Sobre grupos de usuários e pools de endereços IP para VPNs de usuário P2S
Configure as VPNs de usuário P2S para atribuir endereços IP de usuários de pools de endereços específicos com base em suas credenciais de identidade ou autenticação criando Grupos de Usuários. Este artigo descreve as diferentes configurações e parâmetros que o gateway de VPN P2S com WAN Virtual usa para determinar grupos de usuários e atribuir endereços IP. Para configurar as etapas, confira Configurar grupos de usuários e pools de endereços IP para VPNs de Usuário P2S.
Este artigo aborda os seguintes conceitos:
- Conceitos de configuração do servidor
- Grupos de usuários
- Membros do grupo
- Grupo de políticas padrão
- Prioridade de grupo
- Configurações de grupo disponíveis
- Conceitos sobre gateway
- Limitações e requisitos da configuração
- Casos de uso
Conceitos de configuração do servidor
As seções a seguir explicam os termos e valores comuns usados para a configuração do servidor.
Grupos de usuários (grupos de políticas)
Um grupo de usuários ou grupo de políticas é uma representação lógica de um grupo de usuários que deve ter endereços IP atribuídos do mesmo pool de endereços.
Membros do grupo (membros da política)
Os grupos de usuários consistem em membros. Os membros não correspondem a usuários individuais, mas definem os critérios usados para determinar de qual grupo um usuário conectado faz parte. Um único grupo pode ter vários membros. Se um usuário em conexão corresponder aos critérios especificados para um dos membros do grupo, o usuário será considerado parte desse grupo e poderá ter um endereço IP apropriado atribuído. Os tipos de parâmetros de membro disponíveis dependem dos métodos de autenticação especificados na configuração do servidor VPN. Para ver uma lista completa de critérios disponíveis, confira a seção Configurações de grupos disponíveis deste artigo.
Grupo padrão de usuário/política
Para cada configuração do servidor VPN P2S, um grupo deverá ser selecionado como padrão. Os usuários que apresentam credenciais que não correspondem a nenhuma configuração de grupo são considerados parte do grupo padrão. Depois que um grupo é criado, a configuração padrão desse grupo não pode ser alterada.
Prioridade de grupo
Cada grupo também recebe uma prioridade numérica. Grupos de prioridade mais baixa são avaliados primeiro. Isso significa que se um usuário apresentar credenciais que correspondam às configurações de vários grupos, ele será considerado como parte do grupo de baixa prioridade. Por exemplo, se o usuário A apresentar uma credencial que corresponda ao Grupo TI (prioridade 3) e ao Grupo Financeiro (prioridade 4), o usuário A será considerado parte do Grupo TI para fins de atribuição de endereços IP.
Configurações de grupo disponíveis
A seção a seguir descreve os diferentes parâmetros que podem ser usados para definir de quais grupos os membros fazem parte. Os parâmetros disponíveis variam de acordo com os métodos de autenticação selecionados. A tabela a seguir resume os tipos de configuração disponíveis e os valores aceitáveis. Para obter informações mais detalhadas sobre cada tipo de valor de membro, exiba a seção correspondente ao seu tipo de autenticação.
Tipo de autenticação | Tipo de membro | Valores de membro | Valor de exemplo |
---|---|---|---|
Microsoft Entra ID | AADGroupID | ID do objeto de grupo do Microsoft Entra | {valor da ID do objeto} |
RAIO | AzureRADIUSGroupID | Valor de atributo específico do fornecedor (hexadecimal) (deve começar com 6ad1bd) | 6ad1bd23 |
Certificado | AzureCertificateID | Nome de domínio do nome comum do certificado (CN=user@red.com) | vermelha |
Autenticação do Microsoft Entra (somente OpenVPN)
Os gateways que usam a autenticação do Microsoft Entra podem usar IDs de objeto de grupo do Microsoft Entra para determinar a qual grupo de usuários um usuário pertence. Se um usuário fizer parte de vários grupos do Microsoft Entra, ele será considerado parte do grupo de usuários da P2S VPN que tem a menor prioridade numérica.
No entanto, se você planeja que usuários externos (usuários que não fazem parte do domínio do Microsoft Entra configurado no gateway VPN) se conectem ao gateway de VPN ponto a site, certifique-se de que o tipo de usuário do usuário externo seja "Membro" e não "Convidado". Além disso, certifique-se de que o "Nome" do usuário esteja definido como o endereço de email do usuário. Se o tipo de usuário e o nome do usuário conectado não estiverem definidos corretamente conforme descrito acima, ou se você não puder definir um membro externo como "Membro" do seu domínio do Microsoft Entra, esse usuário conectado será atribuído ao grupo padrão e receberá um endereço IP do pool de endereços IP padrão.
Você também pode identificar se um usuário é externo ou não examinando o "Nome Principal do Usuário" do usuário. Os usuários externos têm #EXT no "Nome Principal do Usuário".
Certificado do Azure (OpenVPN e IKEv2)
Os gateways que usam a autenticação baseada em certificado usam o nome de domínio de CN (nomes comuns) do certificado de usuário para determinar em qual grupo um usuário conectado está. Os nomes comuns devem estar em um dos seguintes formatos:
- domínio/nome de usuário
- username@domain.com
Verifique se o domínio é a entrada como um membro do grupo.
Servidor RADIUS (OpenVPN e IKEv2)
Os gateways que usam a autenticação baseada em RADIUS usam um novo VSA (Atributo Específico do Fornecedor) para determinar grupos de usuários de VPN. Quando a autenticação baseada em RADIUS é configurada no gateway P2S, o gateway serve como um proxy NPS (Servidor de Políticas de Rede). Isso significa que o gateway de VPN P2S serve como um cliente para autenticar usuários com o servidor RADIUS usando o protocolo RADIUS.
Depois que o servidor RADIUS tiver verificado com êxito as credenciais do usuário, o servidor RADIUS poderá ser configurado para enviar um novo VSA (Atributo Específico do Fornecedor) como parte de pacotes de Access-Accept. O gateway de VPN P2S processa o VSA nos pacotes de Access-Accept e atribui endereços IP específicos aos usuários com base no valor dos VSAs.
Portanto, os servidores RADIUS devem ser configurados para enviar um VSA com o mesmo valor para todos os usuários que fazem parte do mesmo grupo.
Observação
O valor do VSA deve ser uma cadeia de caracteres hexadecimal de octeto no servidor RADIUS e no Azure. Essa cadeia de caracteres de octeto deve começar com 6ad1bd. Os dois últimos dígitos hexadecimais podem ser configurados livremente. Por exemplo, 6ad1bd98 é válido, mas 6ad12323 e 6a1bd2 não seriam válidos.
O novo VSA é MS-Azure-Policy-ID.
O VSA do MS-Azure-Policy-ID é usado pelo servidor RADIUS para enviar um identificador usado pelo servidor VPN P2S para corresponder a uma política de usuário RADIUS autenticada configurada no lado do Azure. Essa política é usada para selecionar a configuração de IP/Roteamento (endereço IP atribuído) para o usuário.
Os campos de MS-Azure-Policy-ID DEVEM ser definidos da seguinte maneira:
- Vendor-Type: um inteiro sem sinal de 8 bits que DEVE ser definido como 0x41 (inteiro: 65).
- Vendor-Length: um inteiro sem sinal de 8 bits que DEVE ser definido como o comprimento da cadeia de caracteres de octeto no valor de Attribute-Specific mais 2.
- Attribute-Specific Value: uma cadeia de caracteres de octeto que contém a ID da Política configurada no servidor VPN ponto a site do Azure.
Para obter informações de configuração, confira RADIUS – configurar o NPS para atributos específicos do fornecedor.
Conceitos sobre gateway
Quando um gateway de VPN P2S de WAN Virtual é atribuído a uma configuração de servidor VPN que usa grupos de usuário/política, você pode criar várias configurações de conexão VPN P2S no gateway.
Cada configuração de conexão pode conter um ou mais grupos de usuários de configuração do servidor VPN. Cada configuração de conexão é mapeada para um ou mais pools de endereços IP. Os usuários que se conectam a esse gateway têm um endereço IP atribuído com base em sua identidade, credenciais, grupo padrão e prioridade.
Neste exemplo, a configuração do servidor VPN tem os seguintes grupos configurados:
Padrão | Prioridade | Nome do grupo | Tipo de autenticação | Valor do membro |
---|---|---|---|---|
Yes | 0 | Engenharia | ID do Microsoft Entra | groupObjectId1 |
Não | 1 | Finance | ID do Microsoft Entra | groupObjectId2 |
Não | 2 | PM | ID do Microsoft Entra | groupObjectId3 |
Essa configuração do servidor VPN pode ser atribuída a um gateway de VPN P2S na WAN Virtual com:
Configuração | Grupos | Pools de endereços |
---|---|---|
Config0 | Engineering, PM | x.x.x.x/yy |
Config1 | Finance | a.a.a.a/bb |
O seguinte resultado é:
- Os usuários que estiverem se conectando a esse gateway de VPN P2S terão um endereço atribuído de x.x.x.x/yy se fizerem parte dos grupos de Engenharia ou PM do Microsoft Entra.
- Endereços IP de a.a.a.a.a/bb são atribuídos aos usuários que fazem parte do grupo Finanças do Microsoft Entra.
- Como Engenharia é o grupo padrão, os usuários que não fazem parte de nenhum grupo configurado são considerados parte de Engenharia e recebem um endereço IP de x.x.x.x/yy.
Considerações de configuração
Esta seção lista os requisitos de configuração e as limitações para grupos de usuários e pools de endereços IP.
Máximo de grupos: um único gateway de VPN P2S (ponto a site) pode referenciar até 90 grupos.
Máximo de membros: o número total de membros da política/grupo em todos os grupos atribuídos a um gateway é 390.
Várias atribuições: se um grupo for atribuído a várias configurações de conexão no mesmo gateway, esse grupo e seus membros serão contados várias vezes. Exemplo: um grupo de políticas com 10 membros atribuído a três configurações de conexão VPN é contado como três grupos com 30 membros, e não como um grupo com 10 membros.
Usuários simultâneos: o número total de usuários simultâneos é determinado pela unidade de escala do gateway e pelo número de endereços IP alocados a cada grupo de usuários. Ele não é determinado pelo número de membros da política/grupo associados ao gateway.
Depois que um grupo for criado como parte de uma configuração de servidor VPN, o nome e a configuração padrão de um grupo não poderão ser modificados.
Os nomes de grupo devem ser distintos.
Os grupos que têm prioridade numérica menor são processados antes de grupos com prioridade numérica mais alta. Se um usuário conectado for membro de vários grupos, o gateway o considerará como um membro do grupo com menor prioridade numérica para fins de atribuição de endereços IP.
Os grupos que estão sendo usados por gateways de VPN ponto a site existentes não podem ser excluídos.
Reordene as prioridades de seus grupos clicando nos botões de seta para cima e para baixo correspondentes a esse grupo.
Os pools de endereços não podem se sobrepor aos pools de endereços usados em outras configurações de conexão (mesmos ou gateways diferentes) na mesma WAN virtual.
Os pools de endereços também não podem se sobrepor a espaços de endereço de rede virtual, espaços de endereço de hub virtual ou endereços locais.
Casos de uso
A Contoso Corporation é composta por vários departamentos funcionais, como Finanças, Recursos Humanos e Engenharia. A Contoso usa WAN Virtual do Azure para permitir que os trabalhadores remotos (usuários) se conectem à WAN virtual e acessem recursos hospedados localmente ou em uma rede virtual conectada ao hub da WAN virtual.
No entanto, a Contoso tem políticas de segurança internas em que os usuários do departamento de Finanças só podem acessar determinados bancos de dados e máquinas virtuais, e os usuários de Recursos Humanos têm acesso a outros aplicativos confidenciais.
A Contoso pode configurar grupos de usuários diferentes para cada um de seus departamentos funcionais. Isso garante que os usuários de cada departamento tenham endereços IP atribuídos de um pool de endereços predefinido no nível do departamento.
O administrador de rede da Contoso pode configurar regras de firewall, NSG (grupos de segurança de rede) ou ACLs (listas de controle de acesso) para permitir ou negar acesso de determinados usuários a recursos com base em seus endereços IP.
Próximas etapas
- Para criar grupos de usuários, confira Criar grupos de usuários para VPN de usuário P2S.