Compartir a través de

Configurar VPN de usuario P2S para la autenticación de Microsoft Entra ID: aplicación registrada por Microsoft

  • Artículo

Este artículo le ayuda a configurar la conexión VPN de usuario de punto a sitio a Virtual WAN que usa la autenticación de Microsoft Entra ID y el nuevo identificador de aplicación de cliente VPN de Azure registrado por Microsoft.

Nota:

Los pasos de este artículo se aplican a la autenticación de Microsoft Entra ID mediante el nuevo identificador de aplicación de cliente VPN de Azure registrado por Microsoft y los valores de audiencia asociados. Este artículo no se aplica a la aplicación cliente VPN de Azure anterior registrada manualmente para el inquilino. Para conocer los pasos del cliente VPN de Azure registrado manualmente, consulte Configuración de VPN de usuario P2S mediante el cliente VPN registrado manualmente.

Virtual WAN ahora admite un nuevo identificador de aplicación registrado por Microsoft y los valores de audiencia correspondientes para las versiones más recientes del cliente VPN de Azure. Al configurar una puerta de enlace de VPN de usuario P2S mediante los nuevos valores de audiencia, omite el proceso de registro manual de la aplicación cliente VPN de Azure para el inquilino de Microsoft Entra. El identificador de aplicación ya se ha creado y el inquilino puede usarlo automáticamente sin pasos de registro adicionales. Este proceso es más seguro que registrar manualmente el cliente VPN de Azure porque no es necesario autorizar la aplicación ni asignar permisos a través del rol Administrador global.

Anteriormente, era necesario registrar (integrar) manualmente la aplicación cliente VPN de Azure con el inquilino de Microsoft Entra. El registro de la aplicación cliente crea un identificador de aplicación que representa la identidad de la aplicación cliente VPN de Azure y requiere autorización mediante el rol Administrador global. Para comprender mejor la diferencia entre los tipos de objetos de aplicación, consulte ¿Cómo y por qué se agregan aplicaciones a Microsoft Entra ID?.

Cuando sea posible, se recomienda configurar nuevas puertas de enlace de VPN de usuario P2S mediante el identificador de aplicación de cliente VPN de Azure registrado por Microsoft y sus valores de audiencia correspondientes, en lugar de registrar manualmente la aplicación cliente VPN de Azure con el inquilino. Si tiene una puerta de enlace de VPN de usuario P2S configurada anteriormente que usa la autenticación de Microsoft Entra ID, puede actualizar la puerta de enlace y los clientes para aprovechar el nuevo identificador de aplicación registrado por Microsoft. Es necesario actualizar la puerta de enlace de P2S con el nuevo valor de audiencia si desea que los clientes Linux se conecten. El cliente VPN de Azure para Linux no es compatible con los valores de audiencia anteriores.

Consideraciones

  • Una puerta de enlace de VPN de usuario P2S solo puede admitir un valor de audiencia. No puede admitir varios valores de audiencia en simultáneo.

  • En este momento, el identificador de aplicación registrado por Microsoft más reciente no admite tantos valores de audiencia como la aplicación registrada manualmente anterior. Si necesita un valor de audiencia para cualquier otro valor distinto de Azure Público o Personalizado, use el método y los valores registrados manualmente anteriores.

  • El cliente VPN de Azure para Linux no es compatible con versiones anteriores de las puertas de enlace de P2S configuradas para usar los valores de audiencia anteriores que se alinean con la aplicación registrada manualmente. Sin embargo, el cliente VPN de Azure para Linux admite valores de audiencia personalizados.

  • Aunque es posible que el cliente VPN de Azure para Linux funcione en otras distribuciones y versiones de Linux, el cliente VPN de Azure para Linux solo se admite en las siguientes versiones:

    • Ubuntu 20.04
    • Ubuntu 22.04

  • Las versiones más recientes de los clientes VPN de Azure para macOS y Windows son compatibles con versiones anteriores con las puertas de enlace de P2S configuradas para usar los valores de audiencia anteriores que se alinean con la aplicación registrada manualmente. Estos clientes también admiten valores de audiencia personalizada.

Valores de audiencia de cliente VPN de Azure

En la siguiente tabla se muestran las versiones del cliente VPN de Azure compatibles con cada identificador de aplicación y los valores de audiencia disponibles correspondientes.

Id. de la aplicación Valores de audiencia admitidos Clientes compatibles
Registrado por Microsoft - Azure Público: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 - Linux
- Windows
- macOS
Registrado manualmente - Azure Público: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure Alemania: 538ee9e6-310a-468d-afef-ea97365856a9
- Microsoft Azure operado por 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 - Windows
- macOS
Personalizado <custom-app-id> - Linux
- Windows
- macOS

Nota:

La autenticación de Microsoft Entra ID solo se admite para las conexiones de protocolo OpenVPN® y requiere el cliente VPN de Azure.

En este artículo aprenderá a:

  • Creación de una instancia de Virtual WAN
  • Crear una configuración de VPN de usuario
  • Descargar un perfil de VPN de usuario de WAN virtual
  • Crear un centro virtual
  • Editar un centro para agregar una puerta de enlace P2S
  • Conexión de una red virtual a un centro de conectividad virtual
  • Descargar y aplicar la configuración de cliente VPN
  • Visualizar la instancia de Virtual WAN

Recorte de pantalla del diagrama de Virtual WAN.

Antes de empezar

Antes de comenzar con la configuración, compruebe que se cumplen los criterios siguientes:

  • Tiene una red virtual a la que quiere conectarse. Compruebe que ninguna de las subredes de sus redes locales se superpone a las redes virtuales a las que quiere conectarse. Para crear una red virtual en Azure Portal consulte este Inicio rápido.

  • Su red virtual no tiene ninguna puerta de enlace de red virtual. Si la red virtual tiene alguna puerta de enlace (ya sea VPN o ExpressRoute), tiene que quitarla. Los pasos de esta configuración le ayudan a conectar la red virtual a la puerta de enlace del centro de conectividad virtual de Virtual WAN.

  • Obtenga un intervalo de direcciones IP para la región del concentrador. El centro de conectividad es una red virtual que Virtual WAN crea y usa. El intervalo de direcciones que especifique para el centro de conectividad no se puede superponer a ninguna de las redes virtuales existentes a las que ya esté conectado. Tampoco puede superponerse con los intervalos de direcciones a los que se conecta en el entorno local. Si no está familiarizado con los intervalos de direcciones IP ubicados en la configuración de red local, consulte a alguien que pueda proporcionarle estos detalles.

  • Necesita un inquilino de Microsoft Entra ID para esta configuración. Si no tiene ninguno, puede crearlo siguiendo las instrucciones de Creación de un inquilino.

  • Si desea usar un valor de audiencia personalizado, consulte Creación o modificación del identificador de aplicación de audiencia personalizada.

Creación de una instancia de Virtual WAN

Desde un explorador, navegue al Portal de Azure e inicie sesión con su cuenta de Azure.

  1. En el portal, en la barraBuscar recursos, escriba Virtual WAN en el cuadro de búsqueda y seleccioneEntrar.

  2. Seleccione Redes WAN virtuales de los resultados. En la página Redes WAN virtuales, seleccione Crear para abrir la página Crear una red WAN.

  3. En la página Crear una red WAN, en la pestaña Aspectos básicos, rellene los campos. Modifique los valores de ejemplo que se aplicarán a su entorno.

    Captura de pantalla que muestra el panel Crear una red WAN con la pestaña Aspectos básicos seleccionada.

    • Suscripción: seleccione la suscripción que quiere usar.
    • Grupo de recursos: créelo o utilice uno existente.
    • Ubicación del grupo de recursos: elija una ubicación para los recursos de la lista desplegable. Una red WAN es un recurso global y no reside en una región determinada. No obstante, tiene que seleccionar una región con el fin de administrar y ubicar el recurso de WAN que cree.
    • Nombre: escriba el nombre que quiera asignar a su la red WAN virtual.
    • Tipo: Básico o Estándar. Seleccione Estándar. Si selecciona Básico, entienda que las redes WAN virtuales básicas solo pueden contener centros de conectividad básicos. Los centros de conectividad básicos solo se pueden usar para conexiones de sitio a sitio.

  4. Una vez rellenos los campos, en la parte inferior de la página, seleccione Revisar y crear.

  5. Una vez que se haya superado la validación, seleccione Crear para crear la WAN virtual.

Crear una configuración de VPN de usuario

Una configuración de VPN de usuario define los parámetros para conectarse a los clientes remotos. Es importante crear la configuración de VPN de usuario antes de definir el centro virtual con la configuración de P2S, ya que debe especificar la configuración de VPN de usuario que quiere usar.

Importante

Azure Portal está en proceso de actualizar los campos de Azure Active Directory a Entra. Si ve que se hace referencia a Microsoft Entra ID y aún no ve esos valores en el portal, puede seleccionar los valores de Azure Active Directory.

  1. Vaya a la instancia de Virtual WAN. En el panel izquierdo, expanda Conectividad y seleccione la página Configuraciones de VPN de usuario. En la página Configuraciones de VPN de usuario, seleccione +Crear una configuración de VPN de usuario.

  2. Especifique los parámetros siguientes en la página Aspectos básicos.

    • Nombre de la configuración: escriba el nombre que desea asignar a la configuración de VPN de usuario. Por ejemplo, TestConfig1.
    • Tipo de túnel: seleccione OpenVPN en el menú desplegable.

  3. En la parte superior de la página, haga clic en Azure Active Directory. Puede ver los valores necesarios en la página Microsoft Entra ID para aplicaciones empresariales del portal.

    Captura de pantalla la página de Microsoft Entra ID. Configure los valores siguientes:

    • Azure Active Directory: seleccione .
    • Audiencia: introduzca el valor correspondiente para el identificador de aplicación de cliente VPN de Azure registrado por Microsoft, Azure Public: c632b3df-fb67-4d84-bdcf-b95ad541b5c8. Audiencia personalizada también se admite para este campo.
    • Emisor: introduzca https://sts.windows.net/<your Directory ID>/.
    • Inquilino de AAD: introduzca el TenantID para el inquilino de Microsoft Entra. Asegúrese de que no haya ningún / al final de la dirección URL del inquilino de Microsoft Entra.

  4. Haga clic en Crear para crear la configuración de VPN de usuario. Seleccionará esta configuración más adelante en el ejercicio.

Creación de un centro vacío

A continuación, cree el centro de conectividad virtual. Los pasos de esta sección crean un centro de conectividad virtual vacío al que puede agregar posteriormente la puerta de enlace P2S. Sin embargo, siempre es mucho más eficaz combinar la creación del centro de conectividad junto con la puerta de enlace, ya que cada vez que se realiza un cambio de configuración en el centro de conectividad, debe esperar a que se compile su configuración.

Con fines de demostración, primero crearemos un centro de conectividad vacío y, a continuación, agregaremos la puerta de enlace P2S en la sección siguiente. Sin embargo, puede optar por incorporar la configuración de la puerta de enlace P2S de la sección siguiente al mismo tiempo que configura el centro de conectividad.

  1. Vaya a la red WAN virtual que ha creado. En el panel izquierdo de la página de virtual WAN, en Conectividad, seleccione Centros de conectividad.

  2. En la página Centros de conectividad, seleccione + Nuevo centro de conectividad para abrir la página Crear centro de conectividad virtual.

    Captura de pantalla que muestra el panel Crear centro de conectividad virtual con la pestaña Aspectos básicos seleccionada.

  3. En la página Crear centro de conectividad virtual, en la pestaña Aspectos básicos rellene los siguientes campos:

    • Región: seleccione la región en la que quiere implementar el centro de conectividad virtual.
    • Nombre: nombre por el que desea que se conozca el centro de conectividad virtual.
    • Espacio de direcciones privadas del centro de conectividad: intervalo de direcciones del centro de conectividad en la notación CIDR. El espacio de direcciones mínimo para crear un centro de conectividad es /24.
    • Capacidad del centro virtual: seleccione de la lista desplegable. Para más información, consulte Configuración de un centro de conectividad virtual.
    • Preferencia de enrutamiento del centro de conectividad: deje la configuración predeterminada, ExpressRoute, a menos que tenga una necesidad específica de cambiar este campo. Consulte Preferencia de enrutamiento del centro de conectividad virtual para más información.

Después de configurar los valores, haga clic en Revisar y crear para validar y, a continuación, seleccione Crear el centro de conectividad. La creación de un centro de conectividad puede tardar hasta 30 minutos.

Incorporación de una puerta de enlace P2S a un centro

En esta sección se muestra cómo agregar una puerta de enlace a un centro virtual ya existente. La actualización de un centro puede tardar hasta 30 minutos.

  1. Vaya a la instancia de Virtual WAN. En el panel izquierdo, expanda Configuración y seleccione Centros de conectividad.

  2. Haga clic en el nombre del centro de conectividad que desea editar.

  3. Haga clic en Editar centro virtual en la parte superior de la página para abrir la página Editar centro de conectividad virtual.

  4. En la página Editar centro de conectividad virtual, active las casillas Incluir puerta de enlace de VPN para los sitios VPN e Incluir puerta de enlace de punto a sitio para mostrar la configuración. Luego configure los valores.

    Captura de pantalla que muestra la opción Editar centro de conectividad virtual.

    • Unidades de escalado de puerta de enlace: seleccione las unidades de escalado de puerta de enlace. Las unidades de escalado representan la capacidad agregada de la puerta de enlace de VPN de usuario. Si selecciona 40 o más unidades de escalado de puerta de enlace, planee el grupo de direcciones de cliente en consecuencia. Para obtener información sobre cómo afecta este valor al grupo de direcciones de cliente, vea Acerca de los grupos de direcciones de cliente. Para obtener información sobre las unidades de escalado de puerta de enlace, vea Preguntas más frecuentes.
    • Configuración de VPN de usuario: seleccione la configuración que ha creado antes.
    • Asignación de grupos de usuarios a grupos de direcciones: especifique grupos de direcciones. Para obtener información sobre este ajuste, consulte Configuración de grupos de usuarios y grupos de direcciones IP para VPN de usuario P2S (versión preliminar).

  5. Después de configurar los valores, haga clic en Confirmar para actualizar el centro. La actualización de un centro puede tardar hasta 30 minutos.

Conectar la red virtual al centro de conectividad

En esta sección, creará una conexión entre el centro virtual y la red virtual.

  1. En Azure Portal, vaya a Virtual WAN y, en el panel izquierdo, seleccione Conexiones de red virtual.

  2. En la página Conexiones de red virtual, seleccione + Agregar conexión.

  3. En la página Agregar una conexión, configure la conexión. Para más información acerca de la configuración de enrutamiento, consulte Acerca del enrutamiento.

    • Nombre de la conexión: asigne un nombre a la conexión.
    • Centros de conectividad: seleccione el centro de conectividad que desea asociar a esta conexión.
    • Suscripción: compruebe la suscripción.
    • Grupo de recursos: seleccione el grupo de recursos que contiene la red virtual a la que desea conectarse.
    • Red virtual: seleccione la red virtual que quiere conectar con este centro de conectividad. La red virtual que seleccione no puede tener una puerta de enlace de red virtual ya existente.
    • Propagate to none (Propagar a ninguno): se establece en No de manera predeterminada. Si cambia el conmutador a , las opciones de configuración para la opción Propagate to Route Tables (Propagar a tablas de enrutamiento) y Propagate to labels (Propagar a etiquetas) no estarán disponibles para la configuración.
    • Associate Route Table: en el menú desplegable, puede seleccionar la tabla de rutas que quiere asociar.
    • Propagate to labels: las etiquetas son un grupo lógico de tablas de rutas. En este parámetro, seleccione una opción en la lista desplegable.
    • Rutas estáticas: configure rutas estáticas si es necesario. Configure las rutas estáticas de las aplicaciones virtuales de red (si procede). Virtual WAN admite una única dirección IP de próximo salto para la ruta estática en una conexión de red virtual. Por ejemplo, si tiene una aplicación virtual independiente para flujos de tráfico de entrada y salida, sería mejor tener las aplicaciones virtuales en redes virtuales independientes y conectar las redes virtuales al centro virtual.
    • Omitir IP del próximo salto para cargas de trabajo dentro de esta red virtual: esta opción permite implementar aplicaciones virtuales de red (NVA) y otras cargas de trabajo en la misma red virtual sin forzar todo el tráfico a través de la NVA. Esta opción solo se puede establecer al configurar una nueva conexión. Si desea usar esta configuración con una conexión que ya ha creado, elimine la conexión y agregue otra nueva.
    • Propagación de la ruta estática: esta configuración se está implementando actualmente. Esta configuración le permite propagar rutas estáticas definidas en la sección Rutas estáticas para las tablas de rutas especificadas en Propagar a tablas de enrutamiento. Además, las rutas se propagarán a las tablas de rutas que tienen etiquetas especificadas como Propagar a etiquetas. Estas rutas se pueden propagar entre centros, excepto la ruta predeterminada 0/0.

  4. Una vez que haya configurado los valores deseados, haga clic en Create para crear la conexión.

Descarga de un perfil de VPN de usuario

Todas las opciones de configuración necesarias para los clientes VPN se incluyen en un archivo ZIP de configuración del cliente VPN. Los valores del archivo ZIP ayudan a configurar los clientes VPN. Los archivos de configuración del cliente VPN que genera son específicos de la configuración de VPN de usuario de la puerta de enlace. Puede descargar perfiles globales (de nivel WAN) o un perfil para un centro específico. Para obtener información e instrucciones adicionales, consulte Descarga de perfiles globales y de centros de conectividad. Los pasos siguientes le indicarán cómo descargar un perfil de nivel WAN global.

  1. Para generar un paquete de configuración de cliente VPN de perfil global de nivel WAN, vaya a Virtual WAN (no al centro virtual).

  2. En el panel de la izquierda, seleccione Configuraciones de VPN de usuario.

  3. Seleccione la configuración para la que quiere descargar el perfil. Si tiene varios centros asignados al mismo perfil, expanda el perfil para mostrar los centros y, a continuación, seleccione uno de los centros que usa el perfil.

  4. Seleccione Descargar perfil de VPN de usuario de WAN virtual.

  5. En la página de descarga, seleccione EAPTLS y, a continuación, Generar y descargar perfil. Se genera un paquete de perfil (archivo zip) que contiene las opciones de configuración del cliente y que se descarga en el equipo. El contenido del paquete depende de las opciones de autenticación y túnel de la configuración.

Configuración del cliente VPN de Azure

A continuación, examinará el paquete de configuración del perfil, configurará el cliente VPN de Azure para los equipos cliente y se conectará a Azure. Consulte los artículos enumerados en la sección Pasos siguientes.

Pasos siguientes

Configure del cliente VPN de Azure. Puede usar los pasos descritos en la documentación del cliente de VPN Gateway para configurar el cliente VPN de Azure para WAN Virtual.