Configuración de la red privada virtual (VPN) por aplicación para dispositivos iOS en IntuneSet up per-app Virtual Private Network (VPN) for iOS devices in Intune

En Microsoft Intune, puede crear y usar redes privadas virtuales (VPN) asignadas a una aplicación.In Microsoft Intune, you can create and use Virtual Private Networks (VPNs) assigned to an app. Esta característica se denomina "VPN por aplicación".This feature is called "per-app VPN". Debe elegir las aplicaciones administradas que pueden usar su VPN en dispositivos administrados por Intune.You choose the managed apps that can use your VPN on devices managed by Intune. Al usar una VPN por aplicación, los usuarios finales se conectan de forma automática a través de la VPN y obtienen acceso a recursos de la organización, como los documentos.When using a per-app VPNs, end users automatically connect through the VPN, and get access to organizational resources, such as documents.

Esta característica se aplica a:This feature applies to:

  • iOS 9 y versiones posterioresiOS 9 and later

Compruebe la documentación de su proveedor de VPN para ver si su VPN admite la VPN por aplicación.Check your VPN provider's documentation to see if your VPN supports per-app VPN.

En este artículo se muestra cómo crear un perfil de VPN por aplicación y asignar este perfil a sus aplicaciones.This article shows you how to create a per-app VPN profile, and assign this profile to your apps. Siga estos pasos para crear una experiencia de VPN por aplicación perfecta para los usuarios finales.Use these steps to create a seamless per-app VPN experience for your end users. En el caso de la mayoría de las VPN que admiten la VPN por aplicación, el usuario abre una aplicación y se conecta automáticamente a la VPN.For most VPNs that support per-app VPN, the user opens an app, and automatically connects to the VPN.

Algunas VPN permiten la autenticación de nombre de usuario y contraseña con la VPN por aplicación.Some VPNs allow username and password authentication with per-app VPN. Es decir, los usuarios tienen que escribir un nombre de usuario y una contraseña para conectarse a la VPN.Meaning, users need to enter a username and password to connect to the VPN.

VPN por aplicación con ZscalerPer-app VPN with Zscaler

Zscaler Private Access (ZPA) se integra con Azure Active Directory (Azure AD) para la autenticación.Zscaler Private Access (ZPA) integrates with Azure Active Directory (Azure AD) for authentication. Al usar ZPA, no necesita los perfiles de certificado de confianza ni de certificado SCEP o PKCS (que se describen en este artículo).When using ZPA, you don't need the trusted certificate or SCEP or PKCS certificate profiles (described in this article). Si tiene un perfil de VPN por aplicación configurado para Zscaler, al abrir una de las aplicaciones asociadas no se conecta automáticamente a ZPA.If you have a per-app VPN profile set up for Zscaler, opening one of the associated apps doesn't automatically connect to ZPA. En su lugar, el usuario tiene que iniciar sesión primero en la aplicación de Zscaler.Instead, the user needs to sign into the Zscaler app first. Después, el acceso remoto se limita a las aplicaciones asociadas.Then, remote access is limited to the associated apps.

Requisitos previos de VPN por aplicaciónPrerequisites for per-app VPN

Importante

Su proveedor de VPN puede tener otros requisitos para la VPN por aplicación, como hardware o licencias específicos.Your VPN vendor may have other requirements for per-app VPN, such as specific hardware or licensing. Asegúrese de comprobar su documentación y cumplir los requisitos previos antes de configurar la VPN por aplicación en Intune.Be sure to check with their documentation, and meet those prerequisites before setting up per-app VPN in Intune.

Con el objetivo de demostrar su identidad, el servidor VPN presenta el certificado pertinente, el cual debe aceptarse sin ningún aviso del dispositivo.To prove its identity, the VPN server presents the certificate that must be accepted without a prompt by the device. Para confirmar la aprobación automática del certificado, cree un perfil de certificado de confianza que contenga el certificado raíz del servidor VPN emitido por la entidad de certificación (CA).To confirm the automatic approval of the certificate, create a trusted certificate profile that contains the VPN server's root certificate issued by the Certification Authority (CA).

Exportar el certificado y agregar la entidad de certificaciónExport the certificate and add the CA

  1. En el servidor VPN, abra la consola de administración.On your VPN server, open the administration console.

  2. Confirme que el servidor VPN usa una autenticación basada en certificado.Confirm that your VPN server uses certificate-based authentication.

  3. Exporte el archivo del certificado raíz de confianza.Export the trusted root certificate file. Este presenta la extensión .cer, y puede agregarlo a la hora de crear un perfil de certificado de confianza.It has a .cer extension, and you add it when creating a trusted certificate profile.

  4. Agregue el nombre de la entidad de certificación que ha emitido el certificado para la autenticación en el servidor VPN.Add the name of the CA that issued the certificate for authentication to the VPN server.

    Si la entidad de certificación que ha presentado el dispositivo coincide con una de las que figuran en la lista de entidades de certificación de confianza del servidor VPN, dicho servidor VPN autenticará el dispositivo correctamente.If the CA presented by the device matches a CA in the Trusted CA list on the VPN server, then the VPN server successfully authenticates the device.

Creación de un grupo para los usuarios de la VPNCreate a group for your VPN users

Cree o elija un grupo existente en Azure Active Directory (Azure AD) para los usuarios o dispositivos que usen la VPN por aplicación.Create or choose an existing group in Azure Active Directory (Azure AD) for the users or devices that use per-app VPN. Para crear un grupo, vea Agregar grupos para organizar usuarios y dispositivos.To create a new group, see Add groups to organize users and devices.

Creación de un perfil de certificado de confianzaCreate a trusted certificate profile

Importe el certificado raíz del servidor VPN emitido por la entidad de certificación en un perfil creado en Intune.Import the VPN server's root certificate issued by the CA into a profile created in Intune. El perfil de certificado de confianza indicará al dispositivo iOS que puede confiar automáticamente en la entidad de certificación del servidor VPN.The trusted certificate profile instructs the iOS device to automatically trust the CA that the VPN server presents.

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.Sign in to the Microsoft Endpoint Manager Admin Center.

  2. Seleccione Dispositivos > Perfiles de configuración > Crear perfil.Select Devices > Configuration profiles > Create profile.

  3. Escriba las propiedades siguientes:Enter the following properties:

    • Nombre: escriba un nombre descriptivo para el nuevo perfil.Name: Enter a descriptive name for the profile. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante.Name your profiles so you can easily identify them later. Por ejemplo, un buen nombre de perfil es Perfil de VPN de certificado de confianza de iOS en toda la empresa.For example, a good profile name is iOS trusted certificate VPN profile for entire company.
    • Descripción: escriba una descripción para el perfil.Description: Enter a description for the profile. Esta configuración es opcional pero recomendada.This setting is optional, but recommended.
    • Plataforma: seleccione iOS.Platform: Select iOS.
    • Tipo de perfil: seleccione Certificado de confianza.Profile type: Select Trusted certificate.
  4. Haga clic en el icono de carpeta y localice el certificado VPN (archivo .cer) que ha exportado de la consola de administración de la VPN.Select the folder icon, and browse to your VPN certificate (.cer file) that you exported from your VPN administration console.

  5. Haga clic en Aceptar > Crear.Select OK > Create.

    Creación de un perfil de certificado de confianza para dispositivos iOS en Microsoft Intune

Creación de un perfil de certificado SCEP o PKCSCreate a SCEP or PKCS certificate profile

El perfil de certificado raíz de confianza permite al dispositivo confiar de forma automática en el servidor VPN.The trusted root certificate profile allows the device to automatically trust the VPN Server. El certificado SCEP o PKCS proporciona las credenciales del cliente VPN de iOS para el servidor VPN.The SCEP or PKCS certificate provides credentials from the iOS VPN client to the VPN server. El certificado permite al dispositivo realizar la autenticación de forma silenciosa, sin solicitar un nombre de usuario ni la contraseña.The certificate allows the device to silently authenticate without prompting for a username and password.

Para configurar y asignar el certificado de autenticación del cliente, consulte uno de los siguientes artículos:To configure and assign the client authentication certificate, see one of the following articles:

Asegúrese de configurar el certificado para la autenticación de cliente.Be sure to configure the certificate for client authentication. Puede establecer esto directamente en los perfiles de certificado SCEP (lista Uso mejorado de clave > Autenticación de cliente).You can set this directly in SCEP certificate profiles (Extended key usage list > Client authentication). En el caso de PKCS, establezca la autenticación de cliente en la plantilla de certificado en la entidad de certificación (CA).For PKCS, set client authentication in the certificate template in the certificate authority (CA).

Creación de un perfil de certificado SCEP en Microsoft Intune, incluidos el formato de nombre del firmante, el uso de claves, el uso mejorado de clave y mucho más

Creación de un perfil de VPN por aplicaciónCreate a per-app VPN profile

El perfil de VPN contiene el certificado SCEP o PKCS con las credenciales del cliente, la información de la conexión a la VPN y la marca de VPN por aplicación para habilitar que la aplicación iOS use dicha característica.The VPN profile contains the SCEP or PKCS certificate with the client credentials, the connection information to the VPN, and the per-app VPN flag to enable the per-app VPN feature uses by the iOS application.

  1. En el Centro de administración del Administrador de puntos de conexión de Microsoft, seleccione Dispositivos > Perfiles de configuración > Crear perfil.In the Microsoft Endpoint Manager Admin Center, select Devices > Configuration profiles > Create profile.

  2. Escriba las propiedades siguientes:Enter the following properties:

    • Nombre: escriba un nombre descriptivo para el perfil personalizado.Name: Enter a descriptive name for the custom profile. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante.Name your profiles so you can easily identify them later. Por ejemplo, un buen nombre de perfil sería Perfil de VPN de iOS por aplicación en toda la empresa.For example, a good profile name is iOS per-app VPN profile for entire company.
    • Descripción: escriba una descripción para el perfil.Description: Enter a description for the profile. Esta configuración es opcional pero recomendada.This setting is optional, but recommended.
    • Plataforma: seleccione iOS.Platform: Select iOS.
    • Tipo de perfil: seleccione VPN.Profile type: Select VPN.
  3. En Tipo de conexión, seleccione la aplicación de cliente VPN.In Connection type, select your VPN client app.

  4. Seleccione VPN base.Select Base VPN. En Configuración de VPN de iOS se enumeran y describen todas las opciones de configuración.iOS VPN settings lists and describes all the settings. Al usar la VPN por aplicación, asegúrese de establecer las siguientes propiedades como se muestra:When using per-app VPN, be sure you set the following properties as listed:

    • Método de autenticación: seleccione Certificados.Authentication method: Select Certificates.

    • Certificado de autenticación: seleccione un certificado SCEP o PKCS existente > Aceptar.Authentication certificate: Select an existing SCEP or PKCS certificate > OK.

    • Tunelización dividida: seleccione Deshabilitar para forzar que todo el tráfico use el túnel VPN cuando la conexión VPN esté activa.Split tunneling: Select Disable to force all traffic to use the VPN tunnel when the VPN connection is active.

      En un perfil de VPN por aplicación, especifique una conexión, la dirección IP o FQDN, el método de autenticación y la tunelización dividida en Microsoft Intune

    Para obtener información sobre las demás opciones de configuración, vea Configuración de VPN de iOS.For information on the other settings, see iOS VPN settings.

  5. Seleccione VPN automática > Tipo de VPN automática > VPN por aplicación.Select Automatic VPN > Type of automatic VPN > Per-app VPN

    En Intune, establezca VPN automática en VPN por aplicación en dispositivos iOS

  6. Seleccione Aceptar > Aceptar > Crear.Select OK > OK > Create.

Asociación de una aplicación al perfil de VPNAssociate an app with the VPN profile

Tras agregar el perfil de VPN, asocie la aplicación y el grupo de Azure AD al perfil.After adding your VPN profile, associate the app and Azure AD group to the profile.

  1. En el Centro de administración del Administrador de puntos de conexión de Microsoft, seleccione Aplicaciones > Todas las aplicaciones.In the Microsoft Endpoint Manager Admin Center, select Apps > All apps.

  2. Seleccione una aplicación de la lista > Asignaciones > Agregar grupo.Select an app from the list > Assignments > Add group.

  3. En Tipo de asignación, seleccione Requerida o Disponible para dispositivos inscritos.In Assignment type, select Required or Available for enrolled devices.

  4. Seleccione Grupos incluidos > Seleccionar grupos para incluir > Seleccione el grupo que ha creado (en este artículo) > Seleccionar.Select Included groups > Select groups to include > Select the group you created (in this article) > Select.

  5. En VPN, seleccione el perfil de VPN por aplicación que ha creado (en este artículo).In VPNs, select the per-app VPN profile you created (in this article).

    Asignación de una aplicación al perfil de VPN por aplicación en Microsoft Intune

  6. Seleccione Aceptar > Guardar.Select OK > Save.

Una asociación entre una aplicación y un perfil se quita durante la próxima comprobación de dispositivos cuando se den todas estas condiciones:An association between an app and a profile is removed during the next device check-in, when all of the following conditions exist:

  • La aplicación se diseñó con la intención de instalación requerida.The app was targeted with required install intent.
  • El perfil y la aplicación se destinan al mismo grupo.Both the profile and the app are targeted to the same group.
  • Quita la configuración de VPN por aplicación de la asignación de la aplicación.You remove the per-app VPN configuration from the app assignment.

Una asociación entre una aplicación y un perfil sigue existiendo hasta que el usuario solicite una reinstalación desde el Portal de empresa cuando se den todas estas condiciones:An association between an app and a profile persists until the user requests a reinstall from Company Portal, when all of the following conditions exist:

  • La aplicación se diseñó con la intención de instalación disponible.The app was targeted with available install intent.
  • El perfil y la aplicación se destinan al mismo grupo.Both the profile and the app are targeted to the same group.
  • El usuario final ha solicitado la instalación de la aplicación desde el Portal de empresa, lo que da como resultado que la aplicación y el perfil se instalen en el dispositivo.The end user requested app install from Company Portal, which results in app and profile being installed on the device.
  • Quite o cambie la configuración de VPN por aplicación de la asignación de la aplicación.You remove or change the per-app VPN configuration from the app assignment.

Comprobación de la conexión en el dispositivo iOSVerify the connection on the iOS device

Una vez que la VPN por aplicación esté configurada y asociada a su aplicación, compruebe que la conexión funcione desde un dispositivo.With your per-app VPN set-up and associated with your app, verify the connection works from a device.

Antes de probar la conexiónBefore you attempt to connect

  • Asegúrese de implementar todas las directivas mencionadas anteriormente en el mismo grupo.Make sure you deploy all of the above mentioned policies to the same group. En caso contrario, la experiencia de VPN por aplicación no funcionará.Otherwise, the per-app VPN experience won't work.
  • Si usa la aplicación de VPN Pulse Secure o una aplicación de cliente VPN personalizada, puede elegir la tunelización de la capa de aplicaciones o de la capa de paquetes.If you're using the Pulse Secure VPN app or a custom VPN client app, you can choose to use app-layer or packet-layer tunneling. Establezca el valor ProviderType en app-proxy para la tunelización de la capa de la aplicación o packet-tunnel para la tunelización de la capa de paquetes.Set the ProviderType value to app-proxy for app-layer tunneling, or packet-tunnel for packet-layer tunneling. Compruebe la documentación de su proveedor de VPN para asegurarse de que usa el valor correcto.Check your VPN provider's documentation to make sure you're using the right value.

Conexión mediante la VPN por aplicaciónConnect using the per-app VPN

Conéctese sin seleccionar la VPN ni escribir las credenciales para comprobar la experiencia sin intervención por parte del usuario.Verify the zero-touch experience by connecting without having to select the VPN or type your credentials. Por "experiencia sin intervención por parte del usuario" se entiende lo siguiente:The zero-touch experience means:

  • El dispositivo no solicita que confíe en el servidor VPN.The device doesn't ask you to trust the VPN server. Es decir, el usuario no ve el cuadro de diálogo de Dynamic Trust (Confianza dinámica).That is, the user doesn't see the Dynamic Trust dialog box.
  • El usuario no tiene que escribir las credenciales.The user doesn't have to type credentials.
  • El dispositivo del usuario está conectado a la VPN cuando el usuario abre una de las aplicaciones asociadas.The user's device is connected to the VPN when the user opens one of the associated apps.

Pasos siguientesNext steps