Share via

VPN y acceso condicional

El cliente VPN ahora es capaz de integrarse con la plataforma de acceso condicional basado en la nube para proporcionar una opción de cumplimiento del dispositivo para los clientes remotos. El acceso condicional es un motor de evaluación basado en directivas que permite crear reglas de acceso para cualquier aplicación conectada Microsoft Entra.

Nota

El acceso condicional es una característica Microsoft Entra ID P1 o P2.

Los componentes de la plataforma de acceso condicional usados para el cumplimiento del dispositivo incluyen los siguientes servicios basados en la nube:

  • Marco de acceso condicional
  • Microsoft Entra Connect Health
  • Servicio de atestación de estado de Windows (opcional)
  • Microsoft Entra entidad de certificación: es un requisito que una entidad de certificación (CA) basada en Microsoft Entra ID emita el certificado de cliente usado para la solución de cumplimiento de dispositivos basados en la nube. Una entidad de certificación de Microsoft Entra es básicamente un inquilino en la nube de mini ca en Azure. La ca de Microsoft Entra no se puede configurar como parte de una entidad de certificación empresarial local. Consulte también Always On implementación de VPN para Windows Server y Windows 10.
  • certificados de corta duración emitidos por Microsoft Entra ID: cuando se realiza un intento de conexión VPN, el agente de token de Microsoft Entra en el dispositivo local se comunica con Microsoft Entra ID, que, a continuación, comprueba el estado en función de las reglas de cumplimiento. Si es compatible, Microsoft Entra ID devuelve un certificado de corta duración que se usa para autenticar la VPN. Ten en cuenta que pueden usarse métodos de autenticación de certificados como EAP-TLS. Cuando el cliente se vuelve a conectar y determina que el certificado ha expirado, el cliente comprobará de nuevo con Microsoft Entra ID la validación de estado antes de que se emita un nuevo certificado.
  • Microsoft Intune directivas de cumplimiento de dispositivos: el cumplimiento de dispositivos basado en la nube usa Microsoft Intune directivas de cumplimiento, que son capaces de consultar el estado del dispositivo y definir reglas de cumplimiento para lo siguiente, entre otras cosas.
    • Estado del antivirus
    • Estado de actualización automática y cumplimiento de actualización
    • Cumplimiento de la directiva de contraseñas
    • Cumplimiento de cifrado
    • Estado de atestación de estado de dispositivo (que se validan con el servicio de atestación después de la consulta)

Los siguientes componentes del lado cliente también son obligatorios:

Cumplimiento del dispositivo VPN

En este momento, los certificados de Microsoft Entra emitidos a los usuarios no contienen un punto de distribución crl (CDP) y no son adecuados para que los centros de distribución de claves (KDC) emita tokens kerberos. Para que los usuarios obtengan acceso a recursos locales, como archivos en un recurso compartido de red, los certificados de autenticación de cliente deben implementarse en los perfiles de Windows de los usuarios y sus perfiles VPNv2 deben contener la <sección SSO> .

Los requisitos de infraestructura del lado servidor para admitir el cumplimiento del dispositivo VPN incluyen:

  • El servidor VPN debe configurarse para la autenticación de certificado.
  • El servidor VPN debe confiar en la ca de Microsoft Entra específica del inquilino.
  • Para el acceso de cliente mediante Kerberos/NTLM, se implementa un certificado de confianza de dominio en el dispositivo cliente y está configurado para usarse para el inicio de sesión único (SSO).

Después de configurar el lado del servidor, los administradores de la VPN pueden agregar la configuración de directiva para el acceso condicional en el perfil de VPN mediante el nodo VPNv2 DeviceCompliance.

Se aprovechan dos proveedores de servicios de configuración del lado cliente para el cumplimiento del dispositivo VPN.

  • Configuración del dispositivo VPNv2 CSPCompliance:
    • Habilitado: habilita el flujo de cumplimiento del dispositivo para el cliente. Si se marca como true, el cliente VPN intenta comunicarse con Microsoft Entra ID para obtener un certificado que se usará para la autenticación. La VPN debe configurarse para usar la autenticación de certificados y el servidor VPN debe confiar en el servidor devuelto por Microsoft Entra ID.
    • Sso: las entradas de SSO se deben usar para indicar al cliente VPN que use un certificado que no sea el certificado de autenticación VPN al acceder a los recursos que requieren autenticación Kerberos.
    • Sso/Enabled: si este campo está establecido en true, el cliente VPN busca un certificado independiente para la autenticación Kerberos.
    • Sso/IssuerHash: aplica una función hash para que el cliente VPN busque el certificado correcto para la autenticación Kerberos.
    • Sso/Eku: lista separada por comas de extensiones de uso extendido de claves (EKU) para que el cliente VPN busque el certificado correcto para la autenticación Kerberos.
  • HealthAttestation CSP (no es un requisito): las funciones realizadas por el HealthAttestation CSP incluyen:
    • Recopila datos TPM que se usan para comprobar estados de mantenimiento
    • Reenvía los datos al servicio de atestación de estado (HAS)
    • Aprovisiona el certificado de atestación de estado recibido del HAS
    • A petición, reenvíe el certificado de atestación de estado (recibido de HAS) y la información de tiempo de ejecución relacionada al servidor MDM para su comprobación.

Nota

Es necesario que los certificados usados para obtener vales de Kerberos se emita desde una ENTIDAD de certificación local y que el inicio de sesión único se habilite en el perfil de VPN del usuario. Esto permitirá al usuario acceder a los recursos locales. En el caso de dispositivos unidos solo a AzureAD (no dispositivos unidos a híbridos), si el certificado de usuario emitido por la CA local tiene el UPN de usuario de AzureAD en Asunto y SAN (nombre alternativo del firmante), el perfil de VPN debe modificarse para asegurarse de que el cliente no almacena en caché las credenciales usadas para la autenticación VPN. Para ello, después de implementar el perfil de VPN en el cliente, modifique Rasphone.pbk en el cliente cambiando la entrada UseRasCredentials de 1 (valor predeterminado) a 0 (cero).

Flujo de conexión de cliente

El flujo de conexión del lado cliente VPN funciona de la siguiente manera:

Flujo de trabajo de cumplimiento de dispositivos cuando el cliente VPN intenta conectarse.

Cuando se configura un perfil VPNv2 con <DeviceCompliance><Enabled>true</Enabled> , el cliente VPN usa este flujo de conexión:

  1. El cliente VPN llama a Windows 10 o Windows 11 Microsoft Entra Token Broker, identificándose como cliente VPN.
  2. El agente de token de Microsoft Entra se autentica en Microsoft Entra ID y le proporciona información sobre el dispositivo que intenta conectarse. El Microsoft Entra Server comprueba si el dispositivo cumple las directivas.
  3. Si es compatible, Microsoft Entra ID solicita un certificado de corta duración.
  4. Microsoft Entra ID inserta un certificado de corta duración en el almacén de certificados a través del agente de tokens. A continuación, Token Broker devuelve el control al cliente VPN para un procesamiento de conexión adicional.
  5. El cliente VPN usa el certificado emitido por Microsoft Entra ID para autenticarse con el servidor VPN.

Configurar el acceso condicional

Consulta Opciones de perfil de VPN y VPNv2 CSP para conocer la configuración de XML.

Más información sobre el acceso condicional y el estado de Microsoft Entra