Criar perfis VPN para se conectar a servidores VPN no Microsoft Intune

Importante

Em 22 de outubro de 2022, Microsoft Intune encerrou o suporte para dispositivos que executam Windows 8.1. A assistência técnica e as atualizações automáticas nesses dispositivos não estão disponíveis.

Se você usar Windows 8.1 no momento, recomendamos mudar para dispositivos Windows 10/11. Microsoft Intune tem recursos internos de segurança e dispositivo que gerenciam dispositivos cliente Windows 10/11.

Importante

Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.

As VPNs proporcionam para os usuários um acesso remoto seguro à rede da empresa. Os dispositivos usam um perfil de conexão VPN para iniciar uma conexão com o servidor VPN. Os perfis de VPN no Microsoft Intune atribuem configurações de VPN a usuários e dispositivos na sua organização. Use essas configurações para que os usuários possam se conectar com facilidade e segurança à sua rede organizacional.

Esse recurso aplica-se a:

• Administrador de dispositivo Android

• Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho

• iOS/iPadOS

• macOS

• Windows 10

• Windows 11

  Importante

  Para dispositivos Windows 11, há um problema entre o cliente Windows 11 e o VPNv2 CSP do Windows. Um dispositivo com um ou mais perfis VPN do Intune perde sua conectividade VPN quando o dispositivo processa várias alterações em perfis VPN para o dispositivo simultaneamente. Quando o dispositivo faz check-in no Intune pela segunda vez, ele processa as alterações de perfil VPN e a conectividade é restaurada.

  As seguintes alterações podem causar uma perda de funcionalidade da VPN:

  • Alterações em um perfil VPN que foi processado anteriormente pelo dispositivo Windows 11. Essa ação exclui o perfil original e aplica o perfil atualizado.
  • Dois novos perfis VPN se aplicam ao dispositivo ao mesmo tempo.
  • Um perfil VPN ativo é removido ao mesmo tempo em que um novo perfil VPN é atribuído.

  Esse problema não se aplica quando:

  • Um dispositivo Windows 11 não tem um perfil VPN existente atribuído e recebe um perfil VPN do Intune.
  • Dispositivos Windows 11 com um perfil VPN atribuído e recebem outro perfil VPN sem outras alterações de perfil.
  • Um dispositivo Windows 10 é atualizado para o Windows 11 e se não houver alterações nos perfis VPN desse dispositivo. Após a atualização para o Windows 11, qualquer alteração nos perfis VPN dos dispositivos ou a adição de novos perfis VPN disparará o problema.

  Esse problema e aviso permanecem até que o Windows atualize o cliente do Windows 11 que resolva esse problema.

• Windows 8.1 e mais recente

Por exemplo, se você quiser definir todos os dispositivos iOS/iPadOS com as configurações necessárias para se conectar a um compartilhamento de arquivo na rede da empresa. Crie um perfil VPN que inclui essas configurações. Atribua esse perfil a todos os usuários que têm dispositivos iOS/iPadOS. Os usuários veem a conexão VPN na lista de redes disponíveis e podem se conectar com esforço mínimo.

Este artigo lista os aplicativos VPN que você pode usar, mostra como criar um perfil VPN e inclui orientação sobre como protegê-lo. Você deve implantar o aplicativo VPN antes de criar seu perfil. Se você precisar de ajuda para implantar aplicativos usando Microsoft Intune, consulte O que é o gerenciamento de aplicativos no Microsoft Intune?.

Antes de começar

• Os perfis VPN para um túnel de dispositivo são compatíveis em Áreas de trabalho remotas multissessão do Windows 10/11 Enterprise.

• Se você usar a autenticação baseada em certificado para o perfil de VPN, implante o perfil de VPN, o perfil de certificado e o perfil raiz confiável nos mesmos grupos. Essa etapa garante que cada dispositivo possa reconhecer a legitimidade da sua autoridade de certificação. Para obter mais informações, confira Como definir os certificados com o Microsoft Intune.

• O registro do usuário para iOS/iPadOS e macOS dá suporte apenas a VPN por aplicativo.

• Você pode usar políticas de configuração personalizadas do Microsoft Intune para criar perfis VPN para as seguintes plataformas:

  • Android 4 e posterior
  • Dispositivos registrados que executam o Windows 8.1 e versões posteriores
  • Dispositivos registrados que executam o Windows 10/11
  • Windows Holographic for Business

Etapa 1 – Implantar seu aplicativo VPN

Antes de poder usar perfis VPN atribuídos a um dispositivo, você deve instalar o aplicativo VPN. Este aplicativo VPN se conecta ao servidor VPN.

Há diferentes aplicativos VPN disponíveis. Em dispositivos de usuário, você implanta o aplicativo VPN que sua organização usa. Depois que o aplicativo VPN for implantado, você criará e implantará um perfil de configuração de dispositivo VPN que configura as configurações do servidor VPN, incluindo o nome do servidor VPN (ou FQDN) e o método de autenticação.

Algumas plataformas e aplicativos VPN exigem uma política de configuração de aplicativo para pré-configurar o aplicativo VPN, em vez de um perfil de configuração de dispositivo VPN. Esta seção também lista as plataformas e aplicativos VPN que devem usar uma política de configuração de aplicativo.

Para ajudar você a atribuir o aplicativo usando o Intune, confira Adicionar aplicativos ao Microsoft Intune.

Tipos de conexão VPN

Você pode criar perfis VPN usando os seguintes tipos de conexão VPN:

• Automático

  • Windows 10/11

• Check Point Capsule VPN

  • Administrador de dispositivo Android
  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
  • No perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• Cisco AnyConnect

  • Administrador de dispositivo Android
  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
  • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11

• Cisco (IPSec)

  • iOS/iPadOS

• SSO da Citrix

  • Administrador de dispositivo Android
  • Em dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho, use a política de configuração do aplicativo
  • Em perfis de trabalho totalmente gerenciados e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
  • iOS/iPadOS
  • Windows 10/11

• VPN personalizado

  • iOS/iPadOS
  • macOS

  Crie perfis de VPN personalizados usando configurações de URI em Criar um perfil com configurações personalizadas.

• F5 Access

  • Administrador de dispositivo Android
  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
  • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• IKEv2

  • iOS/iPadOS
  • Windows 10/11

• L2TP

  • Windows 10/11

• Microsoft Tunnel

  • Dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho
  • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
  • iOS/iPadOS

• NetMotion Mobility

  • Dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho
  • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
  • iOS/iPadOS
  • macOS

• Palo Alto Networks GlobalProtect

  • Em dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho, use a política de configuração do aplicativo
  • No perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
  • iOS/iPadOS
  • Windows 10/11

• PPTP

  • Windows 10/11

• Pulse Secure

  • Administrador de dispositivo Android
  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
  • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
  • iOS/iPadOS
  • Windows 10/11
  • Windows 8.1

• SonicWall Mobile Connect

  • Administrador de dispositivo Android
  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
  • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• Zscaler

  • Em dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho, use a política de configuração do aplicativo
  • No perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
  • iOS/iPadOS

Etapa 2 – Criar o perfil

Depois que o aplicativo VPN é atribuído ao dispositivo, esta próxima etapa cria a política de configuração do dispositivo que configura a conexão VPN. Se o tipo de conexão do aplicativo VPN usar uma política de configuração de aplicativo para configurar o aplicativo, ignore esta etapa.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Criarconfiguração>de dispositivos>.

3. Insira as seguintes propriedades:

   • Plataforma: escolha a plataforma dos dispositivos. Suas opções:
     • Administrador de dispositivo Android
     • Perfil de Trabalho Totalmente Gerenciado, Dedicado e de Propriedade Corporativa> do Android Enterprise
     • Android Enterprise>Perfil de trabalho de propriedade pessoal
     • iOS/iPadOS
     • macOS
     • Windows 10 e posterior
     • Windows 8.1 e posterior
   • Tipo de perfil: selecione VPN. Ou selecione Modelos>VPN.

4. Selecionar Criar.

5. Em Noções básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um nome ideal de perfil é Perfil VPN para toda a empresa.
   • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

6. Selecione Avançar.

7. Em Definições de configuração, dependendo da plataforma escolhida, as configurações que podem ser definidas são diferentes. Selecione sua plataforma para obter as configurações detalhadas:

   • Administrador de dispositivo Android
   • Android Enterprise
   • iOS/iPadOS
   • macOS
   • Windows 10 (incluindo o Windows Holographic for Business)
   • Windows 8.1

8. Selecione Avançar.

9. Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre as marcas de escopo, confira Usar o RBAC e as marcas de escopo para TI distribuída.

   Selecione Avançar.

10. Em Atribuições, selecione o usuário ou os grupos que recebem seu perfil. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Proteger perfis VPN

Perfis VPN podem usar vários tipos de conexão e protocolos diferentes, de fabricantes diferentes. Essas conexões geralmente são protegidas por meio dos métodos a seguir.

Certificados

Ao criar o perfil VPN, escolha um perfil de certificado SCEP ou PKCS criado anteriormente no Intune. Esse perfil é conhecido como certificado de identidade. Ele é usado para autenticar um perfil de certificado confiável (ou certificado raiz) que você criou para permitir que o dispositivo do usuário consiga se conectar. O certificado confiável é atribuído ao computador que autentica a conexão VPN, em geral, o servidor VPN.

Se você usar a autenticação baseada em certificado para o perfil de VPN, implante o perfil de VPN, o perfil de certificado e o perfil raiz confiável nos mesmos grupos. Essa atribuição garante que cada dispositivo reconheça a legitimidade de sua autoridade de certificação.

Para obter mais informações sobre como criar e usar perfis de certificado no Intune, consulte Como configurar certificados com o Microsoft Intune.

Observação

Os certificados adicionados usando o perfil Certificado importado PKCS não têm suporte para autenticação de VPN. Os certificados adicionados usando o perfil Certificados PKCS têm suporte para autenticação de VPN.

Nome e senha do usuário

O usuário se autentica no servidor VPN fornecendo o nome de usuário e a senha ou credenciais derivadas.

Próximas etapas

• Atribuir o perfil e monitorar seu status.
• Você também pode criar e usar VPNs por aplicativo em dispositivos Administrador do dispositivo Android/Android Enterprise e iOS/iPadOS.