Créer des profils VPN pour se connecter à des serveurs VPN dans Intune

  • Article

Importante

Le 22 octobre 2022, Microsoft Intune a mis fin à la prise en charge des appareils exécutant Windows 8.1. L’assistance technique et les mises à jour automatiques sur ces appareils ne sont pas disponibles.

Si vous utilisez actuellement Windows 8.1, nous vous recommandons de passer aux appareils Windows 10/11. Microsoft Intune dispose de fonctionnalités intégrées de sécurité et d’appareil qui gèrent les appareils clients Windows 10/11.

Importante

Microsoft Intune prend fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 30 août 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

Les réseaux privés virtuels (ou VPN) donnent aux utilisateurs un accès distant sécurisé à votre réseau d’entreprise. Les appareils utilisent un profil de connexion VPN pour établir une connexion avec le serveur VPN. Dans Microsoft Intune, les profils VPN affectent des paramètres VPN aux utilisateurs et aux appareils de votre organisation. Utilisez ces paramètres pour permettre aux utilisateurs de se connecter facilement et de façon sécurisée au réseau de votre organisation.

Cette fonctionnalité s’applique à :

  • Administrateur d’appareils Android
  • Appareils appartenant à l’utilisateur avec profil professionnel Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11
  • Windows 8.1 et versions ultérieures

Par exemple, supposons que vous voulez configurer tous les appareils iOS/iPadOS avec les paramètres nécessaires pour vous connecter à un partage de fichiers sur le réseau de l’organisation. Vous créez un profil VPN qui comprend ces paramètres. Vous affectez ce profil à tous les utilisateurs disposant d’appareils iOS/iPadOS. Les utilisateurs voient la connexion VPN dans la liste des réseaux disponibles et peuvent se connecter avec un minimum d’effort.

Cet article présente les applications VPN que vous pouvez utiliser, vous montre comment créer un profil VPN et fournit des conseils sur la sécurisation de vos profils VPN. Vous devez déployer l’application VPN avant de créer le profil VPN. Si vous avez besoin d’aide pour déployer des applications à l’aide de Microsoft Intune, accédez à Qu’est-ce que la gestion des applications dans Microsoft Intune ?.

Avant de commencer

  • Les profils VPN pour un tunnel d’appareil sont pris en charge pour les bureaux distants multisession Windows 10/11 Entreprise.

  • Si vous utilisez l’authentification basée sur un certificat pour votre profil VPN, déployez le profil VPN, le profil de certificat et le profil racine approuvé dans les mêmes groupes. Cette étape garantit que chaque appareil reconnaîtra la légitimité de votre autorité de certification. Pour plus d’informations, consultez Comment configurer des certificats avec Microsoft Intune.

  • L’inscription des utilisateurs pour iOS/iPadOS et macOS prend uniquement en charge le VPN par application.

  • Vous pouvez utiliser des stratégies de configuration personnalisées Intune afin de créer des profils VPN pour les plateformes suivantes :

    • Android 4 et versions ultérieures
    • Appareils inscrits qui exécutent Windows 8.1 et versions ultérieures
    • Appareils inscrits qui exécutent Windows 10/11
    • Windows Holographic for Business

  • Pour les appareils Windows 11, il existe un problème entre le client Windows 11 et le fournisseur de services de configuration Windows VPNv2.

    Un appareil avec un ou plusieurs profils VPN Intune perd sa connectivité VPN lorsque l’appareil traite simultanément plusieurs modifications apportées aux profils VPN de l’appareil. Lorsque l’appareil est archivé auprès d’Intune une deuxième fois, il traite les modifications de profil VPN et la connectivité est restaurée.

    Les modifications suivantes peuvent entraîner une perte de fonctionnalités VPN :

    • Vous modifiez ou mettez à jour un profil VPN existant qui a été précédemment traité par l’appareil Windows 11. Cette action supprime le profil d’origine et applique le profil mis à jour.
    • Deux nouveaux profils VPN s’appliquent à l’appareil en même temps.
    • Un profil VPN actif est supprimé en même temps qu’un nouveau profil VPN.

    Ce problème ne s’applique pas et la connectivité VPN reste dans les scénarios suivants :

    • Un appareil Windows 11 n’a pas de profil VPN existant affecté, et les appareils reçoivent un Intune profil VPN.

    • Windows 11 appareils disposent d’un profil VPN existant affecté et d’un autre profil VPN sans aucune autre modification de profil.

    • Un appareil Windows 10 est mis à niveau vers Windows 11, et il n’y a aucune modification des profils VPN de cet appareil. Après la mise à niveau vers Windows 11, toute modification apportée aux profils VPN des appareils ou l’ajout de nouveaux profils VPN déclenche le problème.

    • Windows 11 nécessite les éléments suivants :

      Si vous configurez uniquement l’un des paramètres IKE Security Association Parameters ou Child Security Association Parameters , il y a une perte de fonctionnalités VPN.

Étape 1 : Déployer votre application VPN

Avant de pouvoir utiliser des profils VPN attribués à un appareil, vous devez installer l’application VPN. Cette application VPN se connecte à votre serveur VPN.

Différentes applications VPN sont disponibles. Sur les appareils des utilisateurs, vous déployez l’application VPN utilisée par votre organization. Une fois l’application VPN déployée, vous créez et déployez un profil de configuration de périphérique VPN qui configure les paramètres du serveur VPN, notamment le nom du serveur VPN (ou FQDN) et la méthode d’authentification.

Certaines plateformes et applications VPN nécessitent une stratégie de configuration d’application pour préconfigurer l’application VPN, au lieu d’un profil de configuration de périphérique VPN. Cette section répertorie également les plateformes et les applications VPN qui doivent utiliser une stratégie de configuration d’application.

Pour vous aider à attribuer l’application à l’aide de Intune, accédez à Ajouter des applications à Microsoft Intune.

Types de connexions VPN

Vous pouvez créer des profils VPN à l’aide des types de connexion VPN suivants :

  • Automatique

    • Windows 10/11

  • Check Point Capsule VPN

    • Administrateur d’appareils Android
    • Appareils appartenant à l’utilisateur avec profil professionnel Android Enterprise
    • Profil professionnel Android Enterprise entièrement géré et appartenant à l’entreprise : utilisez stratégie de configuration d’application
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1

  • Cisco AnyConnect

    • Administrateur d’appareils Android
    • Appareils appartenant à l’utilisateur avec profil professionnel Android Enterprise
    • Profils professionnels Android Enterprise complètement managés et appartenant à l’entreprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11

  • Cisco (IPSec)

    • iOS/iPadOS

  • Citrix SSO

  • VPN personnalisé

    • iOS/iPadOS
    • macOS

    Créer des profils VPN personnalisés à l’aide des paramètres d’URI dans Créer un profil avec des paramètres personnalisés.

  • Accès F5

    • Administrateur d’appareils Android
    • Appareils appartenant à l’utilisateur avec profil professionnel Android Enterprise
    • Profils professionnels Android Enterprise complètement managés et appartenant à l’entreprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1

  • IKEv2

    • iOS/iPadOS
    • Windows 10/11

  • L2TP

    • Windows 10/11

  • Microsoft Tunnel

    • Appareils appartenant à l’utilisateur avec profil professionnel Android Enterprise
    • Profils professionnels Android Enterprise complètement managés et appartenant à l’entreprise
    • iOS/iPadOS

  • Mobilité NetMotion

    • Appareils appartenant à l’utilisateur avec profil professionnel Android Enterprise
    • Profils professionnels Android Enterprise complètement managés et appartenant à l’entreprise
    • iOS/iPadOS
    • macOS

  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10/11

  • Pulse Secure

    • Administrateur d’appareils Android
    • Appareils appartenant à l’utilisateur avec profil professionnel Android Enterprise
    • Profils professionnels Android Enterprise complètement managés et appartenant à l’entreprise
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1

  • SonicWall Mobile Connect

    • Administrateur d’appareils Android
    • Appareils appartenant à l’utilisateur avec profil professionnel Android Enterprise
    • Profils professionnels Android Enterprise complètement managés et appartenant à l’entreprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1

  • Zscaler

Étape 2 : Create le profil

Une fois l’application VPN affectée à l’appareil, l’étape suivante crée la stratégie de configuration de l’appareil qui configure la connexion VPN. Si votre type de connexion d’application VPN utilise une stratégie de configuration d’application pour configurer l’application, ignorez cette étape.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. SélectionnezConfiguration>des appareils>Create.

  3. Entrez les propriétés suivantes :

    • Plateforme: Choisissez la plateforme de vos appareils. Les options disponibles sont les suivantes :
      • Administrateur d’appareils Android
      • Android Enterprise>Profil professionnel complètement managé, dédié et appartenant à l’entreprise
      • Android Enterprise>Profil professionnel appartenant à l’utilisateur
      • iOS/iPadOS
      • MacOS
      • Windows 10 et versions ultérieures
      • Windows 8.1 et versions ultérieures
    • Type de profil : sélectionnez VPN. Vous pouvez également sélectionner Modèles>VPN.

  4. Sélectionnez Créer.

  5. Dans Informations de base, entrez les propriétés suivantes :

    • Nom : entrez un nom descriptif pour le profil. Nommez vos profils afin de pouvoir les identifier facilement ultérieurement. Par exemple, un nom de profil approprié est Profil VPN pour toute l’entreprise.
    • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

  6. Sélectionnez Suivant.

  7. Dans Paramètres de configuration, selon la plateforme que vous choisissez, les paramètres que vous pouvez configurer diffèrent. Sélectionnez votre plateforme pour connaître les paramètres détaillés :

  8. Sélectionnez Suivant.

  9. Dans Balises d’étendue (facultatif), affectez une balise pour filtrer le profil sur des groupes informatiques spécifiques, par exemple US-NC IT Team ou JohnGlenn_ITDepartment. Pour plus d’informations sur les balises d’étendue, consultez Utiliser RBAC et les balises d’étendue pour l’informatique distribuée.

    Sélectionnez Suivant.

  10. Dans Affectations, sélectionnez l’utilisateur ou les groupes qui reçoivent votre profil. Pour plus d’informations sur l’attribution de profils, accédez à Attribuer des profils d’utilisateur et d’appareil.

    Sélectionnez Suivant.

  11. Dans Vérifier + créer, passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie apparaît également dans la liste des profils.

Sécuriser vos profils VPN

Les profils VPN peuvent utiliser de nombreux types et protocole de connexion différents de divers fabricants. Ces connexions sont généralement sécurisées à l’aide des méthodes suivantes.

Certificats

Quand vous créez le profil VPN, vous choisissez un profil de certificat SCEP ou PKCS que vous avez créé précédemment dans Intune. Ce profil est connu comme étant le certificat d’identité. Il est utilisé dans le cadre de l’authentification auprès d’un profil de certificat approuvé (ou certificat racine), que vous créez pour permettre à l’appareil de l’utilisateur de se connecter. Le certificat approuvé est affecté à l’ordinateur qui authentifie la connexion VPN, en règle générale le serveur VPN.

Si vous utilisez l’authentification basée sur un certificat pour votre profil VPN, déployez le profil VPN, le profil de certificat et le profil racine approuvé dans les mêmes groupes. Cette affectation garantit que chaque appareil reconnaît la légitimité de votre autorité de certification.

Pour plus d’informations sur la création et l’utilisation de profils de certificat dans Intune, consultez Comment configurer des certificats avec Microsoft Intune.

Remarque

Les certificats ajoutés à l’aide du profil certificat PKCS importé ne sont pas pris en charge pour l’authentification VPN. Les certificats ajoutés à l’aide du profil certificats PKCS sont pris en charge pour l’authentification VPN.

Nom d'utilisateur et mot de passe

L’utilisateur s’authentifie auprès du serveur VPN en fournissant un nom d’utilisateur et un mot de passe, ou des informations d'identification dérivées.

Prochaines étapes