar esta ação apenas uma vez por cliente. Operações subsequentes de certificação não requerem consentimento novamente.

Note

Se não vires o banner de consentimento, a aplicação do servidor VPN tem as permissões necessárias.

Configurar a política de Acesso Condicional

Nesta seção, você configura a política de acesso condicional para conectividade VPN. Quando cria o primeiro certificado raiz no painel de conectividade VPN, cria automaticamente uma aplicação servidor VPN em nuvem no tenant.

Criar uma política de Acesso Condicional para atribuir ao grupo de utilizadores VPN e associar a aplicação na nuvem ao servidor VPN:

• Utilizadores: Utilizadores de VPN
• Aplicação Cloud: Servidor VPN
• Conceder (controlo de acesso):Exigir autenticação multifator. Podes usar outros controlos se quiseres.

Procedimento: Esta etapa abrange a criação da política de Acesso Condicional mais básica. Se desejar, pode adicionar mais Condições e Controlos.

1. Na página de Acesso Condicional , na barra de ferramentas no topo, selecione Adicionar.

   

2. Na página Novo , na caixa Nome , insira um nome para sua política. Por exemplo, insira a política VPN.

   

3. Na seção Atribuição , selecione Usuários e grupos.

   

4. Na página de Utilizadores e grupos :

   

   1. Selecione Selecionar usuários e grupos.

   2. Selecione Selecionar.

   3. Na página Selecionar , selecione o grupo de usuários VPN e selecione Selecionar.

   4. Na página Utilizadores e grupos, selecione Concluído.

5. Na nova página:

   

   1. Na seção Atribuições , selecione Aplicativos na nuvem.

   2. Na página Aplicações na nuvem , selecione Selecionar aplicações.

   3. Selecione Selecionar.

   4. Na página de Seleção , selecione Servidor VPN.

6. Na página Novo, para abrir a página Permissão, na seção Controles, selecione Permissão.

   

7. Na página de Permissões :

   

   1. Selecione Exigir autenticação multifator.

   2. Selecione Selecionar.

8. Na nova página, defina Ativar política como Ativado.

   

9. Na página Novo , selecione Criar.

Implementar certificados raiz de Acesso Condicional para o AD local

Nesta seção, você implanta um certificado raiz confiável para autenticação VPN em seu AD local.

1. Na página Conectividade VPN , selecione Baixar certificado.

   Note

   A opção de Download de certificado base64 está disponível para algumas configurações que exigem certificados base64 para implantação.

2. Inicie sessão num computador ligado a um domínio com permissões de Administrador de Empresas e execute estes comandos a partir de um prompt de comandos de Administrador para adicionar os certificados de raiz na cloud na loja Enterprise NTauth :

   Note

   Para ambientes onde o servidor VPN não está ligado ao domínio Active Directory, deve adicionar manualmente os certificados raiz da cloud ao armazenamento Trusted Root Certification Authorities.

   Command	Description
   certutil -dspublish -f VpnCert.cer RootCA	Cria dois contentores Microsoft VPN root gen 1 sob os contentores CN=AIA e CN=Certification Authorities, e publica cada certificado raiz como um valor no atributo cACertificate de ambos os contentores Microsoft VPN root CA gen 1.
   certutil -dspublish -f VpnCert.cer NTAuthCA	Cria um contêiner CN=NTAuthCertificates nos contêineres CN=AIA e CN=Certification Authorities e publica cada certificado raiz como um valor no atributo cACertificate do contêiner CN=NTAuthCertificates .
   gpupdate /force	Acelera a adição dos certificados raiz ao servidor Windows e aos computadores clientes.

3. Verifique se os certificados raiz estão presentes no repositório Enterprise NTauth e mostram como confiáveis:

   1. Inicie sessão num servidor com direitos de Administrador Empresarial que tenha as Ferramentas de Gestão de Autoridade Certificadora instaladas.

      Note

      Por defeito, as Ferramentas de Gestão da Autoridade Certificadora estão instaladas nos servidores da Autoridade Certificadora. Pode instalá-los nos servidores de outros membros como parte das ferramentas Role Administration Tools em Gestor de Servidor.

   2. No menu Iniciar, entre pkiview.msc para abrir a caixa de diálogo Enterprise PKI.

   3. Clique com o botão direito do mouse em PKI Corporativa e selecione Gerenciar Contêineres do AD.

   4. Verifique se cada certificado de CA raiz da Microsoft VPN gen 1 está presente em:

      • NTAuthCertificates
      • Contentor AIA
      • Contentor de Autoridades Certificadoras

Crie perfis VPNv2 baseados em OMA-DM para Windows 10 dispositivos

Nesta secção, cria perfis VPNv2 baseados em OMA-DM usando o Intune para implementar uma política de Configuração de Dispositivo VPN.

1. No portal Azure, selecione Intune>Device Configuration>Profiles e selecione o perfil VPN que criou em Configure o cliente VPN usando Intune.

2. No editor de políticas, selecione Configurações>>VPN base. Estenda o EAP Xml existente para incluir um filtro que dê ao cliente VPN a lógica necessária para recuperar o certificado de Acesso Condicional do Microsoft Entra do armazenamento de certificados do utilizador, em vez de usar o primeiro certificado descoberto.

   Note

   Sem este filtro, o cliente VPN pode recuperar o certificado de utilizador emitido pela autoridade certificadora local, resultando numa falha na ligação VPN.

   

3. Localize a secção que termina em </AcceptNomeServidor></EapType> e insira a seguinte cadeia entre estes dois valores para fornecer ao cliente VPN a lógica para selecionar o Certificado Acesso Condicional do Microsoft Entra:

   <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>
   

4. No painel de Acesso Condicional , defina o Acesso Condicional para esta ligação VPNcomo Enable.

   Habilitar esta definição modifica a configuração <DeviceCompliance><Enabled>true</Enabled> no Perfil VPNv2 XML.

   

5. Selecione OK.

6. Selecione Atribuições. No separador Incluir, selecione Selecionar grupos para incluir.

7. Selecione o grupo correto que recebe essa política e selecione Salvar.

   Captura de ecrã da secção de Atribuições na política de Acesso Condicional que mostra as opções de seleção de grupos e do separador Incluir.

Forçar a sincronização da política MDM no cliente

Se o perfil VPN não aparecer no dispositivo cliente, em Definições>Rede e VPN de Internet>, podes forçar a sincronização da política MDM.

1. Entre num computador cliente associado ao domínio como membro do grupo Utilizadores VPN.

2. No menu Iniciar , introduza conta e pressione Enter.

3. No painel de navegação esquerdo, selecione aceder ao trabalho ou à escola.

4. Em Acesso trabalho ou escola, selecione Ligado a <\domínio> MDM e depois selecione Informação.

5. Selecione Sincronizar e verifique se o perfil da VPN aparece em Definições>Rede e VPN de internet>.

Conteúdo relacionado

• Para saber mais sobre como o acesso condicional funciona com VPNs, consulte VPN e acesso condicional.

• Para saber mais sobre os recursos avançados de VPN, consulte Recursos avançados de VPN.

• Para ver uma visão geral do VPNv2 CSP, veja VPNv2 CSP.