Configuración del dispositivo Android Enterprise para configurar VPN en Intune

  • Artículo

En este artículo se describen las distintas configuraciones de conexión VPN que puede controlar en dispositivos Android Enterprise. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para crear una conexión VPN, elegir cómo se autentica la VPN, seleccionar un tipo de servidor VPN y mucho más.

Esta característica se aplica a:

  • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo (BYOD)
  • Perfil de trabajo corporativo de Android Enterprise (COPE)
  • Dispositivos Android Enterprise de propiedad corporativa totalmente administrados (COBO)
  • Dispositivos Android Enterprise dedicados de propiedad corporativa (COSU)

Como administrador de Intune, puede crear y asignar la configuración de VPN a dispositivos Android Enterprise. Para más información sobre los perfiles de VPN en Intune, consulte Perfiles de VPN.

Nota:

Para configurar una VPN siempre activa, debe crear un perfil de VPN y también crear un perfil de restricciones de dispositivos con la configuración vpn always-on configurada.

Antes de empezar

Perfil de trabajo totalmente administrado, dedicado y Corporate-Owned

  • Tipo de conexión: seleccione el tipo de conexión VPN. Sus opciones:

    • Cisco AnyConnect
    • SonicWall Mobile Connect
    • F5 Access
    • Pulse Secure
    • Microsoft Tunnel (no se admite en dispositivos dedicados de Android Enterprise).

La configuración disponible depende del cliente VPN que elija. Algunas opciones de configuración solo están disponibles para clientes VPN específicos.

VPN base (perfil de trabajo totalmente administrado, dedicado y corporativo)

  • Nombre de conexión: escriba un nombre para esta conexión. Los usuarios finales ven este nombre cuando examinan su dispositivo en busca de las conexiones VPN disponibles. Por ejemplo, escriba Contoso VPN.

  • Dirección del servidor VPN o FQDN: escriba la dirección IP o el nombre de dominio completo (FQDN) del servidor VPN al que se conectan los dispositivos. Por ejemplo, escriba 192.168.1.1 o vpn.contoso.com.

  • Método de autenticación: elija cómo se autentican los dispositivos en el servidor VPN. Sus opciones:

    • Certificados: seleccione un perfil de certificado SCEP o PKCS existente para autenticar la conexión. Configurar certificados muestra los pasos para crear un perfil de certificado.

    • Nombre de usuario y contraseña: cuando los usuarios finales inician sesión en el servidor VPN, se les pide que escriban su nombre de usuario y contraseña.

    • Credencial derivada: use un certificado derivado de la tarjeta inteligente de un usuario. Si no se configura ningún emisor de credenciales derivado, Intune le pedirá que agregue uno.

      Para obtener más información, consulte Uso de credenciales derivadas en Intune.

  • Escriba pares de clave y valor para los atributos de VPN de NetMotion Mobility: agregue o importe claves y valores que personalicen la conexión VPN. Normalmente, el proveedor de VPN proporciona estos valores.

  • Sitio de Microsoft Tunnel (solo Microsoft Tunnel): seleccione un sitio existente. El cliente VPN se conecta a la dirección IP pública o el FQDN de este sitio.

    Para obtener más información, consulte Microsoft Tunnel para Intune.

VPN por aplicación (perfil de trabajo totalmente administrado, dedicado y corporativo)

  • Agregar: seleccione aplicaciones administradas en la lista. Cuando los usuarios inician las aplicaciones que agrega, el tráfico se enruta automáticamente a través de la conexión VPN.

Para obtener más información, consulte Uso de una directiva de VPN y VPN por aplicación en dispositivos Android Enterprise.

VPN always-on (perfil de trabajo totalmente administrado, dedicado y corporativo)

  • VPN always-on: habilitar activa la VPN siempre activa para que los clientes VPN se conecten automáticamente y vuelvan a conectarse a la VPN cuando sea posible. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración. De forma predeterminada, la VPN siempre activa podría estar deshabilitada para todos los clientes VPN.

    Solo se puede configurar un cliente VPN para una VPN siempre activa en un dispositivo. Asegúrese de que no haya más de una directiva DE VPN siempre activada implementada en un solo dispositivo.

Proxy (perfil de trabajo totalmente administrado, dedicado y corporativo)

  • Script de configuración automática: use un archivo para configurar el servidor proxy. Escriba la dirección URL del servidor proxy que incluye el archivo de configuración. Por ejemplo, escriba http://proxy.contoso.com/pac.
  • Dirección: escriba la dirección IP o el nombre de host completo del servidor proxy. Por ejemplo, escriba 10.0.0.3 o vpn.contoso.com.
  • Número de puerto: escriba el número de puerto asociado al servidor proxy. Por ejemplo, escriba 8080.

Perfil de trabajo de propiedad personal

  • Tipo de conexión: seleccione el tipo de conexión VPN. Sus opciones:

    • Check Point Capsule VPN

    • Cisco AnyConnect

      Nota:

      Con Cisco AnyConnect en el perfil de trabajo de propiedad personal, puede haber algunos pasos adicionales para que los usuarios finales completen la conexión VPN. Para obtener más información, vaya a Perfiles de VPN: qué aspecto tienen los perfiles de VPN correctos.

    • SonicWall Mobile Connect

    • F5 Access

    • Pulse Secure

    • NetMotion Mobility

    • Microsoft Tunnel

La configuración disponible depende del cliente VPN que elija. Algunas opciones de configuración solo están disponibles para clientes VPN específicos.

VPN base (perfil de trabajo de propiedad personal)

  • Nombre de conexión: escriba un nombre para esta conexión. Los usuarios finales ven este nombre cuando examinan su dispositivo en busca de las conexiones VPN disponibles. Por ejemplo, escriba Contoso VPN.

  • Dirección del servidor VPN: escriba la dirección IP o el nombre de dominio completo (FQDN) del servidor VPN al que se conectan los dispositivos. Por ejemplo, escriba 192.168.1.1 o vpn.contoso.com.

  • Método de autenticación: elija cómo se autentican los dispositivos en el servidor VPN. Sus opciones:

    • Certificados: seleccione un perfil de certificado SCEP o PKCS existente para autenticar la conexión. Configurar certificados muestra los pasos para crear un perfil de certificado.

    • Nombre de usuario y contraseña: cuando los usuarios finales inician sesión en el servidor VPN, se les pide que escriban su nombre de usuario y contraseña.

    • Credencial derivada: use un certificado derivado de la tarjeta inteligente de un usuario. Si no se configura ningún emisor de credenciales derivado, Intune le pedirá que agregue uno.

      Para obtener más información, consulte Uso de credenciales derivadas en Intune.

  • Huella digital (solo Check Point VPN de cápsula): escriba la cadena de huella digital que le ha proporcionado el proveedor de VPN, como Contoso Fingerprint Code. Esta huella digital comprueba que el servidor VPN puede ser de confianza.

    Al autenticarse, se envía una huella digital al cliente para que el cliente sepa confiar en cualquier servidor que tenga la misma huella digital. Si el dispositivo no tiene la huella digital, pide al usuario que confíe en el servidor VPN mientras muestra la huella digital. El usuario comprueba manualmente la huella digital y decide confiar en la conexión.

  • Escriba pares de clave y valor para los atributos de VPN de NetMotion Mobility: agregue o importe claves y valores que personalicen la conexión VPN. Normalmente, el proveedor de VPN proporciona estos valores.

  • Sitio de Microsoft Tunnel (solo Microsoft Tunnel): seleccione un sitio existente. El cliente VPN se conecta a la dirección IP pública o el FQDN de este sitio.

    Para obtener más información, consulte Microsoft Tunnel para Intune.

VPN por aplicación (perfil de trabajo de propiedad personal)

  • Agregar: seleccione aplicaciones administradas en la lista. Cuando los usuarios inician las aplicaciones que agrega, el tráfico se enruta automáticamente a través de la conexión VPN.

Para obtener más información, consulte Uso de una directiva de VPN y VPN por aplicación en dispositivos Android Enterprise.

VPN always-on (perfil de trabajo de propiedad personal)

  • VPN always-on: habilitar activa la VPN siempre activa para que los clientes VPN se conecten automáticamente y vuelvan a conectarse a la VPN cuando sea posible. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración. De forma predeterminada, la VPN siempre activa podría estar deshabilitada para todos los clientes VPN.

    Solo se puede configurar un cliente VPN para una VPN siempre activa en un dispositivo. Asegúrese de que no haya más de una directiva DE VPN siempre activada implementada en un solo dispositivo.

Proxy (perfil de trabajo de propiedad personal)

  • Script de configuración automática: use un archivo para configurar el servidor proxy. Escriba la dirección URL del servidor proxy que incluye el archivo de configuración. Por ejemplo, escriba http://proxy.contoso.com/pac.
  • Dirección: escriba la dirección IP o el nombre de host completo del servidor proxy. Por ejemplo, escriba 10.0.0.3 o vpn.contoso.com.
  • Número de puerto: escriba el número de puerto asociado al servidor proxy. Por ejemplo, escriba 8080.

Siguientes pasos

Asigne el perfil y supervise el estado.

También puede crear perfiles de VPN para el administrador de dispositivos Android, iOS/iPadOS, macOS y Windows 10 y versiones posteriores.

Solución de problemas de perfil de VPN en Microsoft Intune