Criar perfis VPN para se conectar a servidores VPN no Microsoft Intune
Importante
Em 22 de outubro de 2022, Microsoft Intune encerrou o suporte para dispositivos que executam Windows 8.1. A assistência técnica e as atualizações automáticas nesses dispositivos não estão disponíveis.
Se você usar Windows 8.1 no momento, recomendamos mudar para dispositivos Windows 10/11. Microsoft Intune tem recursos internos de segurança e dispositivo que gerenciam dispositivos cliente Windows 10/11.
Importante
Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.
As VPNs proporcionam para os usuários um acesso remoto seguro à rede da empresa. Os dispositivos usam um perfil de conexão VPN para iniciar uma conexão com o servidor VPN. Os perfis de VPN no Microsoft Intune atribuem configurações de VPN a usuários e dispositivos na sua organização. Use essas configurações para que os usuários possam se conectar com facilidade e segurança à sua rede organizacional.
Esse recurso aplica-se a:
Administrador de dispositivo Android
Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
iOS/iPadOS
macOS
Windows 10
Windows 11
Importante
Para dispositivos Windows 11, há um problema entre o cliente Windows 11 e o VPNv2 CSP do Windows. Um dispositivo com um ou mais perfis VPN do Intune perde sua conectividade VPN quando o dispositivo processa várias alterações em perfis VPN para o dispositivo simultaneamente. Quando o dispositivo faz check-in no Intune pela segunda vez, ele processa as alterações de perfil VPN e a conectividade é restaurada.
As seguintes alterações podem causar uma perda de funcionalidade da VPN:
- Alterações em um perfil VPN que foi processado anteriormente pelo dispositivo Windows 11. Essa ação exclui o perfil original e aplica o perfil atualizado.
- Dois novos perfis VPN se aplicam ao dispositivo ao mesmo tempo.
- Um perfil VPN ativo é removido ao mesmo tempo em que um novo perfil VPN é atribuído.
Esse problema não se aplica quando:
- Um dispositivo Windows 11 não tem um perfil VPN existente atribuído e recebe um perfil VPN do Intune.
- Dispositivos Windows 11 com um perfil VPN atribuído e recebem outro perfil VPN sem outras alterações de perfil.
- Um dispositivo Windows 10 é atualizado para o Windows 11 e se não houver alterações nos perfis VPN desse dispositivo. Após a atualização para o Windows 11, qualquer alteração nos perfis VPN dos dispositivos ou a adição de novos perfis VPN disparará o problema.
Esse problema e aviso permanecem até que o Windows atualize o cliente do Windows 11 que resolva esse problema.
Windows 8.1 e mais recente
Por exemplo, se você quiser definir todos os dispositivos iOS/iPadOS com as configurações necessárias para se conectar a um compartilhamento de arquivo na rede da empresa. Crie um perfil VPN que inclui essas configurações. Atribua esse perfil a todos os usuários que têm dispositivos iOS/iPadOS. Os usuários veem a conexão VPN na lista de redes disponíveis e podem se conectar com esforço mínimo.
Este artigo lista os aplicativos VPN que você pode usar, mostra como criar um perfil VPN e inclui orientação sobre como protegê-lo. Você deve implantar o aplicativo VPN antes de criar seu perfil. Se você precisar de ajuda para implantar aplicativos usando Microsoft Intune, consulte O que é o gerenciamento de aplicativos no Microsoft Intune?.
Antes de começar
Os perfis VPN para um túnel de dispositivo são compatíveis em Áreas de trabalho remotas multissessão do Windows 10/11 Enterprise.
Se você usar a autenticação baseada em certificado para o perfil de VPN, implante o perfil de VPN, o perfil de certificado e o perfil raiz confiável nos mesmos grupos. Essa etapa garante que cada dispositivo possa reconhecer a legitimidade da sua autoridade de certificação. Para obter mais informações, confira Como definir os certificados com o Microsoft Intune.
O registro do usuário para iOS/iPadOS e macOS dá suporte apenas a VPN por aplicativo.
Você pode usar políticas de configuração personalizadas do Microsoft Intune para criar perfis VPN para as seguintes plataformas:
- Android 4 e posterior
- Dispositivos registrados que executam o Windows 8.1 e versões posteriores
- Dispositivos registrados que executam o Windows 10/11
- Windows Holographic for Business
Etapa 1 – Implantar seu aplicativo VPN
Antes de poder usar perfis VPN atribuídos a um dispositivo, você deve instalar o aplicativo VPN. Este aplicativo VPN se conecta ao servidor VPN.
Há diferentes aplicativos VPN disponíveis. Em dispositivos de usuário, você implanta o aplicativo VPN que sua organização usa. Depois que o aplicativo VPN for implantado, você criará e implantará um perfil de configuração de dispositivo VPN que configura as configurações do servidor VPN, incluindo o nome do servidor VPN (ou FQDN) e o método de autenticação.
Algumas plataformas e aplicativos VPN exigem uma política de configuração de aplicativo para pré-configurar o aplicativo VPN, em vez de um perfil de configuração de dispositivo VPN. Esta seção também lista as plataformas e aplicativos VPN que devem usar uma política de configuração de aplicativo.
Para ajudar você a atribuir o aplicativo usando o Intune, confira Adicionar aplicativos ao Microsoft Intune.
Tipos de conexão VPN
Você pode criar perfis VPN usando os seguintes tipos de conexão VPN:
Automático
- Windows 10/11
Check Point Capsule VPN
- Administrador de dispositivo Android
- Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
- No perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Cisco AnyConnect
- Administrador de dispositivo Android
- Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
- Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10/11
Cisco (IPSec)
- iOS/iPadOS
SSO da Citrix
- Administrador de dispositivo Android
- Em dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho, use a política de configuração do aplicativo
- Em perfis de trabalho totalmente gerenciados e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
- iOS/iPadOS
- Windows 10/11
VPN personalizado
- iOS/iPadOS
- macOS
Crie perfis de VPN personalizados usando configurações de URI em Criar um perfil com configurações personalizadas.
F5 Access
- Administrador de dispositivo Android
- Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
- Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
IKEv2
- iOS/iPadOS
- Windows 10/11
L2TP
- Windows 10/11
Microsoft Tunnel
- Dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho
- Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
- iOS/iPadOS
NetMotion Mobility
- Dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho
- Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
- iOS/iPadOS
- macOS
Palo Alto Networks GlobalProtect
- Em dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho, use a política de configuração do aplicativo
- No perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
- iOS/iPadOS
- Windows 10/11
PPTP
- Windows 10/11
Pulse Secure
- Administrador de dispositivo Android
- Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
- Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
- iOS/iPadOS
- Windows 10/11
- Windows 8.1
SonicWall Mobile Connect
- Administrador de dispositivo Android
- Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
- Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Zscaler
- Em dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho, use a política de configuração do aplicativo
- No perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
- iOS/iPadOS
Etapa 2 – Criar o perfil
Depois que o aplicativo VPN é atribuído ao dispositivo, esta próxima etapa cria a política de configuração do dispositivo que configura a conexão VPN. Se o tipo de conexão do aplicativo VPN usar uma política de configuração de aplicativo para configurar o aplicativo, ignore esta etapa.
Selecione Criarconfiguração>de dispositivos>.
Insira as seguintes propriedades:
- Plataforma: escolha a plataforma dos dispositivos. Suas opções:
- Administrador de dispositivo Android
- Perfil de Trabalho Totalmente Gerenciado, Dedicado e de Propriedade Corporativa> do Android Enterprise
- Android Enterprise>Perfil de trabalho de propriedade pessoal
- iOS/iPadOS
- macOS
- Windows 10 e posterior
- Windows 8.1 e posterior
- Tipo de perfil: selecione VPN. Ou selecione Modelos>VPN.
- Plataforma: escolha a plataforma dos dispositivos. Suas opções:
Selecionar Criar.
Em Noções básicas, insira as seguintes propriedades:
- Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um nome ideal de perfil é Perfil VPN para toda a empresa.
- Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
Selecione Avançar.
Em Definições de configuração, dependendo da plataforma escolhida, as configurações que podem ser definidas são diferentes. Selecione sua plataforma para obter as configurações detalhadas:
- Administrador de dispositivo Android
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10 (incluindo o Windows Holographic for Business)
- Windows 8.1
Selecione Avançar.
Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como
US-NC IT Team
ouJohnGlenn_ITDepartment
. Para obter mais informações sobre as marcas de escopo, confira Usar o RBAC e as marcas de escopo para TI distribuída.Selecione Avançar.
Em Atribuições, selecione o usuário ou os grupos que recebem seu perfil. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.
Selecione Avançar.
Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.
Proteger perfis VPN
Perfis VPN podem usar vários tipos de conexão e protocolos diferentes, de fabricantes diferentes. Essas conexões geralmente são protegidas por meio dos métodos a seguir.
Certificados
Ao criar o perfil VPN, escolha um perfil de certificado SCEP ou PKCS criado anteriormente no Intune. Esse perfil é conhecido como certificado de identidade. Ele é usado para autenticar um perfil de certificado confiável (ou certificado raiz) que você criou para permitir que o dispositivo do usuário consiga se conectar. O certificado confiável é atribuído ao computador que autentica a conexão VPN, em geral, o servidor VPN.
Se você usar a autenticação baseada em certificado para o perfil de VPN, implante o perfil de VPN, o perfil de certificado e o perfil raiz confiável nos mesmos grupos. Essa atribuição garante que cada dispositivo reconheça a legitimidade de sua autoridade de certificação.
Para obter mais informações sobre como criar e usar perfis de certificado no Intune, consulte Como configurar certificados com o Microsoft Intune.
Observação
Os certificados adicionados usando o perfil Certificado importado PKCS não têm suporte para autenticação de VPN. Os certificados adicionados usando o perfil Certificados PKCS têm suporte para autenticação de VPN.
Nome e senha do usuário
O usuário se autentica no servidor VPN fornecendo o nome de usuário e a senha ou credenciais derivadas.
Próximas etapas
- Atribuir o perfil e monitorar seu status.
- Você também pode criar e usar VPNs por aplicativo em dispositivos Administrador do dispositivo Android/Android Enterprise e iOS/iPadOS.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de