Escenario: Configuración del acceso P2S basado en usuarios y grupos: autenticación de Microsoft Entra ID

En este artículo se explica un escenario para configurar el acceso basado en usuarios y grupos para conexiones VPN de punto a sitio (P2S) que usan la autenticación de Microsoft Entra ID. En este escenario, configurará este tipo de acceso mediante varios id. de aplicaciones de audiencia personalizados con permisos especificados y varias puertas de enlace de VPN P2S. Para más información sobre los protocolos y la autenticación de P2S, vea Acerca de las conexiones VPN de punto a sitio.

En este escenario, los usuarios tienen un acceso diferente en función de los permisos para conectarse a puertas de enlace de VPN P2S específicas. A un alto nivel, el flujo de trabajo es el siguiente:

1. Cree una aplicación personalizada para cada puerta de enlace de VPN P2S que quiera configurar para la VPN P2S con la autenticación de Microsoft Entra ID. Anote el id. de la aplicación personalizado.
2. Agregue la aplicación cliente VPN de Azure a la configuración de la aplicación personalizada.
3. Asigne permisos de usuario y grupo por aplicación personalizada.
4. Al configurar la puerta de enlace para la autenticación de Microsoft Entra ID de VPN de P2S, especifique el inquilino de Microsoft Entra ID y el id. de la aplicación personalizado asociado a los usuarios que desea permitir conectarse a través de esa puerta de enlace.
5. El perfil de cliente VPN de Azure en el equipo del cliente se configura mediante la configuración de la puerta de enlace de VPN P2S a la que el usuario tiene permisos para conectarse.
6. Cuando un usuario se conecta, se autentica y solo puede conectarse a la puerta de enlace de VPN P2S para la que su cuenta tiene permisos.

Consideraciones:

• No puede crear este tipo de acceso pormenorizado si solo tiene una puerta de enlace de VPN.
• La autenticación de Microsoft Entra ID solo se admite para las conexiones de protocolo OpenVPN® y requiere el cliente VPN de Azure. *Tenga cuidado de configurar cada cliente VPN de Azure con los valores correctos de configuración del paquete de perfil de cliente para asegurarse de que el usuario se conecta a la puerta de enlace correspondiente para la que tiene permisos.
• Al usar los pasos de configuración de este ejercicio, es posible que sea más fácil ejecutar los pasos para el primer id. de la aplicación personalizado y la puerta de enlace todo el camino, y luego repetir para cada id. de la aplicación personalizado y puerta de enlace posteriores.

Requisitos previos

• Este escenario requiere un inquilino de Microsoft Entra. Si aún no tiene un inquilino, cree un nuevo inquilino en Microsoft Entra ID. Anote el id. de inquilino. Este valor es necesario al configurar la puerta de enlace de VPN P2S para la autenticación de Microsoft Entra ID.

• Este escenario requiere varias puertas de enlace de VPN. Solo puede asignar un id. de la aplicación personalizado por puerta de enlace.

  • Si aún no tiene al menos dos puertas de enlace de VPN que funcionan compatibles con la autenticación de Microsoft Entra ID, consulte Creación y administración de una puerta de enlace de VPN: Azure Portal para crear las puertas de enlace de VPN.
  • Algunas opciones de puerta de enlace no son compatibles con las puertas de enlace de VPN de P2S que usan la autenticación de Microsoft Entra ID. No se admiten la SKU básica ni los tipos de VPN basados en directivas. Para obtener más información acerca de las SKU de puerta de enlace, consulte Acerca de las SKU de puerta de enlace. Para obtener más información sobre los tipos de VPN, consulte Configuración de VPN Gateway.

Registrar una aplicación

Para crear un valor de id. de la aplicación de audiencia personalizada, que se especifica al configurar la puerta de enlace de VPN, debe registrar una aplicación. Registrar una aplicación Para conocer los pasos, consulte Registro de una aplicación.

• El campo Nombre está orientado al usuario. Use algo intuitivo que describa los usuarios o grupos que se conectan a través de esta aplicación personalizada.
• Para el resto de la configuración, use la configuración que se muestra en el artículo.

Agregar un ámbito

Agregue un ámbito. Agregar un ámbito forma parte de la secuencia para configurar permisos para usuarios y grupos. Para conocer los pasos, consulte Exponer una API y agregar un ámbito. Más adelante, asignará permisos de usuarios y grupos a este ámbito.

• Use algo intuitivo para el campo Nombre de ámbito, como Marketing-VPN-Users. Rellene el resto de los campos según sea necesario.
• En Estado, seleccione Habilitado.

Agregar la aplicación cliente VPN de Azure

Agregue el Id. de cliente de la aplicación cliente VPN de Azure y especifique el Ámbito autorizado. Al agregar la aplicación, se recomienda usar el id. de la aplicación de cliente VPN de Azure registrado por Microsoft para Azure Público, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 siempre que sea posible. Este valor de aplicación tiene consentimiento global, lo que significa que no es necesario registrarlo manualmente. Para conocer los pasos, consulte Incorporación de la aplicación cliente VPN de Azure.

Después de agregar la aplicación cliente VPN de Azure, vaya a la página Información general y copie y guarde el Id. de aplicación (cliente). Necesitará esta información para configurar la puerta de enlace de VPN P2S.

Asignación de usuarios y grupos

Asigne permisos a los usuarios o grupos que se conectan a la puerta de enlace. Si especifica un grupo, el usuario debe ser miembro directo del grupo. No se admiten los grupos anidados.

1. Vaya a su Microsoft Entra ID y seleccione Aplicaciones de empresa.
2. En la lista, busque la aplicación que ha registrado y haga clic para abrirla.
3. Expanda Administrar y, a continuación, seleccione Propiedades. En la página Propiedades, compruebe que Habilitado para que los usuarios inicien sesión esté establecido en Sí. Si no es así, cambie el valor a Sí .
4. En Asignación requerida, cambie el valor a Sí. Para obtener más información sobre esta configuración, vea Propiedades de la aplicación.
5. Si ha realizado cambios, seleccione Guardar en la parte superior de la página.
6. En el panel izquierdo, seleccione Usuarios y grupos. En la página Usuarios y grupos, seleccione + Agregar usuario o grupo para abrir la página Agregar asignación.
7. Haga clic en el vínculo de Usuarios y grupos para abrir la página Usuarios y grupos. Seleccione los usuarios y grupos que desea asignar y, a continuación, haga clic en Seleccionar.
8. Cuando termine de seleccionar usuarios y grupos, seleccione Asignar.

Configuración de una VPN de punto a sitio

Una vez completados estos pasos, continúe con Configuración de una puerta de enlace de VPN de P2S para la aplicación registrada por Microsoft para la autenticación con Microsoft Entra ID.

• Al configurar cada puerta de enlace, asocie el identificador de aplicación de audiencia personalizado adecuado.
• Descargue los paquetes de configuración del cliente VPN de Azure para configurar el cliente VPN de Azure para los usuarios que tienen permisos para conectarse a la puerta de enlace específica.

Configuración del cliente VPN de Azure

Use el paquete de configuración del perfil de cliente VPN de Azure para configurar el cliente VPN de Azure en el equipo de cada usuario. Compruebe que el perfil de cliente corresponde a la puerta de enlace de VPN P2S a la que desea que el usuario se conecte.

Pasos siguientes

• Configurar VPN Gateway de P2S para la autenticación de Microsoft Entra ID – Aplicación registrada por Microsoft.
• Para conectarse a la red virtual, debe configurar el cliente VPN de Azure en los equipos cliente. Consulte Configurar un cliente VPN para conexiones P2S VPN.
• Para ver las preguntas más frecuentes, consulte la sección Punto a sitio de las Preguntas más frecuentes sobre VPN Gateway.