Adicionar configurações de VPN a dispositivos iOS e iPadOS no Microsoft Intune

Microsoft Intune inclui muitas configurações de VPN que podem ser implantadas em seus dispositivos iOS/iPadOS. Essas configurações são usadas para criar e configurar conexões VPN com a rede da sua organização. Este artigo descreve essas configurações. Algumas configurações só estão disponíveis para alguns clientes VPN, como Citrix, Zscaler e muito mais.

Esse recurso aplica-se a:

• iOS/iPadOS

Antes de começar

• Create um perfil de configuração de dispositivo VPN iOS/iPadOS.

• Alguns serviços do Microsoft 365, como o Outlook, podem não ter um bom desempenho usando VPNs de terceiros ou parceiros. Se você estiver usando uma VPN de terceiros ou parceiros e tiver um problema de latência ou desempenho, remova a VPN.

  Se a remoção da VPN resolver o comportamento, você poderá:

  • Trabalhe com a VPN de terceiros ou parceiros para possíveis resoluções. A Microsoft não fornece suporte técnico para VPNs de terceiros ou parceiros.
  • Não use uma VPN com tráfego do Outlook.
  • Se você precisar usar uma VPN, use uma VPN de túnel dividido. E, permita que o tráfego do Outlook ignore a VPN.

  Para obter mais informações, confira:

  • Visão geral: túnel dividido de VPN para o Microsoft 365
  • Usando dispositivos de rede de terceiros ou soluções com o Microsoft 365
  • Formas alternativas para profissionais de segurança e TI alcançarem controles de segurança modernos no blog de cenários de trabalho remoto exclusivos de hoje
  • Princípios de conectividade de rede do Microsoft 365

• Se você precisar desses dispositivos para acessar recursos locais usando autenticação moderna e acesso condicional, poderá usar o Microsoft Tunnel, que dá suporte ao túnel dividido.

Observação

• Essas configurações estão disponíveis para todos os tipos de registro, exceto o registro de usuário. O registro de usuário é limitado a VPN por aplicativo. Para obter mais informações sobre os tipos de registro, consulte registro iOS/iPadOS.

• As configurações disponíveis dependem do cliente VPN escolhido. Algumas configurações só estão disponíveis para clientes VPN específicos.

• Essas configurações usam o conteúdo de VPN da Apple (abre o site da Apple).

Tipo de conexão

Selecione o tipo de conexão VPN na seguinte lista de fornecedores:

• Check Point Capsule VPN

• Cisco Legacy AnyConnect

  Aplica-se ao aplicativo Cisco Legacy AnyConnect versão 4.0.5x e anterior.

• Cisco AnyConnect

  Aplica-se ao aplicativo Cisco AnyConnect versão 4.0.7x e posterior.

• SonicWall Mobile Connect

• F5 Access herdado

  Aplica-se ao aplicativo F5 Access versão 2.1 e anterior.

• F5 Access

  Aplica-se ao aplicativo F5 Access versão 3.0 e posterior.

• Palo Alto Networks GlobalProtect (Herdado)

  Aplica-se ao aplicativo Palo Alto Networks GlobalProtect versão 4.1 e anterior.

• Palo Alto Networks GlobalProtect

  Aplica-se ao aplicativo Palo Alto Networks GlobalProtect versão 5.0 e posterior.

• Pulse Secure

• Cisco (IPSec)

• VPN Citrix

• SSO da Citrix

• Zscaler

  Para usar o Acesso Condicional ou permitir que os usuários ignorem a tela de entrada do Zscaler, você deve integrar o ZPA (Zscaler Private Access) à sua conta Microsoft Entra. Para obter etapas detalhadas, consulte a documentação do Zscaler.

• NetMotion Mobility

• IKEv2

  As configurações IKEv2 (neste artigo) descrevem as propriedades.

• Microsoft Tunnel

  Aplica-se ao aplicativo Microsoft Defender para Ponto de Extremidade que inclui a funcionalidade do cliente tunnel.

• VPN personalizado

Observação

Cisco, Citrix, F5 e Palo Alto anunciaram que seus clientes herdados não funcionam no iOS 12 e posterior. Você deve migrar para os novos aplicativos o mais rápido possível. Para obter mais informações, consulte o blog da equipe de suporte Microsoft Intune.

Configurações de VPN base

• Nome da conexão: os usuários finais veem esse nome quando navegam em seu dispositivo para obter uma lista de conexões VPN disponíveis.

• Nome de domínio personalizado (somente Zscaler): prepovo o campo de entrada do aplicativo Zscaler com o domínio ao qual seus usuários pertencem. Por exemplo, se um nome de usuário for Joe@contoso.net, o contoso.net domínio aparecerá estaticamente no campo quando o aplicativo for aberto. Se você não inserir um nome de domínio, a parte de domínio do UPN no Microsoft Entra ID será usada.

• Endereço do servidor VPN: o endereço IP ou o FQDN (nome de domínio totalmente qualificado) do servidor VPN com o qual os dispositivos se conectam. Por exemplo, insira 192.168.1.1 ou vpn.contoso.com.

• Nome da nuvem da organização (somente Zscaler): insira o nome da nuvem em que sua organização está provisionada. A URL que você usa para entrar no Zscaler tem o nome.

• Método de autenticação: escolha como os dispositivos se autenticam no servidor VPN.

  • Certificados: em Certificado de Autenticação, selecione um perfil de certificado SCEP ou PKCS existente para autenticar a conexão. Configurar certificados fornece algumas diretrizes sobre perfis de certificado.

  • Nome de usuário e senha: os usuários finais devem inserir um nome de usuário e uma senha para entrar no servidor VPN.

    Observação

    Se o nome de usuário e a senha forem usados como o método de autenticação do Cisco IPsec VPN, eles deverão entregar o SharedSecret por meio de um perfil personalizado do Apple Configurator.

  • Credencial derivada: use um certificado derivado do cartão inteligente de um usuário. Se nenhum emissor de credencial derivado estiver configurado, Intune solicitará que você adicione um. Para obter mais informações, consulte Usar credenciais derivadas em Microsoft Intune.

• URLs excluídas (somente Zscaler): quando conectadas à VPN do Zscaler, as URLs listadas ficam acessíveis fora da nuvem Zscaler. Você pode adicionar até 50 URLs.

• Túnel dividido: habilitar ou desabilitar para permitir que os dispositivos decidam qual conexão usar, dependendo do tráfego. Por exemplo, um usuário em um hotel usa a conexão VPN para acessar arquivos de trabalho, mas usa a rede padrão do hotel para navegação regular na Web.

• Identificador de VPN (VPN personalizada, Zscaler e Citrix): um identificador para o aplicativo VPN que você está usando e é fornecido pelo seu provedor de VPN.

• Insira pares de chave/valor para os atributos VPN personalizados da sua organização (VPN personalizada, Zscaler e Citrix): Adicione ou importe Chaves e Valores que personalizam sua conexão VPN. Lembre-se de que esses valores normalmente são fornecidos pelo provedor de VPN.

• Habilitar o NAC (controle de acesso à rede) (Cisco AnyConnect, Citrix SSO, F5 Access): Quando você escolhe eu concordo, a ID do dispositivo é incluída no perfil VPN. Essa ID pode ser usada para autenticação na VPN para permitir ou impedir o acesso à rede.

  Ao usar o Cisco AnyConnect com ISE, certifique-se de:

  • Se você ainda não tiver, integre o ISE ao Intune para NAC, conforme descrito em Configurar Microsoft Intune como um servidor MDM no Guia de Administrador do Mecanismo do Cisco Identity Services.
  • Habilite o NAC no perfil VPN.

  Importante

  O serviço NAC (controle de acesso à rede) é preterido e substituído pelo serviço NAC mais recente da Microsoft, que é o Serviço de Recuperação de Conformidade (Serviço de CR). Para dar suporte a alterações no Cisco ISE, Intune alterou o formato de ID do dispositivo. Portanto, seus perfis existentes com o serviço NAC original deixarão de funcionar.

  Para usar o Serviço de CR e impedir o tempo de inatividade com sua conexão VPN, reimplante esse mesmo perfil de configuração de dispositivo VPN. Não são necessárias alterações no perfil. Você só precisa reimplantar. Quando o dispositivo sincroniza com Intune serviço e recebe o perfil de configuração de VPN, as alterações do Serviço de CR são implantadas automaticamente no dispositivo. E suas conexões VPN devem continuar funcionando.

  Ao usar o SSO do Citrix com o Gateway, certifique-se de:

  • Confirme se você está usando o Citrix Gateway 12.0.59 ou superior.
  • Confirme se os usuários têm o Citrix SSO 1.1.6 ou posterior instalado em seus dispositivos.
  • Integre o Gateway do Citrix ao Intune para o NAC. Consulte o guia de implantação do Citrix integrando o Microsoft Intune/Enterprise Mobility Suite ao Citrix (Cenário LDAP+OTP).
  • Habilite o NAC no perfil VPN.

  Ao usar o F5 Access, certifique-se de:

  • Confirme se você está usando F5 BIG-IP 13.1.1.5 ou posterior.
  • Integre BIG-IP com Intune para NAC. Confira a visão geral: configurar o APM para verificações de postura do dispositivo com o guia F5 dos sistemas de gerenciamento de ponto de extremidade.
  • Habilite o NAC no perfil VPN.

  Para os parceiros vpn que dão suporte à ID do dispositivo, o cliente VPN, como o Citrix SSO, pode obter a ID. Em seguida, ele pode consultar Intune para confirmar se o dispositivo está registrado e se o perfil VPN está em conformidade ou não está em conformidade.

  • Para remover essa configuração, recrie o perfil e não selecione Concordo. Em seguida, reatribua o perfil.

• Insira pares de chave e valor para os atributos VPN do NetMotion Mobility (somente NetMotion Mobility): Insira ou importe pares de chave e valor. Esses valores podem ser fornecidos pelo provedor de VPN.

• Site do Microsoft Tunnel (somente Microsoft Tunnel): selecione um site existente. O cliente VPN se conecta ao endereço IP público ou FQDN deste site.

  Para obter mais informações, consulte Microsoft Tunnel para Intune.

Configurações do IKEv2

Essas configurações se aplicam quando você escolhe O tipo> de conexãoIKEv2.

• VPN always-on: habilitar conjuntos de um cliente VPN para se conectar e se reconectar automaticamente à VPN. As conexões VPN sempre ativas permanecem conectadas ou se conectam imediatamente quando o usuário bloqueia seu dispositivo, o dispositivo é reiniciado ou a rede sem fio muda. Quando definido como Desabilitar (padrão), a VPN always-on para todos os clientes VPN está desabilitada. Quando habilitado, também configure:

  • Interface de rede: todas as configurações IKEv2 só se aplicam à interface de rede escolhida. Suas opções:

    • Wi-Fi e Celular (padrão): as configurações IKEv2 se aplicam às interfaces Wi-Fi e celular no dispositivo.
    • Celular: as configurações IKEv2 só se aplicam à interface do celular no dispositivo. Selecione essa opção se você estiver implantando em dispositivos com a interface Wi-Fi desabilitada ou removida.
    • Wi-Fi: as configurações IKEv2 só se aplicam à interface Wi-Fi no dispositivo.

  • Usuário para desabilitar a configuração de VPN: habilitar permite que os usuários desativem a VPN sempre ativada. Desabilitar (padrão) impede que os usuários o desativem. O valor padrão dessa configuração é a opção mais segura.

  • Caixa postal: escolha o que acontece com o tráfego de caixa postal quando a VPN sempre ativa estiver habilitada. Suas opções:

    • Forçar o tráfego de rede por meio de VPN (padrão): essa configuração é a opção mais segura.
    • Permitir que o tráfego de rede passe fora da VPN
    • Soltar tráfego de rede

  • AirPrint: escolha o que acontece com o tráfego do AirPrint quando a VPN sempre ativa estiver habilitada. Suas opções:

    • Forçar o tráfego de rede por meio de VPN (padrão): essa configuração é a opção mais segura.
    • Permitir que o tráfego de rede passe fora da VPN
    • Soltar tráfego de rede

  • Serviços de celular: no iOS 13.0+, escolha o que acontece com o tráfego celular quando a VPN sempre ativa estiver habilitada. Suas opções:

    • Forçar o tráfego de rede por meio de VPN (padrão): essa configuração é a opção mais segura.
    • Permitir que o tráfego de rede passe fora da VPN
    • Soltar tráfego de rede

  • Permitir que o tráfego de aplicativos de rede cativos não nativos passe fora da VPN: uma rede cativa refere-se a Wi-Fi hotspots normalmente encontrados em restaurantes e hotéis. Suas opções:

    • Não: força todo o tráfego de aplicativos CN (Rede Cativa) por meio do túnel VPN.

    • Sim, todos os aplicativos: permite que todo o tráfego de aplicativo CN ignore a VPN.

    • Sim, aplicativos específicos: adicione uma lista de aplicativos CN cujo tráfego pode ignorar a VPN. Insira os identificadores de pacote do aplicativo CN. Por exemplo, digite com.contoso.app.id.package.

      Para obter a ID do pacote de um aplicativo adicionado ao Intune, você pode usar o Intune centro de administração.

  • Tráfego do aplicativo Cativo websheet para passar vpn fora: o Captive WebSheet é um navegador interno da Web que lida com o logon em cativeiro. Habilitar permite que o tráfego do aplicativo do navegador ignore a VPN. Desabilitar (padrão) força o tráfego do WebSheet a usar a VPN sempre ativa. O valor padrão é a opção mais segura.

  • Nat (conversão de endereço de rede) intervalo keepalive (segundos): Para permanecer conectado à VPN, o dispositivo envia pacotes de rede para permanecer ativo. Insira um valor em segundos sobre a frequência com que esses pacotes são enviados, de 20 a 1440. Por exemplo, insira um valor de para enviar os pacotes de 60 rede para a VPN a cada 60 segundos. Por padrão, esse valor é definido como 110 segundos.

  • Descarregar nat keepalive para hardware quando o dispositivo está dormindo: quando um dispositivo está dormindo, Habilitar (padrão) tem NAT enviar continuamente pacotes de manter-se vivo para que o dispositivo permaneça conectado à VPN. Desabilitar desativa esse recurso.

• Identificador remoto: insira o endereço IP de rede, FQDN, UserFQDN ou ASN1DN do servidor IKEv2. Por exemplo, insira 10.0.0.3 ou vpn.contoso.com. Normalmente, você insere o mesmo valor que o nome da conexão (neste artigo). Mas depende das configurações do servidor IKEv2.

• Identificador local: insira o FQDN do dispositivo ou o nome comum do cliente VPN IKEv2 no dispositivo. Ou, você pode deixar esse valor vazio (padrão). Normalmente, o identificador local deve corresponder à identidade do usuário ou do certificado do dispositivo. O servidor IKEv2 pode exigir que os valores correspondam para que ele possa validar a identidade do cliente.

• Tipo de Autenticação do Cliente: escolha como o cliente VPN se autentica na VPN. Suas opções:

  • Autenticação do usuário (padrão): as credenciais do usuário se autenticam na VPN.
  • Autenticação do computador: as credenciais do dispositivo se autenticam na VPN.

• Método de autenticação: escolha o tipo de credenciais do cliente para enviar ao servidor. Suas opções:

  • Certificados: usa um perfil de certificado existente para se autenticar na VPN. Certifique-se de que esse perfil de certificado já está atribuído ao usuário ou dispositivo. Caso contrário, a conexão VPN falhará.

    • Tipo de certificado: selecione o tipo de criptografia usado pelo certificado. Certifique-se de que o servidor VPN está configurado para aceitar esse tipo de certificado. Suas opções:
      • RSA (padrão)
      • ECDSA256
      • ECDSA384
      • ECDSA521

  • Segredo compartilhado (somente autenticação do computador): permite que você insira um segredo compartilhado para enviar ao servidor VPN.

    • Segredo compartilhado: insira o segredo compartilhado, também conhecido como PSK (chave pré-compartilhada). Certifique-se de que o valor corresponda ao segredo compartilhado configurado no servidor VPN.

• Nome comum do emissor de certificado do servidor: permite que o servidor VPN se autentique no cliente VPN. Insira o CN (nome comum do emissor de certificado) do certificado do servidor VPN enviado ao cliente VPN no dispositivo. Certifique-se de que o valor CN corresponda à configuração no servidor VPN. Caso contrário, a conexão VPN falhará.

• Nome comum do certificado do servidor: insira a CN para o certificado em si. Se deixado em branco, o valor do identificador remoto será usado.

• Taxa de detecção de pares mortos: escolha com que frequência o cliente VPN verifica se o túnel VPN está ativo. Suas opções:

  • Não configurado: usa o padrão do sistema iOS/iPadOS, que pode ser o mesmo que escolher Médio.
  • Nenhum: desabilita a detecção de pares mortos.
  • Baixo: envia uma mensagem keepalive a cada 30 minutos.
  • Médio (padrão): envia uma mensagem keepalive a cada 10 minutos.
  • Alto: envia uma mensagem keepalive a cada 60 segundos.

• Intervalo mínimo de versão do TLS: insira a versão mínima do TLS a ser usada. Insira 1.0, 1.1ou 1.2. Se deixado em branco, o valor padrão de 1.0 é usado. Ao usar autenticação e certificados do usuário, você deve configurar essa configuração.

• Intervalo máximo de versão do TLS: insira a versão máxima do TLS a ser usada. Insira 1.0, 1.1ou 1.2. Se deixado em branco, o valor padrão de 1.2 é usado. Ao usar autenticação e certificados do usuário, você deve configurar essa configuração.

• Segredo de encaminhamento perfeito: selecione Habilitar para ativar o PFS (segredo de encaminhamento perfeito). O PFS é um recurso de segurança IP que reduz o impacto se uma chave de sessão for comprometida. Desabilitar (padrão) não usa PFS.

• Marcar de revogação de certificado: selecione Habilitar para garantir que os certificados não sejam revogados antes de permitir que a conexão VPN tenha êxito. Este marcar é o melhor esforço. Se o servidor VPN perder um tempo antes de determinar se o certificado é revogado, o acesso será concedido. Desabilitar (padrão) não marcar para certificados revogados.

• Use atributos de sub-rede interna IPv4/IPv6: alguns servidores IKEv2 usam os INTERNAL_IP4_SUBNET atributos ou INTERNAL_IP6_SUBNET . Habilitar força a conexão VPN a usar esses atributos. Desabilitar (padrão) não força a conexão VPN a usar esses atributos de sub-rede.

• Mobilidade e multihoming (MOBIKE): o MOBIKE permite que os clientes VPN alterem seu endereço IP sem recriar uma associação de segurança com o servidor VPN. Habilitar (padrão) ativa o MOBIKE, que pode melhorar as conexões VPN ao viajar entre redes. Desabilitar desativa o MOBIKE.

• Redirecionamento: Habilitar (padrão) redirecionará a conexão IKEv2 se uma solicitação de redirecionamento for recebida do servidor VPN. Desabilitar impede que a conexão IKEv2 seja redirecionada se uma solicitação de redirecionamento for recebida do servidor VPN.

• Unidade de transmissão máxima: insira a MTU (unidade de transmissão máxima) em bytes, de 1 a 65536. Quando definido como Não configurado ou deixado em branco, Intune não altera nem atualiza essa configuração. Por padrão, a Apple pode definir esse valor como 1280.

  Essa configuração se aplica a:

  • iOS/iPadOS 14 e mais recentes

• Parâmetros de associação de segurança: insira os parâmetros a serem usados ao criar associações de segurança com o servidor VPN:

  • Algoritmo de criptografia: selecione o algoritmo desejado:

    • DES
    • 3DES
    • AES-128
    • AES-256 (padrão)
    • AES-128-GCM
    • AES-256-GCM

    Observação

    Se você definir o algoritmo de criptografia como AES-128-GCM ou AES-256-GCM, o AES-256 padrão será usado. Esse é um problema conhecido e será corrigido em uma versão futura. Não há ETA.

  • Algoritmo de integridade: selecione o algoritmo desejado:

    • SHA1-96
    • SHA1-160
    • SHA2-256 (padrão)
    • SHA2-384
    • SHA2-512

  • Grupo Diffie-Hellman: selecione o grupo desejado. O padrão é o grupo 2.

  • Tempo de vida (minutos): insira quanto tempo a associação de segurança permanecerá ativa até que as chaves sejam giradas. Insira um valor inteiro entre 10 e 1440 (1440 minutos são 24 horas). O padrão é 1440.

• Parâmetros de associação de segurança filho: o iOS/iPadOS permite configurar parâmetros separados para a conexão IKE e quaisquer conexões filho. Insira os parâmetros usados ao criar associações de segurança filho com o servidor VPN:

  • Algoritmo de criptografia: selecione o algoritmo desejado:

    • DES
    • 3DES
    • AES-128
    • AES-256 (padrão)
    • AES-128-GCM
    • AES-256-GCM

    Observação

    Se você definir o algoritmo de criptografia como AES-128-GCM ou AES-256-GCM, o AES-256 padrão será usado. Esse é um problema conhecido e será corrigido em uma versão futura. Não há ETA.

• Algoritmo de integridade: selecione o algoritmo desejado:

  • SHA1-96
  • SHA1-160
  • SHA2-256 (padrão)
  • SHA2-384
  • SHA2-512

  Configure também:

  • Grupo Diffie-Hellman: selecione o grupo desejado. O padrão é o grupo 2.
  • Tempo de vida (minutos): insira quanto tempo a associação de segurança permanecerá ativa até que as chaves sejam giradas. Insira um valor inteiro entre 10 e 1440 (1440 minutos são 24 horas). O padrão é 1440.

VPN automática

• Tipo de VPN automática: selecione o tipo VPN que você deseja configurar – VPN sob demanda ou VPN por aplicativo. Certifique-se de usar apenas uma opção. Usá-los simultaneamente causa problemas de conexão.

  • Não configurado (padrão): Intune não altera nem atualiza essa configuração.

  • VPN sob demanda: a VPN sob demanda usa regras para conectar ou desconectar automaticamente a conexão VPN. Quando seus dispositivos tentam se conectar à VPN, ele procura correspondências nos parâmetros e regras que você cria, como um nome de domínio correspondente. Se houver uma correspondência, a ação escolhida será executada.

    Por exemplo, você pode criar uma condição em que a conexão VPN só é usada quando um dispositivo não está conectado a uma empresa Wi-Fi rede. Ou, se um dispositivo não puder acessar um domínio de pesquisa DNS inserido, a conexão VPN não será iniciada.

    • Regras sob demanda>Adicionar: selecione Adicionar para adicionar uma regra. Se não houver uma conexão VPN existente, use essas configurações para criar uma regra sob demanda. Se houver uma correspondência com sua regra, o dispositivo fará a ação selecionada.

      • Quero fazer o seguinte: se houver uma correspondência entre o valor do dispositivo e sua regra sob demanda, selecione a ação que você deseja que o dispositivo faça. Suas opções:

        • Estabelecer VPN: se houver uma correspondência entre o valor do dispositivo e sua regra sob demanda, o dispositivo se conectará à VPN.

        • Desconectar VPN: se houver uma correspondência entre o valor do dispositivo e sua regra sob demanda, a conexão VPN será desconectada.

        • Avaliar cada tentativa de conexão: se houver uma correspondência entre o valor do dispositivo e sua regra sob demanda, use a configuração Escolher se deve se conectar para decidir o que acontece para cada tentativa de conexão VPN:

          • Conecte-se se necessário: se o dispositivo estiver em uma rede interna ou se já houver uma conexão VPN estabelecida com a rede interna, a VPN sob demanda não se conectará. Essas configurações não são usadas.

            Se não houver uma conexão VPN existente, para cada tentativa de conexão VPN, decida se os usuários devem se conectar usando um nome de domínio DNS. Essa regra só se aplica a domínios na lista Quando os usuários tentam acessar esses domínios . Todos os outros domínios são ignorados.

            • Quando os usuários tentam acessar esses domínios: insira um ou mais domínios DNS, como contoso.com. Se os usuários tentarem se conectar a um domínio nesta lista, o dispositivo usará o DNS para resolve os domínios inseridos. Se o domínio não resolve, o que significa que ele não tem acesso a recursos internos, ele se conecta à VPN sob demanda. Se o domínio fizer resolve, o que significa que ele já tem acesso a recursos internos, então ele não se conecta à VPN.

              Observação

              • Se a configuração Quando os usuários tentarem acessar esses domínios estiver vazia, o dispositivo usará os servidores DNS configurados no serviço de conexão de rede (Wi-Fi/ethernet) para resolve domínio. A ideia é que esses servidores DNS sejam servidores públicos.

                Os domínios na lista Quando os usuários tentam acessar esses domínios são recursos internos. Os recursos internos não estão em servidores DNS públicos e não podem ser resolvidos. Portanto, o dispositivo se conecta à VPN. Agora, o domínio é resolvido usando os servidores DNS da conexão VPN e o recurso interno está disponível.

                Se o dispositivo estiver na rede interna, o domínio será resolvido e uma conexão VPN não será criada porque o domínio interno já está disponível. Você não deseja desperdiçar recursos vpn em dispositivos já na rede interna.

              • Se a configuração Quando os usuários tentarem acessar esses domínios for preenchida, os servidores DNS nesta lista serão usados para resolve os domínios da lista.

                A ideia é o oposto da primeira bala (quando os usuários tentam acessar essas configurações de domínios estão vazios ). Por exemplo, a lista Quando os usuários tentam acessar esses domínios tem servidores DNS internos. Um dispositivo em uma rede externa não pode rotear para os servidores DNS internos. O tempo limite de resolução de nomes e o dispositivo se conecta à VPN sob demanda. Agora os recursos internos estão disponíveis.

                Lembre-se de que essas informações só se aplicam a domínios na lista Quando os usuários tentam acessar esses domínios . Todos os outros domínios são resolvidos com servidores DNS públicos. Quando o dispositivo está conectado à rede interna, os servidores DNS na lista ficam acessíveis e não há necessidade de se conectar à VPN.

            • Use os seguintes servidores DNS para resolve esses domínios (opcional): Insira um ou mais endereços IP do servidor DNS, como 10.0.0.22. Os servidores DNS inseridos são usados para resolve os domínios na configuração Quando os usuários tentam acessar esses domínios.

            • Quando essa URL for inacessível, conecte à força a VPN: Opcional. Insira uma URL de sondagem HTTP ou HTTPS que a regra usa como teste. Por exemplo, digite https://probe.Contoso.com. Essa URL é investigada sempre que um usuário tenta acessar um domínio na configuração Quando os usuários tentam acessar esses domínios . O usuário não vê o site de investigação de cadeia de caracteres de URL.

              Se a investigação falhar porque a URL é inacessível ou não retorna um código de status HTTP 200, o dispositivo se conecta à VPN.

              A ideia é que a URL só esteja acessível na rede interna. Se a URL puder ser acessada, uma conexão VPN não será necessária. Se a URL não puder ser acessada, o dispositivo estará em uma rede externa e se conectará à VPN sob demanda. Depois que a conexão VPN for estabelecida, os recursos internos estarão disponíveis.

          • Nunca se conecte: para cada tentativa de conexão VPN, quando os usuários tentam acessar os domínios que você insere, o dispositivo nunca se conecta à VPN.

            • Quando os usuários tentam acessar esses domínios: insira um ou mais domínios DNS, como contoso.com. Se os usuários tentarem se conectar a um domínio nesta lista, uma conexão VPN não será criada. Se eles tentarem se conectar a um domínio que não está nesta lista, o dispositivo se conectará à VPN.

        • Ignore: se houver uma correspondência entre o valor do dispositivo e sua regra sob demanda, uma conexão VPN será ignorada.

      • Quero restringir a: Na configuração a seguir, se você selecionar Estabelecer VPN, Desconectar VPN ou Ignorar, selecione a condição que a regra deve atender. Suas opções:

        • SSIDs específicos: insira um ou mais nomes de rede sem fio aos quais a regra se aplica. Esse nome de rede é o SSID (Identificador de Conjunto de Serviços). Por exemplo, digite Contoso VPN.
        • Domínios de pesquisa específicos: insira um ou mais domínios DNS aos quais a regra se aplica. Por exemplo, digite contoso.com.
        • Todos os domínios: selecione essa opção para aplicar sua regra a todos os domínios da sua organização.

      • Mas somente se essa investigação de URL for bem-sucedida: opcional. Insira uma URL que a regra usa como teste. Por exemplo, digite https://probe.Contoso.com. Se o dispositivo acessar essa URL sem redirecionamento, a conexão VPN será iniciada. E o dispositivo se conecta à URL de destino. O usuário não vê o site de investigação de cadeia de caracteres de URL.

        Por exemplo, a URL testa a capacidade da VPN de se conectar a um site antes que o dispositivo se conecte à URL de destino por meio da VPN.

    • Impedir que os usuários desabilitem a VPN automática: suas opções:

      • Não configurado: o Intune não altera nem atualiza essa configuração.
      • Sim: impede que os usuários desativem a VPN automática. Isso força os usuários a manter a VPN automática habilitada e em execução.
      • Não: permite que os usuários desativem a VPN automática.

      Essa configuração se aplica a:

      • iOS 14 e mais recente
      • iPadOS 14 e mais recente

  • VPN por aplicativo: habilita a VPN por aplicativo associando essa conexão VPN a um aplicativo específico. Quando o aplicativo é executado, a conexão VPN é iniciada. Você pode associar o perfil VPN a um aplicativo ao atribuir o software ou o programa do aplicativo. Para obter mais informações, confira Como atribuir e monitorar aplicativos.

    Não há suporte para VPN por aplicativo em uma conexão IKEv2. Para obter mais informações, consulte configurar VPN por aplicativo para dispositivos iOS/iPadOS.

    • Tipo de provedor: disponível apenas para VPN Personalizada e Segura de Pulso.

      Ao usar perfis VPN por aplicativo com o Pulse Secure ou uma VPN personalizada, escolha túnel de camada de aplicativo (proxy de aplicativo) ou túnel no nível do pacote (túnel de pacote):

      • app-proxy: selecione essa opção para túnel de camada de aplicativo.
      • packet-tunnel: selecione essa opção para túnel de camada de pacote.

      Se você não tiver certeza de qual opção usar, marcar documentação do provedor de VPN.

    • URLs do Safari que dispararão essa VPN: adicionar uma ou mais URLs do site. Quando essas URLs são visitadas usando o navegador Safari no dispositivo, a conexão VPN é estabelecida automaticamente. Por exemplo, digite contoso.com.

    • Domínios associados: insira domínios associados no perfil VPN para usar com essa conexão VPN.

      Para obter mais informações, consulte domínios associados.

    • Domínios excluídos: insira domínios que podem ignorar a conexão VPN quando a VPN por aplicativo estiver conectada. Por exemplo, digite contoso.com. O tráfego para o contoso.com domínio usa a Internet pública mesmo que a VPN esteja conectada.

    • Impedir que os usuários desabilitem a VPN automática: suas opções:

      • Não configurado: o Intune não altera nem atualiza essa configuração.
      • Sim: impede que os usuários desativem o alternância Conectar sob Demanda dentro das configurações do perfil VPN. Isso força os usuários a manter a VPN por aplicativo ou regras sob demanda habilitadas e em execução.
      • Não: permite que os usuários desativem o alternância Conectar sob Demanda, o que desabilita a VPN por aplicativo e as regras sob demanda.

      Essa configuração se aplica a:

      • iOS 14 e mais recente
      • iPadOS 14 e mais recente

VPN por aplicativo

Essas configurações se aplicam aos seguintes tipos de conexão VPN:

• Microsoft Tunnel

Configurações:

• VPN por aplicativo: habilitar associa um aplicativo específico a essa conexão VPN. Quando o aplicativo é executado, o tráfego roteia automaticamente pela conexão VPN. Você pode associar o perfil VPN a um aplicativo ao atribuir o software. Para obter mais informações, confira Como atribuir e monitorar aplicativos.

  Para obter mais informações, consulte Microsoft Tunnel para Intune.

• URLs do Safari que dispararão essa VPN: adicionar uma ou mais URLs do site. Quando essas URLs são visitadas usando o navegador Safari no dispositivo, a conexão VPN é estabelecida automaticamente. Por exemplo, digite contoso.com.

• Domínios associados: insira domínios associados no perfil VPN para usar com essa conexão VPN.

  Para obter mais informações, consulte domínios associados.

• Domínios excluídos: insira domínios que podem ignorar a conexão VPN quando a VPN por aplicativo estiver conectada. Por exemplo, digite contoso.com. O tráfego para o contoso.com domínio usa a Internet pública mesmo que a VPN esteja conectada.

Proxy

Se você usar um proxy, configure as seguintes configurações.

• Script de configuração automática: use um arquivo para configurar o servidor proxy. Insira a URL do servidor proxy que inclui o arquivo de configuração. Por exemplo, digite http://proxy.contoso.com/pac.
• Endereço: insira o endereço IP ou o nome do host totalmente qualificado do servidor proxy. Por exemplo, insira 10.0.0.3 ou vpn.contoso.com.
• Número da porta: insira o número da porta associado ao servidor proxy. Por exemplo, digite 8080.

Próximas etapas

O perfil foi criado, mas pode não estar fazendo nada ainda. Atribua o perfil e monitore seu status.

Configure as configurações de VPN em dispositivos Android, Android Enterprise, macOS e Windows 10.