Laboratório Técnico: Select an appropriate authentication method
Questões
Questão 1 — Múltipla Escolha
Uma organização precisa autenticar usuários corporativos que acessam uma VPN Gateway configurada com autenticação de ponto a ponto (P2S). O requisito é que a autenticação utilize as identidades já gerenciadas no Microsoft Entra ID, sem necessidade de infraestrutura PKI própria e sem depender de certificados gerenciados pelos usuários.
Qual método de autenticação atende a esses requisitos?
A) Autenticação por certificado com CA raiz carregada no gateway
B) Autenticação Microsoft Entra ID com cliente OpenVPN
C) Autenticação RADIUS integrada ao Active Directory local
D) Autenticação por chave pré-compartilhada (PSK)
Questão 2 — Cenário Técnico
Um engenheiro configura uma conexão VPN P2S em um Azure VPN Gateway com o protocolo IKEv2. O objetivo é permitir que dispositivos macOS e Windows se conectem usando certificados digitais. Durante os testes, os clientes Windows conectam com sucesso, mas os clientes macOS falham na autenticação.
Protocolo: IKEv2
Autenticação: Certificado (CA raiz carregada no gateway)
Cliente Windows: Conexão bem-sucedida
Cliente macOS: Falha na autenticação
Qual é a causa mais provável da falha nos clientes macOS?
A) O macOS não suporta IKEv2 como protocolo de túnel VPN
B) O certificado do cliente macOS precisa ser emitido por uma CA diferente da usada no Windows
C) O pacote de configuração do cliente VPN não foi gerado ou reinstalado após o upload do certificado raiz
D) O gateway precisa de um segundo certificado raiz exclusivo para clientes não-Windows
Questão 3 — Verdadeiro ou Falso
A autenticação Microsoft Entra ID em conexões VPN P2S é suportada tanto pelo protocolo OpenVPN quanto pelo protocolo IKEv2, desde que o gateway esteja na SKU VpnGw1 ou superior.
Verdadeiro ou Falso?
Questão 4 — Cenário Técnico
Uma empresa utiliza um ambiente híbrido com Microsoft Entra Connect sincronizando identidades do Active Directory local para o Microsoft Entra ID. O time de rede precisa implementar autenticação RADIUS para uma solução P2S VPN Gateway, de modo que as credenciais validadas sejam as do Active Directory local, sem expor o servidor NPS diretamente à internet.
O diagrama abaixo representa a arquitetura proposta:
[Cliente VPN] --> [VPN Gateway (P2S)] --> [Servidor NPS na rede local]
|
[Active Directory]
Qual componente ou configuração é obrigatório para que o VPN Gateway alcance o servidor NPS na rede local?
A) Uma conexão Site-to-Site (S2S) ou ExpressRoute entre o VPN Gateway e a rede local
B) A habilitação de autenticação multifator (MFA) no servidor NPS
C) Um segundo VPN Gateway dedicado exclusivamente ao tráfego RADIUS
D) A instalação do Microsoft Entra Connect no servidor NPS
Questão 5 — Múltipla Escolha
Ao comparar os métodos de autenticação disponíveis para VPN P2S no Azure VPN Gateway, qual afirmação descreve corretamente uma diferença funcional entre autenticação por certificado e autenticação via Microsoft Entra ID?
A) A autenticação por certificado exige SKU VpnGw2 ou superior, enquanto a autenticação via Entra ID funciona em qualquer SKU
B) A autenticação via Microsoft Entra ID permite aplicar políticas de Acesso Condicional, enquanto a autenticação por certificado não oferece essa integração nativa
C) A autenticação por certificado suporta apenas o protocolo OpenVPN, enquanto o Entra ID suporta IKEv2 e SSTP
D) A autenticação via Microsoft Entra ID é suportada em gateways da SKU Basic, enquanto certificados exigem SKUs superiores
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
A autenticação Microsoft Entra ID com cliente OpenVPN é o único método que utiliza identidades gerenciadas no Entra ID sem exigir PKI própria ou distribuição de certificados para os usuários. O protocolo OpenVPN é obrigatório para este método, e o fluxo de autenticação usa OAuth 2.0 com tokens emitidos pelo Entra ID.
A alternativa A exige infraestrutura PKI, contrariando o requisito. A alternativa C depende de RADIUS e de um servidor NPS integrado ao AD local, não do Entra ID diretamente. A alternativa D (PSK) é aplicável apenas a conexões S2S/VNet-to-VNet, não a P2S com usuários individuais.
Gabarito — Questão 2
Resposta: C
Quando um novo certificado raiz é carregado no VPN Gateway, o pacote de configuração do cliente VPN deve ser regenerado e redistribuído. O pacote antigo não contém as informações atualizadas do gateway. Clientes que já tinham o pacote anterior instalado (como os Windows no cenário) podem continuar funcionando se o certificado de cliente deles ainda for válido, mas clientes que instalam o pacote desatualizado falham.
A alternativa A é incorreta: macOS suporta IKEv2 nativamente. A alternativa B não tem fundamento técnico, pois a CA raiz é a mesma para todos os clientes. A alternativa D também é incorreta: um único certificado raiz por CA é suficiente para todos os sistemas operacionais.
Gabarito — Questão 3
Resposta: Falso
A autenticação via Microsoft Entra ID em P2S é suportada exclusivamente pelo protocolo OpenVPN. O IKEv2 não é compatível com esse método de autenticação no Azure VPN Gateway. Portanto, mesmo que o gateway esteja em uma SKU adequada, não é possível usar Entra ID com IKEv2. A confusão acontece porque tanto OpenVPN quanto IKEv2 são protocolos suportados pelo gateway, mas os métodos de autenticação compatíveis diferem entre eles.
Gabarito — Questão 4
Resposta: A
O VPN Gateway é um recurso da rede virtual do Azure e, por padrão, não possui conectividade com redes locais. Para que o gateway encaminhe requisições RADIUS ao servidor NPS na rede local, é obrigatório existir uma conexão Site-to-Site (S2S) ou ExpressRoute estabelecida entre a VNet do Azure e a rede local. Sem esse caminho de rede, os pacotes RADIUS simplesmente não chegam ao servidor NPS.
A alternativa B (MFA no NPS) é uma boa prática de segurança, mas não é um requisito para o roteamento funcionar. A alternativa C não existe como solução no Azure. A alternativa D confunde o papel do Microsoft Entra Connect, que é responsável pela sincronização de identidades, e não pela conectividade de rede.
Gabarito — Questão 5
Resposta: B
A diferença funcional mais relevante é que a autenticação via Microsoft Entra ID permite integrar o fluxo de autenticação com o Microsoft Entra Conditional Access, possibilitando a aplicação de políticas como exigência de MFA, conformidade do dispositivo e bloqueio por localização geográfica. Certificados provam a identidade do dispositivo ou usuário, mas não se integram nativamente ao mecanismo de Acesso Condicional do Entra ID.
A alternativa A inverte os requisitos de SKU sem base factual. A alternativa C inverte os protocolos: é a autenticação por Entra ID que requer OpenVPN, não o contrário. A alternativa D está incorreta: a SKU Basic não suporta autenticação via Entra ID, e há restrições de SKU também para certificados.