Configurar o Gateway de VPN P2S para autenticação do Microsoft Entra ID – aplicativo registrado manualmente

Este artigo ajuda você a configurar um gateway de VPN ponto a site (P2S) para a autenticação do Microsoft Entra ID e a registrar o cliente VPN do Azure manualmente. Esse tipo de configuração tem suporte apenas para conexões do protocolo OpenVPN.

Você também pode criar esse tipo de configuração de Gateway de VPN P2S usando as etapas para o novo aplicativo de Cliente VPN registrado pela Microsoft. Usar a versão mais recente ignora as etapas de registro do Cliente VPN do Azure no seu locatário do Microsoft Entra. Também dá suporte a um maior número de sistemas operacionais de clientes. No entanto, nem todos os valores de público-alvo têm suporte. Para obter mais sobre autenticação e protocolos ponto a site, confira Sobre a VPN ponto a site do Gateway de VPN. Para obter informações sobre como criar e modificar públicos personalizados, confira Criar ou modificar um público-alvo personalizado.

Observação

Quando possível, recomendamos que você use as novas instruções do aplicativo cliente VPN registrado pela Microsoft.

Pré-requisitos

As etapas neste artigo exigem um locatário do Microsoft Entra. Se você não tiver um locatário do Microsoft Entra, poderá criar um usando as etapas no artigo Criar um locatário. Observe os seguintes campos ao criar seu diretório:

• Nome organizacional
• Nome de domínio inicial

Se você já tiver um gateway P2S existente, as etapas neste artigo ajudarão você a configurar o gateway para autenticação do Microsoft Entra ID. Você também pode criar um novo gateway de VPN. O link para criar um novo gateway está incluído neste artigo.

Observação

Só há suporte para a autenticação do Microsoft Entra em conexões de protocolo OpenVPN®, exigindo o Cliente VPN do Azure.

Criar usuários de locatário do Microsoft Entra

1. Crie duas contas no locatário recém-criado do Microsoft Entra. Para seguir etapas, confira Adicionar ou excluir um usuário.

   • Função Administrador de aplicativos de nuvem
   • Conta de usuário

   A função Administrador de aplicativos de nuvem é usada para dar consentimento ao registro do aplicativo de VPN do Azure. A conta de usuário pode ser usada para testar a autenticação OpenVPN.

2. Atribua a uma das contas a função Administrador de aplicativos de nuvem. Para obter etapas, consulte Atribuir funções de administrador e não administrador a usuários com o Microsoft Entra ID.

Autorizar o aplicativo VPN do Azure

1. Entre no portal do Azure como um usuário ao qual é atribuída a função Administrador de aplicativos de nuvem.

2. Em seguida, dê o consentimento do administrador à organização. Isso permite que o aplicativo VPN do Azure se conecte e leia os perfis de usuário. Copie e cole a URL pertencente ao local de implantação na barra de endereços do navegador:

   Público

   https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
   

   Azure Government

   https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
   

   Microsoft Cloud Alemanha

   https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
   

   Microsoft Azure operado pela 21Vianet

   https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
   

   Observação

   Se você estiver usando uma conta de Administrador de aplicativos de nuvem que não seja nativa do locatário do Microsoft Entra para fornecer consentimento, substitua "common" pela ID de locatário do Microsoft Entra na URL. Você também pode precisar substituir "common" pela sua ID de locatário em alguns outros casos. Para obter ajuda para encontrar sua ID de locatário, consulte Como encontrar sua ID de locatário do Microsoft Entra.

3. Selecione a conta que tem a função Administrador de aplicativos em nuvem, se solicitado.

4. Na página Permissões solicitadas, selecione Aceitar.

5. Acesse o Microsoft Entra ID. No painel esquerdo, selecione Aplicativos empresariais. Você verá a VPN do Azure listada.

   

Configurar o gateway de VPN

Importante

O portal do Azure está em processo de atualização dos campos do Azure Active Directory para o Entra. Se você vir o Microsoft Entra ID referenciado e ainda não vir esses valores no portal, poderá selecionar os valores do Azure Active Directory.

1. Localize a ID de locatário do diretório que você deseja usar para a autenticação. Está listada na seção Propriedades da página Active Directory Domain Services. Para obter ajuda para encontrar sua ID de locatário, consulte Como encontrar sua ID de locatário do Microsoft Entra.

2. Se você ainda não tiver um ambiente de ponto a site funcionando, siga as instruções para criar um. Veja Criar uma VPN ponto a site para criar e configurar um gateway de VPN ponto a site. Quando você cria um gateway de VPN, o SKU Básico não tem suporte para OpenVPN.

3. Vá até o gateway de rede virtual. No painel esquerdo, clique na Configuração ponto a site.

   

   Configure os seguintes valores:

   • Pool de endereços: pool de endereços do cliente
   • Tipo de túnel: OpenVPN (SSL)
   • Tipo de autenticação: Microsoft Entra ID

   Em valores do Microsoft Entra ID, use as diretrizes a seguir para valores de Locatário, Público e Emissor. Substitua {TenantID} pela sua ID de locatário, tomando cuidado para remover {} dos exemplos ao substituir esse valor.

   • Locatário: TenantID para o locatário do Microsoft Entra. Insira a ID do locatário que corresponde à configuração. A URL do Locatário não pode ter uma \ (barra invertida) no final. A barra “/” é permitida.

     • AD do Público do Azure: https://login.microsoftonline.com/{TenantID}
     • AD do Azure Government: https://login.microsoftonline.us/{TenantID}
     • AD do Azure Alemanha: https://login-us.microsoftonline.de/{TenantID}
     • AD do China 21Vianet: https://login.chinacloudapi.cn/{TenantID}

   • Público-alvo: a ID do aplicativo do Aplicativo Empresarial do Microsoft Entra da "VPN do Azure".

     • Público do Azure: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
     • Azure Governamental: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
     • Azure Alemanha: 538ee9e6-310a-468d-afef-ea97365856a9
     • Microsoft Azure operado pela 21Vianet: 49f817b6-84ae-4cc0-928c-73f27289b3aa

   • Emissor: URL do Serviço de Token Seguro. Inclua uma barra à direita no final do valor Emissor. Caso contrário, a conexão poderá falhar. Exemplo:

     • https://sts.windows.net/{TenantID}/

4. Depois de concluir a configuração, clique em Salvar na parte superior da página.

Baixe o pacote de configuração do perfil de Cliente VPN

Nesta seção, você gerará e baixará o pacote de configuração de perfil do cliente VPN do Azure. Esse pacote contém as configurações que você pode usar para configurar o perfil do Cliente VPN do Azure em computadores cliente.

1. Na parte superior da página Configuração ponto a site, clique em Baixar cliente VPN. Levará alguns minutos para o pacote de configuração do cliente ser gerado.

2. Seu navegador indica que um arquivo zip de configuração do cliente está disponível. Ele terá o mesmo nome do seu gateway.

3. Extraia o arquivo compactado que baixou.

4. Navegue até a pasta “AzureVPN” descompactada.

5. Anote a localização do arquivo “azurevpnconfig.xml”. O arquivo azurevpnconfig.xml contém a configuração da conexão VPN. Também é possível distribuir esse arquivo para todos os usuários que precisam se conectar por e-mail ou outros meios. O usuário precisará de credenciais válidas do Microsoft Entra ID para se conectar com sucesso.

Próximas etapas

• Para se conectar à rede virtual, você deve configurar o cliente VPN do Azure nos computadores cliente. Confira Configurar um cliente VPN para conexões VPN P2S – Windows ou Configurar um cliente VPN para conexões VPN P2S – macOS.
• Para perguntas frequentes, confira a seção Ponto a site das Perguntas frequentes sobre Gateway de VPN.