Creación de perfiles de VPN para conectarse a servidores VPN en Intune

Las redes privadas virtuales (VPN) ofrecen a los usuarios acceso remoto seguro a la red de la empresa. Los dispositivos usan un perfil de conexión VPN para iniciar una conexión con el servidor VPN. Los perfiles de VPN en Microsoft Intune asignan la configuración de VPN en los usuarios y los dispositivos de la organización. Use esta configuración para que los usuarios puedan conectarse de forma fácil y segura a la red de la organización.

Esta característica se aplica a:

  • Administrador de dispositivos Android

  • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo

  • iOS/iPadOS

  • macOS

  • Windows 10 y versiones posteriores

    Importante

    En el caso de los dispositivos Windows 11, hay un problema entre el cliente de Windows 11 y el CSP de VPNv2 de Windows que provoca que un dispositivo con uno o varios perfiles de VPN de Intune pierda su conectividad VPN cuando el dispositivo procesa varios cambios en sus perfiles de VPN al mismo tiempo. La conectividad se restaura cuando el dispositivo se conecta con Intune por segunda vez para procesar los cambios de perfil de VPN.

    Los cambios que pueden causar la pérdida de funcionalidad de VPN incluyen:

    • Edita un perfil de VPN que el dispositivo Windows 11 procesó con anterioridad. Esta acción elimina el perfil original y va seguida de la aplicación del perfil actualizado.
    • Dos nuevos perfiles VPN se aplican al dispositivo al mismo tiempo.
    • Eliminación de un perfil de VPN activo al mismo tiempo que se asigna un nuevo perfil de VPN.

    Este problema no se aplica a:

    • Un dispositivo Windows 11 cuando recibe un único perfil de VPN de Intune y el dispositivo aún no tiene asignado un perfil VPN.
    • Dispositivos Windows 11 que tienen asignado un perfil VPN y, a continuación, se les asigna un perfil VPN adicional sin otros cambios de perfil.
    • Cuando un dispositivo Windows 10 se actualiza a Windows 11, siempre y cuando no haya cambios en los perfiles VPN de ese dispositivo. Sin embargo, después de la actualización a Windows 11, cualquier cambio en los perfiles VPN del dispositivo o la adición de nuevos perfiles VPN desencadenará el problema.

    Este problema y advertencia permanecen en vigor hasta que Windows actualice el cliente de Windows 11 para resolver el problema.

  • Windows 8.1 y versiones posteriores

Por ejemplo, quiere configurar todos los dispositivos iOS/iPadOS con las opciones de configuración necesarias para conectarse a un recurso compartido de archivos de la red de la empresa. Cree un perfil de VPN que incluya estas opciones de configuración. Asigne este perfil a todos los usuarios que tengan dispositivos iOS/iPadOS. Los usuarios verán la conexión VPN en la lista de redes disponibles y podrán conectarse con un esfuerzo mínimo.

En este artículo se enumeran las aplicaciones de VPN que puede usar, se muestra cómo crear un perfil de VPN y se incluyen instrucciones para proteger los perfiles de VPN. Debe implementar la aplicación de VPN antes de crear el perfil de VPN. Si necesita ayuda para implementar aplicaciones con Microsoft Intune, consulte ¿Qué es la administración de aplicaciones en Microsoft Intune?.

Antes de empezar

Tipos de conexión VPN

Importante

Para poder usar perfiles de VPN asignados a un dispositivo, debe instalar la aplicación de VPN para el perfil. Para ayudarle a asignar la aplicación mediante Intune, consulte Incorporación de aplicaciones a Microsoft Intune.

Puede crear perfiles de VPN mediante los siguientes tipos de conexión:

  • Automático

    • Windows 10
  • Check Point Capsule VPN

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise: use la directiva de configuración de aplicaciones
    • iOS/iPadOS
    • macOS
    • Windows 10
    • Windows 8.1
  • Cisco AnyConnect

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10
  • Cisco (IPsec)

    • iOS/iPadOS
  • SSO de Citrix

  • VPN personalizada

    • iOS/iPadOS
    • macOS

    Cree perfiles de VPN personalizados usando la configuración de URI de Crear un perfil con una configuración personalizada.

  • F5 Access

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10
  • L2TP

    • Windows 10
  • Microsoft Tunnel (cliente independiente)

    • iOS/iPadOS
  • Microsoft Tunnel

    • Dispositivos de propiedad personal de Android Enterprise con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise

    Importante

    Antes de admitir el uso de Microsoft Defender para punto de conexión como la aplicación cliente túnel, estaba disponible una aplicación cliente túnel independiente en versión preliminar y usaba el tipo de conexión Microsoft Tunnel (cliente independiente). Desde el 14 de junio de 2021, tanto la aplicación túnel independiente como el tipo de conexión de cliente independiente están en desuso y dejarán de admitirse el 31 de octubre de 2022.

  • NetMotion Mobility

    • Dispositivos de propiedad personal de Android Enterprise con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10
  • Pulse Secure

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • Windows 10
    • Windows 8.1
  • SonicWall Mobile Connect

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10
    • Windows 8.1
  • Zscaler

Creación del perfil

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

  2. Seleccione Dispositivos > Perfiles de configuración > Crear perfil.

  3. Escriba las propiedades siguientes:

    • Plataforma: seleccione la plataforma de los dispositivos. Las opciones son:
      • Administrador de dispositivos Android
      • Android Enterprise > Perfil de trabajo de propiedad corporativa, dedicado y totalmente administrado
      • Android Enterprise > Perfil de trabajo de propiedad personal
      • iOS/iPadOS
      • macOS
      • Windows 10 y versiones posteriores
      • Windows 8.1 y versiones posteriores
    • Perfil: seleccione VPN. O bien, seleccione Plantillas > VPN.
  4. Seleccione Crear.

  5. En Datos básicos, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el perfil. Asígneles un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante. Por ejemplo, un buen nombre de perfil sería Perfil de VPN para toda la empresa.
    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.
  6. Seleccione Siguiente.

  7. En Opciones de configuración, las opciones que puede configurar serán diferentes, según la plataforma que haya elegido. Seleccione la plataforma en la configuración detallada:

  8. Seleccione Siguiente.

  9. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vea Usar control de acceso basado en rol (RBAC) y etiquetas de ámbito.

    Seleccione Siguiente.

  10. En Asignaciones, seleccione el usuario o los grupos que van a recibir el perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

    Seleccione Siguiente.

  11. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

Protección de los perfiles de VPN

Los perfiles de VPN pueden usar muchos tipos distintos de conexiones y protocolos de diferentes fabricantes. Estas conexiones suelen protegerse con los siguientes métodos.

Certificados

Al crear el perfil de VPN, elija un perfil de certificado SCEP o PKCS que haya creado previamente en Intune. Este perfil se conoce como el certificado de identidad. Se usa para autenticar con un perfil de certificado de confianza (o un certificado raíz) que se crea para que el dispositivo del usuario pueda conectarse. El certificado de confianza se asigna al equipo que autentica la conexión VPN, por lo general, el servidor de VPN.

Si usa la autenticación basada en certificados para el perfil de VPN, implemente el perfil de VPN, el de certificado y el perfil raíz de confianza en los mismos grupos. Esta asignación garantiza que cada dispositivo pueda reconocer la legitimidad de la entidad de certificación.

Para obtener más información sobre cómo crear y usar perfiles de certificado en Intune, consulte Configuración de certificados con Microsoft Intune.

Nota

No se admiten los certificados agregados con el perfil del certificado PKCS importado para la autenticación de VPN. Se admiten los certificados agregados mediante el perfil de los certificados PKCS para la autenticación de VPN.

Nombre de usuario y contraseña

El usuario se autentica en el servidor de VPN proporcionando el nombre de usuario y la contraseña, o bien las credenciales derivadas.

Siguientes pasos