Criar perfis VPN para se conectar a servidores VPN no Microsoft Intune

As VPNs proporcionam para os usuários um acesso remoto seguro à rede da empresa. Os dispositivos usam um perfil de conexão VPN para iniciar uma conexão com o servidor VPN. Os perfis de VPN no Microsoft Intune atribuem configurações de VPN a usuários e dispositivos na sua organização. Use essas configurações para que os usuários possam se conectar com facilidade e segurança à sua rede organizacional.

Esse recurso aplica-se a:

  • Administrador de dispositivo Android

  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho

  • iOS/iPadOS

  • macOS

  • Windows 10 e mais recente

    Importante

    Para dispositivos Windows 11, há um problema entre o cliente Windows 11 com o CSP VPNv2 do Windows que resulta em um dispositivo com um ou mais perfis VPN do Intune perdendo sua conectividade de VPN quando o dispositivo processa várias alterações nos perfis VPN do dispositivo ao mesmo tempo. A conectividade é restaurada quando o dispositivo faz check-in no Intune uma segunda vez para processar essas alterações de perfil VPN.

    As alterações que podem causar perda de funcionalidade de VPN incluem:

    • Edições para um perfil VPN que foi processado anteriormente pelo Windows 11. Essa ação exclui o perfil original e é seguida pelo aplicativo do perfil atualizado.
    • Dois novos perfis VPN se aplicam ao dispositivo ao mesmo tempo.
    • A remoção de um perfil VPN ativo ao mesmo tempo em que um novo perfil VPN é atribuído.

    Este problema não se aplica a:

    • Um dispositivo Windows 11 quando ele recebe um único perfil VPN do Intune e o dispositivo ainda não tem um perfil VPN atribuído.
    • Dispositivos Windows 11 que têm um perfil VPN atribuído e, em seguida, recebem um perfil VPN adicional sem outras alterações de perfil.
    • Quando um Windows 10 atualiza para o Windows 11, desde que não haja alterações nos perfis VPN desse dispositivo. No entanto, após a atualização para Windows 11, qualquer alteração nos perfis VPN dos dispositivos ou a adição de novos perfis VPN disparará o problema.

    Esse problema e aviso permanecem em vigor até o Windows atualizar o cliente Windows 11 para resolver esse problema.

  • Windows 8.1 e mais recente

Por exemplo, se você quiser definir todos os dispositivos iOS/iPadOS com as configurações necessárias para se conectar a um compartilhamento de arquivo na rede da empresa. Crie um perfil VPN que inclui essas configurações. Atribua esse perfil a todos os usuários que têm dispositivos iOS/iPadOS. Os usuários veem a conexão VPN na lista de redes disponíveis e podem se conectar com esforço mínimo.

Este artigo lista os aplicativos VPN que você pode usar, mostra como criar um perfil VPN e inclui orientação sobre como protegê-lo. Você deve implantar o aplicativo VPN antes de criar seu perfil. Se precisar de ajuda para implantar aplicativos usando o Microsoft Intune, confira O que é gerenciamento de aplicativos no Microsoft Intune?.

Antes de começar

Tipos de conexão VPN

Importante

Antes de usar perfis VPN atribuídos a um dispositivo, é necessário instalar o aplicativo VPN correspondente ao perfil. Para ajudar você a atribuir o aplicativo usando o Intune, confira Adicionar aplicativos ao Microsoft Intune.

Você pode criar perfis VPN usando os seguintes tipos de conexão:

  • Automático

    • Windows 10
  • Check Point Capsule VPN

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • No perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
    • iOS/iPadOS
    • macOS
    • Windows 10
    • Windows 8.1
  • Cisco AnyConnect

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10
  • Cisco (IPSec)

    • iOS/iPadOS
  • SSO da Citrix

  • VPN personalizado

    • iOS/iPadOS
    • macOS

    Crie perfis de VPN personalizados usando configurações de URI em Criar um perfil com configurações personalizadas.

  • F5 Access

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10
  • L2TP

    • Windows 10
  • Microsoft Tunnel (cliente autônomo)

    • iOS/iPadOS
  • Microsoft Tunnel

    • Dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise

    Importante

    Antes do suporte para usar o Microsoft Defender para Ponto de Extremidade como o aplicativo cliente de túnel, um aplicativo cliente de túnel autônomo estava disponível em versão prévia e usou uma conexão do tipo Microsoft Tunnel (cliente autônomo). A partir de 14 de junho de 2021, o aplicativo de túnel autônomo e o tipo de conexão de cliente autônomo serão preteridos e removidos do suporte após 31 de janeiro de 2022.

  • NetMotion Mobility

    • Dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10
  • Pulse Secure

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • Windows 10
    • Windows 8.1
  • SonicWall Mobile Connect

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10
    • Windows 8.1
  • Zscaler

Criar o perfil

  1. Entre no Centro de administração do Microsoft Endpoint Manager.

  2. Selecione Dispositivos > Perfis de configuração > Criar perfil.

  3. Insira as seguintes propriedades:

    • Plataforma: escolha a plataforma dos seus dispositivos. Suas opções:
      • Administrador de dispositivo Android
      • Perfil de Trabalho Totalmente Gerenciado, Dedicado e de Propriedade Corporativa > do Android Enterprise
      • Android Enterprise > Perfil de trabalho de propriedade pessoal
      • iOS/iPadOS
      • macOS
      • Windows 10 e posterior
      • Windows 8.1 e posterior
    • Perfil: selecione VPN. Ou selecione Modelos > VPN.
  4. Selecionar Criar.

  5. Em Básico, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um nome ideal de perfil é Perfil VPN para toda a empresa.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  6. Selecione Avançar.

  7. Em Definições de configuração, dependendo da plataforma escolhida, as configurações que podem ser definidas são diferentes. Selecione sua plataforma para obter as configurações detalhadas:

  8. Selecione Avançar.

  9. Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre as marcas de escopo, confira Usar o RBAC e as marcas de escopo para TI distribuída.

    Selecione Avançar.

  10. Em Atribuições, selecione o usuário ou os grupos que receberão seu perfil. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Proteger perfis VPN

Perfis VPN podem usar vários tipos de conexão e protocolos diferentes, de fabricantes diferentes. Essas conexões geralmente são protegidas por meio dos métodos a seguir.

Certificados

Ao criar o perfil VPN, escolha um perfil de certificado SCEP ou PKCS criado anteriormente no Intune. Esse perfil é conhecido como certificado de identidade. Ele é usado para autenticar um perfil de certificado confiável (ou certificado raiz) que você criou para permitir que o dispositivo do usuário consiga se conectar. O certificado confiável é atribuído ao computador que autentica a conexão VPN, em geral, o servidor VPN.

Se você usar a autenticação baseada em certificado para o perfil de VPN, implante o perfil de VPN, o perfil de certificado e o perfil raiz confiável nos mesmos grupos. Essa atribuição garante que cada dispositivo reconheça a legitimidade de sua autoridade de certificação.

Para obter mais informações sobre como criar e usar perfis de certificado no Intune, consulte Como configurar certificados com o Microsoft Intune.

Observação

Os certificados adicionados usando o perfil Certificado importado PKCS não têm suporte para autenticação de VPN. Os certificados adicionados usando o perfil Certificados PKCS têm suporte para autenticação de VPN.

Nome e senha do usuário

O usuário se autentica no servidor VPN fornecendo o nome de usuário e a senha ou credenciais derivadas.

Próximas etapas