Configurar o gateway de VPN P2S para a autenticação do Microsoft Entra ID: cliente registrado pela Microsoft

Este artigo ajuda você a definir configurar o Gateway de VPN P2S para autenticação do Microsoft Entra ID usando a nova ID do aplicativo cliente VPN do Azure registrada pela Microsoft.

Observação

As etapas neste artigo se aplicam à autenticação da ID do Microsoft Entra usando a nova ID do aplicativo cliente VPN do Azure registrada pela Microsoft e os valores de público-alvo associados. Este artigo não se aplica ao aplicativo Cliente VPN do Azure mais antigo e registrado manualmente para seu locatário. Para obter as etapas do Cliente VPN do Azure registradas manualmente, consulte Configurar P2S usando o cliente VPN registrado manualmente.

O Gateway de VPN agora dá suporte a uma nova ID do Aplicativo registrada pela Microsoft e aos valores de Público-alvo correspondentes para as versões mais recentes do Cliente VPN do Azure. Ao configurar um gateway de VPN P2S usando os novos valores de Público-alvo, ignore o processo de registro manual do aplicativo Cliente VPN do Azure para o locatário do Microsoft Entra. A ID do aplicativo já foi criada e seu locatário pode usá-lo automaticamente sem etapas extras de registro. Esse processo é mais seguro do que registrar manualmente o Cliente VPN do Azure porque não é necessário autorizar o aplicativo ou atribuir permissões por meio da função de Administrador Global.

Anteriormente, era necessário registrar manualmente (integrar) o aplicativo Cliente VPN do Azure com o locatário do Microsoft Entra. O registro do aplicativo cliente cria uma ID do Aplicativo que representa a identidade do aplicativo Cliente de VPN do Azure e requer autorização usando a função de Administrador Global. Para entender melhor a diferença entre os tipos de objetos de aplicativo, consulte Como e por que os aplicativos são adicionados ao Microsoft Entra ID.

Quando possível, recomendamos que você configure novos gateways P2S usando a ID do aplicativo do cliente VPN do Azure registrado pela Microsoft e seus valores de Público-alvo correspondentes, em vez de registrar manualmente o aplicativo Cliente VPN do Azure com seu locatário. Se você tiver um gateway de VPN do Azure configurado anteriormente que usa a autenticação do Microsoft Entra ID, poderá atualizar o gateway e os clientes para aproveitar a nova ID do Aplicativo registrado pela Microsoft. A atualização do gateway P2S com o novo valor de Público-alvo é necessária se você quiser que os clientes Linux se conectem. O Cliente VPN do Azure para Linux não é compatível com os valores de Público-alvo mais antigos.

Se você tiver um gateway P2S existente que deseja atualizar para usar um novo valor de Público-alvo, consulte Alterar Público-alvo para um gateway de VPN P2S. Se você quiser criar ou modificar um valor de público-alvo personalizado, confira Criar uma ID de aplicativo de público-alvo personalizado para VPN P2S. Se quiser configurar ou restringir o acesso a P2S baseado em usuários e grupos, confira Cenário: Configurar o acesso à VPN P2S baseado em usuários e grupos.

Considerações e limitações

  • Um gateway de VPN P2S só pode dar suporte a um valor de Público-alvo. Ele não pode dar suporte para vários valores de Público-alvo simultaneamente.

  • No momento, a ID do aplicativo registrada pela Microsoft mais recente não é compatível com tantos valores de Público-alvo quanto o aplicativo mais antigo registrado manualmente. Se precisar de um valor de Público-alvo para qualquer coisa que não seja Público do Azure ou Personalizado, use o método e os valores registrados manualmente mais antigos.

  • O Cliente VPN do Azure para Linux não é compatível com versões anteriores de gateways P2S configurados para usar os valores de Público-alvo mais antigos que se alinham com o aplicativo registrado manualmente. O Cliente VPN do Azure para Linux dá suporte para valores de Público-alvo personalizados.

  • Embora seja possível que o Cliente VPN do Azure para Linux funcione em outras distribuições e versões do Linux, o Cliente VPN do Azure para Linux só tem suporte nas seguintes versões:

    • Ubuntu 20.04
    • Ubuntu 22.04
  • O Cliente VPN do Azure para macOS e Windows é compatível com versões anteriores de gateways P2S configurados para usar os valores de Público-alvo mais antigos que se alinham com o aplicativo registrado manualmente. Você também pode usar valores de Público-alvo personalizados com esses clientes.

Valores de Audiência do Cliente VPN do Azure

A tabela a seguir mostra as versões do Cliente VPN do Azure que são compatíveis com cada ID do Aplicativo e os valores de Público-alvo disponíveis correspondentes.

ID do Aplicativo Valores de público-alvo com suporte Clientes com suporte
Registrado pela Microsoft - Público do Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 - Linux
- Windows
- macOS
Registrado manualmente - Público do Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Governamental: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Alemanha: 538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure operado pela 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa
- Windows
- macOS
Personalizado <custom-app-id> - Linux
- Windows
- macOS

Fluxo de trabalho ponto a site

Configurar com êxito uma conexão P2S usando a autenticação do Microsoft Entra ID requer uma sequência de etapas.

Este artigo ajuda você a:

  1. Verifique seu locatário.
  2. Configure o gateway de VPN com as configurações apropriadas necessárias.
  3. Gere e baixe o pacote de configuração do Cliente VPN.

Os artigos na seção Próximas etapas ajudam a:

  1. Baixar o Cliente VPN do Azure para o computador cliente.
  2. Configurar o cliente usando as configurações do pacote de configuração do cliente VPN.
  3. Conectar.

Pré-requisitos

Este artigo pressupõe os seguintes pré-requisitos:

  • Um Gateway de VPN

    • Determinadas opções de gateway são incompatíveis com gateways de VPN P2S que usam a autenticação do Microsoft Entra ID. O gateway de VPN não pode usar o SKU Básico ou um tipo de VPN baseado em política. Para saber mais sobre os SKUs de gateway, consulte Sobre SKUs de gateway. Para saber mais informações sobre os tipos de VPN, confira Configurações de Gateway de VPN.

    • Se você ainda não tiver um gateway de VPN funcional compatível com a autenticação do Microsoft Entra ID, consulte Criar e gerenciar um gateway de VPN – portal do Azure. Crie um gateway de VPN compatível e retorne a este artigo para definir as configurações de P2S.

  • Um locatário do Microsoft Entra

Adicionar o pool de endereços do cliente VPN

O pool de endereços do cliente é um intervalo de endereços IP que você especificar. Os clientes que se conectam por VPN ponto a site recebem dinamicamente um endereço IP desse intervalo. Use um intervalo de endereços IP privado que não coincida com o local de onde você se conecta nem com a VNet à qual quer se conectar. Se você configurar vários protocolos e o SSTP for um deles, o pool de endereços configurado será dividido entre os protocolos configurados igualmente.

  1. No portal do Azure, acesse seu gateway VPN.

  2. Na página do gateway, no painel esquerdo, selecione Configuração ponto a site.

  3. Clique em Configurar agora para abrir a página de configuração.

    Captura de tela da página de configuração de ponto-a-site - pool de endereços.

  4. Na página de Configuração ponto a site, na caixa Pool de endereços, adicione o intervalo de endereços IP privado que deseja usar. Os clientes VPN recebem dinamicamente um endereço IP do intervalo que você especificar. A máscara de sub-rede mínima é de 29 bits para a configuração ativa/passiva e de 28 bits para configuração ativa/ativa.

  5. Continue na próxima seção para definir mais configurações.

Configurar o tipo de túnel e o tipo de autenticação

Importante

O portal do Azure está em processo de atualização dos campos do Azure Active Directory para o Entra. Se você vir o Microsoft Entra ID referenciado e ainda não vir esses valores no portal, poderá selecionar os valores do Azure Active Directory.

  1. Localize a ID de locatário do diretório que você deseja usar para a autenticação. Para obter ajuda para encontrar sua ID de locatário, consulte Como encontrar sua ID de locatário do Microsoft Entra.

  2. Configurar o tipo de túnel e os valores de autenticação.

    Captura de tela mostrando as configurações de Tipo de túnel, Tipo de autenticação e configurações do Microsoft Entra ID.

    Configure os seguintes valores:

    • Pool de endereços: pool de endereços do cliente
    • Tipo de túnel: OpenVPN (SSL)
    • Tipo de autenticação: Microsoft Entra ID

    Em valores do Microsoft Entra ID, use as diretrizes a seguir para valores de Locatário, Público e Emissor. Substitua {Microsoft ID Entra Tenant ID} pela sua ID de locatário, tomando cuidado para remover {} dos exemplos ao substituir esse valor.

    • Locatário: TenantID para o locatário do Microsoft Entra ID. Insira a ID do locatário que corresponde à configuração. A URL do Locatário não pode ter uma \ (barra invertida) no final. A barra “/” é permitida.

      • Público do Azure: https://login.microsoftonline.com/{Microsoft ID Entra Tenant ID}
    • Público-alvo: o valor correspondente para a ID do aplicativo cliente VPN do Azure registrada pela Microsoft. Também há suporte para o público-alvo personalizado para esse campo.

      • Público do Azure: c632b3df-fb67-4d84-bdcf-b95ad541b5c8
    • Emissor: URL do Serviço de Token Seguro. Inclua uma barra à direita no final do valor Emissor. Caso contrário, a conexão poderá falhar. Exemplo:

      • https://sts.windows.net/{Microsoft ID Entra Tenant ID}/
  3. Você não precisa clicar em Conceder consentimento do administrador para o aplicativo cliente VPN do Azure. Esse link é apenas para clientes VPN registrados manualmente que usam os valores de Audiência mais antigos. Ele abre uma página no portal do Azure.

  4. Depois de concluir a configuração, clique em Salvar na parte superior da página.

Baixar um pacote de configuração do perfil de cliente VPN

Nesta seção, você gerará e baixará o pacote de configuração de perfil do cliente VPN do Azure. Esse pacote contém as configurações que você pode usar para configurar o perfil do Cliente VPN do Azure em computadores cliente.

  1. Na parte superior da página Configuração ponto a site, clique em Baixar cliente VPN. Levará alguns minutos para o pacote de configuração do cliente ser gerado.

  2. Seu navegador indica que um arquivo zip de configuração do cliente está disponível. Ele terá o mesmo nome do seu gateway.

  3. Extraia o arquivo compactado que baixou.

  4. Navegue até a pasta “AzureVPN” descompactada.

  5. Anote a localização do arquivo “azurevpnconfig.xml”. O arquivo azurevpnconfig.xml contém a configuração da conexão VPN. Também é possível distribuir esse arquivo para todos os usuários que precisam se conectar por e-mail ou outros meios. O usuário precisará de credenciais válidas do Microsoft Entra ID para se conectar com êxito.

Configurar o Cliente VPN do Azure

Em seguida, examine o pacote de configuração de perfil, configure o Cliente VPN do Azure para os computadores cliente e conecte-se ao Azure. Consulte os artigos listados na seção Próximas etapas.

Próximas etapas

Configure o Cliente VPN do Azure.