Menu

 English

Autentificación por Azure AD en conexiones de Azure VPN Point-to-site

Autentificación por Azure AD en conexiones de Azure VPN Point-to-site
Alberto Mendoza Alberto Mendoza Publicado: 15/04/2020

Actualmente si queremos acceder desde casa a los recursos de nuestra empresa de forma segura necesitamos conectarnos a través de una VPN. Si queremos dar acceso a nuestros usuarios para que puedan acceder a los recursos de la empresa desplegados en Azure de forma organizada y segura podemos configurar la VPN en Azure para se conecten los usuarios con sus credenciales de Azure AD\Office 365\Microsoft 365.

Además de la propia encriptación de la conexión por VPN, Azure nos permite utilizar las herramientas de seguridad que nos proporciona Azure AD:

  • Gestión de usuario que pueden tener acceso.
  • Autenticación Multifactor (MFA).
  • Filtrado por Ubicación/País.
En este articulo vamos a configurar una VPN creada en Azure para que nuestros usuarios puedan acceder desde sus ordenadores y accedan de forma segura a lo recursos desplegado dentro de una VNET en Azure, usando sus credenciales de Azure AD\Office 365\Microsoft 365.

 

 

Requisitos previos

 

Previamente deberemos tener creada en nuestra suscripción de Azure una VPN conectada a la VNET que contiene los recursos que queramos acceder.

En el siguiente enlace os explica cómo realizarlo https://docs.microsoft.com/es-es/azure/vpn-gateway/create-routebased-vpn-gateway-portal  es importante NO crearla en el SKU Básico, ya que no permite la conexiones Point-to-Site que vamos a configurar.

También necesitamos tener instalado el módulo de Powershell de Azure para poder conectarnos a través de Powershell a nuestra suscripción.

Aquí os explica como instalar el módulo: https://docs.microsoft.com/es-es/powershell/azure/install-az-ps?view=azps-3.6.1

 

 

Configuración del Azure AD

 

Vamos a registrar en nuestro Azure AD una aplicación empresarial de Microsoft llamada “Azure VPN”, con la cual podremos gestionar que usuarios pueden acceder a través de nuestra VPN.

1. Necesitaremos un usuario Administrador Global de nuestro directorio para poder realizar las tareas de configuración.

2. Accederemos al siguiente enlace https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Properties con nuestro usuario administrador y nos abrirá el apartado de “Propiedades” de nuestro directorio.

3. Copiamos el Id. de directorio que usaremos en las tareas posteriores.

4. El siguiente paso es acceder al siguiente enlace: https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

5. Iniciaremos sesión con nuestra cuenta de administrador y posteriormente no pedirá permiso para registrar la aplicación “Azure VPN” en nuestro Azure AD.

Con estos pasos ya habremos registrado dentro nuestro AD la aplicación de “Azure VPN”, a continuación, explicaremos como dar permiso a nuestros usuarios para que pueda utilizar la VPN.

 

 

Gestión de usuarios

 

Ahora podemos asignar usuarios a nuestra aplicación de “Azure VPN” para que puedan conectarse a través de nuestra VPN.

Accedemos al siguiente enlace: https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/

1. Nos abrirá el listado de aplicaciones empresariales de nuestro Azure AD en este portal buscaremos “Azure VPN”.

2. Clicamos en la aplicación y configuramos el apartado de “¿Asignación de usuarios?” a para que podamos controlar nosotros que usuarios pueden acceder a la VPN.

3. A continuación, vamos a acceder a “Usuarios y grupos” y en “Agregar usuario” podemos asignar tanto usuarios como grupos.

Con estos pasos ya hemos configurado nuestro Azure AD para poder configurar el acceso Point-to-Site de nuestra VPN en Azure.

 

 

Configuración de la VPN en Azure

 

Para este paso vamos a tener que conectarnos a nuestra suscripción de Azure a través de Powershell.

1. Necesitaremos los siguientes datos:

1. Usuario con permisos en la suscripción.

2. ID de la suscripción. - $SubcriptionID

3. Nombre de la VPN. - $VPNName

4. Nombre del grupo de recursos donde está la VPN. - $RgName

5. ID del Azure AD que copiamos en el punto 3 de la parte de “Configuración del Azure AD” - $AzureADID

6. Rango IPs que vamos a asignar a los usuarios que se conecten a nuestra VPN. - $IPRange

2. Con esos datos rellenaremos las variables del siguiente script.

$SubcriptionID = ""

$VPNName = ""

$RgName = ""

$AzureADID = ""

$IPRange = ""

 

Connect-AzAccount -SubscriptionId $SubcriptionID

 

$gw = Get-AzVirtualNetworkGateway -Name $VPNName -ResourceGroupName $RgName

Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -VpnClientRootCertificates @()

Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -AadTenantUri "https://login.microsoftonline.com/$AzureADID" -AadAudienceId "41b23e61-6c1e-4545-b367-cd054e0ed4b4" -AadIssuerUri "https://sts.windows.net/$AzureADID/" -VpnClientAddressPool $IPRange -VpnClientProtocol OpenVPN

 

$profile = New-AzVpnClientConfiguration -Name $VPNName -ResourceGroupName $RgName -AuthenticationMethod "EapTls"

$PROFILE.VpnProfileSASUrl

 

3. En la siguiente imagen podemos ver un ejemplo de las variables:

4. Tras ejecutar el script nos devolverá una url que tendremos que copiar para descargarnos la configuración del Point-to-Site que tendremos que importar en la aplicación que vamos a instalar en los ordenadores de nuestros usuarios para que se puedan conectarse a la VPN.

5. Con esta url vamos a nuestro navegador Web, lo pegamos en la barra de navegación y descargamos el archivo “vpnclientconfiguration.zip”.

6. Descomprimimos el archivo y guardamos el archivo “azurevpnconfig.xml” que está dentro de la carpeta “AzureVPN”.

Finalmente, vamos a instalar la aplicación cliente donde importaremos el archivo “azurevpnconfig.xml”.

 

 

 

Instalación y configuración del “Cliente VPN de Azure”

 

Para conectarse, tiene que descargar el cliente VPN de Azure y configurar un perfil de cliente VPN en todos los equipos que quieran conectarse a la red virtual. Puede crear un perfil de cliente en un equipo, exportarlo y, después, importarlo en otros equipos.

El usuario necesita descargar el cliente de VPN de Azure e importar el perfil xml que hemos descargado previamente (“azurevpnconfig.xml”) para poder conectarse directamente a nuestra VPN.

1. Descargamos el Cliente VPN de Azure desde el siguiente enlace: https://go.microsoft.com/fwlink/?linkid=2117554

2. A continuación, vamos a importar nuestro perfil.

3. Nos mostrará lo datos de la conexión simplemente tenemos que “Guardar” la configuración.

4. Nos saldrá la conexión y al conectarnos nos pedirá iniciar sesión con nuestro usuario del Azure AD.

5. Nos enseñará los datos de la conexión con Azure con el rango de IPs que redirige a la VPN de Azure.

Así tendremos configurado nuestro cliente VPN para acceder a la red interna de la empresa en Azure.

 

Conclusiones

 

Realizando estas acciones podemos controlar los accesos Point-to-Site a nuestra red de Azure de forma más eficaz, y con un control de usuarios que nos permite gestionar de forma más cómoda quien puede acceder a nuestra VNET privada en Azure.

Si realizamos cambios a nuestra VNET estos cambios se actualizarán en los clientes de cada usuario sin necesidad de volver a instalar.

También se puede añadir una capa extra de seguridad habilitando el acceso utilizando una autenticación multifactor (MFA).

Si accedemos al recurso de la VPN desplegada en Azure en el apartado “Conexión de punto a sitio” podemos la configuración que hemos desplegado y que IPs se han asignado.

 

Alberto Mendoza
Alberto Mendoza

Cloud Infrastructure Specialist | Microsoft Certified Profesional | Lk: https://www.linkedin.com/in/alberto-mendoza-nogueroles


Más publicaciones del autor
Categorías
 
Posts relacionados
¿Qué es Microsoft Security Copilot? La IA que transforma la ciberseguridad
Ciberseguridad
¿Qué es Microsoft Security Copilot? La IA que transforma la ciberseguridad
Publicado por José Félix Núñez Rodríguez  |  02 abril 2024

¿Qué es Microsoft Security Copilot y por qué está revolucionando el análisis de seguridad gracias a la IA? te lo contamos en este post

Leer más
¿Qué rol juega un servicio SOC en la eficiencia empresarial?
Ciberseguridad
¿Qué rol juega un servicio SOC en la eficiencia empresarial?
Publicado por Intelequia  |  07 noviembre 2023

Los servicios SOC se han convertido en una solución eficiente para la protección de datos, seguridad y que permite garantizar la operatividad empresarial

Leer más
La IA, la nueva aliada de la Ciberseguridad
Ciberseguridad
La IA, la nueva aliada de la Ciberseguridad
Publicado por César Asin Mogica  |  06 noviembre 2023

Descubre aquí los últimos avances en inteligencia artificial en el campo de la ciberseguridad que conocimos en Madrid Tech Show.

Leer más