Configurar o Cliente VPN do Azure – Autenticação do Microsoft Entra ID – Linux (versão prévia)

Esse artigo ajuda você a configurar o Cliente VPN do Azure em um computador Linux (Ubuntu) para se conectar a uma rede virtual usando uma VPN de usuário de WAN virtual (ponto a site) e autenticação de ID de entrada da Microsoft.

As etapas neste artigo se aplicam à autenticação do Microsoft Entra ID usando o aplicativo Cliente VPN do Azure registrado pela Microsoft com valores de ID de Aplicativo e Público-alvo associados. Este artigo não se aplica ao aplicativo Cliente VPN do Azure mais antigo e registrado manualmente para seu locatário. Para obter mais informações, veja VPN de usuário ponto a site para autenticação de ID do Microsoft Entra: aplicativo registrado pela Microsoft.

Antes de começar

Verifique se você está no artigo correto. A tabela a seguir mostra os artigos de configuração disponíveis para clientes VPN ponto a site (P2S) do Azure Virtual WAN. As etapas diferem, dependendo do tipo de autenticação, do tipo de túnel e do sistema operacional do cliente.

Método de autenticação	Tipo de túnel	Sistema operacional cliente	Cliente VPN
Certificado	IKEv2, SSTP	Windows	Cliente VPN nativo
	IKEv2	macOS	Cliente VPN nativo
	IKEv2	Linux	strongSwan
	OpenVPN	Windows	Cliente VPN do Azure Cliente OpenVPN versão 2.x Cliente OpenVPN versão 3.x
	OpenVPN	macOS	Cliente OpenVPN
	OpenVPN	iOS	Cliente OpenVPN
	OpenVPN	Linux	Cliente VPN do Azure Cliente OpenVPN
Microsoft Entra ID	OpenVPN	Windows	Cliente VPN do Azure
	OpenVPN	macOS	Cliente VPN do Azure
	OpenVPN	Linux	Cliente VPN do Azure

Pré-requisitos

Este artigo pressupõe que você tenha executado os seguintes pré-requisitos:

• Você configurou uma WAN virtual de acordo com as etapas no artigo Configurar um gateway de VPN de usuário (P2S) para autenticação do Microsoft Entra ID. A configuração da VPN do usuário deve usar a autenticação Microsoft Entra ID (Azure Active Directory) e o tipo de túnel OpenVPN.
• Você gerou e baixou os arquivos de configuração do cliente VPN. Para obter etapas sobre como gerar um pacote de configuração de perfil de cliente VPN, veja Baixar perfis globais e de hub.

Workflow

Após a conclusão da configuração do servidor WAN Virtual, as próximas etapas são as seguintes:

1. Baixar e instalar o Cliente VPN do Azure para Linux.
2. Importe as configurações de perfil do cliente para o cliente VPN.
3. Crie uma conexão.

Instalar o cliente VPN do Azure

Use as etapas a seguir para baixar e instalar a versão mais recente do Cliente VPN do Azure para Linux.

Observação

Adicione apenas a lista de repositórios do Ubuntu versão 20.04 ou 22.04. Para obter mais informações, consulte o Repositório de Software do Linux para Produtos da Microsoft.

# install curl utility
sudo apt-get install curl

# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc

# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-focal-prod.list

# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-jammy-prod.list

sudo apt-get update
sudo apt-get install microsoft-azurevpnclient

Extraia o pacote de configuração do perfil de cliente VPN

Para configurar o perfil do Cliente VPN do Azure, baixe um pacote de configuração de perfil de Cliente VPN do gateway P2S do Azure. Esse pacote contém as definições necessárias para configurar o cliente VPN.

Se a configuração do gateway P2S tiver sido feita anteriormente para usar as versões mais antigas e registradas manualmente da ID do Aplicativo, sua configuração P2S não oferecerá suporte ao cliente VPN do Linux. Você precisará alterar sua configuração P2S para usar a versão do App ID registrada pela Microsoft. Para obter mais informações, veja Configurar VPN de usuário P2S para autenticação de ID do Microsoft Entra – aplicativo registrado pela Microsoft.

1. Localize e extraia o arquivo zip que contém o pacote de configuração do perfil de cliente VPN. O arquivo zip contém a pasta AzureVPN.
2. Na pasta AzureVPN, você verá o arquivo azurevpnconfig_aad.xml ou o arquivo azurevpnconfig.xml, dependendo se a configuração do P2S inclui vários tipos de autenticação. Esse arquivo .xml contém as configurações que você usa para configurar o perfil do cliente VPN.

Modificar arquivos de configuração de perfil VPN

Se sua configuração P2S usar um público-alvo personalizado com sua ID de Aplicativo registrada pela Microsoft, você poderá receber pop-ups sempre que se conectar, o que exigirá que você insira suas credenciais novamente e conclua a autenticação. A nova tentativa de autenticação geralmente resolve o problema. Isso acontece porque o perfil do cliente VPN precisa do ID do público personalizado e do ID do aplicativo Microsoft. Para evitar isso, modifique o arquivo .xml de configuração do perfil para incluir a ID do aplicativo personalizado e a ID do aplicativo da Microsoft.

Observação

Esta etapa é necessária para configurações de gateway P2S que usam um valor de audiência personalizado e seu aplicativo registrado está associado ao ID do aplicativo cliente VPN do Azure registrado pela Microsoft. Se isso não se aplicar à configuração do gateway P2S, você poderá ignorar esta etapa.

1. Para modificar o arquivo .xml de configuração do Cliente VPN do Azure, abra o arquivo usando um editor de texto, como o Bloco de Notas.

2. Em seguida, adicione o valor para applicationid e salve suas alterações. O exemplo a seguir mostra o valor do ID do aplicativo c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

   Exemplo

   <aad>
      <audience>{customAudienceID}</audience>
      <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
      <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
      <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
   </aad>
   

Importar configurações de perfil de cliente VPN

Nesta seção, você configurará o Cliente VPN do Azure para Linux.

1. Na página do Cliente VPN do Azure, no painel inferior esquerdo, selecione Importar.

2. Selecione Importar Perfil e navegue até encontrar o arquivo xml de perfil. Selecione o arquivo . Com o arquivo selecionado, escolha Abrir.

   

3. Exiba as informações do perfil de conexão. Altere o valor de Informações do Certificado para mostrar o padrão DigiCert_Global_Root G2.pem ou DigiCert_Global_Root_CA.pem. Não deixe em branco.

4. Se o seu perfil de cliente VPN contiver várias autenticações de cliente, para Autenticação de cliente, Tipo de autenticação selecione ID do Microsoft Entra no menu suspenso.

   

5. Para o campo Locatário, especifique a URL do locatário do Microsoft Entra. A URL do Locatário não pode ter uma \ (barra invertida) no final. A barra “/” é permitida.

   A ID do Locatário tem a seguinte estrutura: https://login.microsoftonline.com/{Entra TenantID}

6. No campo Público-alvo, especifique a ID do Aplicativo.

   O ID do aplicativo para o cliente VPN do Azure registrado pela Microsoft é: c632b3df-fb67-4d84-bdcf-b95ad541b5c8. Também damos suporte à ID do Aplicativo personalizada neste campo.

7. No campo Emissor, especifique a URL do Serviço de Token Seguro. Inclua uma barra à direita no final do valor Emissor. Caso contrário, a conexão poderá falhar.

   Exemplo:https://sts.windows.net/{AzureAD TenantID}/

8. Quando os campos estiverem preenchidos, clique em Salvar.

9. No painel de Conexões VPN, selecione o perfil de conexão que você salvou. Em seguida, na lista suspensa, clique em Conectar.

   

10. O navegador da Web é exibido automaticamente. Preencha as credenciais de nome de usuário/senha para autenticação do Microsoft Entra ID e conecte-se.

11. Quando a conexão VPN for concluída com sucesso, o perfil do cliente mostrará um ícone verde e a janela Registros de status mostrará Status = Conectado no painel esquerdo.

12. Uma vez conectado, o status será alterado para Conectado. Para se desconectar da sessão, na lista suspensa, selecione Desconectar.

Excluir um perfil de cliente VPN

1. No cliente VPN do Azure, selecione a conexão que você deseja remover. Em seguida, na lista suspensa, selecione Remover.

   

2. Em Remover Conexão VPN?, selecione OK.

Verificar os logs

Para diagnosticar problemas, você pode usar os Logs do Cliente VPN do Azure.

1. No Cliente VPN do Azure, acesse Configurações. No painel à direita, selecione Mostrar Diretório de Logs.

2. Para acessar o arquivo de log, acesse a pasta /var/log/azurevpnclient e localize o arquivo AzureVPNClient.log.

Próximas etapas

Para obter mais informações sobre o cliente VPN do Azure registrado pela Microsoft, veja Configurar VPN de usuário P2S para autenticação de ID de entrada da Microsoft.