Laboratório Técnico: Configure authentication by using Microsoft Entra ID
Questões
Questão 1 — Múltipla Escolha
Uma equipe de rede precisa garantir que apenas dispositivos registrados e em conformidade com as políticas da organização possam estabelecer conexões VPN ponto a site (P2S) no Azure. O gateway VPN já está configurado com autenticação baseada em Microsoft Entra ID.
Qual configuração adicional é necessária para impor o requisito de conformidade do dispositivo nesse cenário?
A) Configurar um certificado raiz no gateway VPN para validar o dispositivo cliente antes da autenticação do usuário.
B) Criar uma política de Microsoft Entra Conditional Access vinculada ao aplicativo de gateway VPN que exija conformidade do dispositivo.
C) Habilitar o Multi-Factor Authentication diretamente nas configurações do gateway VPN, na seção de autenticação Entra ID.
D) Registrar manualmente os endereços MAC dos dispositivos autorizados no grupo de segurança do Microsoft Entra ID associado ao gateway.
Questão 2 — Cenário Técnico
Um engenheiro configura autenticação com Microsoft Entra ID em um gateway VPN P2S e registra o aplicativo no portal do Microsoft Entra ID. Ao tentar conectar, os usuários recebem o erro abaixo:
AADSTS650051: Using application 'Azure VPN' is not supported for your organization.
Contact your administrator.
O engenheiro verifica que o aplicativo foi criado corretamente no tenant e que os usuários pertencem ao grupo autorizado. O que provavelmente foi omitido durante a configuração?
A) O segredo de cliente do aplicativo não foi gerado, impedindo que o gateway autentique contra o endpoint do Entra ID.
B) O consentimento de administrador para o aplicativo Azure VPN não foi concedido no tenant da organização.
C) A URL de redirecionamento do aplicativo não foi configurada com o endereço IP público do gateway VPN.
D) O aplicativo foi registrado como plataforma Web em vez de plataforma de aplicativo móvel e desktop, invalidando o fluxo de autenticação P2S.
Questão 3 — Verdadeiro ou Falso
Ao configurar um gateway VPN ponto a site com autenticação via Microsoft Entra ID, é possível combinar simultaneamente autenticação Entra ID e autenticação por certificado no mesmo perfil de cliente VPN, permitindo que diferentes usuários usem métodos distintos na mesma configuração de gateway.
Questão 4 — Cenário Técnico
Uma organização utiliza um gateway de VPN P2S configurado com Microsoft Entra ID para autenticação. O administrador precisa restringir o acesso à VPN a apenas um subconjunto de usuários do tenant, sem modificar o gateway ou reemitir perfis de cliente.
Qual é a abordagem correta para implementar essa restrição?
A) Criar uma regra de firewall no Azure que bloqueie tokens de autenticação de usuários fora do grupo autorizado.
B) Modificar o manifesto do aplicativo Azure VPN no Entra ID para incluir uma lista de UPNs permitidos no campo allowedMemberTypes.
C) Habilitar a opção "Atribuição de usuário obrigatória" no aplicativo enterprise correspondente no Entra ID e atribuir apenas os usuários ou grupos autorizados.
D) Configurar uma política de acesso condicional que bloqueie todos os usuários e, em seguida, criar uma exceção para o grupo autorizado usando um Named Location.
Questão 5 — Múltipla Escolha
Ao registrar o aplicativo de gateway VPN no Microsoft Entra ID para suporte a autenticação P2S, o administrador deve configurar permissões de API. Qual permissão é necessária para que o cliente VPN autentique usuários corretamente?
A) Application.ReadWrite.All delegada ao Microsoft Graph, para que o gateway possa ler e modificar o registro do próprio aplicativo em tempo de execução.
B) user_impersonation na API Azure VPN, permissão delegada que permite ao cliente agir em nome do usuário autenticado.
C) Directory.Read.All delegada ao Microsoft Graph, para que o gateway consulte atributos do usuário durante o estabelecimento do túnel.
D) openid e profile como permissões delegadas ao Microsoft Graph, suficientes para emitir tokens de acesso ao endpoint do gateway.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
A Microsoft Entra Conditional Access é o mecanismo correto para impor requisitos como conformidade do dispositivo sobre aplicações registradas no Entra ID, incluindo o aplicativo de gateway VPN. Quando o usuário tenta autenticar, o Conditional Access avalia a conformidade antes de emitir o token.
A alternativa A confunde autenticação baseada em certificado (método distinto) com verificação de conformidade. A alternativa C é incorreta porque o MFA é configurado no Entra ID ou via Conditional Access, não dentro das configurações do gateway. A alternativa D é operacionalmente inviável e não é suportada pela plataforma: o Entra ID não utiliza endereços MAC para controle de acesso.
Gabarito — Questão 2
Resposta: B
O erro AADSTS650051 indica especificamente que o aplicativo não tem consentimento de administrador concedido no tenant. Para que o aplicativo Azure VPN funcione, o administrador do tenant precisa realizar o consentimento administrativo explícito, autorizando as permissões necessárias para todos os usuários da organização.
A alternativa A é irrelevante porque o fluxo P2S com Entra ID usa fluxo de autorização de código (PKCE), que não depende de segredo de cliente. A alternativa C não é um requisito da configuração P2S; o gateway não recebe callbacks de redirecionamento. A alternativa D descreve um impacto real em outros cenários, mas não é a causa desse erro específico com esse código.
Gabarito — Questão 3
Resposta: Verdadeiro
O gateway VPN P2S no Azure suporta múltiplos tipos de autenticação simultâneos na mesma configuração. É possível habilitar ao mesmo tempo autenticação por certificado e autenticação via Microsoft Entra ID. Nesse caso, o perfil de cliente gerado permite que cada usuário utilize o método disponível para ele.
Esse comportamento é não óbvio porque muitos profissionais assumem exclusividade entre métodos. Compreender que os métodos coexistem é importante para estratégias de migração gradual e para ambientes híbridos onde nem todos os dispositivos suportam o fluxo de autenticação moderno do Entra ID.
Gabarito — Questão 4
Resposta: C
Habilitar "Atribuição de usuário obrigatória" (User assignment required) no aplicativo enterprise no Entra ID faz com que apenas usuários ou grupos explicitamente atribuídos consigam obter tokens para aquele aplicativo. Isso restringe o acesso sem exigir alterações no gateway ou nos perfis de cliente.
A alternativa A não existe como mecanismo de controle de tokens no Azure. A alternativa B usa um campo que não existe com essa finalidade no manifesto de aplicativo. A alternativa D atingiria o objetivo funcional, mas envolve uma lógica de Conditional Access mais complexa, com maior risco de misconfiguration, e não é a abordagem recomendada para esse caso específico, além de modificar o comportamento para todos os aplicativos do tenant se não for cuidadosamente escopada.
Gabarito — Questão 5
Resposta: B
A permissão user_impersonation na API Azure VPN é a permissão delegada específica e obrigatória para que o cliente VPN autentique o usuário e obtenha um token de acesso válido para o gateway. Ela representa o fluxo delegado em que o cliente age em nome do usuário.
A alternativa A concede escopo excessivo e desnecessário para esse fluxo. A alternativa C também é mais ampla do que necessário e não é requerida pelo processo de autenticação P2S. A alternativa D descreve escopos de autenticação OpenID Connect (identidade do usuário), mas sem a permissão user_impersonation o token emitido não é aceito pelo gateway VPN como autorização de acesso ao recurso.