Azure VPN Point-to-Site com autenticação do Azure Active Directory e Multi-Factor Authentication

Uma conexão de gateway de VPN Ponto a Site (P2S) permite que você crie uma conexão segura para sua rede virtual a partir de um computador cliente individual. Uma conexão P2S é estabelecida iniciando-a do computador cliente. Essa solução é útil para pessoas que trabalham remotamente que querem se conectar às VNets do Azure de um local remoto, como de casa ou de uma conferência. A VPN P2S também é uma solução útil para usar em vez de uma VPN S2S, quando você tiver apenas alguns clientes que precisam se conectar a uma rede virtual.

CENÁRIO
Vamos utilizar em nosso ambiente um virtual network gateway do tipo OpenVPN (SSL), a autenticação da VPN será por meio do azure active directory e terá Multi-Factor Authentication habilitado.

  1. Faça login no portal do Azure portal.azure.com
  2. Vamos criar um Resource group com o nome RG-VPN com o seguinte comando:

New-AzResourceGroup -name RG-VPN -Location eastus

Podemos observar na imagem abaixo a execução do comando:

3. O próximo passo será criar nossa Virtual network e Subnet.

# Criar virtual network
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName RG-VPN `
-Location EastUS `
-Name Vnet-VPN `
-AddressPrefix 10.0.0.0/16

# Adicionar uma subnet
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name subnet-VPN `
-AddressPrefix 10.0.0.0/24 `
-VirtualNetwork $virtualNetwork

# Associar a subnet à virtual network
$virtualNetwork | Set-AzVirtualNetwork

Explicação do comando:

Substitua os seguintes campos de acordo com a necessidade da sua empresa.

ResourceGroupName RG-VPN  – Nome do grupo de recursos onde a rede virtual será criada

Name Vnet-VPN – Nome da rede virtual

AddressPrefix 10.0.0.0/16 –  Range de IPs da rede

Name subnet-VPN – Range de IPs da sub-rede

AddressPrefix 10.0.0.0/24 – range de IPs da sub-rede

Podemos observar na imagem abaixo que nossa Vnet e subnet foram criadas:

4. O próximo passo será criar o Gateway subnet, clique em  Subnets e +Gateway subnet.

Lembrando que a recomendação da  Microsoft é que o Gateway subnet tenha a mascara de sub-rede /27

5. Em nosso exemplo vamos utilizar o seguinte range 10.0.1.0/27.

6. Observe que nosso Gateway Subnet foi criado.

7. O próximo passo será criar o virtual network gateway

Pesquise por Virtual network gateways.

8. Na guia Virtual network gateways clique em Create virtual network gateways.

9. Assim que clicar em “create” será apresentada a tela de configuração, onde deverá ser preenchidos os campos, conforme imagem abaixo:

Obs: Para utilizar a vpn point-to-site com autenticação do Azure active directory o sku do virtual network gateway não pode ser do tipo basic.

No campo Virtual network, vamos selecionar a rede criada anteriormente, automaticamente ele já vai definir o GatewaySubet atribuído a essa virtual network.
Também é necessário que seu gateway tenha um ip público, que podemos criar nessa mesma tela.

10. Agora clique em Review + create para inciar a criação do recurso.

11. Na tela Review + create podemos ver um resumo de tudo que será criado, analise se está tudo certo e clique em create.

11. Podemos observar na imagem abaixo que nosso recurso está sendo criado

Obs. O tempo para provisionar essa vpn varia de 20 a 40 minutos

O próximo passo será criar o usuário e grupo que terá acesso a VPN point-to-site

12. Para criar o usuário e grupo que terá acesso a VPN clique em Azure Active Directory.

13. Clique em Users e +New user.

14. Na tela New user preencha as informações conforme a imagem.

15. Observe que nosso usuário foi criado.

Agora vamos criar o grupo VPN Users e adicionar o usuário analista1

16. Clique em Grupos

17. Na tela Groups clique em +New group.

18. Preencha as informações conforme a imagem.

20. Vamos adicionar o usuário analista1 ao grupo, clique no grupo VPN Users

21. Clique em Members e +Add members

22. Pesquise pelo usuário analista1 e clique em Select

23. Observe que nosso usuário foi adicionado ao grupo VPN Users

O próximo passo é habilitar a autenticação do Azure AD no gateway VPN

24. Localize o Tenant ID que você deseja usar para autenticação. Ele está listado na seção de properties da página do Azure Active Directory.

25. Copie o Tenant ID

26. Entre no portal do Azure como um usuário atribuído à função de Global administrator

27. Em seguida, dê o consentimento do administrador global, quando solicitado a permissão de utilizar o Azure VPN para organização clique em Aceitar. Copie e cole o URL  na barra de endereços do seu navegador.

Todos os usuários que iram acessar a VPN devem ter a permissão de Global Administrator atribuida.

https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

Observação: Todos os usuários que forem utilizar a VPN point-to-site deveram acessa o link a cima para liberar  o acesso ao Azure VPN.

27. Selecione a conta Global Admin

28. Selecione Accept quando solicitado.

29. No seu Azure Active Directory em Enterprise applications, você vê a VPN do Azure listada.

Agora vamos habilitar  a autenticação do Azure AD no gateway VPN

30. Selecione o nosso virtual network gateway (VPN-WG)

31. Clique em User VPN configuration e clique em configure now.

32.  Escolhe o pool de endereço IP para VPN, selecione o tipo de túnel OpenVPN (SSL) . Selecione Azure Active Directory como o tipo de Autenticação e preencha as informações na seção Azure Active Directory, após preencher todas as informações clique em save.

Tenant:
https://login.microsoftonline.com/coloque seu Tenant ID aqui

Audience:
41b23e61-6c1e-4545-b367-cd054e0ed4b4

Issuer:
https://sts.windows.net/coloque seu Tenant ID/

Observação: O valor Audience  é padrão

Observação:
Certifique-se de incluir uma barra final no final do Issuer. Caso contrário, a conexão poderá falhar.

33. Baixe o perfil clicando no link Download VPN client

35. Extraia o arquivo zip baixado

36. Navegue até a pasta “AzureVPN” descompactada.

37. Anote o local do arquivo “azurevpnconfig.xml”. O azurevpnconfig.xml contém a configuração da conexão VPN e pode ser importado diretamente para o aplicativo Cliente VPN do Azure. Você também pode distribuir esse arquivo para todos os usuários que precisam se conectar via e-mail ou outros meios. O usuário precisará de credenciais válidas do Azure AD para se conectar com sucesso.

Agora  vamos fazer o download do  Cliente VPN do Azure

38. Acesse o seguinte link para baixar o Cliente VPN do Azure.

https://www.microsoft.com/en-us/p/azure-vpn-client/9np355qt2sqb?activetab=pivot:overviewtab

39. Baixe e instale o Cliente VPN do Azure.

Agora vamos habilitar o Multi-Factor Authentication

40. Navegue até Azure Active Directory -> Enterprise applications

40. Selecione Azure VPN

41. Clique em Properties  e  marque yes para as opções Enabled for users to sign-in e  User assignment required.

42. Clique em Users, selecione o usuário analista1 e clique em Multi-Factor-Authentication.

43. Na página multi-factor authentication, selecione os usuários para os quais você deseja habilitar o MFA e clique Enable.

O próximo passo será configurar  a Conditional Access

44. Clique em Azure active directory –> Enterprise Applications.

45. Na tela Enterprise applications clique em Conditional Access.

46. Na Conditional Access clique em +New policy

47. Preencha as informações da imagem abaixo de acordo com as configurações que foram realizadas em seu ambiente.

Habilite a policy e clique em create.

48. Observe que nossa politica foi criada.

O próximo passo será configurar o software Cliente VPN do Azure

48. Execute o software Cliente VPN do Azure

49. Clique em Import e selecione o arquivo de configuração azurevpnconfig.xml

 

50. Após importar o arquivo de configuração da VPN clique em Salvar.

51. Agora a configuração está completa como podemos observar na imagem abaixo

52. Para conectar na VPN selecione o tipo de conta corporativa ou de estudante e clique em concluir.

53. Selecione o usuário o usuário para conectar na VPN.

54. Após fornecer o usuário e senha será informado que temos mais uma etapa de verificação para ser realizada.

55. A tela de verificação de segurança adicional sera aberta, para nosso cenário vamos utilizar a autenticação por Aplicativo móvel,  marque Receber notificações para verificação e clique em configurar.

55. Baixe o aplicativo na play store Microsoft Authenticator, scanei o QR código e clique em Configurar.

55. Escanei o QR Code com o aplicativo Microsoft Authenticator, sua conta de usuário será adicionada ao aplicativo .

56. Na Etapa 3: Forneça o número do seu telefone para caso você perca o acesso a aplicativo móvel você possa autenticar com código de verificação enviado via sms.

57. A configuração foi realizada clique em concluir.

56. Agora todas as vezes que o usuário for acessar a VPN será solicitada a confirmação no celular.

57. Após realizar o primeiro acesso observe que nossas configuração foram finalizadas.

58. Nossa VPN está configurada, podemos observar na imagem abaixo que já estamos conectados.

Espero que este conteúdo tenha contribuído com o enriquecimento do conhecimento de vocês em Azure

Tem alguma sugestão ou observação, comente.

Forte abraço, obrigado e até o próximo post. 🙂

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *