Nos vemos en NetCoreConf Madrid. Más información

Menu

Autentificación por Azure AD en conexiones de Azure VPN Point-to-site

Autentificación por Azure AD en conexiones de Azure VPN Point-to-site

Actualmente si queremos acceder desde casa a los recursos de nuestra empresa de forma segura necesitamos conectarnos a través de una VPN. Si queremos dar acceso a nuestros usuarios para que puedan acceder a los recursos de la empresa desplegados en Azure de forma organizada y segura podemos configurar la VPN en Azure para se conecten los usuarios con sus credenciales de Azure AD\Office 365\Microsoft 365.

Además de la propia encriptación de la conexión por VPN, Azure nos permite utilizar las herramientas de seguridad que nos proporciona Azure AD:

  • Gestión de usuario que pueden tener acceso.
  • Autenticación Multifactor (MFA).
  • Filtrado por Ubicación/País.
En este articulo vamos a configurar una VPN creada en Azure para que nuestros usuarios puedan acceder desde sus ordenadores y accedan de forma segura a lo recursos desplegado dentro de una VNET en Azure, usando sus credenciales de Azure AD\Office 365\Microsoft 365.

 

 


Requisitos previos

 

Previamente deberemos tener creada en nuestra suscripción de Azure una VPN conectada a la VNET que contiene los recursos que queramos acceder.

En el siguiente enlace os explica cómo realizarlo https://docs.microsoft.com/es-es/azure/vpn-gateway/create-routebased-vpn-gateway-portal  es importante NO crearla en el SKU Básico, ya que no permite la conexiones Point-to-Site que vamos a configurar.

También necesitamos tener instalado el módulo de Powershell de Azure para poder conectarnos a través de Powershell a nuestra suscripción.

Aquí os explica como instalar el módulo: https://docs.microsoft.com/es-es/powershell/azure/install-az-ps?view=azps-3.6.1

 

 


Configuración del Azure AD

 

Vamos a registrar en nuestro Azure AD una aplicación empresarial de Microsoft llamada “Azure VPN”, con la cual podremos gestionar que usuarios pueden acceder a través de nuestra VPN.

1. Necesitaremos un usuario Administrador Global de nuestro directorio para poder realizar las tareas de configuración.

2. Accederemos al siguiente enlace https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Properties con nuestro usuario administrador y nos abrirá el apartado de “Propiedades” de nuestro directorio.

3. Copiamos el Id. de directorio que usaremos en las tareas posteriores.

4. El siguiente paso es acceder al siguiente enlace: https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

5. Iniciaremos sesión con nuestra cuenta de administrador y posteriormente no pedirá permiso para registrar la aplicación “Azure VPN” en nuestro Azure AD.

Con estos pasos ya habremos registrado dentro nuestro AD la aplicación de “Azure VPN”, a continuación, explicaremos como dar permiso a nuestros usuarios para que pueda utilizar la VPN.

 


 

Gestión de usuarios

 

Ahora podemos asignar usuarios a nuestra aplicación de “Azure VPN” para que puedan conectarse a través de nuestra VPN.

Accedemos al siguiente enlace: https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/

1. Nos abrirá el listado de aplicaciones empresariales de nuestro Azure AD en este portal buscaremos “Azure VPN”.

2. Clicamos en la aplicación y configuramos el apartado de “¿Asignación de usuarios?” a para que podamos controlar nosotros que usuarios pueden acceder a la VPN.

3. A continuación, vamos a acceder a “Usuarios y grupos” y en “Agregar usuario” podemos asignar tanto usuarios como grupos.

Con estos pasos ya hemos configurado nuestro Azure AD para poder configurar el acceso Point-to-Site de nuestra VPN en Azure.

 

 


Configuración de la VPN en Azure

 

Para este paso vamos a tener que conectarnos a nuestra suscripción de Azure a través de Powershell.

1. Necesitaremos los siguientes datos:

1. Usuario con permisos en la suscripción.

2. ID de la suscripción. - $SubcriptionID

3. Nombre de la VPN. - $VPNName

4. Nombre del grupo de recursos donde está la VPN. - $RgName

5. ID del Azure AD que copiamos en el punto 3 de la parte de “Configuración del Azure AD” - $AzureADID

6. Rango IPs que vamos a asignar a los usuarios que se conecten a nuestra VPN. - $IPRange

2. Con esos datos rellenaremos las variables del siguiente script.

$SubcriptionID = ""

$VPNName = ""

$RgName = ""

$AzureADID = ""

$IPRange = ""

 

Connect-AzAccount -SubscriptionId $SubcriptionID

 

$gw = Get-AzVirtualNetworkGateway -Name $VPNName -ResourceGroupName $RgName

Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -VpnClientRootCertificates @()

Set-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -AadTenantUri "https://login.microsoftonline.com/$AzureADID" -AadAudienceId "41b23e61-6c1e-4545-b367-cd054e0ed4b4" -AadIssuerUri "https://sts.windows.net/$AzureADID/" -VpnClientAddressPool $IPRange -VpnClientProtocol OpenVPN

 

$profile = New-AzVpnClientConfiguration -Name $VPNName -ResourceGroupName $RgName -AuthenticationMethod "EapTls"

$PROFILE.VpnProfileSASUrl

 

3. En la siguiente imagen podemos ver un ejemplo de las variables:

4. Tras ejecutar el script nos devolverá una url que tendremos que copiar para descargarnos la configuración del Point-to-Site que tendremos que importar en la aplicación que vamos a instalar en los ordenadores de nuestros usuarios para que se puedan conectarse a la VPN.

5. Con esta url vamos a nuestro navegador Web, lo pegamos en la barra de navegación y descargamos el archivo “vpnclientconfiguration.zip”.

6. Descomprimimos el archivo y guardamos el archivo “azurevpnconfig.xml” que está dentro de la carpeta “AzureVPN”.

Finalmente, vamos a instalar la aplicación cliente donde importaremos el archivo “azurevpnconfig.xml”.

 

 


 

Instalación y configuración del “Cliente VPN de Azure”

 

Para conectarse, tiene que descargar el cliente VPN de Azure y configurar un perfil de cliente VPN en todos los equipos que quieran conectarse a la red virtual. Puede crear un perfil de cliente en un equipo, exportarlo y, después, importarlo en otros equipos.

El usuario necesita descargar el cliente de VPN de Azure e importar el perfil xml que hemos descargado previamente (“azurevpnconfig.xml”) para poder conectarse directamente a nuestra VPN.

1. Descargamos el Cliente VPN de Azure desde el siguiente enlace: https://go.microsoft.com/fwlink/?linkid=2117554

2. A continuación, vamos a importar nuestro perfil.