Configurações de dispositivo do Windows 10 e Windows Holographic para adicionar conexões de VPN usando o Intune

Observação

O Intune pode dar suporte a mais configurações do que as configurações listadas neste artigo. Nem todas as configurações estão documentadas e não serão documentadas. Para ver as configurações que você pode configurar, crie um perfil de configuração de dispositivo e selecione Configurações Catalog. Para obter mais informações, consulte Configurações catálogo.

Você pode adicionar e configurar conexões VPN para dispositivos usando Microsoft Intune. Este artigo descreve algumas das configurações e recursos que você pode configurar ao criar VPNs (redes virtuais privadas). Essas configurações de VPN são usadas nos perfis de configuração do dispositivo e, em seguida, são empurradas ou implantadas para dispositivos.

Como parte da sua solução de gerenciamento de dispositivo móvel (MDM), use essas configurações para permitir ou desabilitar recursos, incluindo o uso de um fornecedor VPN específico, a habilitação sempre ativa, o uso do DNS, a adição de um proxy e muito mais.

Essas configurações se aplicam a dispositivos em execução:

  • Windows 10
  • Windows Holographic for Business

Antes de começar

Base VPN

  • Nome daconexão : insira um nome para essa conexão. Os usuários finais veem esse nome quando navegam em seus dispositivos para a lista de conexões VPN disponíveis.

  • Servidores: Adicione um ou mais servidores VPN aos qual os dispositivos se conectam. Ao adicionar um servidor, insira as seguintes informações:

    • Descrição: insira um nome descritivo para o servidor, como o servidor VPN contoso.
    • Endereço IP ou FQDN: insira o endereço IP ou o FQDN (nome de domínio totalmente qualificado) do servidor VPN ao qual os dispositivos se conectam, como 192.168.1.1 ou vpn.contoso.com.
    • Servidor padrão: Habilita esse servidor como o servidor padrão que os dispositivos usam para estabelecer a conexão. De definir apenas um servidor como padrão.
    • Importar: navegue até um arquivo separado por vírgulas que inclui uma lista de servidores no formato: descrição, endereço IP ou FQDN, servidor padrão. Escolha OK para importar esses servidores para a lista Servidores.
    • Exportar: exporta a lista de servidores para um arquivo csv (valores separados por vírgula).
  • Registrar endereços IPcom **** DNS interno : Selecione Habilitar para configurar o perfil VPN Windows 10 para registrar dinamicamente os endereços IP atribuídos à interface VPN com o DNS interno. Selecione Desabilitar para não registrar dinamicamente os endereços IP.

  • Tipo deconexão : selecione o tipo de conexão VPN na seguinte lista de fornecedores:

    • Cisco AnyConnect
    • Pulse Secure
    • F5 Access
    • SonicWall Mobile Conexão
    • Verificar VPN da Capsula de Ponto
    • Citrix
    • Palo Alto Networks GlobalProtect
    • Automático
    • IKEv2
    • L2TP
    • PPTP

    Ao escolher um tipo de conexão VPN, você também pode ser solicitado para as seguintes configurações:

    • Always On: Habilitar se conecta automaticamente à conexão VPN quando os seguintes eventos ocorrem:

      • Usuários entrar em seus dispositivos
      • A rede no dispositivo é mudada
      • A tela no dispositivo volta a ser 100% depois de ser desligada

      Para usar conexões de túnel de dispositivo, como IKEv2, Habilita essa configuração.

    • Método de autenticação: selecione como você deseja que os usuários se autententem no servidor VPN. Suas opções:

      • Nome deusuário e senha : Exigir que os usuários insiram seu nome de usuário de domínio e senha para autenticar, como user@contoso.com , ou contoso\user .

      • Certificados: selecione um perfil de certificado de cliente de usuário existente para autenticar o usuário. Essa opção fornece recursos avançados, como experiência de toque zero, VPN sob demanda e VPN por aplicativo.

        Para criar perfis de certificado no Intune, consulte Usar certificados para autenticação.

      • Credencial derivada: Use um certificado derivado do cartão inteligente de um usuário. Se nenhum emissor de credencial derivado estiver configurado, o Intune solicitará que você adicione um. Para obter mais informações, consulte Usar credenciais derivadas no Intune.

      • Certificados de máquina (somente IKEv2): Selecione um perfil de certificado de cliente de dispositivo existente para autenticar o dispositivo.

        Se você usar conexões de túnel de dispositivo,deverá selecionar essa opção.

        Para criar perfis de certificado no Intune, consulte Usar certificados para autenticação.

      • EAP (somente IKEv2): Selecione um perfil de certificado de cliente EAP (Extensible Authentication Protocol) existente para autenticação. Insira os parâmetros de autenticação na configuração XML do EAP.

    • Lembre-se de credenciais em cada logon: escolha armazenar em cache as credenciais de autenticação.

    • XML personalizado: insira quaisquer comandos XML personalizados que configurem a conexão VPN.

    • XML do EAP: Insira quaisquer comandos XML do EAP que configurem a conexão VPN. Para obter mais informações, consulte Configuração do EAP.

    • Túnel de dispositivo (somente IKEv2): Habilitar conecta o dispositivo à VPN automaticamente sem qualquer interação do usuário ou entrar. Essa configuração se aplica aos PCs ingressados no Azure Active Directory (AD).

      Para usar esse recurso, os seguintes são necessários:

      • A configuração do tipo de conexão é definida como IKEv2.
      • A configuração Always On está definida como Habilitar.
      • A configuração do método de autenticação é definida como Certificados do computador.

      Atribua apenas um perfil por dispositivo com o dispositivo Tunnel habilitado.

    Parâmetros de associação de segurança IKE (somente IKEv2): essas configurações de criptografia são usadas durante as negociações de associação de segurança do IKE (também conhecidas como ou ) para conexões main mode phase 1 IKEv2. Essas configurações devem corresponder às configurações do servidor VPN. Se as configurações não corresponderem, o perfil VPN não se conectará.

    • Algoritmo decriptografia : Selecione o algoritmo de criptografia usado no servidor VPN. Por exemplo, se o servidor VPN usar o AES de 128 bits, selecione AES-128 na lista.

      Quando definido como Não configurado, o Intune não altera ou atualiza essa configuração.

    • Algoritmo de verificação de integridade: Selecione o algoritmo de integridade usado no servidor VPN. Por exemplo, se seu servidor VPN usa SHA1-96, selecione SHA1-96 na lista.

      Quando definido como Não configurado, o Intune não altera ou atualiza essa configuração.

    • Grupo Diffie-Hellman: Selecione o grupo de Diffie-Hellman de computação usado no servidor VPN. Por exemplo, se seu servidor VPN usa Group2 (1024 bits), selecione 2 na lista.

      Quando definido como Não configurado, o Intune não altera ou atualiza essa configuração.

    Parâmetros de Associação de Segurança Filho (somente IKEv2): essas configurações de criptografia são usadas durante as negociações de associação de segurança filho (também conhecidas como ou ) para conexões quick mode phase 2 IKEv2. Essas configurações devem corresponder às configurações do servidor VPN. Se as configurações não corresponderem, o perfil VPN não se conectará.

    • Algoritmo de transformação de criptografia: Selecione o algoritmo usado no servidor VPN. Por exemplo, se o servidor VPN usa 128 bits do AES-CBC, selecione CBC-AES-128 na lista.

      Quando definido como Não configurado, o Intune não altera ou atualiza essa configuração.

    • Algoritmo de transformação deautenticação : Selecione o algoritmo usado no servidor VPN. Por exemplo, se seu servidor VPN usa o AES-GCM de 128 bits, selecione GCM-AES-128 na lista.

      Quando definido como Não configurado, o Intune não altera ou atualiza essa configuração.

    • Grupo PFS (segredode encaminhamento perfeito) : Selecione o grupo de Diffie-Hellman de computação usado para PFS (segredo de encaminhamento perfeito) no servidor VPN. Por exemplo, se seu servidor VPN usa Group2 (1024 bits), selecione 2 na lista.

      Quando definido como Não configurado, o Intune não altera ou atualiza essa configuração.

Exemplo de Segurança de Pulsação

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

Exemplo do Cliente de Borda F5

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

Exemplo do SonicWALL Mobile Conexão

Grupo de logon ou domínio: Essa propriedade não pode ser definida no perfil VPN. Em vez disso, Conexão Mobile analisará esse valor quando o nome de usuário e o domínio são username@domain inseridos nos DOMAIN\username formatos ou.

Exemplo:

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

Exemplo de VPN do CheckPoint Mobile

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

Escrevendo XML personalizado

Para obter mais informações sobre como escrever comandos XML personalizados, consulte a documentação VPN de cada fabricante.

Para obter mais informações sobre como criar XML EAP personalizado, consulte Configuração do EAP.

Aplicativos e Regras de Tráfego

  • Associe WIP ou aplicativos a esta VPN: Habilita essa configuração se você quiser apenas que alguns aplicativos usem a conexão VPN. Suas opções:

    • Não configurado (padrão): o Intune não altera ou atualiza essa configuração.
    • Associe uma WIP a essa conexão: todos os aplicativos no domínio Windows Identity Protection usam automaticamente a conexão VPN.
      • Domínio WIP para essa conexão: insira um domínio wip Windows Proteção de Identidade (WIP). Por exemplo, digite contoso.com .
    • Associar aplicativos a essa conexão: os aplicativos que você inserir usam automaticamente a conexão VPN.
      • Restringir a conexão VPN a esses aplicativos: Desabilitar (padrão) permite que todos os aplicativos usem a conexão VPN. Habilitar restringe a conexão VPN aos aplicativos que você inserir (VPN por aplicativo). As regras de tráfego para os aplicativos adicionados são adicionadas automaticamente às regras de tráfego de rede para essa configuração de conexão VPN.

        Quando você seleciona Habilitar, a lista de identificadores do aplicativo se torna somente leitura. Antes de habilitar essa configuração, adicione seus aplicativos associados.

      • Aplicativos Associados: Selecione Importar para importar um .csv arquivo com sua lista de aplicativos. Sua .csv aparência é semelhante ao seguinte arquivo:

        %windir%\system32\notepad.exe,desktop
        Microsoft.Office.OneNote_8wekyb3d8bbwe,universal
        

        O tipo de aplicativo determina o identificador do aplicativo. Para um aplicativo universal, insira o nome da família de pacotes, como Microsoft.Office.OneNote_8wekyb3d8bbwe . Para um aplicativo da área de trabalho, insira o caminho do arquivo do aplicativo, como %windir%\system32\notepad.exe .

        Para obter o nome da família do pacote, você pode usar o Get-AppxPackage cmdlet Windows PowerShell pacote. Por exemplo, para obter o OneNote da família de pacotes, abra Windows PowerShell e digite Get-AppxPackage *OneNote . Para obter mais informações, consulte Find a PFN for an app that's installed on a Windows 10 computer and Get-AppxPackage cmdlet.

    Importante

    Recomendamos proteger todas as listas de aplicativos criadas para VPNs por aplicativo. Se um usuário não autorizado mudar essa lista e você importá-la para a lista de aplicativos VPN por aplicativo, você pode autorizar o acesso VPN a aplicativos que não devem ter acesso. Uma maneira de proteger listas de aplicativos é usando uma lista de controle de acesso (ACL).

  • Regras de tráfego de redepara essa conexão VPN : selecione os protocolos e os intervalos de porta remota e de endereço local & local estão habilitados para a conexão VPN. Se você não criar uma regra de tráfego de rede, todos os protocolos, portas e intervalos de endereços serão habilitados. Depois de criar uma regra, a conexão VPN usa apenas os protocolos, portas e intervalos de endereços que você insere nessa regra.

Acesso Condicional

  • Acesso condicional para essa conexão VPN: Habilita o fluxo de conformidade do dispositivo do cliente. Quando habilitado, o cliente VPN se comunica com Azure Active Directory (AD) para obter um certificado a ser usado para autenticação. A VPN deve ser configurada para usar a autenticação de certificado e o servidor VPN deve confiar no servidor retornado pelo Azure AD.

  • SSO (login único) com certificado alternativo: para conformidade com o dispositivo, use um certificado diferente do certificado de autenticação VPN para autenticação Kerberos. Insira o certificado com as seguintes configurações:

    • Nome: Nome para uso de chave estendida (EKU)
    • Identificador de Objeto: Identificador de objeto para EKU
    • Hash do emissor: impressão digital para certificado SSO

DNS Configurações

  • Lista de pesquisa de sufixoDNS : em sufixos DNS, insira um sufixo DNS e Adicione. Você pode adicionar muitos sufixos.

    Ao usar sufixos DNS, você pode pesquisar um recurso de rede usando seu nome curto, em vez do FQDN (nome de domínio totalmente qualificado). Ao pesquisar usando o nome curto, o sufixo é determinado automaticamente pelo servidor DNS. Por exemplo, utah.contoso.com está na lista de sufixos DNS. Você ping DEV-comp . Nesse cenário, ele resolve para DEV-comp.utah.contoso.com .

    Os sufixos DNS são resolvidos na ordem listada e a ordem pode ser alterada. Por exemplo, colorado.contoso.com e estão na lista de utah.contoso.com sufixos DNS, e ambos têm um recurso chamado DEV-comp . Como colorado.contoso.com é o primeiro da lista, ele é resolvido como DEV-comp.colorado.contoso.com .

    Para alterar a ordem, selecione os pontos à esquerda do sufixo DNS e arraste o sufixo para a parte superior:

    Selecione os três pontos e clique e arraste para mover o sufixo dns

  • Regras da Tabela de Política de Resolução de Nome (NRPT): Regras da Tabela de Política de Resolução de Nome (NRPT) definem como o DNS resolve nomes quando conectado à VPN. Depois que a conexão VPN for estabelecida, escolha quais servidores DNS a conexão VPN usa.

    Você pode adicionar regras que incluem domínio, servidor DNS, proxy e outros detalhes. Essas regras resolvem o domínio que você inserir. A conexão VPN usa essas regras quando os usuários se conectam aos domínios que você inserir.

    Selecione Adicionar para adicionar uma nova regra. Para cada servidor, digite:

    • Domínio: insira o FQDN (nome de domínio totalmente qualificado) ou um sufixo DNS para aplicar a regra. Você também pode inserir um ponto (.) no início para um sufixo DNS. Por exemplo, insira contoso.com ou .allcontososubdomains.com .
    • Servidores DNS: Insira o endereço IP ou servidor DNS que resolve o domínio. Por exemplo, insira 10.0.0.3 ou vpn.contoso.com .
    • Proxy: Insira o servidor proxy da Web que resolve o domínio. Por exemplo, digite http://proxy.com .
    • Conectar-seautomaticamente : quandohabilitado , o dispositivo se conecta automaticamente à VPN quando um dispositivo se conecta a um domínio que você inserir, como contoso.com . Quando não configurado (padrão), o dispositivo não se conecta automaticamente à VPN
    • Persistente: quando definida como Habilitada, a regra permanece na tabela Política de Resolução de Nome (NRPT) até que a regra seja removida manualmente do dispositivo, mesmo após a VPN desconectar. Quando definida como Não configurada (padrão), as regras NRPT no perfil VPN são removidas do dispositivo quando a VPN desconecta.

Proxy

  • Script de configuração automática: use um arquivo para configurar o servidor proxy. Insira a URL do servidor proxy que inclui o arquivo de configuração. Por exemplo, digite http://proxy.contoso.com/pac .
  • Endereço: insira o endereço IP ou o nome de host totalmente qualificado do servidor proxy. Por exemplo, insira 10.0.0.3 ou vpn.contoso.com .
  • Número daporta : Insira o número da porta usado pelo servidor proxy. Por exemplo, digite 8080 .
  • Ignorar proxy para endereços locais: Essa configuração se aplica se seu servidor VPN exigir um servidor proxy para a conexão. Se você não quiser usar um servidor proxy para endereços locais, escolha Habilitar.

Túnel Dividido

  • Túnel dividido: Habilitar ou Desabilitar para permitir que os dispositivos decidam qual conexão usar, dependendo do tráfego. Por exemplo, um usuário em um hotel usa a conexão VPN para acessar arquivos de trabalho, mas usa a rede padrão do hotel para navegação na Web regular.
  • Rotas de tunelamento divididos para essa conexão VPN: Adicionar rotas opcionais para provedores VPN de terceiros. Insira um prefixo de destino e um tamanho de prefixo para cada conexão.

Detecção de rede confiável

Sufixos DNS derede confiáveis : quando os usuários já estão conectados a uma rede confiável, você pode impedir que os dispositivos se conectem automaticamente a outras conexões VPN.

Em sufixosDNS, insira um sufixo DNS em que você deseja confiar, como contoso.com, e selecione Adicionar. Você pode adicionar quantos sufixos quiser.

Se um usuário estiver conectado a um sufixo DNS na lista, o usuário não se conectará automaticamente a outra conexão VPN. O usuário continua a usar a lista confiável de sufixos DNS que você inserir. A rede confiável ainda é usada, mesmo que quaisquer autotriggers sejam definidos.

Por exemplo, se o usuário já estiver conectado a um sufixo DNS confiável, os seguintes autotriggers serão ignorados. Especificamente, os sufixos DNS na lista cancelam todos os outros autotriggers de conexão, incluindo:

  • Always on
  • Gatilho baseado em aplicativo
  • Autotrigger DNS

Próximas etapas

O perfil é criado, mas pode não estar fazendo nada ainda. Certifique-se de atribuir o perfile monitorar seu status.

Configure as configurações de VPN em dispositivos Android, iOS/iPadOS e macOS.