Configuración del cliente VPN de Azure: Autenticación de Microsoft Entra ID: Windows
Este artículo le ayuda a configurar un cliente VPN de Azure en un equipo Windows para conectarse a una red virtual mediante una conexión VPN de usuario (punto a sitio) de Virtual WAN y la autenticación de Microsoft Entra ID. El cliente VPN de Azure es compatible con el modo FIPS de Windows mediante la revisión KB4577063.
Nota:
La autenticación de Microsoft Entra ID solo se admite para las conexiones con el protocolo OpenVPN®.
Antes de empezar
Compruebe que está en el artículo correcto. En la tabla siguiente se muestran los artículos de configuración disponibles para los clientes VPN de punto a sitio (P2S) de Azure Virtual WAN. Los pasos difieren en función del tipo de autenticación, el tipo de túnel y el sistema operativo del cliente.
| Método de autenticación | Tipo de túnel | Sistema operativo del cliente | Cliente de VPN |
|---|---|---|---|
| Certificate | IKEv2, SSTP | Windows | Cliente VPN nativo |
| IKEv2 | macOS | Cliente VPN nativo | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows |
Cliente VPN de Azure Versión 2.x del cliente de OpenVPN Versión 3.x del cliente de OpenVPN |
|
| OpenVPN | macOS | Cliente OpenVPN | |
| OpenVPN | iOS | Cliente OpenVPN | |
| OpenVPN | Linux |
Cliente VPN de Azure Cliente OpenVPN |
|
| Microsoft Entra ID | OpenVPN | Windows | Cliente VPN de Azure |
| OpenVPN | macOS | Cliente VPN de Azure | |
| OpenVPN | Linux | Cliente VPN de Azure |
Requisitos previos
En este artículo se supone que ya has realizado los siguientes requisitos previos:
- Ha configurado una WAN virtual de acuerdo con los pasos del artículo Configurar una puerta de enlace de VPN de usuario (P2S) para la autenticación de Microsoft Entra ID. La configuración de VPN de su usuario debe usar la autenticación de Microsoft Entra ID (Azure Active Directory) y el tipo de túnel de OpenVPN.
- Ha generado y ha descargado los archivos de configuración del cliente VPN. Para conocer los pasos para generar un paquete de configuración de perfil de cliente VPN, consulte Descargar perfiles globales y del centro de conectividad.
Flujo de trabajo
Este artículo continúa desde los pasos de Configurar una puerta de enlace de VPN de usuario (P2S) para la autenticación de Microsoft Entra ID. Este artículo le ayudará a realizar las siguientes acciones:
- Descargue e instale el cliente VPN de Azure para Windows.
- Extraiga los archivos de configuración del perfil de cliente VPN.
- Actualice los archivos de configuración del perfil con un valor de audiencia personalizado (si procede).
- Importe la configuración del perfil de cliente en el cliente VPN.
- Cree una conexión y conéctese a Azure.
Descarga del cliente VPN de Azure
Descargue la versión más reciente de los archivos de instalación del cliente VPN de Azure mediante uno de los vínculos siguientes:
- Instale con los archivos de instalación de cliente: https://aka.ms/azvpnclientdownload.
- Instale directamente, cuando haya iniciado sesión en un equipo cliente: Microsoft Store.
Instale el cliente VPN de Azure en cada equipo.
Compruebe que el cliente VPN de Azure tenga permiso para ejecutarse en segundo plano. Para los pasos, consulte Aplicaciones en segundo plano en Windows.
Para comprobar la versión de cliente instalada, abra el cliente VPN de Azure. Vaya al final del cliente y haga clic en ... -> ? Ayuda. En el panel derecho, puede ver el número de versión del cliente.
Extraiga los archivos de configuración de perfil de cliente
Para configurar el perfil de cliente VPN de Azure, primero debe descargar un paquete de configuración de perfil de cliente VPN desde la puerta de enlace de Azure P2S. Este paquete es específico de la puerta de enlace de VPN configurada y contiene los valores necesarios para configurar el cliente VPN. Si usó los pasos de configuración del servidor de P2S como se mencionó en la sección Requisitos previos, ya ha generado y descargado el paquete de configuración del perfil de cliente VPN que contiene los archivos de configuración del perfil de VPN.
Después de obtener el paquete de configuración del perfil de cliente VPN, extraiga los archivos ZIP. El archivo ZIP contiene la carpeta AzureVPN. La carpeta AzureVPN contiene el archivo azurevpnconfig_aad.xml o el archivo azurevpnconfig.xml, en función de si la configuración de P2S incluye varios tipos de autenticación. Si no ve azurevpnconfig_aad.xml o azurevpnconfig.xml, o no tiene una carpeta AzureVPN, compruebe que la puerta de enlace de VPN está configurada para usar el tipo de túnel OpenVPN y que está seleccionada la autenticación de Azure Active Directory (Microsoft Entra ID).
Modificación de archivos de configuración de perfil
Si la configuración de P2S usa un público personalizado con el identificador de aplicación registrado por Microsoft, es posible que reciba elementos emergentes cada vez que se conecte que requieran que escriba las credenciales de nuevo y complete la autenticación. El reintento de autenticación suele resolver el problema. Esto sucede porque el perfil del cliente VPN necesita tanto el id. de audiencia personalizado como el id. de aplicación de Microsoft. Para evitar esto, modifique el archivo .xml de la configuración del perfil para incluir tanto el id. de la aplicación personalizada como el id. de la aplicación de Microsoft.
Nota:
Este paso es necesario para las configuraciones de puerta de enlace P2S que usan un valor de público personalizado y su aplicación registrada está asociada con el id. de la aplicación de cliente VPN de Azure registrada por Microsoft. Si esto no se aplica a la configuración de la puerta de enlace P2S, puede omitir este paso.
Para modificar el archivo .xml de configuración del cliente VPN de Azure, abra el archivo con un editor de texto como el Bloc de notas.
A continuación, agregue el valor de
applicationidy guarde los cambios. El siguiente ejemplo muestra el valor del id. de la aplicación parac632b3df-fb67-4d84-bdcf-b95ad541b5c8.Ejemplo
<aad> <audience>{customAudienceID}</audience> <issuer>https://sts.windows.net/{tenant ID value}/</issuer> <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant> <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> </aad>
Importación de las opciones de configuración del perfil de cliente
Nota:
Estamos en proceso de cambiar los campos cliente VPN de Azure para Azure Active Directory a Microsoft Entra ID. Si ve los campos de Microsoft Entra ID a los que se hace referencia en este artículo, pero aún no ve esos valores reflejados en el cliente, seleccione los valores comparables de Azure Active Directory.
Abra el cliente de VPN de Azure.
Haga clic en + en la parte inferior izquierda de la página y seleccione Importar.
Vaya a la carpeta de configuración del perfil de cliente VPN de Azure que extrajo. Abra la carpeta AzureVPN y seleccione el archivo de configuración del perfil de cliente (azurevpnconfig_aad.xml o azurevpnconfig.xml). Seleccione Abrir para importar el archivo.
En la página del perfil de cliente, observe que ya se han especificado muchas de las opciones de configuración. La configuración preconfigurada se incluye en el paquete de perfil de cliente VPN que importó. Aunque la mayoría de las opciones ya están especificadas, debe configurar opciones específicas del equipo cliente.
Cambie el nombre del nombre de conexión (opcional). En este ejemplo, observará que el valor Audiencia que se muestra es el valor asociado al id. de la aplicación del cliente VPN de Azure registrado por Microsoft. El valor de este campo debe coincidir con el valor que la puerta de enlace de VPN de P2S está configurada para usar.
Haga clic en Guardar para guardar el perfil de conexión.
En el panel izquierdo, seleccione el perfil de conexión que desea usar. A continuación, haga clic en Conectar para iniciar la conexión.
Autentíquese con sus credenciales, si se le solicita.
Una vez conectado, el icono se vuelve verde y muestra Conectado.
Para conectarse automáticamente
Estos pasos le ayudarán a configurar la conexión para que se conecte automáticamente con Always-on.
En la página principal del cliente VPN, seleccione Configuración de VPN. Si ve el cuadro de diálogo Cambiar aplicaciones, seleccione Sí.
Si el perfil que desea configurar está conectado, desconéctelo, resalte el perfil y marque la casilla Conectar automáticamente.
Seleccione Conectar para iniciar la conexión VPN.
Exportación y distribución de un perfil de cliente
Una vez que tenga un perfil de trabajo y necesite distribuirlo a otros usuarios, puede exportarlo mediante los siguientes pasos:
Resalte el perfil de cliente de VPN que quiere exportar, seleccione el ... y,luego, seleccione Exportar.
Seleccione la ubicación en la que desea guardar este perfil, deje el nombre de archivo tal cual y, a continuación, seleccione Guardar para guardar el archivo xml.
Eliminación de un perfil de cliente
Resalte el perfil del cliente de VPN que quiere exportar, seleccione ... y, luego, seleccione Quitar.
En el menú emergente de confirmación, seleccione Quitar para eliminar.
Diagnóstico de problemas de conexión
Para diagnosticar problemas de conexión, puede usar la herramienta Diagnosticar. Seleccione el ... junto a la conexión VPN que quiere diagnosticar para que se muestre el menú. Después, seleccione Diagnosticar.
En la página Propiedades de conexión, seleccione Ejecutar diagnósticos.
Si se le pide, inicie sesión con sus credenciales.
Vea los resultados.
Opciones de configuración de cliente opcionales
Puede configurar el Cliente VPN de Azure con valores opcionales, como servidores DNS adicionales, DNS personalizado, tunelización forzada, rutas personalizadas y otras opciones. Para más información, consulte Configuración del cliente VPN de Azure: configuración opcional.
Información sobre las versiones de cliente VPN de Azure
Para más información sobre las versiones del cliente VPN de Azure, consulte Versiones de cliente VPN de Azure.
Pasos siguientes
Para más información sobre el cliente VPN de Azure registrado en Microsoft, consulte Configurar VPN de usuario P2S para la autenticación de Microsoft Entra ID.