Cenário: configurar o acesso P2S com base em usuários e grupos – autenticação no Microsoft Entra ID

Esse artigo orienta você em um cenário de configuração de acesso com base em usuários e grupos para conexões VPN P2S (ponto a site) que usam a autenticação do Microsoft Entra ID. Nesse cenário, você configurará esse tipo de acesso usando várias IDs de aplicativo de público-alvo personalizado com permissões especificadas e vários gateways de VPN P2S. Para saber mais sobre protocolos e autenticação P2S, confira Sobre a VPN ponto a site.

Os usuários têm diferentes níveis de acesso com base nas permissões para se conectar a gateways de VPN P2S específicos. De forma geral, o fluxo de trabalho é o seguinte:

1. Crie um aplicativo personalizado para cada gateway de VPN P2S que você quer configurar com a autenticação do Microsoft Entra ID. Anote a ID do aplicativo personalizado.
2. Adicione o aplicativo cliente VPN do Azure à configuração do aplicativo personalizado.
3. Atribua permissões de usuário e grupo para cada aplicativo personalizado.
4. Ao configurar seu gateway para autenticação no Microsoft Entra ID para P2S VPN, especifique o locatário do Microsoft Entra ID e o ID do aplicativo personalizado associado aos usuários que você deseja permitir a conexão por meio desse gateway.
5. O perfil do Cliente VPN do Azure no computador do cliente deve ser configurado usando as configurações do gateway de VPN P2S ao qual o usuário tem permissões para se conectar.
6. Quando um usuário se conecta, ele é autenticado e pode se conectar apenas ao gateway de VPN P2S para o qual sua conta tem permissões.

Considerações:

• Não será possível criar esse tipo de acesso granular se você tiver apenas um gateway de VPN.
• Só há suporte para a autenticação do Microsoft Entra em conexões de protocolo OpenVPN®, exigindo o Cliente VPN do Azure. *Tenha cuidado ao configurar cada Cliente VPN do Azure com as configurações corretas do pacote de perfil do cliente para garantir que o usuário se conecte ao gateway correspondente ao qual tem permissões.
• Ao seguir os passos de configuração neste exercício, pode ser mais fácil realizar todas as etapas para a primeira ID de aplicativo personalizado e gateway até o final, antes de iniciar o processo para as próximas IDs de aplicativos personalizados e gateways.

Pré-requisitos

• Esse cenário precisa de um locatário do Microsoft Entra. Se você ainda não tiver um locatário, crie um novo locatário no Microsoft Entra ID. Anote a ID do locatário. Esse valor será necessário para configurar seu gateway de VPN P2S para autenticação no Microsoft Entra ID.

• Esse cenário precisa de vários gateways de VPN. Você só pode atribuir uma ID de aplicativo personalizado por gateway.

  • Se você ainda não tiver pelo menos dois gateways de VPN funcionais que sejam compatíveis com a autenticação no Microsoft Entra ID, confira o artigo Criar e gerenciar um gateway de VPN – Portal do Azure para criar seus gateways de VPN.
  • Algumas opções de gateway são incompatíveis com gateways de VPN P2S que usam a autenticação do Microsoft Entra ID. Não há suporte para tipos de VPN básicos baseados em política e SKU. Para saber mais sobre os SKUs de gateway, consulte Sobre SKUs de gateway. Para saber mais informações sobre os tipos de VPN, confira Configurações de Gateway de VPN.

Registrar um aplicativo

Para criar um valor de ID de aplicativo de público-alvo personalizado, que você vai precisar configurar no seu gateway de VPN, o primeiro passo é registrar um aplicativo. Registre um aplicativo. Para ver como fazer isso, confira Registrar um aplicativo.

• No campo Nome, escolha algo que faça sentido para o usuário. Use algo intuitivo e que descreva bem quem são os usuários ou grupos que vão se conectar por meio desse aplicativo personalizado.
• Para as outras configurações, siga as configurações mostradas no artigo.

Adicionar um escopo

Adicione um escopo. Adicionar um escopo faz parte da sequência de configuração das permissões para usuários e grupos. Veja como fazer isso em Expor uma API e adicionar um escopo Mais tarde, você atribuirá permissões de usuários e grupos a esse escopo.

• Use algo intuitivo para o campo Nome do Escopo, como Marketing-VPN-Users. Preencha os outros campos conforme necessário.
• Para o campo Estado, selecione Habilitar.

Adicionar o aplicativo Cliente VPN do Azure

Adicione a ID do Cliente do aplicativo Cliente VPN do Azure e especifique o Escopo autorizado. Quando for adicionar o aplicativo, é uma boa ideia usar a ID do aplicativo Cliente VPN do Azure registrado pela Microsoft para Azure Público, c632b3df-fb67-4d84-bdcf-b95ad541b5c8 sempre que possível. Esse valor de aplicativo já possui consentimento global, então você não precisa registrá-lo manualmente. Para saber mais, confira o artigo Adicionar o aplicativo Cliente VPN do Azure.

Após adicionar o aplicativo Cliente VPN do Azure, vá para a página Visão Geral e copie e salve o ID do Aplicativo (cliente). Você vai precisar dessa informação para configurar o seu gateway de VPN P2S.

Atribuir usuários e grupos

Atribua permissões aos usuários e/ou grupos que se conectam ao gateway. Caso esteja especificando um grupo, o usuário deverá ser um membro direto do grupo. Não há suporte para grupos aninhados.

1. Acesse o Microsoft Entra ID e selecione Aplicativos empresariais.
2. Na lista, localize o aplicativo que você registrou e clique para abri-lo.
3. Expanda Gerenciare selecione Propriedades. Na página Propriedades, verifique se a opçãoHabilitado para os usuários entrarem está definida como Sim. Se não, altere o valor para Sim.
4. Para Atribuição necessária, altere o valor para Sim. Para obter mais informações sobre essa configuração, consulte Propriedades do aplicativo.
5. Se você fez alterações, não se esqueça de clicar em Salvar no topo da página.
6. No painel esquerdo, selecione Usuários e grupos. Na página Usuários e grupos, selecione+ Adicionar usuário/grupo para abrir a página Adicionar Atribuição.
7. Clique no link em Usuários e grupos para abrir a página Usuários e grupos. Selecione os usuários e grupos que você deseja atribuir e clique em Selecionar.
8. Depois de concluir a seleção de usuários e grupos, selecione Atribuir.

Configurar um VPN P2S

Após concluir as etapas nas seções anteriores, continue para Configurar o Gateway de VPN P2S para autenticação do Microsoft Entra ID – aplicativo registrado pela Microsoft.

• Ao configurar cada gateway, associe a ID de aplicativo de público-alvo personalizado correto.
• Baixe os pacotes de configuração do Cliente VPN do Azure para configurar o Cliente VPN do Azure nos computadores dos usuários que têm permissão para se conectar ao gateway específico.

Configurar o Cliente VPN do Azure

Use o pacote de configuração de perfil do Cliente VPN do Azure para configurar o Cliente VPN do Azure no computador de cada usuário. Verifique se o perfil do cliente corresponde ao gateway de VPN P2S ao qual você quer que o usuário se conecte.

Próximas etapas

• Configurar o Gateway de VPN P2S para autenticação do Microsoft Entra ID – aplicativo registrado pela Microsoft.
• Para se conectar à rede virtual, você deve configurar o cliente VPN do Azure nos computadores cliente. Veja Configurar um cliente VPN para conexões VPN P2S.
• Para perguntas frequentes, confira a seção Ponto a site das Perguntas frequentes sobre Gateway de VPN.