Configurações do dispositivo Android Enterprise para configurar VPN no Intune

Este artigo descreve as diferentes configurações de conexão VPN que você pode controlar em dispositivos Android Enterprise. Como parte da solução MDM (gerenciamento de dispositivo móvel), use essas configurações para criar uma conexão VPN, escolha como a VPN se autentica, selecione um tipo de servidor VPN e muito mais.

Esse recurso aplica-se a:

• Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho (BYOD)
• Perfil de trabalho de propriedade corporativa do Android Enterprise (COPE)
• Dispositivos Android Enterprise totalmente gerenciados de propriedade corporativa (COBO)
• Dispositivos Android Enterprise dedicados de propriedade corporativa (COSU)

Como administrador do Intune, você pode criar e atribuir configurações de VPN a dispositivos Android Enterprise. Para saber mais sobre perfis vpn no Intune, confira Perfis de VPN.

Observação

Para configurar a VPN sempre ativa, você precisa criar um perfil VPN e também criar um perfil de restrições de dispositivo com a configuração vpn always-on configurada.

Antes de começar

• Criar um perfil de configuração de dispositivo VPN do Android Enterprise:

  • Perfil de trabalho totalmente gerenciado, dedicado e de propriedade corporativa
  • Perfil de trabalho de propriedade pessoal

• Alguns serviços do Microsoft 365, como o Outlook, podem não ter um bom desempenho usando VPNs de terceiros ou parceiros. Se você estiver usando uma VPN de terceiros ou parceiros e tiver um problema de latência ou desempenho, remova a VPN.

  Se a remoção da VPN resolver o comportamento, você poderá:

  • Trabalhe com a VPN de terceiros ou parceiros para possíveis resoluções. A Microsoft não fornece suporte técnico para VPNs de terceiros ou parceiros.
  • Não use uma VPN com tráfego do Outlook.
  • Se você precisar usar uma VPN, use uma VPN de túnel dividido. E, permita que o tráfego do Outlook ignore a VPN.

  Para obter mais informações, confira:

  • Visão geral: túnel dividido de VPN para o Microsoft 365
  • Usando dispositivos de rede de terceiros ou soluções com o Microsoft 365
  • Formas alternativas para profissionais de segurança e TI alcançarem controles de segurança modernos no blog de cenários de trabalho remoto exclusivos de hoje
  • Princípios de conectividade de rede do Microsoft 365

• Se você precisar desses dispositivos para acessar recursos locais usando autenticação moderna e acesso condicional, poderá usar o Microsoft Tunnel, que dá suporte ao túnel dividido.

Perfil de trabalho totalmente gerenciado, dedicado e Corporate-Owned

• Tipo de conexão: selecione o tipo de conexão VPN. Suas opções:

  • Cisco AnyConnect
  • SonicWall Mobile Connect
  • F5 Access
  • Pulse Secure
  • Microsoft Tunnel (não há suporte em dispositivos dedicados do Android Enterprise.)

As configurações disponíveis dependem do cliente VPN escolhido. Algumas configurações só estão disponíveis para clientes VPN específicos.

VPN base (perfil de trabalho totalmente gerenciado, dedicado e de propriedade corporativa)

• Nome da conexão: insira um nome para essa conexão. Os usuários finais veem esse nome quando navegam pelo dispositivo para obter as conexões VPN disponíveis. Por exemplo, digite Contoso VPN.

• Endereço do servidor VPN ou FQDN: insira o endereço IP ou o FQDN (nome de domínio totalmente qualificado) do servidor VPN que os dispositivos se conectam. Por exemplo, insira 192.168.1.1 ou vpn.contoso.com.

• Método de autenticação: escolha como os dispositivos se autenticam no servidor VPN. Suas opções:

  • Certificados: selecione um perfil de certificado SCEP ou PKCS existente para autenticar a conexão. Configurar certificados lista as etapas para criar um perfil de certificado.

  • Nome de usuário e senha: quando os usuários finais entram no servidor VPN, eles são solicitados a inserir seu nome de usuário e senha.

  • Credencial derivada: use um certificado derivado do cartão inteligente de um usuário. Se nenhum emissor de credencial derivado estiver configurado, o Intune solicitará que você adicione um.

    Para obter mais informações, consulte Usar credenciais derivadas no Intune.

• Insira pares de chave e valor para os atributos VPN do NetMotion Mobility: Adicionar ou importar chaves e valores que personalizam sua conexão VPN. Esses valores normalmente são fornecidos pelo provedor de VPN.

• Site do Microsoft Tunnel (somente Microsoft Tunnel): selecione um site existente. O cliente VPN se conecta ao endereço IP público ou FQDN deste site.

  Para obter mais informações, consulte Microsoft Tunnel para Intune.

VPN por aplicativo (perfil de trabalho totalmente gerenciado, dedicado e de propriedade corporativa)

• Adicionar: selecione aplicativos gerenciados na lista. Quando os usuários iniciam os aplicativos que você adiciona, o tráfego roteia automaticamente pela conexão VPN.

Para obter mais informações, confira Usar uma política VPN e VPN por aplicativo em dispositivos Android Enterprise.

VPN always-on (perfil de trabalho totalmente gerenciado, dedicado e de propriedade corporativa)

• VPN sempre ativada: habilitar ativa a VPN sempre ativada para que os clientes VPN se conectem e se reconectem automaticamente à VPN quando possível. Quando definido como Não configurado, o Intune não altera ou atualiza essa configuração. Por padrão, a VPN always-on pode estar desabilitada para todos os clientes VPN.

  Somente um cliente VPN pode ser configurado para VPN sempre ativa em um dispositivo. Certifique-se de não ter mais do que uma política de VPN sempre ativa implantada em um único dispositivo.

Proxy (perfil de trabalho totalmente gerenciado, dedicado e de propriedade corporativa)

• Script de configuração automática: use um arquivo para configurar o servidor proxy. Insira a URL do servidor proxy que inclui o arquivo de configuração. Por exemplo, digite http://proxy.contoso.com/pac.
• Endereço: insira o endereço IP ou o nome do host totalmente qualificado do servidor proxy. Por exemplo, insira 10.0.0.3 ou vpn.contoso.com.
• Número da porta: insira o número da porta associado ao servidor proxy. Por exemplo, digite 8080.

Perfil de trabalho de propriedade pessoal

• Tipo de conexão: selecione o tipo de conexão VPN. Suas opções:

  • Check Point Capsule VPN

  • Cisco AnyConnect

    Observação

    Com o Cisco AnyConnect no perfil de trabalho de propriedade pessoal, pode haver algumas etapas extras para os usuários finais concluirem a conexão VPN. Para obter mais informações, acesse perfis vpn – Como são os perfis VPN bem-sucedidos.

  • SonicWall Mobile Connect

  • F5 Access

  • Pulse Secure

  • NetMotion Mobility

  • Microsoft Tunnel

As configurações disponíveis dependem do cliente VPN escolhido. Algumas configurações só estão disponíveis para clientes VPN específicos.

VPN base (perfil de trabalho de propriedade pessoal)

• Nome da conexão: insira um nome para essa conexão. Os usuários finais veem esse nome quando navegam pelo dispositivo para obter as conexões VPN disponíveis. Por exemplo, digite Contoso VPN.

• Endereço do servidor VPN: insira o endereço IP ou o FQDN (nome de domínio totalmente qualificado) do servidor VPN que os dispositivos se conectam. Por exemplo, insira 192.168.1.1 ou vpn.contoso.com.

• Método de autenticação: escolha como os dispositivos se autenticam no servidor VPN. Suas opções:

  • Certificados: selecione um perfil de certificado SCEP ou PKCS existente para autenticar a conexão. Configurar certificados lista as etapas para criar um perfil de certificado.

  • Nome de usuário e senha: quando os usuários finais entram no servidor VPN, eles são solicitados a inserir seu nome de usuário e senha.

  • Credencial derivada: use um certificado derivado do cartão inteligente de um usuário. Se nenhum emissor de credencial derivado estiver configurado, o Intune solicitará que você adicione um.

    Para obter mais informações, consulte Usar credenciais derivadas no Intune.

• Impressão digital (somente Check Point VPN da Cápsula): insira a cadeia de caracteres de impressão digital fornecida a você pelo fornecedor de VPN, como Contoso Fingerprint Code. Essa impressão digital verifica se o servidor VPN pode ser confiável.

  Ao autenticar, uma impressão digital é enviada ao cliente para que o cliente saiba confiar em qualquer servidor que tenha a mesma impressão digital. Se o dispositivo não tiver a impressão digital, ele solicitará que o usuário confie no servidor VPN enquanto mostra a impressão digital. O usuário verifica manualmente a impressão digital e opta por confiar para se conectar.

• Insira pares de chave e valor para os atributos VPN do NetMotion Mobility: Adicionar ou importar chaves e valores que personalizam sua conexão VPN. Esses valores normalmente são fornecidos pelo provedor de VPN.

• Site do Microsoft Tunnel (somente Microsoft Tunnel): selecione um site existente. O cliente VPN se conecta ao endereço IP público ou FQDN deste site.

  Para obter mais informações, consulte Microsoft Tunnel para Intune.

VPN por aplicativo (perfil de trabalho de propriedade pessoal)

• Adicionar: selecione aplicativos gerenciados na lista. Quando os usuários iniciam os aplicativos que você adiciona, o tráfego roteia automaticamente pela conexão VPN.

Para obter mais informações, confira Usar uma política VPN e VPN por aplicativo em dispositivos Android Enterprise.

VPN always-on (perfil de trabalho de propriedade pessoal)

• VPN sempre ativada: habilitar ativa a VPN sempre ativada para que os clientes VPN se conectem e se reconectem automaticamente à VPN quando possível. Quando definido como Não configurado, o Intune não altera ou atualiza essa configuração. Por padrão, a VPN always-on pode estar desabilitada para todos os clientes VPN.

  Somente um cliente VPN pode ser configurado para VPN sempre ativa em um dispositivo. Certifique-se de não ter mais do que uma política de VPN sempre ativa implantada em um único dispositivo.

Proxy (perfil de trabalho de propriedade pessoal)

• Script de configuração automática: use um arquivo para configurar o servidor proxy. Insira a URL do servidor proxy que inclui o arquivo de configuração. Por exemplo, digite http://proxy.contoso.com/pac.
• Endereço: insira o endereço IP ou o nome do host totalmente qualificado do servidor proxy. Por exemplo, insira 10.0.0.3 ou vpn.contoso.com.
• Número da porta: insira o número da porta associado ao servidor proxy. Por exemplo, digite 8080.

Próximas etapas

Atribuir o perfil e monitorar seu status.

Você também pode criar perfis vpn para o administrador de dispositivos Android, iOS/iPadOS, macOS e Windows 10 e posteriores.

Solução de problemas de perfil VPN no Microsoft Intune