Criar um inquilino de Diretório Ativo (AD) para ligações de protocolo P2S OpenVPN

Ao ligar-se ao seu VNet, pode utilizar a autenticação baseada em certificados ou a autenticação RADIUS. No entanto, quando utilizar o protocolo Open VPN, também pode utilizar a autenticação do Azure Ative Directory. Se quiser que um conjunto diferente de utilizadores seja capaz de se conectar a diferentes gateways, pode registar várias aplicações em AD e ligá-las a diferentes gateways.

Este artigo ajuda a configurar um inquilino Azure AD para a autenticação P2S OpenVPN, e criar e registar várias aplicações em Azure AD para permitir um acesso diferente para diferentes utilizadores e grupos.

Nota

A autenticação Azure AD é suportada apenas para ® ligações de protocolo OpenVPN.

1. Criar o inquilino AZURE AD

Criar um inquilino AZure AD usando os passos no novo artigo de inquilino:

  • Nome organizacional

  • Nome de domínio inicial

    Exemplo:

    Novo inquilino da AD AZure

2. Criar utilizadores inquilinos

Neste passo, você cria dois utilizadores inquilinos Azure AD: uma conta Global Admin e uma conta de utilizador principal. A conta principal do utilizador é utilizada como a sua conta principal de incorporação (conta de serviço). Quando cria uma conta de utilizador de inquilino Azure AD, ajusta a função de Diretório para o tipo de utilizador que pretende criar. Use os passos deste artigo para criar pelo menos dois utilizadores para o seu inquilino AZURE AD. Certifique-se de alterar a Função de Diretório para criar os tipos de conta:

  • Admin Global
  • User

3. Registar o Cliente VPN

Registe o cliente VPN no inquilino da Ad Azure.

  1. Localize a identificação do diretório do diretório que pretende utilizar para autenticação. Está listado na secção de propriedades da página Ative Directory.

    ID do diretório

  2. Copie o ID do Diretório.

  3. Inscreva-se no portal Azure como um utilizador que é atribuído à função de administrador Global.

  4. Em seguida, dê consentimento administrativo. Copie e cole o URL que diz respeito à sua localização de implantação na barra de endereço do seu navegador:

    Público

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
    

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
    

    Microsoft Cloud Alemanha

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
    

    Azure China 21Vianet

    https://https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
    

Nota

Se utilizar uma conta de administração global que não seja nativa do inquilino da Azure AD para dar o seu consentimento, por favor substitua o id "comum" com o id do diretório AD Azure no URL. Também pode ter de substituir o "comum" pelo seu id de diretório em certos outros casos.

  1. Selecione a conta Global Admin se solicitado.

    ID do diretório 2

  2. Selecione Aceitar quando solicitado.

    A screenshot mostra uma janela com a mensagem Permissões solicitadas Aceitar para si organização e informações sobre o pedido.

  3. Sob o seu Azure AD, em aplicações Enterprise, você verá Azure VPN listado.

    VPN do Azure

4. Registar pedidos adicionais

Neste passo, regista-se aplicações adicionais para vários utilizadores e grupos.

  1. No seu Diretório Ativo Azure, clique nas inscrições da App e, em seguida, + Novo registo.

    Azure VPN 2

  2. Na página registar uma inscrição, insira o Nome. Selecione os tipos de conta suportado desejados e, em seguida, clique em Registar.

    Azure VPN 3

  3. Uma vez registada a nova aplicação, clique em Expor uma API sob a lâmina da aplicação.

  4. Clique + Adicione um âmbito.

  5. Deixe o ID URI de aplicação predefinido. Clique em Guardar e continuar.

    Azure VPN 4

  6. Preencha os campos necessários e certifique-se de que o Estado está Ativado. Clique em Adicionar âmbito.

    Azure VPN 5

  7. Clique em Expor uma API em seguida + Adicionar uma aplicação ao cliente. Para iD do cliente, insira os seguintes valores dependendo da nuvem:

    • Insira 41b23e61-6c1e-4545-b367-cd054e0ed4b4 para Azure Public
    • Insira 51bb15d4-3a4f-4ebf-9dca-40096fe32426 para o Governo de Azure
    • Insira 538ee9e6-310a-468d-afef-ea97365856a9 para Azure Alemanha
    • Insira 49f817b6-84ae-4cc0-928c-73f27289b3aa para Azure China 21Vianet
  8. Clique na aplicação Adicionar.

    Azure VPN 6

  9. Copie o ID de Aplicação (cliente) na página 'Visão Geral'. Necessitará desta informação para configurar o seu gateway(s) VPN.

    Azure VPN 7

  10. Repita os passos nesta secção de aplicações adicionais para criar o número de aplicações necessárias para o seu requisito de segurança. Cada aplicação será associada a um gateway VPN e pode ter um conjunto diferente de utilizadores. Apenas uma aplicação pode ser associada a um portal.

5. Atribuir utilizadores a aplicações

Atribua os utilizadores às suas aplicações.

  1. Sob as aplicações Azure AD -> Enterprise, selecione a aplicação recém-registada e clique em Propriedades. Certifique-se de que a atribuição do utilizador é necessária? Clique em Guardar.

    Azure VPN 8

  2. Na página da aplicação, clique em Utilizadores e grupos e, em seguida, clique em +Adicionar utilizador.

    Azure VPN 9

  3. Em 'Adicionar Atribuição' clique nos Utilizadores e grupos. Selecione os utilizadores a quem pretende aceder a esta aplicação VPN. Clique em Selecionar.

    Azure VPN 10

6. Criar uma nova configuração P2S

Uma configuração P2S define os parâmetros para ligar clientes remotos.

  1. Desaprova as seguintes variáveis, substituindo os valores necessários para o seu ambiente.

    $aadAudience = "00000000-abcd-abcd-abcd-999999999999"
    $aadIssuer = "https://sts.windows.net/00000000-abcd-abcd-abcd-999999999999/"
    $aadTenant = "https://login.microsoftonline.com/00000000-abcd-abcd-abcd-999999999999"    
    
  2. Executar os seguintes comandos para criar a configuração:

    $aadConfig = New-AzVpnServerConfiguration -ResourceGroupName <ResourceGroup> -Name newAADConfig -VpnProtocol OpenVPN -VpnAuthenticationType AAD -AadTenant $aadTenant -AadIssuer $aadIssuer -AadAudience $aadAudience -Location westcentralus
    

    Nota

    Não utilize o ID de aplicação do cliente Azure VPN nos comandos acima: Irá permitir a todos os utilizadores o acesso ao gateway. Utilize o ID das aplicações que registou.

7. Atribuição do hub de edição

  1. Navegue para a lâmina hubs sob o WAN virtual.

  2. Selecione o hub ao que pretende associar a configuração do servidor VPN e clique na elipse (...).

    Screenshot mostra Editar o hub virtual selecionado a partir do menu.

  3. Clique em Editar o hub virtual.

  4. Verifique a caixa de verificação de gateway ponto-a-local e escolha a unidade de escala Gateway que deseja.

    A screenshot mostra a caixa de diálogo do hub virtual Editar onde pode selecionar a sua unidade de escala Gateway.

  5. Insira o pool address a partir do qual os clientes VPN serão atribuídos endereços IP.

  6. Clique em Confirmar.

  7. A operação pode demorar até 30 minutos para ser concluída.

8. Baixar perfil VPN

Utilize o perfil VPN para configurar os seus clientes.

  1. Na página para o seu WAN virtual, clique nas configurações VPN do utilizador.

  2. No topo da página, clique em Download user VPN config.

  3. Após a conclusão da criação do ficheiro, pode clicar na ligação para transferi-lo.

  4. Utilize o ficheiro de perfil para configurar os clientes VPN.

  5. Extraia o ficheiro zip descarregado.

  6. Navegue na pasta "AzureVPN" desapertada.

  7. Tome nota da localização do ficheiro "azurevpnconfig.xml". O azurevpnconfig.xml contém a definição para a ligação VPN e pode ser importado diretamente para a aplicação do Cliente Azure VPN. Também pode distribuir este ficheiro a todos os utilizadores que necessitem de se conectar por e-mail ou outros meios. O utilizador necessitará de credenciais AZure AD válidas para se conectar com sucesso.

9. Configurar clientes VPN de utilizador

Para se conectar, precisa de descarregar o Cliente Azure VPN e importar o perfil de cliente VPN que foi descarregado nos passos anteriores em todos os computadores que queiram ligar ao VNet.

Nota

A autenticação Azure AD é suportada apenas para ® ligações de protocolo OpenVPN.

Para baixar o cliente Azure VPN

Utilize este link para descarregar o Cliente Azure VPN.

Importar um perfil de cliente

  1. Na página, selecione Import.

    Screenshot mostra Import selecionado a partir do menu plus.

  2. Navegue no ficheiro xml do perfil e selecione-o. Com o ficheiro selecionado, selecione Abrir.

    A screenshot mostra uma caixa de diálogo aberta onde pode selecionar um ficheiro.

  3. Especifique o nome do perfil e selecione Guardar.

    A screenshot mostra o nome de ligação adicionado e o botão Guardar selecionado.

  4. Selecione Connect para ligar à VPN.

    A screenshot mostra o botão 'Ligar' para a ligação que acabaste de criar.

  5. Uma vez ligado, o ícone ficará verde e dirá Conectado.

    A screenshot mostra a ligação num estado ligado com a opção de desligar.

Para eliminar um perfil de cliente

  1. Selecione a elipse (...) ao lado do perfil do cliente que pretende eliminar. Em seguida, selecione Remover.

    Screenshot mostra Remover selecionado do menu.

  2. Selecione Remover para eliminar.

    A screenshot mostra uma caixa de diálogo de confirmação com a opção de Remover ou Cancelar.

Para diagnosticar problemas de conexão

  1. Para diagnosticar problemas de ligação, pode utilizar a ferramenta Diagnosticar. Selecione a elipse (...) ao lado da ligação VPN que pretende diagnosticar para revelar o menu. Em seguida, selecione Diagnosticar.

    A screenshot mostra o Diagnóstico selecionado no menu.

  2. Na página Propriedades de Ligação, selecione 'Executar Diagnóstico'.

    A screenshot mostra o botão de diagnóstico de execução para uma ligação.

  3. Inscreva-se com as suas credenciais.

    diagnóstico 3

  4. Veja os resultados do diagnóstico.

    A screenshot mostra o botão de diagnóstico de execução para uma ligação.

  5. Inscreva-se com as suas credenciais.

    A screenshot mostra o Sinal na caixa de diálogo para esta ação.

  6. Veja os resultados do diagnóstico.

    A imagem mostra os resultados do diagnóstico.

10. Veja o seu WAN virtual

  1. Navegue para a WAN virtual.

  2. Na página Overview, cada ponto no mapa representa um hub.

  3. Na secção Hubs e ligações, pode ver o estado do hub, o site, a região, o estado da ligação VPN e os bytes de entrada e saída.

Limpar recursos

Quando já não precisar desses recursos, pode utilizar Remove-AzureRmResourceGroup para remover o grupo de recursos e todos os recursos que o mesmo contém. Substitua "myResourceGroup" pelo nome do grupo de recursos e execute o seguinte comando do PowerShell:

Remove-AzureRmResourceGroup -Name myResourceGroup -Force

Passos seguintes

Para saber mais sobre a WAN Virtual, veja a página Virtual WAN Overview (Descrição Geral da WAN Virtual).