Configurações de dispositivos Windows 10 e Windows Holographic para adicionar conexões VPN usando o Intune

Observação

O Intune pode dar suporte a mais configurações que as listadas neste artigo. Nem todas as configurações estão ou serão documentadas. Para ver as configurações que você pode definir, crie um perfil de configuração de dispositivo e selecione Catálogo de Configurações. Para saber mais, confira Catálogo de configurações.

Você pode adicionar e configurar conexões VPN para dispositivos usando o Microsoft Intune. Este artigo descreve alguns dos recursos e configurações que podem ser definidos durante a criação de VPNs (redes virtuais privadas). Essas configurações de VPN são usadas em perfis de configuração e enviadas por push ou implantadas em dispositivos.

Como parte de sua solução de MDM (gerenciamento de dispositivo móvel), use essas configurações para permitir ou desabilitar recursos, incluindo o uso de um fornecedor de VPN específico, a habilitação do Always On, o uso de DNS, a adição de proxy etc.

Essas configurações se aplicam a dispositivos que executam:

  • Windows 10
  • Windows Holographic for Business

Antes de começar

VPN base

  • Nome da conexão: insira um nome para esta conexão. Os usuários finais verão esse nome quando navegarem na lista de conexões VPN disponíveis no dispositivo.

  • Servidores: Adicione um ou mais servidores VPN aos quais os dispositivos se conectarão. Quando você adiciona um servidor, insere as seguintes informações:

    • Descrição: Insira um nome descritivo para o servidor, como Servidor VPN da Contoso.
    • Endereço IP ou FQDN: Insira o endereço IP ou o FQDN (nome de domínio totalmente qualificado) do servidor VPN ao qual os dispositivos se conectam, como 192.168.1.1 ou vpn.contoso.com.
    • Servidor padrão: Habilita esse servidor como o servidor padrão que os dispositivos usam para estabelecer a conexão. Defina apenas um servidor como padrão.
    • Importar: Procure um arquivo separado por vírgula que inclua uma lista de servidores no formato: descrição, endereço IP ou FQDN, servidor Padrão. Escolha OK para importar esses servidores para a lista Servidores.
    • Exportar: Exporta a lista de servidores para um arquivo CSV (valores separados por vírgula).
  • Registrar endereços IP com DNS interno: Selecione Habilitar para configurar o perfil de VPN do Windows 10 para registrar dinamicamente os endereços IP atribuídos à interface VPN com o DNS interno. Selecione Desabilitar para não registrar dinamicamente os endereços IP.

  • Tipo de conexão: Selecione o tipo de conexão VPN na lista de fornecedores a seguir:

    • Cisco AnyConnect
    • Pulse Secure
    • Acesso por F5
    • SonicWall Mobile Connect
    • Check Point Capsule VPN
    • Citrix
    • Palo Alto Networks GlobalProtect
    • Automática
    • IKEv2
    • L2TP
    • PPTP

    Quando você escolhe um tipo de conexão VPN, também pode ser solicitado a fornecer as seguintes configurações:

    • Always On: Habilitar se conecta automaticamente à conexão VPN quando os seguintes eventos ocorrem:

      • Os usuários fazem logon em seus dispositivos
      • A rede no dispositivo muda
      • A tela do dispositivo é ativada novamente depois de ser desligada

      Para usar conexões de túnel de dispositivo, como IKEv2, você deve Habilitar essa configuração.

    • Método de autenticação: Escolha como deseja que os usuários sejam autenticados no servidor VPN. Suas opções:

      • Nome de usuário e senha: exigir que os usuários insiram o nome de usuário e a senha de seu domínio para autenticar, por exemplo, user@contoso.com ou contoso\user.

      • Certificados: escolha um perfil de certificado do cliente do usuário existente para autenticar o usuário. Essa opção fornece recursos avançados, como experiência sem toque, VPN sob demanda e VPN por aplicativo.

        Para criar perfis de certificado no Intune, confira Usar certificados para autenticação.

      • Credencial derivada: use um certificado derivado do cartão inteligente de um usuário. Se nenhum emissor de credencial derivado estiver configurado, o Intune solicitará que você adicione um. Para obter mais informações, confira Usar credenciais derivadas no Intune.

      • Certificados do computador (somente IKEv2): escolha um perfil de certificado do cliente do dispositivo existente para autenticar o dispositivo.

        Se usar conexões de túnel de dispositivo, você deverá selecionar essa opção.

        Para criar perfis de certificado no Intune, confira Usar certificados para autenticação.

      • EAP (somente IKEv2): escolha um perfil de certificado de cliente EAP (Extensible Authentication Protocol) existente para autenticação. Insira os parâmetros de autenticação na configuração XML do EAP.

    • Lembrar as credenciais a cada logon: Escolha o armazenamento em cache das credenciais de autenticação.

    • XML personalizado: Insira comandos XML personalizados que configuram a conexão VPN.

    • XML do EAP: insira os comandos XML do EAP que configuram a conexão VPN. Para obter mais informações, confira Configuração do EAP.

    • Túnel de dispositivo (somente IKEv2): Habilitar conecta automaticamente o dispositivo à VPN sem nenhuma interação ou entrada do usuário. Essa configuração se aplica a computadores ingressados no Azure AD (Active Directory).

      Para usar esse recurso, são necessárias as seguintes configurações:

      • Configuração Tipo de conexão definida como IKEv2.
      • Configuração Always On definida como Habilitar.
      • Configuração Método de autenticação definida como Certificados do computador.

      Atribua apenas um perfil por dispositivo com o Túnel de dispositivo habilitado.

    Parâmetros de associação de segurança IKE (somente IKEv2): essas configurações de criptografia são usadas durante as negociações de associação de segurança do IKE (também conhecidas como main mode ou phase 1) para conexões IKEv2. Essas configurações devem corresponder às configurações do servidor VPN. Se as configurações não corresponderem, o perfil VPN não se conectará.

    • Algoritmo de criptografia: selecione o algoritmo de criptografia usado no servidor VPN. Por exemplo, se o servidor VPN usar o AES de 128 bits, selecione AES-128 na lista.

      Quando essa opção é definida como Não configurado, o Intune não altera nem atualiza essa configuração.

    • Algoritmo de verificação de integridade: selecione o algoritmo de integridade usado no servidor VPN. Por exemplo, se o servidor VPN usar o SHA1-96, selecione SHA1-96 na lista.

      Quando essa opção é definida como Não configurado, o Intune não altera nem atualiza essa configuração.

    • Grupo Diffie-Hellman: selecione o grupo de computação Diffie-Hellman usado no servidor VPN. Por exemplo, se o servidor VPN usar o Grupo2 (1024 bits), selecione 2 na lista.

      Quando essa opção é definida como Não configurado, o Intune não altera nem atualiza essa configuração.

    Parâmetros de associação de segurança filho (somente IKEv2): essas configurações de criptografia são usadas durante as negociações de associação de segurança filho (também conhecidas como quick mode ou phase 2) para conexões IKEv2. Essas configurações devem corresponder às configurações do servidor VPN. Se as configurações não corresponderem, o perfil VPN não se conectará.

    • Algoritmo de transformação de codificação: selecione o algoritmo usado no servidor VPN. Por exemplo, se o servidor VPN usar o AES-CBC de 128 bits, selecione CBC-AES-128 na lista.

      Quando essa opção é definida como Não configurado, o Intune não altera nem atualiza essa configuração.

    • Algoritmo de transformação de autenticação: selecione o algoritmo usado no servidor VPN. Por exemplo, se o servidor VPN usar o AES-GCM de 128 bits, selecione GCM-AES-128 na lista.

      Quando essa opção é definida como Não configurado, o Intune não altera nem atualiza essa configuração.

    • Grupo PFS (sigilo de encaminhamento perfeito) : selecione o grupo de computação Diffie-Hellman usado para o PFS (sigilo de encaminhamento perfeito) no servidor VPN. Por exemplo, se o servidor VPN usar o Grupo2 (1024 bits), selecione 2 na lista.

      Quando essa opção é definida como Não configurado, o Intune não altera nem atualiza essa configuração.

Exemplo de Pulse Secure

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

Exemplo de F5 Edge Client

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

Exemplo do SonicWALL Mobile Connect

Grupo de logon ou domínio: Essa propriedade não pode ser definida no perfil de VPN. Em vez disso, o Mobile Connect analisa esse valor quando o nome de usuário e domínio são inseridos nos formatos username@domain ou DOMAIN\username.

Exemplo:

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

Exemplo de VPN Móvel de Ponto de Verificação

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

Gravando XML personalizado

Para obter mais informações sobre como escrever comandos XML personalizados, consulte a documentação de VPN de cada fabricante.

Para obter mais informações sobre como criar XML EAP personalizado, consulte Configuração de EAP.

Regras de Aplicativos e Tráfego

  • Associar um WIP ou aplicativos a esta VPN: Habilite essa configuração se desejar que apenas alguns aplicativos usem a conexão VPN. Suas opções:

    • Não configurado (padrão): o Intune não altera nem atualiza essa configuração.
    • Associe um WIP com essa conexão: todos os aplicativos no domínio Windows Identity Protection usam automaticamente a conexão VPN.
      • Domínio WIP para essa conexão: insira um domínio WIP (Windows Identity Protection). Por exemplo, insira contoso.com.
    • Associe aplicativos a essa conexão: os aplicativos que você insere usam automaticamente a conexão VPN.
      • Restrinja a conexão VPN a estes aplicativos: desabilitar (padrão) permite que todos os aplicativos usem a conexão VPN. Habilitar restringe a conexão VPN aos aplicativos que você insere (VPN por aplicativo). As regras de tráfego para os aplicativos que você adiciona são adicionadas automaticamente às regras de tráfego de rede para essa configuração de conexão VPN.

        Quando você seleciona Habilitar, a lista de identificadores do aplicativo se torna somente leitura. Antes de habilitar essa configuração, adicione seus aplicativos associados.

      • Aplicativos associados: selecione Importar para importar .csv um arquivo com sua lista de aplicativos. Seu .csv é semelhante ao seguinte arquivo:

        %windir%\system32\notepad.exe,desktop
        Microsoft.Office.OneNote_8wekyb3d8bbwe,universal
        

        O tipo de aplicativo determina o identificador do aplicativo. Para um aplicativo universal, insira o nome da família de pacotes como Microsoft.Office.OneNote_8wekyb3d8bbwe. Para um aplicativo da área de trabalho, insira o caminho do arquivo do aplicativo como %windir%\system32\notepad.exe.

        Para obter o nome da família de pacotes, você pode usar o pacote Get-AppxPackage cmdlet Windows PowerShell. Por exemplo, para obter o nome da família de pacotes do OneNote, abra o Windows PowerShell e insira Get-AppxPackage *OneNote. Para obter mais informações, confira Encontrar um PFN para um aplicativo instalado em um computador Windows 10 e o cmdlet Get-AppxPackage.

    Importante

    É recomendável que você proteja todas as listas de aplicativos criadas para VPNs por aplicativo. Se um usuário não autorizado modificar esta lista e você o importar para a lista de aplicativos VPN por aplicativo, a VPN poderia ficar autorizada a acessar aplicativos que não deveria. Uma maneira de proteger as listas de aplicativo usando uma ACL (lista de controle de acesso).

  • Regras de tráfego de rede para esta conexão VPN: Selecione quais protocolos, portas local e remota e intervalos de endereços são habilitados para a conexão VPN. Se você não criar uma regra de tráfego de rede, todos os protocolos, portas e intervalos de endereços serão habilitados. Após você criar uma regra, a conexão VPN usará somente os protocolos, portas e intervalos de endereços que você especificar nesta regra.

Acesso condicional

  • Acesso condicional para esta conexão VPN: Habilita o fluxo de conformidade do dispositivo no cliente. Quando habilitado, o cliente da VPN comunica-se com o Azure AD (Active Directory) para obter um certificado para usar na autenticação. A VPN deve ser configurada para usar a autenticação de certificado e o servidor VPN deve confiar no servidor retornado pelo Azure AD.

  • SSO (logon único) com certificado alternativo: Para conformidade do dispositivo, use um certificado diferente do certificado de autenticação da VPN para a autenticação Kerberos. Insira o certificado com as seguintes configurações:

    • Nome: Nome do EKU (uso estendido de chave)
    • Identificador de Objeto: Identificador de Objeto para EKU
    • Hash do emissor: Impressão digital do certificado SSO

Configurações de DNS

  • Lista de pesquisa de sufixo DNS: Em sufixos DNS, insira um sufixo DNS e selecione Adicionar. Você pode adicionar vários sufixos.

    Ao usar sufixos DNS, você pode procurar um recurso de rede usando o nome curto dele em vez do nome de domínio totalmente qualificado (FQDN). Ao pesquisar usando o nome curto, o sufixo é determinado automaticamente pelo servidor DNS. Por exemplo, utah.contoso.com está na lista de sufixos DNS. Você executa o ping DEV-comp. Nesse cenário, ele resolve para DEV-comp.utah.contoso.com.

    Sufixos DNS são resolvidos na ordem listada, e a ordem pode ser alterada. Por exemplo, colorado.contoso.com e utah.contoso.com estão na lista de sufixos DNS e ambos têm um recurso chamado DEV-comp. Como colorado.contoso.com é o primeiro na lista, ele é resolvido como DEV-comp.colorado.contoso.com.

    Para alterar a ordem, selecione os pontos à esquerda do sufixo DNS e arraste o sufixo para a parte superior:

    Selecione os três pontos e clique e arraste para mover o sufixo dns

  • Regras da NRPT (Tabela de Políticas de Resolução de Nomes) : As regras da NRPT (Tabela de Políticas de Resolução de Nomes) definem como o DNS resolve nomes quando está conectado à VPN. Depois que a conexão VPN for estabelecida, escolha quais servidores DNS serão usados pela conexão VPN.

    Você pode adicionar regras que incluem o domínio, o servidor DNS, o proxy e outros detalhes. Essas regras resolvem o domínio que você inserir. A conexão VPN usa essas regras quando os usuários se conectam aos domínios inseridos.

    Selecione Adicionar para adicionar uma nova regra. Para cada servidor, digite:

    • Domínio: Insira o FQDN (nome de domínio totalmente qualificado) ou um sufixo DNS para aplicar a regra. Você também pode inserir um ponto (.) no início de um sufixo DNS. Por exemplo, insira contoso.com ou .allcontososubdomains.com.
    • Servidores DNS: Insira o endereço IP ou o servidor DNS que resolve o domínio. Por exemplo, insira 10.0.0.3 ou vpn.contoso.com.
    • Proxy: Insira o servidor proxy da Web que resolve o domínio. Por exemplo, insira http://proxy.com.
    • Conectar automaticamente: Quando essa opção é definida como Habilitado, o dispositivo se conecta automaticamente à VPN quando um dispositivo se conecta a um domínio inserido, como contoso.com. Quando essa opção é definida como Não configurado (padrão), o dispositivo não se conecta automaticamente à VPN
    • Persistente: Quando essa opção é definida como Habilitado, a regra permanece na NRPT (Tabela de Políticas de Resolução de Nomes) até que a regra seja removida manualmente do dispositivo, mesmo depois que a VPN é desconectada. Quando essa opção é definida como Não configurado (padrão), as regras da NRPT no perfil de VPN são removidas do dispositivo quando a VPN é desconectada.

Proxy

  • Script de configuração automática: Use um arquivo para configurar o servidor proxy. Insira a URL do servidor proxy que inclui o arquivo de configuração. Por exemplo, insira http://proxy.contoso.com/pac.
  • Endereço: insira o endereço IP ou o nome do host totalmente qualificado do servidor proxy. Por exemplo, insira 10.0.0.3 ou vpn.contoso.com.
  • Número da porta: insira o número da porta usado pelo servidor proxy. Por exemplo, insira 8080.
  • Ignorar proxy para endereços locais: Essa configuração se aplicará se o servidor VPN exigir um servidor proxy para a conexão. Caso não deseje usar um servidor proxy para endereços locais, escolha Habilitar.

Túnel Dividido

  • Túnel dividido: Habilite ou Desabilite para permitir que os dispositivos decidam qual conexão usar dependendo do tráfego. Por exemplo, um usuário em um hotel usa a conexão VPN para acessar arquivos de trabalho, mas utiliza a rede padrão do hotel para navegação regular na Web.
  • Rotas de túnel dividido para esta conexão VPN: Adicione rotas opcionais para provedores VPN de terceiros. Insira um prefixo de destino e um tamanho de prefixo para cada conexão.

Detecção de Rede Confiável

Sufixos DNS da rede confiável: Quando os usuários já estão conectados a uma rede confiável, você pode impedir que os dispositivos se conectem automaticamente a outras conexões VPN.

Em Sufixos DNS, insira um sufixo DNS no qual deseja confiar, por exemplo, contoso.com, e selecione Adicionar. Você pode adicionar quantos sufixos desejar.

Se um usuário estiver conectado a um sufixo DNS na lista, ele não se conectará automaticamente a outra conexão VPN. O usuário continuará usando a lista confiável de sufixos DNS que você inserir. A rede confiável ainda será usada, mesmo se algum gatilho automático for definido.

Por exemplo, se o usuário já estiver conectado a um sufixo DNS confiável, os gatilhos automáticos a seguir serão ignorados. Especificamente, os sufixos DNS na lista cancelam todos os outros gatilhos automáticos de conexão, incluindo:

  • Always On
  • Gatilho baseado em aplicativo
  • Gatilho automático de DNS

Próximas etapas

O perfil foi criado, mas talvez não esteja fazendo nada ainda. Atribua o perfil e monitore seu status.

Defina as configurações de VPN em dispositivos Android, iOS/iPadOS e macOS.