Configurando a autenticação via AzureAD para a VPN Point to Site do Azure

Olá Pessoal,
Como você já sabe, você pode se conectar às suas redes virtuais do Azure a partir de seus dispositivos usando vpn de site para site (S2S) e/ou Point to Site (P2S).
A conexão Point to Site VPN usa certificado ou Radius para autorizar os usuários a conectar na VPN. Recentemente uma nova funcionalidade foi liberada, a de autenticação via Azure AD. Isso vai simplificar um pouco a implantação point to Site, adicionando segurança adicional, pois suporta acesso condicional e MFA nativos do Azure AD.
Para começar a usar essa nova funcionalidade, você vai precisar configurar o gateway Azure VPN para suportar a autenticação Azure AD.
Primeiro, instale o Modulo do Azure caso já não o tenha instalado:

Install-Module -Name Az -Scope CurrentUser -Verbose -Force

Logue na sua subscrição com o Add-AzAccount e selecione a subscrição desejada com o Set-AzContext:

Add-AzAccount
Get-AzSubscription | Out-GridView -OutputMode Single | Set-AzContext

 
Logue no portal do azure e em seguida acesse a seguinte URL para autorizar o App a autenticar usuários no diretório. Faça isso com uma conta com privilégios de Administrador Global.
https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent 
Uma vez autorizado, podemos configurar o Gateway de VPN para autenticar utilizando o Azure AD, lembrando que a configuração de Point to Site deve estar com o Range e com a opção OpenVPN e sem nenhum certificado de Root configurado. Os parâmetros são padrão conforme o snippet abaixo, o AadAudienceId é o application ID do app criado no passo anterior.

$Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName 'NetworkCentral' -Name 'VirtualNetworkGateway'
$Context = Get-AzContext
$AzVirtualNetworkGateway = @{
    VirtualNetworkGateway = $Gateway
    AadTenantUri = 'https://login.microsoftonline.com/{0}' -f $Context.Tenant.id
    AadAudienceId = '41b23e61-6c1e-4545-b367-cd054e0ed4b4'
    AadIssuerUri =  'https://sts.windows.net/{0}/' -f $Context.Tenant.id
}
Set-AzVirtualNetworkGateway @AzVirtualNetworkGateway

Vamos agora baixar o arquivo de configuração da VPN:

$profile = New-AzVpnClientConfiguration -ResourceGroupName $Gateway.ResourceGroupName -Name $Gateway.Name -AuthenticationMethod 'EapTls'
Invoke-WebRequest -Uri $profile.VpnProfileSASUrl -OutFile ('{0}.zip' -f $Gateway.Name)
Expand-Archive -Path .\VirtualNetworkGateway.zip -Verbose

Para baixar o aplicativo de VPN do Azure acesse: https://www.microsoft.com/en-ca/p/azure-vpn-client-preview/9np355qt2sqb?activetab=pivot:overviewtab

Abra o Client e clique no ícone “+”, escolha a opção import e navegue até o arquivo XML que extraiu no passo anterior:

Em seguida clique em save e pode clicar em conectar:

Caso não tenha nenhum problema de interface de Rede a conexão deve ser estabelecida com sucesso:

Importante:

Caso você tenha o Umbrella client, ele muda as configurações de DNS na placa de rede, se tiver problemas para conectar, encerre o processo dele e mude o DNS na interface de rede para “obter automaticamente”.
 
Dúvidas? Sugestões? Comente!
Até a próxima!