Pular para o conteúdo principal

Laboratório Técnico: Specify Azure Requirements for Always On VPN

Questões

Questão 1 — Múltipla Escolha

Uma equipe de rede está planejando a implantação do Always On VPN para permitir que dispositivos corporativos Windows 11 se conectem automaticamente à infraestrutura do Azure. Durante o planejamento, surge a discussão sobre os dois tipos de túnel disponíveis e suas responsabilidades.

Qual afirmação descreve corretamente a diferença funcional entre o Device Tunnel e o User Tunnel?

A) O Device Tunnel é estabelecido após a autenticação do usuário e permite acesso a recursos corporativos; o User Tunnel é estabelecido antes do logon e permite comunicação com controladores de domínio.

B) O Device Tunnel é estabelecido antes do logon do Windows e permite comunicação com controladores de domínio e infraestrutura de gerenciamento; o User Tunnel é estabelecido após a autenticação do usuário e permite acesso a recursos corporativos.

C) Ambos os túneis são estabelecidos simultaneamente no momento do logon, mas o Device Tunnel usa autenticação por certificado e o User Tunnel usa exclusivamente autenticação por senha.

D) O Device Tunnel requer Microsoft Entra ID como provedor de identidade; o User Tunnel requer Active Directory local como provedor de identidade.

Questão 2 — Cenário Técnico

Uma organização deseja implementar Always On VPN com autenticação baseada em certificado. O administrador configurou o perfil VPN via Intune e o gateway VPN no Azure, mas os dispositivos não conseguem estabelecer o túnel automaticamente após o logon. Ao analisar os logs do cliente, o seguinte erro é registrado:

Error 13806: IKE failed to find a valid machine certificate.

O certificado de máquina existe no repositório local do dispositivo. Qual é a causa mais provável do problema?

A) O protocolo IKEv2 não é compatível com autenticação por certificado de máquina no Always On VPN; é necessário usar SSTP.

B) O certificado de máquina não possui o Extended Key Usage (EKU) correto para autenticação de cliente, ou a cadeia de certificação não é confiável pelo gateway VPN.

C) O perfil VPN foi distribuído via Intune, o que impede a autenticação por certificado; é necessário distribuir o perfil manualmente via PowerShell.

D) O erro indica que o dispositivo não está ingressado no domínio local, condição obrigatória para qualquer tipo de autenticação no Always On VPN.

Questão 3 — Verdadeiro ou Falso

Afirmação: No Always On VPN implantado com gateway no Azure, o Device Tunnel pode ser configurado em dispositivos Windows 10 ou Windows 11 ingressados apenas no Microsoft Entra ID (Entra-joined), sem necessidade de ingresso em domínio Active Directory local (domain-joined).

Verdadeiro ou Falso?

Questão 4 — Cenário Técnico

Uma empresa está projetando a solução de Always On VPN no Azure e precisa definir o tipo de gateway VPN a ser utilizado. Os requisitos levantados são:

  • Suporte a conexões IKEv2 e SSTP simultaneamente
  • Alta disponibilidade com SLA de uptime garantido
  • Suporte a pelo menos 1.000 conexões P2S simultâneas
  • Capacidade de escalar conexões conforme crescimento da empresa

O arquiteto propõe utilizar um VPN Gateway com SKU Basic. Qual é o problema com essa escolha?

A) O SKU Basic não suporta o protocolo IKEv2, apenas SSTP, o que impede a conectividade de dispositivos macOS e Linux.

B) O SKU Basic não oferece SLA de uptime, não suporta IKEv2 para P2S, tem limite de 128 conexões P2S e não permite escalonamento para SKUs superiores sem recriar o gateway.

C) O SKU Basic suporta IKEv2 e SSTP, mas limita as conexões P2S a 500, insuficiente para o requisito de 1.000 conexões.

D) O SKU Basic é adequado para os requisitos técnicos, mas não suporta integração com Microsoft Entra ID para autenticação de usuários no Always On VPN.

Questão 5 — Múltipla Escolha

Ao projetar o Always On VPN no Azure, o administrador precisa escolher o método de autenticação para o User Tunnel. A organização possui identidades gerenciadas no Microsoft Entra ID e deseja evitar a dependência de infraestrutura de PKI interna para emissão de certificados de usuário.

Qual método de autenticação atende a esse requisito?

A) Autenticação por certificado emitido por CA interna (Enterprise CA), pois é o único método compatível com User Tunnel no Azure VPN Gateway.

B) Autenticação Microsoft Entra ID (Azure AD authentication), que permite que usuários se autentiquem com credenciais do Entra ID sem necessidade de certificados de usuário emitidos por PKI interna.

C) Autenticação RADIUS integrada ao Microsoft Entra ID via proxy, sendo o único método que elimina a necessidade de PKI interna no User Tunnel.

D) Autenticação por certificado autoassinado gerado pelo próprio Azure VPN Gateway, distribuído automaticamente via Intune.

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O Device Tunnel é estabelecido antes do logon interativo do Windows, usando autenticação de máquina (certificado de computador). Ele existe para permitir que o dispositivo alcance controladores de domínio, servidores DHCP, DNS e sistemas de gerenciamento antes mesmo de o usuário fazer login. Sem ele, um dispositivo remoto ingressado em domínio não conseguiria processar Group Policies nem autenticar o logon via Kerberos.

O User Tunnel, por sua vez, é estabelecido após a autenticação do usuário e é o canal pelo qual o usuário acessa recursos corporativos como servidores de arquivos, aplicações internas e outros serviços.

O principal erro conceitual dos distratores é inverter as responsabilidades dos dois túneis (alternativa A) ou afirmar que ambos são simultâneos e que o User Tunnel depende exclusivamente de senha (alternativa C). A alternativa D é tecnicamente incorreta porque o Device Tunnel usa autenticação de máquina via certificado e não depende do Microsoft Entra ID como requisito exclusivo.

Gabarito — Questão 2

Resposta: B

O erro IKE failed to find a valid machine certificate indica que o processo IKEv2 não conseguiu localizar ou validar um certificado de máquina adequado. Mesmo que o certificado exista no repositório, ele precisa atender a requisitos específicos: deve conter o EKU de autenticação de cliente (OID 1.3.6.1.5.5.7.3.2), e a cadeia de certificação completa deve ser confiável tanto no cliente quanto no gateway VPN no Azure.

Se o gateway VPN não confia na CA que emitiu o certificado de máquina, a validação falha com esse erro, mesmo que o certificado seja tecnicamente válido no lado do cliente.

A alternativa A está errada porque IKEv2 é o protocolo recomendado e compatível com autenticação por certificado. A alternativa C é um equívoco sobre o funcionamento do Intune. A alternativa D é incorreta porque o ingresso em domínio local não é condição universal para autenticação no Always On VPN, e o erro é específico de certificado, não de associação de domínio.

Gabarito — Questão 3

Resposta: Falso

O Device Tunnel requer que o dispositivo esteja ingressado em um domínio Active Directory local (domain-joined). Dispositivos que são apenas Entra-joined (sem ingresso em domínio local) não suportam o Device Tunnel, pois esse tipo de túnel depende de autenticação de máquina via certificado emitido pela PKI do domínio e de comunicação com controladores de domínio antes do logon.

Esse é um ponto de decisão crítico no projeto da solução: organizações com dispositivos exclusivamente Entra-joined precisam adotar abordagens alternativas de acesso remoto, como o User Tunnel com autenticação Entra ID ou soluções como o Microsoft Entra Private Access.

Gabarito — Questão 4

Resposta: B

O SKU Basic do Azure VPN Gateway possui limitações que o tornam inadequado para cenários corporativos de Always On VPN:

CaracterísticaSKU BasicSKUs superiores (ex: VpnGw1+)
Suporte a IKEv2 (P2S)NãoSim
Limite de conexões P2S128250 a 10.000+
SLA de uptimeNão ofereceSim
Migração para outro SKUExige recriar o gatewayRedimensionamento suportado

A combinação de ausência de IKEv2, limite de 128 conexões P2S e ausência de SLA descarta o SKU Basic para qualquer requisito corporativo. A alternativa C está errada no número (o Basic suporta 128, não 500). A alternativa D é incorreta porque a limitação do Basic quanto ao Microsoft Entra ID diz respeito à ausência de suporte a IKEv2, que é o protocolo usado nessa autenticação, e não a uma restrição de integração direta.

Gabarito — Questão 5

Resposta: B

O Azure VPN Gateway suporta autenticação com Microsoft Entra ID para conexões P2S (Point-to-Site), incluindo o User Tunnel do Always On VPN. Esse método usa o protocolo OpenVPN e permite que os usuários se autentiquem com suas credenciais do Entra ID, eliminando a necessidade de PKI interna para emissão de certificados de usuário.

A alternativa A é incorreta porque não é o único método compatível. A alternativa C descreve um cenário de autenticação RADIUS que, embora tecnicamente possível, não elimina a PKI de forma nativa e não é o método mais direto para integração com Entra ID. A alternativa D é incorreta porque o Azure VPN Gateway não gera e distribui automaticamente certificados de usuário autoassinados via Intune; esse processo exigiria configuração manual de PKI ou uso de certificados gerenciados pela organização.