Partilhar via

Configurar o Cliente VPN do Azure – autenticação do Microsoft Entra ID – Linux (Pré-visualização)

  • Artigo

Este artigo ajuda você a configurar o Cliente VPN do Azure em um computador Linux (Ubuntu) para se conectar a uma rede virtual usando uma VPN de Usuário de WAN Virtual (ponto a site) e autenticação de ID do Microsoft Entra.

As etapas neste artigo se aplicam à autenticação do Microsoft Entra ID usando o aplicativo Cliente VPN do Azure registrado pela Microsoft com valores de ID do Aplicativo e Audiência associados. Este artigo não se aplica ao aplicativo Cliente VPN do Azure mais antigo e registrado manualmente para seu locatário. Para obter mais informações, consulte VPN de usuário ponto a site para autenticação de ID do Microsoft Entra: aplicativo registrado pela Microsoft.

Antes de começar

Verifique se você está no artigo correto. A tabela a seguir mostra os artigos de configuração disponíveis para clientes VPN ponto a site (P2S) da WAN Virtual do Azure. As etapas são diferentes, dependendo do tipo de autenticação, do tipo de túnel e do sistema operacional cliente.

Método de autenticação Tipo de túnel SO de Cliente cliente de VPN
Certificado IKEv2, SSTP Windows Cliente VPN nativo
IKEv2 macOS Cliente VPN nativo
IKEv2 Linux forteSwan
OpenVPN Windows Cliente VPN do Azure
Cliente OpenVPN versão 2.x
Cliente OpenVPN versão 3.x
OpenVPN macOS Cliente OpenVPN
OpenVPN iOS Cliente OpenVPN
OpenVPN Linux Cliente VPN do Azure
Cliente OpenVPN
Microsoft Entra ID OpenVPN Windows Cliente VPN do Azure
OpenVPN macOS Cliente VPN do Azure
OpenVPN Linux Cliente VPN do Azure

Pré-requisitos

Este artigo pressupõe que você já tenha executado os seguintes pré-requisitos:

  • Você configurou uma WAN virtual de acordo com as etapas no artigo Configurar um gateway VPN de usuário (P2S) para autenticação do Microsoft Entra ID. Sua configuração de VPN de usuário deve usar a autenticação Microsoft Entra ID (Azure Ative Directory) e o tipo de túnel OpenVPN.
  • Você gerou e baixou os arquivos de configuração do cliente VPN. Para conhecer as etapas para gerar um pacote de configuração de perfil de cliente VPN, consulte Baixar perfis globais e de hub.

Fluxo de Trabalho

Após a conclusão da configuração do servidor WAN Virtual, as próximas etapas serão as seguintes:

  1. Transfira e instale o Cliente VPN do Azure para Linux.
  2. Importe as configurações de perfil do cliente para o cliente VPN.
  3. Criar uma ligação.

Instalar o Cliente VPN do Azure

Use as etapas a seguir para baixar e instalar a versão mais recente do Cliente VPN do Azure para Linux.

Nota

Adicione apenas a lista de repositórios da sua versão do Ubuntu 20.04 ou 22.04. Para obter mais informações, consulte o Linux Software Repository for Microsoft Products.

# install curl utility
sudo apt-get install curl

# Install Microsoft's public key
curl -sSl https://packages.microsoft.com/keys/microsoft.asc | sudo tee /etc/apt/trusted.gpg.d/microsoft.asc

# Install the production repo list for focal
# For Ubuntu 20.04
curl https://packages.microsoft.com/config/ubuntu/20.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-focal-prod.list

# Install the production repo list for jammy
# For Ubuntu 22.04
curl https://packages.microsoft.com/config/ubuntu/22.04/prod.list | sudo tee /etc/apt/sources.list.d/microsoft-
ubuntu-jammy-prod.list

sudo apt-get update
sudo apt-get install microsoft-azurevpnclient

Extraia o pacote de configuração do perfil do cliente VPN

Para configurar seu perfil de Cliente VPN do Azure, baixe um pacote de configuração de perfil de Cliente VPN do gateway P2S do Azure. Este pacote contém as configurações necessárias para configurar o cliente VPN.

Se sua configuração de gateway P2S foi configurada anteriormente para usar as versões mais antigas de ID de aplicativo registradas manualmente, sua configuração P2S não suporta o cliente VPN Linux. Você precisará alterar sua configuração P2S para usar a versão de ID de aplicativo registrada pela Microsoft. Para obter mais informações, consulte Configurar VPN de usuário P2S para autenticação de ID do Microsoft Entra – aplicativo registrado pela Microsoft.

  1. Localize e extraia o arquivo zip que contém o pacote de configuração do perfil do cliente VPN. O arquivo zip contém a pasta AzureVPN .
  2. Na pasta AzureVPN, você verá o arquivo azurevpnconfig_aad.xml ou o arquivo azurevpnconfig.xml , dependendo se sua configuração P2S inclui vários tipos de autenticação. O arquivo .xml contém as configurações que você usa para configurar o perfil do cliente VPN.

Modificar arquivos de configuração de perfil VPN

Se sua configuração P2S usa um público personalizado com sua ID de aplicativo registrada na Microsoft, você pode receber pop-ups sempre que se conectar que exigem que você insira suas credenciais novamente e conclua a autenticação. Repetir a autenticação geralmente resolve o problema. Isso acontece porque o perfil do cliente VPN precisa da ID de público personalizada e da ID do aplicativo Microsoft. Para evitar isso, modifique o arquivo de .xml de configuração do perfil para incluir a ID do aplicativo personalizado e a ID do aplicativo Microsoft.

Nota

Esta etapa é necessária para configurações de gateway P2S que usam um valor de público personalizado e seu aplicativo registrado está associado à ID do aplicativo Cliente VPN do Azure registrado pela Microsoft. Se isso não se aplicar à configuração do gateway P2S, ignore esta etapa.

  1. Para modificar o arquivo de .xml de configuração do Cliente VPN do Azure, abra o arquivo usando um editor de texto, como o Bloco de Notas.

  2. Em seguida, adicione o valor e applicationid salve suas alterações. O exemplo a seguir mostra o valor c632b3df-fb67-4d84-bdcf-b95ad541b5c8de ID do aplicativo .

    Exemplo

    <aad>
   <audience>{customAudienceID}</audience>
   <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
   <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
   <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
</aad>

Importar definições de configuração de perfil de cliente VPN

Nesta seção, você configura o cliente VPN do Azure para Linux.

  1. Na página Cliente VPN do Azure, no painel inferior esquerdo, selecione Importar.

  2. Selecione Importar perfil e navegue para encontrar o arquivo xml do perfil. Selecione o arquivo. Com o arquivo selecionado, selecione OK.

    Captura de ecrã do Cliente VPN do Azure a mostrar o ficheiro a importar.

  3. Veja as informações do perfil de conexão. Altere o valor Informações do certificado para mostrar o DigiCert_Global_Root padrão G2.pem ou DigiCert_Global_Root_CA.pem. Não deixe em branco.

  4. Se o seu perfil de cliente VPN contiver várias autenticações de cliente, para Autenticação de Cliente, Tipo de Autenticação, selecione ID do Microsoft Entra na lista suspensa.

    Captura de tela dos campos Validação do Servidor e Autenticação do Cliente.

  5. Para o campo Locatário , especifique a URL do seu locatário do Microsoft Entra. Certifique-se de que o URL do inquilino não tem uma \ barra invertida (barra invertida) no final. É permitida a barra para a frente.

    O ID do Locatário tem a seguinte estrutura: https://login.microsoftonline.com/{Entra TenantID}

  6. Para o campo Audiência , especifique a ID do aplicativo (ID do aplicativo).

    A ID do Aplicativo para o Cliente VPN do Azure registrado pela Microsoft é: c632b3df-fb67-4d84-bdcf-b95ad541b5c8. Também suportamos ID de aplicativo personalizado para este campo.

  7. Para o campo Emissor , especifique a URL do Serviço de Token Seguro. Inclua uma barra à direita no final do valor do Emissor. Caso contrário, a conexão pode falhar.

    Exemplo: https://sts.windows.net/{AzureAD TenantID}/

  8. Quando os campos estiverem preenchidos, clique em Guardar.

  9. No painel Conexões VPN, selecione o perfil de conexão que você salvou. Em seguida, na lista suspensa, clique em Conectar.

    Captura de tela mostrando o perfil de conexão e a área para encontrar conexão no menu suspenso.

  10. O navegador da Web aparece automaticamente. Preencha as credenciais de nome de usuário/senha para autenticação do Microsoft Entra ID e conecte-se.

  11. Quando a conexão VPN for concluída com êxito, o perfil do cliente mostrará um ícone verde e a janela Logs de Status mostrará Status = Conectado no painel esquerdo.

  12. Uma vez conectado, o status muda para Conectado. Para se desconectar da sessão, na lista suspensa, selecione Desconectar.

Excluir um perfil de cliente VPN

  1. No cliente VPN do Azure, selecione a conexão que deseja remover. Em seguida, na lista suspensa, selecione Remover.

    Captura de tela do cliente vpn com a lista suspensa mostrando três opções: Conectar, Configurar, Remover.

  2. Em Remover Conexão VPN?, selecione OK.

Verificar registos

Para diagnosticar problemas, você pode usar os Logs de Cliente VPN do Azure.

  1. No Cliente VPN do Azure, vá para Configurações. No painel direito, selecione Mostrar diretório de logs.

  2. Para acessar o arquivo de log, vá para a pasta /var/log/azurevpnclient e localize o arquivo AzureVPNClient.log .

Próximos passos

Para obter mais informações sobre o Cliente VPN do Azure registrado pela Microsoft, consulte Configurar VPN de usuário P2S para autenticação de ID do Microsoft Entra.