Paramètres d’appareil Android Entreprise pour configurer le VPN dans Intune

Cet article décrit les différents paramètres de connexion VPN que vous pouvez contrôler sur les appareils Android Enterprise. Dans le cadre de votre solution de gestion des appareils mobiles (GPM), utilisez ces paramètres pour créer une connexion VPN, choisir la façon dont le VPN s’authentifie, sélectionner un type de serveur VPN, etc.

Cette fonctionnalité s’applique à :

• Appareils Android Enterprise appartenant à l’utilisateur avec un profil professionnel (BYOD)
• Profil professionnel Android Enterprise appartenant à l’entreprise (COPE)
• Appareils Android Entreprise complètement gérés appartenant à l’entreprise (COBO)
• Appareils Android Entreprise dédiés appartenant à l’entreprise (COSU)

En tant qu’administrateur Intune, vous pouvez créer et attribuer des paramètres VPN à des appareils Android Enterprise. Pour en savoir plus sur les profils VPN dans Intune, consultez Profils VPN.

Remarque

Pour configurer un VPN always on, vous devez créer un profil VPN, ainsi qu’un profil de restrictions d’appareil avec le paramètre VPN Always On configuré.

Avant de commencer

• Créez un profil de configuration d’appareil VPN Android Entreprise :

  • Profil professionnel entièrement managé, dédié et appartenant à l’entreprise
  • Profil professionnel appartenant à l’utilisateur

• Certains services Microsoft 365, tels qu’Outlook, peuvent ne pas fonctionner correctement en utilisant des VPN tiers ou partenaires. Si vous utilisez un VPN tiers ou partenaire et que vous rencontrez un problème de latence ou de performances, supprimez le VPN.

  Si la suppression du VPN résout le comportement, vous pouvez :

  • Collaborez avec le VPN tiers ou partenaire pour les solutions possibles. Microsoft ne fournit pas de support technique pour les VPN tiers ou partenaires.
  • N’utilisez pas de VPN avec le trafic Outlook.
  • Si vous avez besoin d’utiliser un VPN, utilisez un VPN à tunnel partagé. Et autorisez le trafic Outlook à contourner le VPN.

  Pour plus d’informations, voir :

  • Vue d’ensemble : tunneling fractionné VPN pour Microsoft 365
  • Utilisation de solutions ou d’appareils réseau tiers avec Microsoft 365
  • Autres moyens pour les professionnels de la sécurité et l’informatique d’obtenir des contrôles de sécurité modernes dans les scénarios de travail à distance uniques d’aujourd’hui
  • Principes de connectivité réseau Microsoft 365

• Si vous avez besoin de ces appareils pour accéder aux ressources locales à l’aide de l’authentification moderne et de l’accès conditionnel, vous pouvez utiliser Microsoft Tunnel, qui prend en charge le tunneling fractionné.

Profil professionnel entièrement managé, dédié et Corporate-Owned

• Type de connexion : sélectionnez le type de connexion VPN. Les options disponibles sont les suivantes :

  • Cisco AnyConnect
  • SonicWall Mobile Connect
  • Accès F5
  • Pulse Secure
  • Microsoft Tunnel (non pris en charge sur les appareils Android Enterprise dédiés.)

Les paramètres disponibles dépendent du client VPN que vous choisissez. Certains paramètres sont disponibles uniquement pour des clients VPN spécifiques.

VPN de base (profil professionnel entièrement managé, dédié et appartenant à l’entreprise)

• Nom de la connexion : entrez un nom pour cette connexion. Les utilisateurs finaux voient ce nom lorsqu’ils recherchent les connexions VPN disponibles sur leur appareil. Par exemple, entrez Contoso VPN.

• Adresse du serveur VPN ou nom de domaine complet : entrez l’adresse IP ou le nom de domaine complet (FQDN) du serveur VPN auquel les appareils se connectent. Par exemple, entrez 192.168.1.1 ou vpn.contoso.com.

• Méthode d’authentification : choisissez la façon dont les appareils s’authentifient auprès du serveur VPN. Les options disponibles sont les suivantes :

  • Certificats : sélectionnez un profil de certificat SCEP ou PKCS existant pour authentifier la connexion. Configurer des certificats répertorie les étapes de création d’un profil de certificat.

  • Nom d’utilisateur et mot de passe : lorsque les utilisateurs finaux se connectent au serveur VPN, ils sont invités à entrer leur nom d’utilisateur et leur mot de passe.

  • Informations d’identification dérivées : utilisez un certificat dérivé de la carte intelligente d’un utilisateur. Si aucun émetteur d’informations d’identification dérivées n’est configuré, Intune vous invite à en ajouter un.

    Pour plus d’informations, consultez Utiliser des informations d’identification dérivées dans Intune.

• Entrez les paires clé et valeur pour les attributs VPN NetMotion Mobility : ajoutez ou importez des clés et des valeurs qui personnalisent votre connexion VPN. Ces valeurs sont généralement fournies par votre fournisseur VPN.

• Site Microsoft Tunnel (Microsoft Tunnel uniquement) : sélectionnez un site existant. Le client VPN se connecte à l’adresse IP publique ou au nom de domaine complet de ce site.

  Pour plus d’informations, consultez Microsoft Tunnel pour Intune.

VPN par application (profil professionnel entièrement managé, dédié et appartenant à l’entreprise)

• Ajouter : sélectionnez applications managées dans la liste. Lorsque les utilisateurs démarrent les applications que vous ajoutez, le trafic achemine automatiquement via la connexion VPN.

Pour plus d’informations, consultez Utiliser une stratégie VPN et VPN par application sur les appareils Android Enterprise.

VPN Always On (profil professionnel entièrement managé, dédié et appartenant à l’entreprise)

• VPN always-on : Activer active le VPN always-on pour que les clients VPN se connectent automatiquement au VPN et se reconnectent automatiquement au VPN si possible. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le VPN always on peut être désactivé pour tous les clients VPN.

  Un seul client VPN peut être configuré pour un VPN always-on sur un appareil. Veillez à ne pas déployer plus d’une stratégie VPN always on sur un seul appareil.

Proxy (profil professionnel entièrement managé, dédié et appartenant à l’entreprise)

• Script de configuration automatique : utilisez un fichier pour configurer le serveur proxy. Entrez l’URL du serveur proxy qui inclut le fichier de configuration. Par exemple, entrez http://proxy.contoso.com/pac.
• Adresse : entrez l’adresse IP ou le nom d’hôte complet du serveur proxy. Par exemple, entrez 10.0.0.3 ou vpn.contoso.com.
• Numéro de port : entrez le numéro de port associé au serveur proxy. Par exemple, entrez 8080.

Profil professionnel appartenant à l’utilisateur

• Type de connexion : sélectionnez le type de connexion VPN. Les options disponibles sont les suivantes :

  • Check Point Capsule VPN

  • Cisco AnyConnect

    Remarque

    Avec Cisco AnyConnect dans le profil professionnel appartenant à l’utilisateur, il peut y avoir des étapes supplémentaires pour les utilisateurs finaux pour terminer la connexion VPN. Pour plus d’informations, consultez Profils VPN - À quoi ressemblent les profils VPN réussis.

  • SonicWall Mobile Connect

  • Accès F5

  • Pulse Secure

  • Mobilité NetMotion

  • Microsoft Tunnel

Les paramètres disponibles dépendent du client VPN que vous choisissez. Certains paramètres sont disponibles uniquement pour des clients VPN spécifiques.

VPN de base (profil professionnel appartenant à l’utilisateur)

• Nom de la connexion : entrez un nom pour cette connexion. Les utilisateurs finaux voient ce nom lorsqu’ils recherchent les connexions VPN disponibles sur leur appareil. Par exemple, entrez Contoso VPN.

• Adresse du serveur VPN : entrez l’adresse IP ou le nom de domaine complet (FQDN) du serveur VPN auquel les appareils se connectent. Par exemple, entrez 192.168.1.1 ou vpn.contoso.com.

• Méthode d’authentification : choisissez la façon dont les appareils s’authentifient auprès du serveur VPN. Les options disponibles sont les suivantes :

  • Certificats : sélectionnez un profil de certificat SCEP ou PKCS existant pour authentifier la connexion. Configurer des certificats répertorie les étapes de création d’un profil de certificat.

  • Nom d’utilisateur et mot de passe : lorsque les utilisateurs finaux se connectent au serveur VPN, ils sont invités à entrer leur nom d’utilisateur et leur mot de passe.

  • Informations d’identification dérivées : utilisez un certificat dérivé de la carte intelligente d’un utilisateur. Si aucun émetteur d’informations d’identification dérivées n’est configuré, Intune vous invite à en ajouter un.

    Pour plus d’informations, consultez Utiliser des informations d’identification dérivées dans Intune.

• Empreinte digitale (Check Point VPN Capsule uniquement) : entrez la chaîne d’empreinte digitale que vous avez donnée par le fournisseur VPN, par Contoso Fingerprint Codeexemple . Cette empreinte digitale vérifie que le serveur VPN peut être approuvé.

  Lors de l’authentification, une empreinte digitale est envoyée au client afin que le client sache qu’il doit approuver n’importe quel serveur qui a la même empreinte digitale. Si l’appareil n’a pas l’empreinte digitale, il invite l’utilisateur à approuver le serveur VPN tout en affichant l’empreinte digitale. L’utilisateur vérifie manuellement l’empreinte digitale et choisit d’approuver pour se connecter.

• Entrez les paires clé et valeur pour les attributs VPN NetMotion Mobility : ajoutez ou importez des clés et des valeurs qui personnalisent votre connexion VPN. Ces valeurs sont généralement fournies par votre fournisseur VPN.

• Site Microsoft Tunnel (Microsoft Tunnel uniquement) : sélectionnez un site existant. Le client VPN se connecte à l’adresse IP publique ou au nom de domaine complet de ce site.

  Pour plus d’informations, consultez Microsoft Tunnel pour Intune.

VPN par application (profil professionnel appartenant à l’utilisateur)

• Ajouter : sélectionnez applications managées dans la liste. Lorsque les utilisateurs démarrent les applications que vous ajoutez, le trafic achemine automatiquement via la connexion VPN.

Pour plus d’informations, consultez Utiliser une stratégie VPN et VPN par application sur les appareils Android Enterprise.

VPN always-on (profil professionnel appartenant à l’utilisateur)

• VPN always-on : Activer active le VPN always-on pour que les clients VPN se connectent automatiquement au VPN et se reconnectent automatiquement au VPN si possible. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le VPN always on peut être désactivé pour tous les clients VPN.

  Un seul client VPN peut être configuré pour un VPN always-on sur un appareil. Veillez à ne pas déployer plus d’une stratégie VPN always on sur un seul appareil.

Proxy (profil professionnel appartenant à l’utilisateur)

• Script de configuration automatique : utilisez un fichier pour configurer le serveur proxy. Entrez l’URL du serveur proxy qui inclut le fichier de configuration. Par exemple, entrez http://proxy.contoso.com/pac.
• Adresse : entrez l’adresse IP ou le nom d’hôte complet du serveur proxy. Par exemple, entrez 10.0.0.3 ou vpn.contoso.com.
• Numéro de port : entrez le numéro de port associé au serveur proxy. Par exemple, entrez 8080.

Prochaines étapes

Attribuer le profil et suivre son état.

Vous pouvez également créer des profils VPN pour l’administrateur d’appareil Android, iOS/iPadOS, macOS et Windows 10 et versions ultérieures.

Résolution des problèmes de profil VPN dans Microsoft Intune