Opciones desencadenadas automáticamente de perfil de VPN

Windows puede usar distintas características para desencadenar automáticamente vpn, lo que evita que los usuarios se conecten manualmente cuando se necesita VPN para acceder a los recursos necesarios. Existen tres tipos diferentes de reglas de desencadenamiento automático:

  • Desencadenador de aplicación
  • Desencadenador basado en nombre
  • Siempre activado

Nota

Las conexiones VPN desencadenadas automáticamente no funcionarán si está habilitada la redirección de carpetas para AppData . El redireccionamiento de carpetas para AppData debe estar deshabilitado o el perfil de VPN desencadenado automáticamente debe implementarse en el contexto system, lo que cambia la ruta de acceso al lugar donde se almacena el archivo rasphone.pbk .

Desencadenador de aplicación

Los perfiles de VPN se pueden configurar para conectarse automáticamente en la ejecución de determinadas aplicaciones:

  • Puedes configurar aplicaciones de escritorio o Plataforma universal de Windows (UWP) para desencadenar una conexión VPN
  • Puede configurar vpn por aplicación y especificar reglas de tráfico para cada aplicación.

Nota

El identificador de la aplicación para una aplicación de escritorio es una ruta de acceso de archivo. El identificador de la aplicación para una aplicación para UWP es un nombre de familia de paquete.

Buscar un nombre de familia de paquete (PFN) para la configuración de VPN por aplicación

Para obtener más información, vea Filtros de tráfico.

Desencadenador basado en nombre

Puede configurar una regla basada en nombres de dominio para que un nombre de dominio específico desencadene la conexión VPN.\ El desencadenador automático basado en nombres se puede configurar mediante la VPNv2/<ProfileName>/DomainNameInformationList/dniRowId/AutoTrigger configuración del proveedor de servicios de configuración de VPNv2 (CSP).

Existen cuatro tipos de desencadenadores basados en nombre:

  • Nombre corto: por ejemplo, si HRweb está configurado como desencadenador y la pila ve una solicitud de resolución DNS para HRweb, los desencadenadores VPN
  • Nombre de dominio completo (FQDN): por ejemplo, si HRweb.corp.contoso.com está configurado como desencadenador y la pila ve una solicitud de resolución DNS para HRweb.corp.contoso.com, la VPN se desencadena.
  • Sufijo: por ejemplo, si .corp.contoso.com está configurado como desencadenador y la pila ve una solicitud de resolución DNS con un sufijo coincidente (como HRweb.corp.contoso.com), la VPN se desencadena. Para cualquier resolución de nombres cortos, se consultan los desencadenadores DE VPN y los servidores DNS para ShortName.corp.contoso.com<>
  • Todos: si se usan, toda la resolución DNS desencadena vpn.

Siempre activado

Always On es una característica de Windows que permite que el perfil de VPN activo se conecte automáticamente en los siguientes desencadenadores:

  • Inicio de sesión de usuario
  • Cambio de red
  • Encendido de la pantalla del dispositivo

Cuando se produce el desencadenador, la VPN intenta conectarse. Si se produce un error o se necesita cualquier entrada del usuario, el usuario ve una notificación del sistema para obtener más interacción.

Cuando un dispositivo tiene varios perfiles con desencadenadores de Always On, el usuario puede especificar el perfil activo en Configuración > Red & perfil> de VPN ><de Internet > seleccionando la casilla Permitir que las aplicaciones usen automáticamente esta conexión VPN. De manera predeterminada, el primer perfil configurado por MDM está marcado como Activo. Los dispositivos con varios usuarios tienen la misma restricción: solo un perfil y, por lo tanto, solo un usuario, puede usar los desencadenadores de Always On.

Conservación de las preferencias de Always On de usuario

Otra característica de Windows es conservar las preferencias de Always On de un usuario. Si un usuario desactiva manualmente la casilla Conectar automáticamente , Windows recuerda la preferencia del usuario por el nombre del perfil agregando el nombre del perfil al valor del Registro AutoTriggerDisabledProfilesList.

Si una herramienta de administración quita o agrega el mismo nombre de perfil de nuevo y establece AlwaysOn en true, Windows no marca la casilla si el nombre del perfil existe en el siguiente valor del Registro, con el fin de conservar las preferencias del usuario.

Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
Valor:AutoTriggerDisabledProfilesList
Tipo:REG_MULTI_SZ

Detección de redes de confianza

La característica de detección de red de confianza configura la VPN para que la conexión no se desencadene cuando un dispositivo se encuentra en una red de confianza. Para configurar la detección de red de confianza, debe proporcionar una lista de sufijos DNS. La pila de VPN comprueba el nombre de red del perfil de conexión de interfaz física: si coincide con cualquiera de los sufijos configurados en la lista y la red es privada o aprovisionada por MDM, la VPN no se desencadena.

La detección de red de confianza se puede configurar mediante la VPNv2/<ProfileName>/TrustedNetworkDetection configuración del CSP de VPNv2.

Configurar VPN activadas por aplicaciones

Consulta Opciones de perfil de VPN y VPNv2 CSP para conocer la configuración de XML.

En la imagen siguiente se muestra cómo asociar aplicaciones a una conexión VPN en una directiva de configuración de perfil de VPN mediante Microsoft Intune.

Creación de un perfil de VPN en Intune: opciones de asociación de aplicaciones.