VPN e acesso condicional
Agora o cliente VPN é capaz de integrar-se com a Plataforma de Acesso Condicional com base na nuvem para fornecer uma opção de conformidade do dispositivo para clientes remotos. O Acesso Condicional é um mecanismo de avaliação baseado em política que permite criar regras de acesso para qualquer aplicativo conectado Microsoft Entra.
Observação
O Acesso Condicional é um recurso Microsoft Entra ID P1 ou P2.
Os componentes da Plataforma de Acesso Condicional usados para fins de conformidade do dispositivo incluem os seguintes serviços baseados na nuvem:
- Estrutura de Acesso Condicional
- Microsoft Entra Conectar Integridade
- Serviço de Atestado de Integridade do Windows 10 (opcional)
- Microsoft Entra Autoridade de Certificado – é um requisito que o certificado cliente usado para a solução de conformidade de dispositivo baseada em nuvem seja emitido por uma AC (Autoridade de Certificado baseada em Microsoft Entra ID). Uma CA Microsoft Entra é essencialmente um locatário de nuvem mini-AC no Azure. A AC Microsoft Entra não pode ser configurada como parte de uma AC Enterprise local. Consulte também Always On implantação de VPN para Windows Server e Windows 10.
- certificados de curta duração emitidos por Microsoft Entra ID - Quando uma tentativa de conexão VPN é feita, o Microsoft Entra Token Broker no dispositivo local se comunica com Microsoft Entra ID, que verifica a integridade com base nas regras de conformidade. Se estiver em conformidade, Microsoft Entra ID enviará de volta um certificado de curta duração usado para autenticar a VPN. Observe que métodos de autenticação de certificado, como EAP-TLS, podem ser usados. Quando o cliente se reconectar e determinar que o certificado expirou, o cliente novamente marcar com Microsoft Entra ID para validação de integridade antes que um novo certificado seja emitido.
-
Microsoft Intune políticas de conformidade do dispositivo: a conformidade do dispositivo baseada em nuvem usa Microsoft Intune Políticas de Conformidade, que são capazes de consultar o estado do dispositivo e definir regras de conformidade para o seguinte, entre outras coisas.
- Status do antivírus
- Status da atualização automática e conformidade da atualização
- Conformidade da política de senha
- Conformidade da criptografia
- Estado do atestado de integridade do dispositivo (validado pelo serviço de atestado após consulta)
Os seguintes componentes do cliente também são necessários:
- Provedor de Serviços de Configuração (CSP) HealthAttestation
- Configurações do nó DeviceCompliance do CSP VPNv2
- Trusted Platform Module (TPM)
Conformidade do dispositivo da VPN
Neste momento, os certificados Microsoft Entra emitidos aos usuários não contêm um CDP (Ponto de Distribuição de CRL) e não são adequados para KDCs (Key Distribution Centers) emitir tokens Kerberos. Para que os usuários obtenham acesso a recursos locais, como arquivos em um compartilhamento de rede, os certificados de autenticação do cliente devem ser implantados nos perfis do Windows dos usuários e seus perfis VPNv2 devem conter a <seção SSO> .
Os requisitos de infraestrutura do servidor para dar suporte à conformidade do dispositivo da VPN incluem:
- O servidor VPN deve ser configurado para autenticação de certificado.
- O servidor VPN deve confiar na AC de Microsoft Entra específica do locatário.
- Para acesso ao cliente usando Kerberos/NTLM, um certificado confiável em domínio é implantado no dispositivo cliente e está configurado para ser usado para SSO (logon único).
Depois de configurar o servidor, os administradores da VPN podem adicionar as configurações de política de acesso condicional ao perfil de VPN usando o nó DeviceCompliance do VPNv2.
Dois provedores de serviço de configuração de cliente são usados para conformidade do dispositivo da VPN.
- Configurações do VPNv2 CSP DeviceCompliance:
- Enabled: habilita o fluxo de Conformidade do Dispositivo no cliente. Se marcado como true, o cliente VPN tenta se comunicar com Microsoft Entra ID para obter um certificado a ser usado para autenticação. A VPN deve ser configurada para usar a autenticação de certificado e o servidor VPN deve confiar no servidor retornado por Microsoft Entra ID.
- Sso: as entradas no SSO devem ser usadas para direcionar o cliente VPN a usar um certificado diferente do certificado de autenticação VPN ao acessar recursos que exigem autenticação Kerberos.
- Sso/Habilitado: se esse campo for definido como true, o cliente VPN procurará um certificado separado para autenticação Kerberos.
- Sso/IssuerHash: hashes para o cliente VPN procura o certificado correto para a autenticação Kerberos.
- Sso/Eku: lista separada por vírgulas de extensões de EKU (uso de chave estendida) para o cliente VPN procurar o certificado correto para autenticação Kerberos.
- CSP HealthAttestation (não é um requisito) – as funções executadas pelo CSP HealthAttestation incluem:
- Coleta dados do TPM usados para verificar os estados de integridade
- Encaminha os dados para o Serviço de Atestado de Integridade (HAS)
- Provisiona o Certificado de Atestado de Integridade recebido do HAS
- Após a solicitação, encaminhe o Certificado de Atestado de Integridade (recebido do HAS) e informações relacionadas de runtime para o servidor MDM para verificação
Observação
É necessário que os certificados usados para obter tíquetes Kerberos sejam emitidos de uma AC local e que o SSO seja habilitado no perfil VPN do usuário. Isso permitirá que o usuário acesse recursos locais. No caso de dispositivos ingressados somente AzureAD (não dispositivos híbridos ingressados), se o certificado de usuário emitido pela AC local tiver o UPN do usuário do AzureAD em Subject e SAN (Nome Alternativo do Assunto), o perfil VPN deverá ser modificado para garantir que o cliente não faça cache das credenciais usadas para autenticação VPN. Para fazer isso, depois de implantar o perfil VPN no cliente, modifique o Rasphone.pbk no cliente alterando a entrada UseRasCredentials de 1 (padrão) para 0 (zero).
Fluxo de conexão do cliente
O fluxo de conexão do lado do cliente VPN funciona da seguinte maneira:
Quando um perfil VPNv2 é configurado com <DeviceCompliance<>Habilitado>true</Habilitado>, o cliente VPN usa esse fluxo de conexão:
- O cliente VPN chama Windows 10 ou Windows 11 Microsoft Entra Token Broker, identificando-se como um cliente VPN.
- O Microsoft Entra Token Broker se autentica para Microsoft Entra ID e fornece informações sobre o dispositivo que tenta se conectar. O servidor Microsoft Entra verifica se o dispositivo está em conformidade com as políticas.
- Se estiver em conformidade, Microsoft Entra ID solicitará um certificado de curta duração.
- Microsoft Entra ID envia um certificado de curta duração para o Repositório de Certificados por meio do Token Broker. Em seguida, o Token Broker retorna o controle para o cliente VPN para processamento de conexão adicional.
- O cliente VPN usa o certificado emitido por Microsoft Entra ID para se autenticar com o servidor VPN.
Configurar o acesso condicional
Consulte Opções de perfil de VPN e CSP VPNv2 para saber a configuração XML.
Saiba mais sobre acesso condicional e integridade Microsoft Entra
- acesso condicional Microsoft Entra
- Introdução ao acesso condicional Microsoft Entra
- Controlar a integridade dos dispositivos Windows
- Dica do dia: a Estrutura de Acesso Condicional e a conformidade do dispositivo para VPN (parte 1)
- Dica do dia: a Estrutura de Acesso Condicional e a conformidade do dispositivo para VPN (parte 2)
- Dica do dia: a Estrutura de Acesso Condicional e a conformidade do dispositivo para VPN (parte 3)
- Dica do dia: a Estrutura de Acesso Condicional e a conformidade do dispositivo para VPN (parte 4)