Criar ou modificar uma ID do aplicativo de público-alvo personalizada para autenticação P2S VPN do Microsoft Entra ID

As etapas deste artigo ajudam você a criar uma ID do aplicativo personalizada do Microsoft Entra ID (público-alvo personalizado) para o novo Cliente VPN do Azure registrado pela Microsoft para conexões ponto a site (P2S). Você também pode atualizar seu locatário existente para alterar o novo aplicativo Cliente VPN do Azure registrado pela Microsoft a partir do aplicativo Cliente VPN do Azure anterior.

Ao configurar uma ID de aplicativo de público-alvo personalizado, você pode usar qualquer um dos valores com suporte associados ao aplicativo cliente VPN do Azure. Recomendamos que você associe o valor c632b3df-fb67-4d84-bdcf-b95ad541b5c8 do público-alvo Público do Azure da ID de Aplicativo registrado pela Microsoft ao seu aplicativo personalizado quando possível. Para obter a lista completa de valores com suporte, consulte VPN P2S – Microsoft Entra ID.

Este artigo fornece etapas de alto nível. As capturas de tela para registrar um aplicativo podem ser ligeiramente diferentes, dependendo da maneira como você acessa a interface do usuário, mas as configurações são as mesmas. Para mais informações, consulte Início Rápido: Registrar um aplicativo. Para obter mais informações sobre a autenticação do Microsoft Entra ID para P2S, confira Autenticação do Microsoft Entra ID para P2S.

Se você estiver configurando uma ID de aplicativo de público-alvo personalizado para configurar ou restringir o acesso com base em usuários e grupos, confira Cenário: Configurar o acesso P2S com base em usuários e grupos – autenticação do Microsoft Entra ID. O artigo de cenário descreve o fluxo de trabalho e as etapas para atribuir permissões.

Pré-requisitos

• Esse artigo pressupõe que você já tenha um locatário do Microsoft Entra e as permissões para criar um aplicativo empresarial, normalmente a função de administrador de aplicativos em nuvem ou superior. Para mais informações, consulte Criar um locatário no Microsoft Entra ID e Atribuir funções de usuário com o Microsoft Entra ID.

• Esse artigo considera que você está usando o valor c632b3df-fb67-4d84-bdcf-b95ad541b5c8 do público-alvo da ID de aplicativo registrado pela Microsoft do Azure Público ao seu aplicativo personalizado quando possível. Esse valor possui consentimento global, o que significa que você não precisa registrá-lo manualmente para dar consentimento à sua organização. Recomendamos que você utilize esse valor.

  • Neste momento, existe apenas um valor de público-alvo compatível com o aplicativo registrado pela Microsoft. Acesse a tabela de valores de público-alvo suportados para conferir outros valores.

  • Se o valor de público-alvo registrado pela Microsoft não for compatível com as suas configurações, você ainda pode usar os valores de ID registrados manualmente mais antigos.

• Caso precise usar um valor de ID de aplicativo registrado manualmente, você deve consentir para permitir que o aplicativo se conecte e leia os perfis de usuários antes de continuar com esta configuração. Você deve fazer login com uma conta que tenha a função Administrador de aplicativos em nuvem.

  1. Para dar consentimento administrativo para sua organização, modifique o comando a seguir para incluir o valor client_id desejado. No exemplo, o valor client_id é para o Azure Público. Veja a tabela para obter outros valores com suporte.

     https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

  2. Copie e cole a URL correspondente ao local de implantação na barra de endereços do navegador.

  3. Selecione a conta que tem a função Administrador de aplicativos em nuvem, se solicitado.

  4. Na página Permissões solicitadas, selecione Aceitar.

Registrar um aplicativo

Há algumas maneiras diferentes de acessar a página Registros de aplicativo. Uma maneira é através do Centro de administração do Microsoft Entra. Você também pode usar o portal do Azure e o Microsoft Entra ID. Entre com uma conta que tenha a função de Administrador de Aplicativos de Nuvem ou superior.

1. Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o locatário em que deseja registrar o aplicativo no menu Diretórios + assinaturas.

2. Vá para Registros de aplicativo e selecione Novo registro.

   

3. Na página Registrar um aplicativo, insira um Nome de exibição para o seu aplicativo. Os usuários do seu aplicativo podem ver o nome de exibição quando usam o aplicativo, por exemplo, durante a conexão. É possível alterar o nome de exibição a qualquer momento. Múltiplos registros de aplicativo podem compartilhar o mesmo nome. A ID do Aplicativo (cliente) gerado automaticamente identifica exclusivamente seu aplicativo dentro da plataforma de identidade.

   

4. Especifique quem pode usar o aplicativo, às vezes, chamado do público-alvo de entrada. Selecione Contas neste diretório organizacional apenas (somente nome do seu diretório - locatário único).

5. Deixe o URI de Redirecionamento (opcional) sozinho por enquanto, enquanto configura um URI de redirecionamento na próxima seção.

6. Selecione Registrar para concluir o registro inicial do aplicativo.

Quando o registro for concluído, o centro de administração do Microsoft Entra exibirá o painel Visão geral do registro do aplicativo. Você verá a ID do Aplicativo (cliente) . Também chamada de ID do cliente, esse valor identifica exclusivamente seu aplicativo na plataforma de identidade da Microsoft. Este é o valor do público-alvo personalizado que você usa ao configurar seu gateway P2S. Mesmo que este valor esteja presente, você ainda precisa completar as próximas seções para associar o aplicativo registrado pela Microsoft à sua ID do aplicativo.

Expor uma API e adicionar um escopo

Nesta seção, você cria um escopo para atribuir permissões granulares.

1. No painel esquerdo do aplicativo registrado, selecione Expor uma API.

   

2. Selecione Adicionar um escopo. No painel Adicionar um escopo, consulte o URI da ID do Aplicativo. Este campo é gerado automaticamente. O padrão é api://<application-client-id>. O URI da ID do Aplicativo atua como o prefixo para os escopos que você referencia no código da sua API, e deve ser globalmente exclusivo.

   

3. Selecione Salvar e continuar para prosseguir para o próximo painel Adicionar um escopo.

4. Neste painel Adicionar um escopo, especifique os atributos do escopo. Para este passo a passo, você pode usar os valores de exemplo ou especificar o seu próprio valor.

   

   Campo	Valor
   Nome do Escopo	Exemplo: p2s-vpn1
   Quem pode consentir	Somente administradores
   Nome de exibição de consentimento do administrador	Exemplo: p2s-vpn1-users
   Descrição do consentimento do administrador	Exemplo: Acesso ao P2S VPN
   State	Enabled

5. Selecione Adicionar escopo para adicionar o escopo.

Adicionar o aplicativo Cliente VPN do Azure

Nesta seção, você associa a ID do aplicativo Cliente VPN do Azure registrada pela Microsoft.

1. Na página Expor uma API, selecione + Adicionar um aplicativo cliente.

   

2. No painel Adicionar um aplicativo cliente, para ID do Cliente, use a ID do Aplicativo Público do Azure para o aplicativo Cliente VPN do Azure registrado pela Microsoft, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 a menos que você saiba que precisa de um valor diferente.

   

3. Certifique-se de que Escopos autorizados esteja selecionado.

4. Escolha Adicionar aplicativo.

Coletar valores

Na página Visão geral do seu aplicativo, anote os seguintes valores que você precisará ao configurar seu Gateway de VPN ponto a site para autenticação do Microsoft Entra ID.

• ID do Aplicativo (cliente): Este é a ID do Público-alvo personalizada que você usa no campo Público-alvo ao configurar seu Gateway de VPN P2S.
• ID do diretório (locatário): Esse valor faz parte do valor necessário para o campo Locatário e Emissor do gateway P2S VPN.

Configurar o gateway de VPN P2S

Após concluir as etapas nas seções anteriores, continue para Configurar o Gateway de VPN P2S para autenticação do Microsoft Entra ID – aplicativo registrado pela Microsoft.

Atualizar para a ID do cliente do aplicativo VPN registrado pela Microsoft

Observação

Essas etapas podem ser usadas para qualquer um dos valores com suporte associados ao aplicativo de Cliente VPN do Azure. Recomendamos que você associe o valor c632b3df-fb67-4d84-bdcf-b95ad541b5c8 do público-alvo Público do Azure da ID de Aplicativo registrado pela Microsoft ao seu aplicativo personalizado quando possível.

Se você já configurou seu Gateway de VPN P2S para usar um valor personalizado para o campo ID do Público-alvo e deseja alterar para o novo Cliente VPN do Azure registrado pela Microsoft, você pode autorizar o novo aplicativo adicionando o aplicativo cliente à sua API. Usando este método, você não precisa alterar as configurações no Gateway de VPN do Azure ou em seus clientes de VPN do Azure se estiverem usando a versão mais recente do cliente.

Nas etapas seguintes, você adicionará outro aplicativo cliente autorizado usando o valor do público-alvo da ID do aplicativo do cliente VPN do Azure registrado pela Microsoft. Você não altera o valor do aplicativo cliente autorizado existente. Você sempre pode excluir o aplicativo cliente autorizado existente se não estiver mais usando-o.

1. Há algumas maneiras diferentes de acessar a página Registros de aplicativo. Uma maneira é através do Centro de administração do Microsoft Entra. Você também pode usar o portal do Azure e o Microsoft Entra ID. Entre com uma conta que tenha a função de Administrador de Aplicativos de Nuvem ou superior.

2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o locatário que deseja usar no menu Diretórios + assinaturas.

3. Vá para Registros de aplicativo e localize o nome de exibição para o aplicativo registrado. Clique para abrir a página.

4. Clique em Expor uma API. Na página Expor uma API, observe que o valor do público-alvo do Cliente VPN do Azure anterior Client Id está presente.

   

5. Selecione + Adicionar um aplicativo cliente.

6. No painel Adicionar um aplicativo cliente, para ID do Cliente, use a ID do Aplicativo Público do Azure para o aplicativo Cliente VPN do Azure registrado pela Microsoft, c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

7. Certifique-se de que Escopos autorizados esteja selecionado. Em seguida, clique em Adicionar aplicativo.

8. Na página Expor uma API, você verá agora ambos os valores de ID do Cliente listados. Se você quiser excluir a versão anterior, clique no valor para abrir a página Editar um aplicativo cliente, e clique em Excluir.

9. Na página Visão geral, observe que os valores não foram alterados. Se você já configurou seu gateway e clientes usando a ID do Aplicativo (cliente) personalizado mostrada para o campo ID do Público-alvo do gateway e seus clientes já estão configurados para usar esse valor personalizado, você não precisa fazer mais nenhuma alteração.

Próximas etapas

• Configurar o Gateway de VPN P2S para autenticação do Microsoft Entra ID – aplicativo registrado pela Microsoft.
• Para se conectar à rede virtual, você deve configurar o cliente VPN do Azure nos computadores cliente. Veja Configurar um cliente VPN para conexões VPN P2S.
• Para perguntas frequentes, confira a seção Ponto a site das Perguntas frequentes sobre Gateway de VPN.