Criar uma conexão VPN de usuário P2S usando a WAN Virtual do Azure – autenticação do Microsoft Entra
Este artigo mostra como usar a WAN Virtual para se conectar aos recursos no Azure. Neste artigo, você criará uma conexão VPN de usuário de ponto a site com a WAN Virtual que usa a autenticação do Microsoft Entra. A autenticação do Microsoft Entra só está disponível para gateways que usam o protocolo OpenVPN.
Observação
A autenticação do Microsoft Entra tem suporte apenas para conexões de protocolo OpenVPN® e requer o Cliente VPN do Azure.
Neste artigo, você aprenderá como:
- Criar uma WAN virtual
- Criar uma configuração de VPN de Usuário
- Baixar o perfil da VPN do usuário da WAN Virtual
- Criar um hub virtual
- Editar um hub para adicionar o gateway P2S
- Conectar uma VNet a um hub virtual
- Fazer o download e aplicar a configuração do cliente da VPN
- Exibir a WAN virtual
Antes de começar
Verifique se você atende aos seguintes critérios antes de iniciar a configuração:
Você tem uma rede virtual à qual deseja se conectar. Verifique se nenhuma das sub-redes das redes locais se sobrepõe às redes virtuais às quais você deseja se conectar. Para criar uma rede virtual no portal do Azure, consulte o Início Rápido.
Sua rede virtual não tem gateways de rede virtual. Se sua rede virtual tem um gateway (VPN ou ExpressRoute), remova todos os gateways. Essa configuração requer que as redes virtuais sejam conectadas ao gateway do hub da WAN Virtual.
Obtenha um intervalo de endereços IP para sua região de hub. O hub é uma rede virtual criada e usada pela WAN Virtual. O intervalo de endereços especificado para o hub não pode se sobrepor a nenhuma das redes virtuais existentes às quais você se conecta. Ele também não pode se sobrepor aos intervalos de endereços aos quais você se conecta localmente. Se você não estiver familiarizado com os intervalos de endereços IP localizados em sua configuração de rede local, converse com alguém que possa fornecer esses detalhes para você.
Se você não tiver uma assinatura do Azure, crie uma conta gratuita.
Criar uma WAN virtual
Em um navegador, acesse o Portal do Azure e entre com sua conta do Azure.
No portal, na barra Pesquisar recursos, digite WAN Virtual na caixa de pesquisa e selecione Enter.
Escolha WAN Virtual nos resultados. Na página WANs Virtuais, selecione + Criar para abrir a página Criar WAN.
Na página Criar WAN, na guia Básico, preencha os campos. Modifique os valores de exemplo a serem aplicados ao seu ambiente.
- Assinatura: escolha a assinatura que você quer usar.
- Grupo de recursos: crie um novo ou use um existente.
- Localização do grupo de recursos: escolha uma localização de recursos na lista suspensa. Uma WAN é um recurso global e não pode residir em uma região específica. No entanto, você deve selecionar uma região a fim de gerenciar e localizar o recurso de WAN criado.
- Nome: digite o nome que você quer dar à sua WAN Virtual.
- Tipo: Básico ou Standard. Selecione Padrão. Se você selecionar Básico, entenda que as WANs virtuais Básicas só podem conter hubs Básicos. Os hubs básicos só podem ser usados para conexões site a site.
Quando terminar de preencher os campos, na parte inferior da página, selecione Examinar + Criar.
Depois que a validação for aprovada, clique em Criar para criar a WAN Virtual.
Criar uma configuração de VPN de Usuário
Uma configuração de VPN de usuário define os parâmetros para conexão de clientes remotos. É importante criar a configuração de VPN do Usuário antes de configurar o hub virtual com as configurações de P2S, pois você deve especificar a configuração de VPN do Usuário que deseja usar.
Navegue para a sua página WAN Virtual ->configurações de VPN de Usuário e clique em +Criar configuração de VPN de usuário.
Na página Básico, especifique os parâmetros.
- Nome da configuração - Insira o nome pelo qual você deseja chamar sua configuração de VPN de usuário.
- Tipo de túnel - Selecione OpenVPN no menu suspenso.
Clique em Microsoft Entra ID para abrir a página.
Alterne o Microsoft Entra ID para Sim e forneça os valores a seguir com base nos detalhes do locatário. Você pode exibir no portal os valores necessários na página do Microsoft Entra ID para aplicativos empresariais.
Método de Autenticação – Selecione o Microsoft Entra ID.
Público-alvo - Digite a ID do Aplicativo do Cliente VPN do Azure registrado em seu locatário do Microsoft Entra. Para obter os valores, consulte: Valores do Público-alvo do Cliente VPN do Azure
emissor -
https://sts.windows.net/<your Directory ID>/
Locatário do Microsoft Entra: TenantID para o locatário do Microsoft Entra. Verifique se não há um
/
no fim da URL do locatário do Microsoft Entra ID.- Insira
https://login.microsoftonline.com/<your Directory Tenant ID>
para o Público do Azure AD - Insira
https://login.microsoftonline.us/<your Directory Tenant ID>
para o Azure Governamental - Insira
https://login-us.microsoftonline.de/<your Directory Tenant ID>
para o Azure Alemanha AD - Insira
https://login.chinacloudapi.cn/<your Directory Tenant ID>
para o China 21Vianet AD
- Insira
Clique em Criar para criar a configuração de VPN do Usuário. Você selecionará essa configuração posteriormente no exercício.
Criar um hub vazio
Para este exercício, criamos um hub virtual vazio nesta etapa e, na próxima seção, você adicionará um gateway P2S a esse hub. No entanto, você pode combinar essas etapas e criar o hub com as configurações de gateway P2S tudo de uma vez. O resultado é o mesmo de qualquer maneira. Após definir as configurações, clique em Revisar + criar para validar e, em seguida, Criar.
Acesse a WAN virtual criada. No painel esquerdo da página WAN virtual, em Conectividade, selecione Hubs.
Na página Hubs, selecione +Novo Hub para abrir a página Criar hub virtual.
Na página Criar Hub Virtual, na guia Básico, preencha os seguintes campos:
- Região: selecione a região na qual você deseja implantar o hub virtual.
- Nome: o nome pelo qual você deseja que o hub virtual seja conhecido.
- Espaço de endereço privado do hub: o intervalo de endereços do hub na notação CIDR. O espaço de endereço mínimo é /24 para criar um hub.
- Capacidade do hub virtual: escolha na lista suspensa. Para obter mais informações, consulte Configurações do hub virtual.
- Preferência de roteamento do hub: deixe como o padrão. Para obter mais informações, confira Preferência de roteamento do hub virtual.
Adicionar um gateway P2S a um hub
Esta seção mostra como adicionar um gateway a um hub virtual já existente. Pode levar até 30 minutos para o hub completar a atualização e essa etapa ser concluída.
Navegue até a página Hubs na WAN Virtual.
Clique no nome do hub que você deseja editar para abrir a página do hub.
Clique em Editar hub virtual na parte superior da página para abrir a página Editar hub virtual.
Na página Editar hub virtual, marque as caixas de seleção para Incluir o gateway de VPN para os sites VPN e Incluir o gateway de ponto a site para revelar as configurações. Em seguida, configure os valores.
- Unidades de escala do gateway: selecione as unidades de escala do gateway. As unidades de escala do gateway representam a capacidade agregada do Gateway de VPN do Usuário. Se você selecionar 40 ou mais unidades de escala do gateway, planeje o pool de endereços do cliente de acordo com isso. Para obter informações sobre como essa configuração afeta o pool de endereços do cliente, confira Sobre os pools de endereços de cliente. Para obter informações sobre unidades de escala de gateway, confira as perguntas frequentes.
- Configuração de VPN de usuário: selecione a configuração que você criou anteriormente.
- Mapeamento de Grupos de Usuários para Pools de Endereços: para obter informações sobre essa configuração, confira Configurar grupos de usuários e pools de endereços IP para VPNs de usuário P2S (versão prévia).
Depois de definir as configurações, clique em Confirmar para atualizar o hub. Pode levar até 30 minutos para que um hub seja atualizado.
Conectar VNet ao hub
Nesta seção, você pode criar uma conexão entre uma VNet e seu hub.
No portal do Azure, vá para WAN Virtual No painel esquerdo, selecione Conexões de rede virtual.
paginarNa página Conexões de rede virtual, selecione + Adicionar conexão.
Na página Adicionar conexão, defina as configurações de conexão. Para saber sobre as configurações de roteamento, confira Sobre o roteamento.
- Nome da conexão: nomeie a sua conexão.
- Hubs: selecione o hub que você deseja associar a essa conexão.
- Assinatura: verifique a assinatura.
- Grupo de recursos: selecione o grupo de recursos que contém a rede virtual à qual você deseja se conectar.
- Rede virtual: selecione a rede virtual que você deseja conectar a esse hub. A rede virtual selecionada não pode ter um gateway de rede virtual já existente.
- Propagar para nenhum: fica configurado como Não por padrão. Alterar a opção para Sim deixa as opções de configuração para Propagar para tabelas de rotas e Propagar para rótulos não disponíveis para configuração.
- Associar tabela de rotas: no menu suspenso, selecione uma tabela de rotas que deseja associar.
- Propagar para rótulos: rótulos são um grupo lógico de tabelas de rotas. Para essa configuração, selecione na lista suspensa.
- Rotas estáticas: configurar rotas estáticas, se necessário. Configure as rotas estáticas da Soluções de Virtualização de Rede (se aplicável). A WAN Virtual dá suporte a um único IP do próximo salto para a rota estática em uma conexão de rede virtual. Por exemplo, se você tiver uma solução de virtualização separada para fluxos de tráfego de entrada e saída, seria melhor ter as soluções de virtualização em VNets separadas e anexar as VNets ao hub virtual.
- Ignorar o IP do Próximo Salto para cargas de trabalho nessa VNet: essa configuração permite implantar NVAs e outras cargas de trabalho na mesma VNet sem forçar todo o tráfego por meio da NVA. Essa definição só pode ser configurada quando você estiver configurando uma nova conexão. Se você quiser usar essa configuração para uma conexão que já criou, exclua a conexão e adicione uma nova conexão.
- Propagar rota estática: essa configuração está sendo distribuída no momento. Essa configuração permite propagar rotas estáticas definidas na seção Rotas estáticas para rotear tabelas especificadas em Propagar para Tabelas de Rotas. Além disso, as rotas serão propagadas para tabelas de rotas que têm rótulos especificados como Propagar para rótulos. Essas rotas podem ser propagadas entre hubs, exceto para a rota padrão 0/0. Este recurso está em processo de distribuição. Se você precisar desse recurso habilitado, abra um caso de suporte
Depois de concluir as definições de configuração, clique em Criar para criar a conexão.
Baixar o perfil de VPN de Usuário
Todas as definições de configuração necessárias para os clientes VPN estão contidas em um arquivo zip de configuração do cliente VPN. As configurações no arquivo zip ajudam você a configurar facilmente os clientes VPN. Os arquivos de configuração do cliente VPN gerados são específicos para a configuração da VPN de Usuário para o seu gateway. Você pode baixar perfis globais (nível WAN) ou um perfil para um hub específico. Para obter informações e instruções adicionais, consulte Baixar perfis globais e de hub. As etapas a seguir orientam você no download de um perfil global no nível da WAN.
Para gerar um pacote de configuração de cliente VPN do perfil global de nível da WAN, vá para a WAN virtual (não o hub virtual).
No painel esquerdo, selecione Configurações de VPN do usuário.
Escolha a configuração para a qual deseja baixar o perfil. Se você tiver vários hubs atribuídos ao mesmo perfil, expanda o perfil para mostrar os hubs e selecione um dos hubs que usa o perfil.
Selecione Baixar perfil de VPN do usuário da WAN virtual.
Na página de download, selecione EAPTLS e, em seguida, Gerar e baixar o perfil. Um pacote de perfil (arquivo zip) que contém as definições de configuração do cliente é gerado e baixado no computador. O conteúdo do pacote depende das opções de autenticação e de túnel da sua configuração.
Configurar clientes VPN do usuário
Cada computador que se conectar deve ter um cliente instalado. Configure cada cliente usando os arquivos de perfil de cliente de usuário VPN que você baixou nas etapas anteriores. Use o artigo que pertence ao sistema operacional que você deseja conectar.
Para configurar clientes VPN macOS (versão prévia)
Para instruções de cliente macOS, confira Configurar um cliente VPN – macOS (versão prévia).
Para configurar clientes VPN Windows
Baixe a versão mais recente dos arquivos de instalação do Cliente VPN do Azure usando um dos seguintes links:
- Instale usando os arquivos de instalação do cliente: https://aka.ms/azvpnclientdownload.
- Instale diretamente, quando conectado em um computador cliente: Microsoft Store.
Instale o Cliente VPN do Azure para cada computador.
Verifique se o cliente VPN do Azure tem permissão para ser executado em segundo plano. Para conhecer as etapas, confira Aplicativos em segundo plano do Windows.
Para verificar a versão do cliente instalada, abra o Cliente VPN do Azure. Vá para a parte inferior do cliente e clique em ... -> ? Ajuda. No painel direito, você pode ver o número da versão do cliente.
Para importar um perfil de cliente VPN (Windows)
Na página, selecione Importar.
Navegue até o arquivo XML do perfil e selecione-o. Com o arquivo selecionado, selecione Abrir.
Especifique o nome do perfil e selecione Salvar.
Selecione Conectar para se conectar à VPN.
Uma vez conectado, o ícone ficará verde e mostrará o texto Conectado.
Para excluir um perfil de cliente – Windows
Selecione as reticências (...) ao lado do perfil do cliente que você deseja excluir. Em seguida, selecione Remover.
Selecione Remover para excluir.
Diagnosticar problemas de conexão – Windows
Para diagnosticar problemas de conexão, você pode usar a ferramenta Diagnosticar. Selecione as reticências (...) ao lado da conexão VPN que você deseja diagnosticar para revelar o menu. Em seguida, selecione Diagnosticar.
Na página Propriedades de Conexão, selecione Executar Diagnóstico.
Entre com suas credenciais.
Exiba os resultados do diagnóstico.
Exibir a WAN virtual
- Navegue até a WAN virtual.
- Na página de visão geral, cada ponto do mapa representa um hub.
- Na seção Hubs e conexões, você pode exibir status do hub, site, região, status de conexão de VPN e bytes de entrada e saída.
Limpar os recursos
Quando não precisar mais dos recursos que criou, exclua-os. Alguns dos recursos da WAN Virtual precisam ser excluídos em determinada ordem devido às dependências. A exclusão poderá levar cerca de 30 minutos para ser concluída.
Abra a WAN virtual criada.
Selecione um hub virtual associado à WAN virtual para abrir a página do hub.
Exclua todas as entidades de gateway seguindo a ordem abaixo para o tipo de gateway. Isso poderá levar até 30 minutos para ser concluído.
VPN:
- Desconectar os sites VPN
- Excluir conexões VPN
- Excluir gateways VPN
ExpressRoute:
- Excluir conexões do ExpressRoute
- Excluir gateways do ExpressRoute
Repita esta etapa para todos os hubs associados à WAN virtual.
Exclua os hubs agora ou mais tarde, ao excluir o grupo de recursos.
Procure o grupo de recursos no portal do Azure.
Selecione Excluir grupo de recursos. Isso excluirá os outros recursos no grupo de recursos, incluindo os hubs e a WAN virtual.
Próximas etapas
Para consultar as perguntas frequentes sobre WAN Virtual, confira as Perguntas frequentes sobre WAN Virtual.