Configurar Microsoft Tunnel para Intune

Una vez que estén listos los requisitos previos, vuelva a este artículo para comenzar la instalación y la configuración del túnel.

Crear una configuración de servidor

El uso de una configuración de servidor le permite crear una configuración una sola vez y usarla en varios servidores. La configuración incluye intervalos de direcciones IP, servidores DNS y reglas de tunelización dividida. Posteriormente, asignará una configuración de servidor a un sitio, para aplicarla de forma automática a cada servidor que se una a ese sitio.

Para crear una configuración de servidor

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager > Administración de inquilinos > Puerta de enlace de Microsoft Tunnel > seleccione la pestaña > Crear nueva de Configuraciones de servidor.

  2. En la pestaña Básico, escriba un Nombre y una Descripción (opcional), y seleccione Siguiente.

  3. En la pestaña Configuración, establezca los elementos siguientes:

    • Intervalo de direcciones IP: las direcciones IP dentro del intervalo se conceden a los dispositivos cuando se conectan a la puerta de enlace de Tunnel. El intervalo de direcciones IP del cliente de Tunnel especificado no debe entrar en conflicto con un intervalo de red local.

      • Considere la posibilidad de usar el intervalo de direcciones IP privadas automáticas (APIPA) de 169.254.0.0/16, ya que este intervalo evita conflictos con otras redes corporativas.
      • Si el intervalo de direcciones IP del cliente entra en conflicto con el destino, se repetirá y no podrá comunicarse con la red corporativa.
      • Puede seleccionar cualquier intervalo de direcciones IP de cliente que desee usar mientras no entre en conflicto con los intervalos de direcciones IP de la red corporativa.
    • Servidores DNS: estos servidores se usan cuando una solicitud DNS procede de un dispositivo que está conectado a la puerta de enlace de Tunnel.

    • Búsqueda de sufijos DNS (opcional): este dominio se proporciona a los clientes como el predeterminado cuando se conectan a la puerta de enlace de Tunnel.

    • La tunelización dividida (opcional): permite incluir o excluir direcciones. Las direcciones incluidas se enrutan a la puerta de enlace de Tunnel. Las direcciones excluidas no se enrutan. Por ejemplo, podría configurar una regla de inclusión para 255.255.0.0 o 192.168.0.0/16.

      La tunelización dividida admite un total de 500 reglas de inclusión y exclusión. Por ejemplo, si configura 300 reglas de inclusión, solo podrá tener 200 de exclusión.

    • Puerto del servidor: escribe el puerto que el servidor usa para escuchar las conexiones.

  4. En la pestaña Revisar y crear, revise la configuración y, después, seleccione Crear para guardarla.

Crear un sitio

Los sitios son grupos lógicos de servidores en los que se hospeda Microsoft Tunnel. Asignará una configuración de servidor a cada sitio que cree. Esa configuración se aplica a cada servidor que se una al sitio.

Para crear una configuración de sitio

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager > Administración de inquilinos > Puerta de enlace de Microsoft Tunnel > seleccione la pestaña Sitios > Crear.

  2. En el panel Crear un sitio, especifique las propiedades siguientes:

    • Nombre: escriba un nombre para el sitio.

    • Descripción (opcional)

    • Dirección IP pública o FQDN: especifique una dirección IP pública o un FQDN, que es el punto de conexión para los dispositivos que usan el túnel. Esta dirección IP o el FQDN pueden identificar un servidor individual o un servidor de equilibrio de carga. La dirección IP o el FQDN se deben poder resolver en el DNS público, y la dirección IP resuelta debe ser enrutable públicamente.

    • Configuración del servidor: use la lista desplegable para seleccionar la configuración del servidor que se va a asociar a este sitio.

    • Dirección URL para la comprobación de acceso a la red interna: especifique una dirección URL HTTP o HTTPS para una ubicación en la red interna. Cada cinco minutos, cada servidor asignado a este sitio intentará acceder a la dirección URL para confirmar que puede acceder a la red interna. Los servidores informan del estado de esta comprobación como Accesibilidad de red interna en la pestaña Comprobación de estado de un servidor.

    • Actualización automática de servidores en este sitio: si se establece en , los servidores se actualizarán automáticamente cuando haya una actualización disponible. Si es No, la actualización es manual y un administrador debe aprobar una actualización para poder iniciarse.

      Para más información, vea Actualización de Microsoft Tunnel.

    • Limitar las actualizaciones del servidor a la ventana de mantenimiento: en caso de que sea , las actualizaciones del servidor para este sitio solo se pueden iniciar entre la hora de inicio y la hora de finalización especificadas. Debe haber al menos una hora entre la hora de inicio y la hora de finalización. Cuando se establece en No, no hay ninguna ventana de mantenimiento y las actualizaciones se inician lo antes posible en función de cómo se configure Actualización automática de servidores en este sitio.

      Cuando se establece en , configure las siguientes opciones:

      • Zona horaria: la zona horaria que seleccione determina cuándo se inicia y finaliza la ventana de mantenimiento en todos los servidores del sitio, independientemente de la zona horaria de los servidores individuales.
      • Hora de inicio: especifique la hora más temprana en la que se puede iniciar el ciclo de actualización, en función de la zona horaria seleccionada.
      • Hora de finalización: especifique la hora más tardía en la que se puede iniciar el ciclo de actualización, en función de la zona horaria seleccionada. Los ciclos de actualización que se inician antes de esta hora seguirán en ejecución y se pueden completar después de este tiempo.

      Para más información, vea Actualización de Microsoft Tunnel.

  3. Seleccione Crear para guardar el sitio.

Instalación de Puerta de enlace de Microsoft Tunnel

Antes de instalar Puerta de enlace de Microsoft Tunnel en un servidor Linux, configure el inquilino con al menos una configuración de servidor y, después, cree un sitio. Más adelante, especificará el sitio al que se une un servidor cuando instale el túnel en ese servidor.

Uso del script para instalar Microsoft Tunnel

  1. Descargue el script de instalación de Microsoft Tunnel con uno de los métodos siguientes:

    • Descargue la herramienta directamente mediante un explorador web. Vaya a https://aka.ms/microsofttunneldownload para descargar el archivo mstunnel-setup.

    • Inicie sesión en el Centro de administración de Microsoft Endpoint Manager > Administración de inquilinos > Puerta de enlace de Microsoft Tunnel, seleccione la pestaña Servidores, seleccione Crear para abrir el panel Crear un servidor y, después, seleccione Descargar script.

      Captura de pantalla para descargar el script de instalación

    • Para descargar el software del túnel directamente, utilice un comando de Linux. Por ejemplo, en el servidor donde va a instalar el túnel, puede usar wget o curl para abrir el vínculo https://aka.ms/microsofttunneldownload.

      Por ejemplo, para usar wget y registrar los detalles en mstunnel-setup durante la descarga, ejecute wget --output-document=mstunnel-setup https://aka.ms/microsofttunneldownload.

  2. Para iniciar la instalación del servidor, ejecute el script como raíz. Por ejemplo, puede usar la línea de comandos siguiente: sudo chmod +x ./mstunnel-setup. El script siempre instala la versión más reciente de Microsoft Tunnel.

    Importante

    En el caso de la nube de administración pública de EE. UU., la línea de comandos debe hacer referencia al entorno de nube de administración pública. Para ello, ejecute los siguientes comandos para agregar intune_env=FXP a la línea de comandos:

    1. Ejecute sudo chmod +x ./mstunnel-setup
    2. Ejecute sudo intune_env=FXP ./mstunnel-setup

    Sugerencia

    Si ha detenido la instalación y el script, puede reiniciarlo ejecutando de nuevo la línea de comandos. La instalación continúa desde donde lo dejó.

    Cuando se inicia el script, se descargan imágenes de contenedor de la puerta de enlace de Microsoft Tunnel desde el servicio Intune y se crean las carpetas y archivos necesarios en el servidor.

    Durante la instalación, el script le pedirá que complete varias tareas de administración.

  3. Cuando el script se lo solicite, acepte el contrato de licencia (CLUF).

  4. Revise y configure las variables de los archivos siguientes para admitir el entorno.

    • Archivo de entorno: /etc/mstunnel/env.sh. Para obtener más información sobre estas variables, vea Variables de entorno en el artículo de referencia de Microsoft Tunnel.
  5. Cuando se le solicite, copie la cadena completa del archivo de certificado de Seguridad de capa de transporte (TLS) en el servidor Linux. El script muestra la ubicación correcta que se va a usar en el servidor Linux.

    El certificado TLS protege la conexión entre los dispositivos que usan el túnel y el punto de conexión de la puerta de enlace de Tunnel. El certificado debe tener la dirección IP o el FQDN del servidor de puerta de enlace de Tunnel en su SAN.

    La clave privada seguirá estando disponible en el equipo donde se crea la solicitud de firma de certificado para el certificado TLS. Este archivo se debe exportar con un nombre de site.key.

    Instale el certificado TLS y la clave privada. Use las instrucciones siguientes que coincidan con el formato del archivo:

    • PFX:

      • El nombre del archivo de certificado debe ser site.pfx. Copie el archivo de certificado en /etc/mstunnel/private/site.pfx.
    • PEM:

      • La cadena completa (raíz, intermedia, entidad final) debe encontrarse en un único archivo con el nombre site.crt. Si usa un certificado emitido por un proveedor público como Digicert, tiene la opción de descargar la cadena completa como un solo archivo .pem.

      • El nombre del archivo de certificado debe ser *site.crt. Copie el certificado de cadena completa en /etc/mstunnel/certs/site.crt. Por ejemplo: cp [full path to cert] /etc/mstunnel/certs/site.crt

        Como alternativa, cree un vínculo al certificado de cadena completo en /etc/mstunnel/certs/site.crt. Por ejemplo: ln -s [full path to cert] /etc/mstunnel/certs/site.crt

      • Copie el archivo de clave privada en /etc/mstunnel/private/site.key. Por ejemplo: cp [full path to key] /etc/mstunnel/private/site.key

        También puede crear un vínculo al archivo de clave privada en /etc/mstunnel/private/site.key. Por ejemplo: ln -s [full path to key file] /etc/mstunnel/private/site.key Esta clave no se debe cifrar con contraseña. El nombre del archivo de clave privada ha de ser site.key.

  6. Una vez que el programa de instalación instala el certificado y crea los servicios de puerta de enlace de Tunnel, se le pedirá que inicie sesión y se autentique con Intune. La cuenta de usuario debe tener asignado el rol de Administrador de Intune o el de Administrador global. La cuenta que use para completar la autenticación debe tener una licencia de Intune. Las credenciales de esta cuenta no se guardan y solo se usan para el inicio de sesión inicial en Azure Active Directory. Una vez que se realice correctamente la autenticación, se usan los identificadores de aplicación de Azure y las claves secretas para la autenticación entre la puerta de enlace de Tunnel y Azure Active Directory.

    Esta autenticación registra la puerta de enlace de Tunnel con Microsoft Endpoint Manager y el inquilino de Intune.

    1. Abra un explorador web y vaya a https://Microsoft.com/devicelogin, escriba el código del dispositivo proporcionado por el script de instalación y, después, inicie sesión con las credenciales de administrador de Intune.

    2. Una vez que la puerta de enlace de Microsoft Tunnel se registra con Intune, el script obtiene información sobre los sitios y las configuraciones de servidor de Intune. Después, el script le pedirá que escriba el GUID del sitio del túnel al que quiera que se una este servidor. El script muestra una lista de sitios disponibles.

    3. Después de seleccionar un sitio, el programa de instalación extrae la configuración de servidor de ese sitio desde Intune y la aplica al nuevo servidor para completar la instalación de Microsoft Tunnel.

  7. Una vez que ha finalizado el script de instalación, puede navegar en el Centro de administración de Microsoft Endpoint Manager hasta la pestaña Puerta de enlace de Microsoft Tunnel para ver el estado general del túnel. También puede abrir la pestaña Estado de mantenimiento para confirmar que el servidor esté en línea.

  8. Si usa RHEL 8.4 o 8.5, asegúrese de reiniciar el servidor de puerta de enlace de Tunnel escribiendo mst-cli server restart antes de intentar conectar clientes.

Implementar la aplicación cliente Microsoft Tunnel

Para usar Microsoft Tunnel, los dispositivos deben acceder a la aplicación cliente Microsoft Tunnel. Puede implementar la aplicación cliente Tunnel en dispositivos si la asigna a los usuarios. Se encuentran disponibles las siguientes aplicaciones:

  • Android:

  • iOS/iPadOS:

    • Microsoft Defender para punto de conexión: descargue Microsoft Defender para punto de conexión para usarla como la aplicación cliente de Microsoft Tunnel desde la App Store de Apple. Consulte Agregar aplicaciones desde la tienda iOS a Microsoft Intune.

      Si sigue usando la aplicación cliente de Microsoft Tunnel independiente o una versión preliminar de Defender para punto de conexión (disponible antes del 29 de abril de 2022), planifique la migración de dispositivos a la versión más reciente de Defender para punto de conexión.

    • Aplicación cliente Microsoft Tunnel: para iOS/iPadOS, descargue la aplicación cliente Microsoft Tunnel desde la App Store de Apple. Vea Agregar aplicaciones de la tienda iOS a Microsoft Intune.

    Importante

    Prepararse para el cambio. Desde el 29 de abril de 2022, tanto el tipo de conexión de Microsoft Tunnel (versión preliminar) como Microsoft Defender para punto de conexión como la aplicación cliente de túnel han pasado a estar disponibles de manera general. Con esta disponibilidad general, el uso del tipo de conexión de Microsoft Tunnel (cliente independiente)(versión preliminar) y la aplicación cliente de túnel independiente están en desuso y pronto dejarán de ser compatibles.

    • El 29 de julio de 2022, la aplicación cliente de túnel independiente ya no estará disponible para su descarga. Solo la versión disponible de manera general de Microsoft Defender para punto de conexión estará disponible como aplicación cliente de túnel.
    • El 1 de agosto de 2022, el tipo de conexión Microsoft Tunnel (cliente independiente) (versión preliminar) dejará de conectarse a Microsoft Tunnel.

    Para evitar una interrupción en el servicio de Microsoft Tunnel, planee migrar el uso de la aplicación cliente de túnel en desuso y el tipo de conexión a los que ya están disponibles con carácter general.

Para más información sobre la implementación de aplicaciones con Intune, vea Adición de aplicaciones a Microsoft Intune.

Crear un perfil de VPN

Una vez que Microsoft Tunnel se instala y los dispositivos instalan la aplicación cliente Microsoft Tunnel, puede implementar perfiles de VPN para que los dispositivos usen el túnel. Para ello, creará perfiles de VPN con uno de los siguientes tipos de conexión:

  • Android:

    • Microsoft Tunnel: use este tipo de conexión con Defender para punto de conexión como aplicación cliente de Tunnel.

      Nota

      Antes de admitir el uso de Microsoft Defender para punto de conexión como la aplicación cliente túnel, estaba disponible una aplicación cliente túnel independiente en versión preliminar y usaba el tipo de conexión Microsoft Tunnel (cliente independiente). A partir del 14 de junio de 2021, tanto la aplicación Tunnel independiente como el tipo de conexión de cliente independiente están en desuso y se retirarán de la compatibilidad después del 26 de octubre de 2021.

    La plataforma Android admite el enrutamiento de tráfico mediante una VPN por aplicación y reglas de tunelización dividida de manera independiente o al mismo tiempo.

    Nota

    Antes de admitir el uso de Microsoft Defender para punto de conexión como aplicación cliente Tunnel, existía una aplicación cliente Tunnel independiente en versión preliminar que usaba el tipo de conexión Microsoft Tunnel (cliente independiente). Desde el 14 de junio de 2021, tanto la aplicación Tunnel independiente como el tipo de conexión de cliente independiente se encuentran en desuso y dejarán de admitirse el 31 de octubre de 2022.

  • iOS/iPadOS:

    • Microsoft Tunnel (versión preliminar): use este tipo de conexión con Microsoft Defender para punto de conexión como aplicación cliente de túnel.

      Importante

      Desde el 29 de abril de 2022, este tipo de conexión se ha vuelto disponible con carácter general y es compatible con Microsoft Defender para punto de conexión como una aplicación cliente de túnel. Sin embargo, el tipo de conexión sigue reflejando la versión preliminar.

    • Microsoft Tunnel (cliente independiente) (versión preliminar): use este tipo de conexión cuando use la aplicación cliente independiente Microsoft Tunnel. Este tipo de conexión no admite Microsoft Defender para punto de conexión como aplicación de Tunnel cliente.

      Importante

      Prepararse para el cambio. Desde el 29 de abril de 2022, tanto el tipo de conexión de Microsoft Tunnel (versión preliminar) como Microsoft Defender para punto de conexión como la aplicación cliente de túnel han pasado a estar disponibles de manera general. Con esta disponibilidad general, el uso del tipo de conexión de Microsoft Tunnel (cliente independiente)(versión preliminar) y la aplicación cliente de túnel independiente están en desuso y pronto dejarán de ser compatibles.

      • El 29 de julio de 2022, la aplicación cliente de túnel independiente ya no estará disponible para su descarga. Solo la versión disponible de manera general de Microsoft Defender para punto de conexión estará disponible como aplicación cliente de túnel.
      • El 1 de agosto de 2022, el tipo de conexión Microsoft Tunnel (cliente independiente) (versión preliminar) dejará de conectarse a Microsoft Tunnel.

      Para evitar una interrupción en el servicio de Microsoft Tunnel, planee migrar el uso de la aplicación cliente de túnel en desuso y el tipo de conexión a los que ya están disponibles con carácter general.

    La plataforma iOS admite el enrutamiento de tráfico mediante una VPN por aplicación o reglas de tunelización dividida, pero no ambas simultáneamente. Si habilita una VPN por aplicación para iOS, se omitirán las reglas de tunelización dividida.

Android

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager > Dispositivos > Perfiles de configuración > Crear perfil.

  2. Para Platform, seleccione Android Enterprise. Para perfil seleccione VPN para cada perfil de trabajo de propiedad corporativa o Perfil de trabajo de propiedad personal y a continuación seleccione Crear.

    Nota

    Los dispositivos Android Enterprise dedicados no son compatibles con Microsoft Tunnel.

  3. En la pestaña Datos básicos, escriba un Nombre y una Descripción (opcional), y seleccione Siguiente.

  4. En Tipo de conexión, seleccione Microsoft Tunnel y, después, configure los detalles siguientes:

    • VPN base:

      • En Nombre de conexión, especifique un nombre que se mostrará a los usuarios.
      • En Sitio de Microsoft Tunnel, seleccione el sitio de Tunnel que usará este perfil de VPN.
    • VPN por aplicación:

      • Las aplicaciones que se asignan en el perfil de VPN por aplicación envían el tráfico de la aplicación al túnel.
      • En Android, el hecho de iniciar una aplicación no iniciará la VPN por aplicación. Sin embargo, si la VPN tiene la opción VPN siempre activa establecida en Habilitada, la VPN ya estará conectada y el tráfico de la aplicación usará la VPN activa. Si la VPN no está establecida en siempre activada, el usuario deberá iniciar manualmente la VPN para poder usarla.
      • Si usa la aplicación Defender para punto de conexión para conectarse a Tunnel, tiene habilitada la protección web y usa una VPN por cada aplicación, la protección web solo se aplicará a las aplicaciones de la lista de VPN por aplicación. Para dispositivos con un perfil de trabajo, en este caso se recomienda agregar todos los exploradores web del perfil de trabajo a la lista de VPN por aplicación para asegurarse de que todo el tráfico web del perfil de trabajo esté protegido.
      • Para habilitar una VPN por aplicación, seleccione Agregar y, después, vaya a las aplicaciones personalizadas o públicas que ha importado a Intune.
    • VPN siempre activada:

      • En VPN siempre activada, seleccione Habilitar para establecer que el cliente VPN se conecte de forma automática y se vuelva a conectar a la VPN. Las conexiones VPN siempre activadas permanecen conectadas. Si la opción VPN por aplicación está establecida en Habilitada, solo pasará por el túnel el tráfico de las aplicaciones que seleccione.
    • Proxy:

      • Configure los detalles del servidor proxy para el entorno.

    Para obtener más información sobre la configuración de VPN, vea Configuración de dispositivos Android Enterprise para configurar VPN

    Importante

    Para los dispositivos de Android Enterprise que usan Microsoft Defender para punto de conexión como una aplicación cliente de Microsoft Tunnel y como una aplicación MTD, debe usar la configuración personalizada para configurar Microsoft Defender para punto de conexión en lugar de usar un perfil de configuración de aplicación independiente. Si no tiene intención de utilizar ninguna funcionalidad de Defender para punto de conexión, incluida la protección web, utilice la configuración personalizada en el perfil VPN y establezca la configuración de defendertoggle en 0.

  5. En la pestaña Asignaciones, configure los grupos que recibirán este perfil.

  6. En la pestaña Revisar y crear, revise la configuración y, después, seleccione Crear para guardarla.

iOS

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager > Dispositivos > Configuración de dispositivos > Crear perfil.

  2. En Plataforma, seleccione iOS/iPadOS y, después, para Perfil seleccione VPN y luego Crear.

  3. En la pestaña Datos básicos, escriba un Nombre y una Descripción (opcional), y seleccione Siguiente.

  4. En Tipo de conexión, seleccione Microsoft Tunnel (versión preliminar) y, después, configure los elementos siguientes:

    • VPN base:

      • En Nombre de conexión, especifique un nombre que se mostrará a los usuarios.
      • En Sitio de Microsoft Tunnel, seleccione el sitio de túnel que usará este perfil de VPN.
    • VPN por aplicación:

      • Para habilitar una VPN por aplicación, seleccione Habilitar. Se requieren pasos de configuración adicionales para las VPN por aplicación de iOS. Cuando se configura la VPN por aplicación, iOS omite las reglas de tunelización dividida.

        Para obtener más información, vea VPN por aplicación para iOS/iPadOS.

    • Reglas de VPN a petición:
      Defina reglas a petición que permitan usar la VPN cuando se cumplan las condiciones para nombres de dominio completos o direcciones IP específicos.

      Para obtener más información, vea Configuración de VPN automática

    • Proxy:

      • Configure los detalles del servidor proxy para el entorno.

Uso de la configuración personalizada en Microsoft Defender para punto de conexión

Intune admite Microsoft Defender para punto de conexión como aplicación MTD y como aplicación cliente de Microsoft Tunnel en dispositivos Android Enterprise. Si usa Defender para punto de conexión en la aplicación cliente de Microsoft Tunnel y como aplicación MTD, puede usar la configuración personalizada en el perfil de VPN de Microsoft Tunnel para simplificar las configuraciones. El uso de la configuración personalizada en el perfil de VPN reemplaza la necesidad de usar un perfil de configuración de aplicación independiente.

En el caso de los dispositivos inscritos como perfil de trabajo de propiedad personal de Android Enterprise que usan Defender para punto de conexión para ambos fines, debe usar la configuración personalizada en lugar de un perfil de configuración de aplicación. En estos dispositivos, el perfil de configuración de aplicación de Defender para punto de conexión entra en conflicto con Microsoft Tunnel y puede impedir que el dispositivo se conecte a Microsoft Tunnel.

Si usa Microsoft Defender para punto de conexión en MTD pero no en Microsoft Tunnel, seguirá usando el perfil de configuración de aplicación para configurar Microsoft Defender para punto de conexión.

Adición de la compatibilidad de la configuración de la aplicación con Microsoft Defender para punto de conexión en un perfil de VPN para Microsoft Tunnel

Use la siguiente información para configurar las opciones personalizadas en un perfil de VPN para configurar Microsoft Defender para punto de conexión en lugar de un perfil de configuración de aplicación independiente. La configuración disponible varía según la plataforma.

Para dispositivos Android Enterprise:

Clave de configuración Tipo de valor Valor de configuración Descripción
vpn Entero Opciones:
1: Habilitar (valor predeterminado)
0: Deshabilitar
Establecer en Habilitar para permitir que la funcionalidad de protección contra la suplantación de identidad (phishing) de Microsoft Defender para punto de conexión use una VPN local.
antiphishing Entero Opciones:
1: Habilitar (valor predeterminado)
0: Deshabilitar
Establecer en Habilitar para activar la protección contra la suplantación de identidad (phishing) de Microsoft Defender para punto de conexión. Cuando se establece en Deshabilitar, se desactiva la funcionalidad de protección contra la suplantación de identidad (anti-phishing).
defendertoggle Entero Opciones:
1: Habilitar (valor predeterminado)
0: Deshabilitar
Establecer en Habilitar para usar Microsoft Defender para punto de conexión. Cuando se deshabilita, no habrá disponible ninguna funcionalidad de Microsoft Defender para punto de conexión.

Configuración de opciones personalizadas en el perfil de VPN para Microsoft Defender para punto de conexión

Para dispositivos iOS/iPad:

Clave de configuración Valores Descripción
TunnelOnly True: todas las funciones de Defender para punto de conexión están deshabilitadas. Debe establecerse esta configuración si usa la aplicación solo para las funcionalidades de Tunnel.

False (default) - La funcionalidad de Defender para punto de conexión está habilitada.
Determina si la aplicación Defender está limitada solo a Microsoft Tunnel, o si la aplicación también admite el conjunto completo de funcionalidades de Defender para punto de conexión.
WebProtection True (valor predeterminado): la funcionalidad de protección web está habilitada y los usuarios verán la pestaña de protección web en la aplicación Defender para punto de conexión.

Falso: se ha desactivado la protección web. Si se despliega un perfil de VPN de túnel, los usuarios solo verán las pestañas Panel y Túnel en la aplicación Defender para punto de conexión.
Determina si la protección web de Defender para punto de conexión (funcionalidad antiphishing) está habilitada para la aplicación. De forma predeterminada, esta funcionalidad está activada.
AutoOnboard True: si la funcionalidad de protección web está habilitada, se conceden automáticamente permisos a la aplicación Defender para punto de conexión para agregar conexiones VPN y no se le pide al usuario que lo permita.

False (predeterminado): si la funcionalidad de protección web está habilitada, se le pedirá al usuario que permita que la aplicación Defender para punto de conexión agregue configuraciones de VPN.
Determina si Defender para punto de conexión Web Protection está habilitado sin pedir al usuario que agregue una conexión VPN (porque se necesita una VPN local para la funcionalidad de protección web). Esta configuración solo se aplica si WebProtection está establecido en True.

Actualizar Microsoft Tunnel

Intune publica periódicamente actualizaciones en el servidor de Microsoft Tunnel. Para mantener el soporte técnico, los servidores de túnel deben ejecutar la versión más reciente, o como máximo estar una versión por detrás.

De forma predeterminada, después de que esté disponible una nueva actualización, Intune inicia automáticamente la actualización de los servidores de túnel tan pronto como sea posible, en cada uno de los sitios de túnel. Para ayudarle a administrar las actualizaciones, puede configurar opciones que administren el proceso de actualización:

  • Puede permitir la actualización automática de los servidores en un sitio o requerir la aprobación del administrador antes de que se actualicen.
  • Puede configurar una ventana de mantenimiento que limita cuándo se pueden iniciar las actualizaciones en un sitio.

Para obtener más información sobre las actualizaciones de Microsoft Tunnel, incluido cómo ver el estado del túnel y configurar las opciones de actualización, consulte Actualizar Microsoft Tunnel.

Actualización del certificado TLS en el servidor Linux

Puede usar la herramienta de línea de comandos ./mst-cli para actualizar el certificado TLS en el servidor:

PFX:

  1. Copie el archivo de certificado en /etc/mstunnel/private/site.pfx
  2. Ejecute: mst-cli import_cert
  3. Ejecute: mst-cli server restart

PEM:

  1. Copie el certificado nuevo en /etc/mstunnel/certs/site.crt
  2. Copie la clave privada en /etc/mstunnel/private/site.key.
  3. Ejecute: mst-cli import_cert
  4. Ejecute: mst-cli server restart

Para más información sobre mst-cli, vea Referencia de la Puerta de enlace de Microsoft Tunnel.

Desinstalar Microsoft Tunnel

Para desinstalar el producto, ejecute ./mst-cli uninstall desde el servidor Linux como raíz.

Siguientes pasos

Usar acceso condicional con Microsoft Tunnel
Supervisar Microsoft Tunnel