Cenário: Configurar o acesso P2S com base em usuários e grupos - autenticação de ID do Microsoft Entra

Este artigo orienta você por um cenário para configurar o acesso com base em usuários e grupos para conexões VPN ponto a site (P2S) que usam a autenticação Microsoft Entra ID. Nesse cenário, você configura esse tipo de acesso usando várias IDs de aplicativo de audiência personalizadas com permissões especificadas e vários gateways VPN P2S. Para obter mais informações sobre protocolos P2S e autenticação, consulte Sobre VPN ponto a site.

Nesse cenário, os usuários têm acesso diferente com base em permissões para se conectar a gateways VPN P2S específicos. Em um alto nível, o fluxo de trabalho é o seguinte:

1. Crie um aplicativo personalizado para cada gateway de VPN P2S que você deseja configurar para VPN P2S com autenticação Microsoft Entra ID. Anote o ID do aplicativo personalizado.
2. Adicione o aplicativo Cliente VPN do Azure à configuração personalizada do aplicativo.
3. Atribua permissões de usuário e grupo por aplicativo personalizado.
4. Ao configurar seu gateway para autenticação do Microsoft Entra ID da VPN P2S, especifique o locatário do Microsoft Entra ID e o ID do aplicativo personalizado associado aos usuários que você deseja permitir que se conectem por meio desse gateway.
5. O perfil do Cliente VPN do Azure no computador do cliente é configurado usando as configurações do gateway VPN P2S ao qual o usuário tem permissões para se conectar.
6. Quando um usuário se conecta, ele é autenticado e pode se conectar apenas ao gateway VPN P2S para o qual sua conta tem permissões.

Considerações:

• Não é possível criar esse tipo de acesso granular se tiver apenas um gateway VPN.
• A autenticação do Microsoft Entra ID é suportada apenas para conexões de protocolo OpenVPN® e requer o Cliente VPN do Azure. *Tome cuidado para configurar cada Cliente VPN do Azure com as definições corretas de configuração do pacote de perfil de cliente para garantir que o usuário se conecte ao gateway correspondente ao qual ele tem permissões.
• Quando você usa as etapas de configuração neste exercício, pode ser mais fácil executar as etapas para o primeiro ID de aplicativo personalizado e gateway até o fim e, em seguida, repetir para cada ID de aplicativo personalizado e gateway subsequente.

Pré-requisitos

• Este cenário requer um locatário do Microsoft Entra. Se você ainda não tiver um locatário, crie um novo locatário na ID do Microsoft Entra. Anote o ID do locatário. Esse valor é necessário quando você configura seu gateway VPN P2S para autenticação do Microsoft Entra ID.

• Este cenário requer vários gateways VPN. Você só pode atribuir um ID de aplicativo personalizado por gateway.

  • Se você ainda não tiver pelo menos dois gateways VPN em funcionamento compatíveis com a autenticação do Microsoft Entra ID, consulte Criar e gerenciar um gateway VPN - portal do Azure para criar seus gateways VPN.
  • Algumas opções de gateway são incompatíveis com gateways VPN P2S que usam a autenticação Microsoft Entra ID. SKU básico e tipos de VPN baseados em políticas não são suportados. Para obter mais informações sobre SKUs de gateway, consulte Sobre SKUs de gateway. Para obter mais informações sobre tipos de VPN, consulte Configurações do Gateway de VPN.

Registar uma aplicação

Para criar um valor de ID de aplicativo de audiência personalizado, que é especificado quando você configura seu gateway de VPN, você deve registrar um aplicativo. Registe uma candidatura. Para conhecer as etapas, consulte Registrar um aplicativo.

• O campo Nome está voltado para o usuário. Use algo intuitivo que descreva os usuários ou grupos que estão se conectando através deste aplicativo personalizado.
• Para o restante das configurações, use as configurações mostradas no artigo.

Adicionar um âmbito

Adicione um escopo. Adicionar um escopo faz parte da sequência para configurar permissões para usuários e grupos. Para conhecer as etapas, consulte Expor uma API e adicionar um escopo. Mais tarde, você atribui permissões de usuários e grupos a esse escopo.

• Use algo intuitivo para o campo Nome do escopo, como Marketing-VPN-Users. Preencha os restantes campos conforme necessário.
• Em Estado, selecione Ativar.

Adicionar o aplicativo Cliente VPN do Azure

Adicione a ID do Cliente do Aplicativo Cliente VPN do Azure e especifique o escopo Autorizado. Ao adicionar o aplicativo, recomendamos que você use a ID do aplicativo Cliente VPN do Azure registrado pela Microsoft para o Azure Public, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 quando possível. Esse valor do aplicativo tem consentimento global, o que significa que você não precisa registrá-lo manualmente. Para conhecer as etapas, consulte Adicionar o aplicativo Cliente VPN do Azure.

Depois de adicionar o aplicativo Cliente VPN do Azure, vá para a página Visão geral e copie e salve a ID do Aplicativo (cliente). Você precisará dessas informações para configurar seu gateway de VPN P2S.

Atribuir usuários e grupos

Atribua permissões aos usuários e/ou grupos que se conectam ao gateway. Se você estiver especificando um grupo, o usuário deverá ser um membro direto do grupo. Não há suporte para grupos aninhados.

1. Aceda ao seu ID Microsoft Entra e selecione Aplicações empresariais.
2. Na lista, localize o aplicativo que você registrou e clique para abri-lo.
3. Expanda Gerenciar e selecione Propriedades. Na página Propriedades, verifique se Habilitado para os usuários entrarem está definido como Sim. Caso contrário, altere o valor para Sim.
4. Para Atribuição necessária, altere o valor para Sim. Para obter mais informações sobre essa configuração, consulte Propriedades do aplicativo.
5. Se você tiver feito alterações, selecione Salvar na parte superior da página.
6. No painel esquerdo, selecione Usuários e grupos. Na página Usuários e grupos, selecione + Adicionar usuário/grupo para abrir a página Adicionar atribuição.
7. Clique no link em Usuários e grupos para abrir a página Usuários e grupos . Selecione os usuários e grupos que deseja atribuir e clique em Selecionar.
8. Depois de concluir a seleção de usuários e grupos, selecione Atribuir.

Configurar uma VPN P2S

Depois de concluir as etapas nas seções anteriores, continue para Configurar o Gateway VPN P2S para autenticação do Microsoft Entra ID – aplicativo registrado pela Microsoft.

• Ao configurar cada gateway, associe o ID do aplicativo de público personalizado apropriado.
• Baixe os pacotes de configuração do Cliente VPN do Azure para configurar o Cliente VPN do Azure para os usuários que têm permissões para se conectar ao gateway específico.

Configurar o Cliente VPN do Azure

Use o pacote de configuração de perfil do Cliente VPN do Azure para configurar o Cliente VPN do Azure no computador de cada usuário. Verifique se o perfil do cliente corresponde ao gateway VPN P2S ao qual você deseja que o usuário se conecte.

Próximos passos

• Configure o Gateway VPN P2S para autenticação do Microsoft Entra ID – aplicativo registrado pela Microsoft.
• Para se conectar à sua rede virtual, você deve configurar o cliente VPN do Azure em seus computadores cliente. Consulte Configurar um cliente VPN para conexões VPN P2S.
• Para perguntas frequentes, consulte a seção Ponto a Site das Perguntas frequentes sobre o Gateway de VPN.