Creación o modificación de un identificador de aplicación de audiencia personalizada para la autenticación de Microsoft Entra ID de VPN de P2S

Los pasos de este artículo le ayudarán a crear un identificador de aplicación personalizado de Microsoft Entra ID (audiencia personalizada) para el nuevo cliente VPN de Azure registrado por Microsoft para conexiones de punto a sitio (P2S). También puede actualizar el inquilino existente para cambiar la nueva aplicación cliente VPN de Azure registrada por Microsoft de la aplicación cliente VPN de Azure anterior.

Al configurar un id. de la aplicación de audiencia personalizado, puede usar cualquiera de los valores admitidos asociados a la aplicación cliente de VPN de Azure. Se recomienda asociar el valor c632b3df-fb67-4d84-bdcf-b95ad541b5c8 de la audiencia del id. de la aplicación de Azure público registrado por Microsoft a la aplicación personalizada siempre que sea posible. Para obtener la lista completa de los valores admitidos, consulte VPN de P2S: Microsoft Entra ID.

En este artículo se proporcionan pasos generales. Las capturas de pantalla para registrar una aplicación pueden ser ligeramente diferentes, en función de la forma en que acceda a la interfaz de usuario, pero la configuración es la misma. Para obtener más información, consulte Inicio rápido: Registrar una aplicación. Para obtener más información sobre la autenticación de Microsoft Entra ID para P2S, consulte Microsoft Entra ID para P2S.

Si está configurando un id. de aplicación de público personalizado para configurar o restringir el acceso en función de usuarios y grupos, consulte Escenario: Configuración del acceso a P2S basado en usuarios y grupos: autenticación de Microsoft Entra ID. En el artículo de escenario se describen el flujo de trabajo y los pasos para asignar permisos.

Requisitos previos

• En este artículo se supone que ya tiene un inquilino de Microsoft Entra y los permisos para crear una aplicación empresarial, normalmente el rol Administrador de aplicaciones en la nube o superior. Para obtener más información, consulte Crear un nuevo inquilino en Microsoft Entra ID y Asignar roles de usuario con Microsoft Entra ID.

• En este artículo se da por supuesto que usa el Identificador de aplicación registrado por Microsoft en Azure Public valor de audiencia c632b3df-fb67-4d84-bdcf-b95ad541b5c8 para configurar la aplicación personalizada. Este valor tiene consentimiento global, lo que significa que no es necesario registrarlo manualmente para proporcionar consentimiento para su organización. Se recomienda usar este valor.

  • En este momento, solo hay un valor de audiencia admitido para la aplicación registrada por Microsoft. Vea la tabla de valores de audiencia admitida para obtener valores admitidos adicionales.

  • Si el valor de audiencia registrado por Microsoft no es compatible con la configuración, puede seguir usando los valores de identificador registrados manualmente anteriores.

• Si necesita usar un valor de identificador de aplicación registrado manualmente en su lugar, debe dar su consentimiento para permitir que la aplicación inicie sesión y lea los perfiles de usuario antes de continuar con esta configuración. Debe iniciar sesión con una cuenta que tenga asignado el rol de Administrador de aplicaciones en la nube.

  1. Para conceder el consentimiento del administrador para su organización, modifique el siguiente comando para que contenga el valor deseadoclient_id. En el ejemplo, el valor de client_id es para Azure Public. Vea la tabla para obtener valores admitidos adicionales.

     https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

  2. Copie y pegue la dirección URL que pertenece a la ubicación de implementación en la barra de direcciones del explorador.

  3. Seleccione la cuenta que tenga el rol Administrador de aplicaciones en la nube si se le indica.

  4. En la página Permisos solicitados, seleccione Aceptar.

Registrar una aplicación

Hay un par de maneras diferentes de acceder a la página Registros de aplicaciones. Una manera es a través del Centro de administración Microsoft Entra. También es posible usar Azure Portal y Microsoft Entra ID. Inicie sesión con una cuenta que tenga el rol de Administrador de aplicaciones en la nube o superior.

1. Si tiene acceso a varios inquilinos, use el icono de Configuración en el menú superior para cambiar al inquilino en el que desea registrar la aplicación desde el menú Directorios y suscripciones.

2. Vaya a Registros de aplicaciones y seleccione Nuevo registro.

   

3. En la página Registrar una aplicación, escriba un Nombre para la aplicación. Los usuarios de la aplicación pueden ver el nombre para mostrar cuando usan la aplicación, por ejemplo, durante el inicio de sesión. Puede cambiar el nombre para mostrar en cualquier momento. Varios registros de aplicaciones pueden compartir el mismo nombre. El identificador de aplicación (cliente) generado automáticamente en el registro de la aplicación identifica de forma única la aplicación dentro de la plataforma de identidad.

   

4. Especifique qué personas pueden usar la aplicación. A veces, se conoce a estas personas como público de inicio de sesión. Seleccione solo Cuentas solo en este directorio organizativo (solo nameofyourdirectory - Inquilino único).

5. Deje el URI de redirección (opcional) por ahora mientras configura un URI de redirección en la siguiente sección.

6. Seleccione Registrar para completar el registro inicial de la aplicación.

Cuando finalice el registro, en el Centro de administración de Microsoft Entra se mostrará el panel Información general del registro de la aplicación. Verá el id. de aplicación (cliente) . Este valor, también conocido como Id. de cliente, identifica de forma única la aplicación en la plataforma de identidad de Microsoft. Este es el valor de audiencia personalizado que se usa al configurar la puerta de enlace de P2S. Aunque este valor está presente, debe completar las secciones siguientes para asociar la aplicación registrada por Microsoft al identificador de aplicación.

Exponer una API y agregar un ámbito

En esta sección, creará un ámbito para asignar permisos pormenorizados.

1. En el panel izquierdo de la aplicación registrada, seleccione Exponer una API.

   

2. Seleccione Agregar un ámbito. En el panel Agregar un ámbito, vea el URI de id. de aplicación. Este campo se genera automáticamente. Este valor predeterminado es api://<application-client-id>. El URI del identificador de aplicación actúa como prefijo para los ámbitos a los que hace referencia en el código de la API y debe ser único globalmente.

   

3. Seleccione Guardar y continuar para continuar con el siguiente panel Agregar un ámbito.

4. En este panel Agregar un ámbito, especifique los atributos del ámbito. Para este tutorial, puede usar los valores de ejemplo o especificar los suyos propios.

   

   Campo	Value
   Nombre de ámbito	Ejemplo: p2s-vpn1
   ¿Quién puede dar el consentimiento?	Solo administradores
   Nombre para mostrar del consentimiento del administrador	Ejemplo: p2s-vpn1-users
   Descripción del consentimiento del administrador	Ejemplo: Acceso a la VPN de punto a sitio
   State	Habilitado

5. Seleccione Agregar ámbito para agregar el ámbito.

Agregar la aplicación cliente VPN de Azure

En esta sección, asociará el identificador de aplicación de cliente VPN de Azure registrado por Microsoft.

1. En la página Exponer una API, seleccione + Agregar una aplicación cliente.

   

2. En el panel Agregar una aplicación cliente, para Id. de cliente, use el identificador de aplicación pública de Azure para la aplicación cliente VPN de Azure registrada por Microsoft, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 a menos que sepa que necesita un valor diferente.

   

3. Asegúrese de que Ámbitos autorizados esté seleccionado.

4. Seleccione Agregar aplicación.

Recopilación de valores

En la página Información general de la aplicación, anote los siguientes valores que necesita al configurar la puerta de enlace de VPN de punto a sitio para la autenticación de Microsoft Entra ID.

• Id. de aplicación (cliente): este es el identificador de audiencia personalizado que se usa para el campo Audiencia al configurar la puerta de enlace de VPN de punto a sitio.
• Identificador de directorio (inquilino): este valor forma parte del valor necesario para los campos Inquilino y Emisor para la puerta de enlace de VPN P2S de punto a sitio.

Configuración de una puerta de enlace de VPN de P2S

Una vez completados estos pasos, continúe con Configuración de una puerta de enlace de VPN de P2S para la aplicación registrada por Microsoft para la autenticación con Microsoft Entra ID.

Actualización al id. de la aplicación cliente de VPN registrada por Microsoft

Nota:

Estos pasos se pueden usar para cualquiera de los valores admitidos asociados a la aplicación cliente de VPN de Azure. Se recomienda asociar el valor c632b3df-fb67-4d84-bdcf-b95ad541b5c8 de la audiencia del id. de la aplicación de Azure público registrado por Microsoft a la aplicación personalizada siempre que sea posible.

Si ya ha configurado la puerta de enlace de VPN P2S para usar un valor personalizado para el campo Id. de audiencia y desea cambiar al nuevo cliente VPN de Azure registrado por Microsoft, puede autorizar la nueva aplicación agregando la aplicación cliente a la API. Con este método, no es necesario cambiar la configuración en la puerta de enlace de VPN de Azure ni en los clientes VPN de Azure si usa la última versión del cliente.

En los pasos siguientes, agregará otra aplicación cliente autorizada mediante el valor de audiencia de id. de la aplicación de cliente VPN de Azure registrado por Microsoft. No cambia el valor de la aplicación cliente autorizada existente. Siempre puede eliminar la aplicación cliente autorizada existente si ya no la usa.

1. Hay un par de maneras diferentes de acceder a la página Registros de aplicaciones. Una manera es a través del Centro de administración Microsoft Entra. También es posible usar Azure Portal y Microsoft Entra ID. Inicie sesión con una cuenta que tenga el rol de Administrador de aplicaciones en la nube o superior.

2. Si tiene acceso a varios inquilinos, use el icono Configuración en el menú superior para cambiar al inquilino que desea usar en el menú Directorios y suscripciones.

3. Vaya a Registros de aplicaciones y busque el nombre para mostrar de la aplicación registrada. Haga clic para abrir la página.

4. Haga clic en Exponer una API. En la página Exponer una API, observe que el valor anterior de audiencia del cliente VPN de Azure Client Id está presente.

   

5. Seleccione + Agregar una aplicación cliente.

6. En el panel Agregar una aplicación cliente, para Id. de cliente, use el identificador de aplicación pública de Azure para la aplicación cliente VPN de Azure registrada por Microsoft, c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

7. Asegúrese de que Ámbitos autorizados esté seleccionado. A continuación, haga clic en Agregar aplicación.

8. En la página Exponer una API, ahora verá los dos valores de Id. de cliente enumerados. Si desea eliminar la versión anterior, haga clic en el valor para abrir la página Editar una aplicación cliente y haga clic en Eliminar.

9. En la página Información general, observe que los valores no han cambiado. Si ya ha configurado la puerta de enlace y los clientes con el identificador de aplicación personalizado (cliente) que se muestra para el campo Id. de audiencia de puerta de enlace y los clientes ya están configurados para usar este valor personalizado, no es necesario realizar cambios adicionales.

Pasos siguientes

• Configurar VPN Gateway de P2S para la autenticación de Microsoft Entra ID – Aplicación registrada por Microsoft.
• Para conectarse a la red virtual, debe configurar el cliente VPN de Azure en los equipos cliente. Consulte Configurar un cliente VPN para conexiones P2S VPN.
• Para ver las preguntas más frecuentes, consulte la sección Punto a sitio de las Preguntas más frecuentes sobre VPN Gateway.