Etapa 6.Step 6. Configurar conexões VPN Always On cliente do Windows 10Configure Windows 10 client Always On VPN connections

Aplica-se a: Windows Server (canal semestral), Windows Server 2016, Windows Server 2012 R2, Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

Nesta etapa, você aprenderá sobre as opções e o esquema do ProfileXML e configurará os computadores cliente do Windows 10 para se comunicar com essa infraestrutura com uma conexão VPN.In this step, you'll learn about the ProfileXML options and schema, and configure the Windows 10 client computers to communicate with that infrastructure with a VPN connection.

Você pode configurar o cliente VPN Always On por meio do PowerShell, do Microsoft Endpoint Configuration Manager ou do Intune.You can configure the Always On VPN client through PowerShell, Microsoft Endpoint Configuration Manager, or Intune. Todos os três exigem um perfil de VPN XML para definir as configurações de VPN apropriadas.All three require an XML VPN profile to configure the appropriate VPN settings. É possível automatizar o registro do PowerShell para organizações sem Configuration Manager ou o Intune.Automating PowerShell enrollment for organizations without Configuration Manager or Intune is possible.

Observação

Política de Grupo não inclui modelos administrativos para configurar o cliente VPN Always On acesso remoto do Windows 10.Group Policy does not include administrative templates to configure the Windows 10 Remote Access Always On VPN client. No entanto, você pode usar scripts de logon.However, you can use logon scripts.

Visão geral do ProfileXMLProfileXML overview

ProfileXML é um nó de URI dentro do CSP VPNv2.ProfileXML is a URI node within the VPNv2 CSP. Em vez de configurar cada nó do VPNv2 CSP individualmente, como gatilhos, listas de rotas e protocolos de autenticação, use este nó para configurar um cliente de VPN do Windows 10 fornecendo todas as configurações como um único bloco XML para um único nó CSP.Rather than configuring each VPNv2 CSP node individually—such as triggers, route lists, and authentication protocols—use this node to configure a Windows 10 VPN client by delivering all the settings as a single XML block to a single CSP node. O esquema ProfileXML corresponde ao esquema dos nós do CSP do VPNv2 quase de forma idêntica, mas alguns termos são ligeiramente diferentes.The ProfileXML schema matches the schema of the VPNv2 CSP nodes almost identically, but some terms are slightly different.

Você usa ProfileXML em todos os métodos de entrega que esta implantação descreve, incluindo o Windows PowerShell, o Microsoft Endpoint Configuration Manager e o Intune.You use ProfileXML in all the delivery methods this deployment describes, including Windows PowerShell, Microsoft Endpoint Configuration Manager, and Intune. Há duas maneiras de configurar o nó ProfileXML VPNv2 CSP nesta implantação:There are two ways to configure the ProfileXML VPNv2 CSP node in this deployment:

  • OMA-DM.OMA-DM. Uma maneira é usar um provedor de MDM usando o OMA-DM, conforme discutido anteriormente na seção nós do CSP VPNv2.One way is to use an MDM provider using OMA-DM, as discussed earlier in the section VPNv2 CSP nodes. Usando esse método, você pode facilmente inserir a marcação XML de configuração do perfil de VPN no nó do CSP ProfileXML ao usar o Intune.Using this method, you can easily insert the VPN profile configuration XML markup into the ProfileXML CSP node when using Intune.

  • Instrumentação de gerenciamento do Windows (WMI) para a ponte do CSP.Windows Management Instrumentation (WMI)-to-CSP bridge. O segundo método de configuração do nó do CSP ProfileXML é usar a ponte WMI-to-CSP — uma classe WMI chamada MDM_VPNv2_01— que pode acessar o CSP VPNv2 e o nó ProfileXML.The second method of configuring the ProfileXML CSP node is to use the WMI-to-CSP bridge—a WMI class called MDM_VPNv2_01—that can access the VPNv2 CSP and the ProfileXML node. Quando você cria uma nova instância dessa classe WMI, o WMI usa o CSP para criar o perfil de VPN ao usar o Windows PowerShell e o Configuration Manager.When you create a new instance of that WMI class, WMI uses the CSP to create the VPN profile when using Windows PowerShell and Configuration Manager.

Embora esses métodos de configuração sejam diferentes, ambos exigem um perfil de VPN XML formatado corretamente.Even though these configuration methods differ, both require a properly formatted XML VPN profile. Para usar a configuração do CSP ProfileXML VPNv2, você constrói XML usando o esquema ProfileXML para configurar as marcas necessárias para o cenário de implantação simples.To use the ProfileXML VPNv2 CSP setting, you construct XML by using the ProfileXML schema to configure the tags necessary for the simple deployment scenario. Para obter mais informações, consulte XSD ProfileXML.For more information, see ProfileXML XSD.

Abaixo, você encontrará cada uma das configurações necessárias e sua marca ProfileXML correspondente.Below you find each of the required settings and its corresponding ProfileXML tag. Você define cada configuração em uma marca específica dentro do esquema ProfileXML e nem todas elas são encontradas no perfil nativo.You configure each setting in a specific tag within the ProfileXML schema, and not all of them are found under the native profile. Para um posicionamento de marca adicional, consulte o esquema ProfileXML.For additional tag placement, see the ProfileXML schema.

Importante

Qualquer outra combinação de maiúsculas ou minúsculas para ' true ' nas seguintes marcas resulta em uma configuração parcial do perfil de VPN:Any other combination of upper or lower case for 'true' in the following tags results in a partial configuration of the VPN profile:

</AlwaysOn > verdadeiroAlwaysOn <><AlwaysOn>true</AlwaysOn>
<RememberCredentials > true < /RememberCredentials><RememberCredentials>true</RememberCredentials>

Tipo de conexão: IKEv2 nativoConnection type: Native IKEv2

Elemento ProfileXML:ProfileXML element:

<NativeProtocolType>IKEv2</NativeProtocolType>

Roteamento: Túnel divididoRouting: Split tunneling

Elemento ProfileXML:ProfileXML element:

<RoutingPolicyType>SplitTunnel</RoutingPolicyType>

Resolução de nomes: Lista de informações de nome de domínio e sufixo DNSName resolution: Domain Name Information List and DNS suffix

Elementos ProfileXML:ProfileXML elements:

<DomainNameInformation>
<DomainName>.corp.contoso.com</DomainName>
<DnsServers>10.10.1.10,10.10.1.50</DnsServers>
</DomainNameInformation>

<DnsSuffix>corp.contoso.com</DnsSuffix>

Disparando: Detecção de Always On e de rede confiávelTriggering: Always On and Trusted Network Detection

Elementos ProfileXML:ProfileXML elements:

<AlwaysOn>true</AlwaysOn>
<TrustedNetworkDetection>corp.contoso.com</TrustedNetworkDetection>

Autenticação: PEAP-TLS com certificados de usuário protegidos por TPMAuthentication: PEAP-TLS with TPM-protected user certificates

Elementos ProfileXML:ProfileXML elements:

<Authentication>
<UserMethod>Eap</UserMethod>
<Eap>
<Configuration>...</Configuration>
</Eap>
</Authentication>

Você pode usar marcas simples para configurar alguns mecanismos de autenticação de VPN.You can use simple tags to configure some VPN authentication mechanisms. No entanto, o EAP e o PEAP estão mais envolvidos.However, EAP and PEAP are more involved. A maneira mais fácil de criar a marcação XML é configurar um cliente VPN com suas configurações de EAP e, em seguida, exportar essa configuração para XML.The easiest way to create the XML markup is to configure a VPN client with its EAP settings, and then export that configuration to XML.

Para obter mais informações sobre as configurações de EAP, consulte configuração de EAP.For more information about EAP settings, see EAP configuration.

Criar manualmente um perfil de conexão de modeloManually create a template connection profile

Nesta etapa, você usa o protocolo PEAP para proteger a comunicação entre o cliente e o servidor.In this step, you use Protected Extensible Authentication Protocol (PEAP) to secure communication between the client and the server. Ao contrário de um nome de usuário e senha simples, essa conexão requer uma seção EAPConfiguration exclusiva no perfil de VPN para funcionar.Unlike a simple user name and password, this connection requires a unique EAPConfiguration section in the VPN profile to work.

Em vez de descrever como criar a marcação XML do zero, você usa as configurações no Windows para criar um perfil de VPN de modelo.Instead of describing how to create the XML markup from scratch, you use Settings in Windows to create a template VPN profile. Depois de criar o perfil de VPN de modelo, use o Windows PowerShell para consumir a parte EAPConfiguration do modelo para criar o ProfileXML final que você implanta posteriormente na implantação.After creating the template VPN profile, you use Windows PowerShell to consume the EAPConfiguration portion from that template to create the final ProfileXML that you deploy later in the deployment.

Registrar configurações de certificado do NPSRecord NPS certificate settings

Antes de criar o modelo, tome nota do nome de host ou FQDN (nomes de domínio totalmente qualificado) do servidor NPS do certificado do servidor e o nome da autoridade de certificação que emitiu o certificado.Before creating the template, take note the hostname or fully qualified domain name (FQDN) of the NPS server from the server's certificate and the name of the CA that issued the certificate.

ProcedureProcedure:

  1. No servidor NPS, abra servidor de políticas de rede.On your NPS server, open Network Policy Server.

  2. No console do NPS, em políticas, clique em políticas de rede.In the NPS console, under Policies, click Network Policies.

  3. Clique com o botão direito do mouse em conexões de VPN (rede virtual privada) e clique em Propriedades.Right-click Virtual Private Network (VPN) Connections, and click Properties.

  4. Clique na guia restrições e clique em métodos de autenticação.Click the Constraints tab, and click Authentication Methods.

  5. Em tipos de EAP, clique em Microsoft: EAP protegido (PEAP) e clique em Editar.In EAP Types, click Microsoft: Protected EAP (PEAP), and click Edit.

  6. Registre os valores para o certificado emitido para o e o emissor.Record the values for Certificate issued to and Issuer.

    Você usa esses valores na configuração de modelo de VPN futura.You use these values in the upcoming VPN template configuration. Por exemplo, se o FQDN do servidor for nps01.corp.contoso.com e o hostname for NPS01, o nome do certificado será baseado no FQDN ou no nome DNS do servidor, por exemplo, nps01.corp.contoso.com.For example, if the server's FQDN is nps01.corp.contoso.com and the hostname is NPS01, the certificate name is based upon the FQDN or DNS name of the server—for example, nps01.corp.contoso.com.

  7. Cancele a caixa de diálogo Editar propriedades EAP protegidas.Cancel the Edit Protected EAP Properties dialog box.

  8. Cancele a caixa de diálogo Propriedades de conexões VPN (rede virtual privada).Cancel the Virtual Private Network (VPN) Connections Properties dialog box.

  9. Feche o servidor de políticas de rede.Close Network Policy Server.

Observação

Se você tiver vários servidores NPS, conclua estas etapas em cada um para que o perfil VPN possa verificar se cada um deles deve ser usado.If you have multiple NPS servers, complete these steps on each one so that the VPN profile can verify each of them should they be used.

Configurar o perfil de VPN de modelo em um computador cliente ingressado no domínioConfigure the template VPN profile on a domain-joined client computer

Agora que você tem as informações necessárias, configure o perfil de VPN de modelo em um computador cliente ingressado no domínio.Now that you have the necessary information configure the template VPN profile on a domain-joined client computer. O tipo de conta de usuário que você usa (ou seja, usuário padrão ou administrador) para essa parte do processo não importa.The type of user account you use (that is, standard user or administrator) for this part of the process does not matter.

No entanto, se você não tiver reiniciado o computador desde a configuração do registro automático de certificado, faça isso antes de configurar a conexão VPN de modelo para garantir que você tenha um certificado utilizável registrado nele.However, if you haven't restarted the computer since configuring certificate autoenrollment, do so before configuring the template VPN connection to ensure you have a usable certificate enrolled on it.

Observação

Não é possível adicionar manualmente nenhuma propriedade avançada de VPN, como regras de NRPT, Always On, detecção de rede confiável, etc. Na próxima etapa, você cria uma conexão VPN de teste para verificar a configuração do servidor VPN e pode estabelecer uma conexão VPN com o servidor.There is no way to manually add any advanced properties of VPN, such as NRPT rules, Always On, Trusted network detection, etc. In the next step, you create a test VPN connection to verify the configuration of the VPN server and that you can establish a VPN connection to the server.

Criar manualmente uma única conexão VPN de testeManually create a single test VPN connection

  1. Entre em um computador cliente ingressado no domínio como um membro do grupo de usuários VPN .Sign in to a domain-joined client computer as a member of the VPN Users group.

  2. No menu Iniciar, digite VPNe pressione Enter.On the Start menu, type VPN, and press Enter.

  3. No painel de detalhes, clique em Adicionar uma conexão VPN.In the details pane, click Add a VPN connection.

  4. Na lista provedor de VPN, clique em Windows (interno).In the VPN Provider list, click Windows (built-in).

  5. Em nome da conexão, digite modelo.In Connection Name, type Template.

  6. Em nome ou endereço do servidor, digite o FQDN externo do servidor VPN (por exemplo, VPN.contoso.com).In Server name or address, type the external FQDN of your VPN server (for example, vpn.contoso.com).

  7. Clique em Salvar.Click Save.

  8. Em configurações relacionadas, clique em alterar opções de adaptador.Under Related Settings, click Change adapter options.

  9. Clique com o botão direito do mouse em modeloe clique em Propriedades.Right-click Template, and click Properties.

  10. Na guia segurança , em tipo de VPN, clique em IKEv2.On the Security tab, in Type of VPN, click IKEv2.

  11. Em criptografia de dados, clique em criptografia de força máxima.In Data encryption, click Maximum strength encryption.

  12. Clique em usar protocolo EAP (Extensible Authentication Protocol); em seguida, em usar EAP (protocolo de autenticação extensível), clique em Microsoft: EAP protegido (PEAP) (criptografia habilitada).Click Use Extensible Authentication Protocol (EAP); then, in Use Extensible Authentication Protocol (EAP), click Microsoft: Protected EAP (PEAP) (encryption enabled).

  13. Clique em Propriedades para abrir a caixa de diálogo Propriedades EAP protegidas e conclua as seguintes etapas:Click Properties to open the Protected EAP Properties dialog box, and complete the following steps:

    a.a. Na caixa conectar-se a esses servidores , digite o nome do servidor NPS que você recuperou das configurações de autenticação do servidor NPS anteriormente nesta seção (por exemplo, NPS01).In the Connect to these servers box, type the name of the NPS server that you retrieved from the NPS server authentication settings earlier in this section (for example, NPS01).

    Observação

    O nome do servidor que você digitar deve corresponder ao nome no certificado.The server name you type must match the name in the certificate. Você recuperou esse nome anteriormente nesta seção.You recovered this name earlier in this section. Se o nome não corresponder, a conexão falhará, informando que "a conexão foi impedida devido a uma política configurada no servidor RAS/VPN".If the name does not match, the connection will fail, stating that "The connection was prevented because of a policy configured on your RAS/VPN server."

    b.b. Em autoridades de certificação raiz confiáveis, selecione a AC raiz que emitiu o certificado do servidor NPS (por exemplo, contoso-CA).Under Trusted Root Certification Authorities, select the root CA that issued the NPS server's certificate (for example, contoso-CA).

    c.c. Em notificações antes de se conectar, clique em não pedir ao usuário para autorizar novos servidores ou autoridades de certificação confiáveis.In Notifications before connecting, click Don't ask user to authorize new servers or trusted CAs.

    d.d. Em selecionar método de autenticação, clique em cartão inteligente ou outro certificadoe clique em Configurar.In Select Authentication Method, click Smart Card or other certificate, and click Configure. A caixa de diálogo Propriedades do cartão inteligente ou outro certificado é aberta.The Smart Card or other Certificate Properties dialog opens.

    e.e. Clique em usar um certificado neste computador.Click Use a certificate on this computer.

    f.f. Na caixa conectar-se a esses servidores, insira o nome do servidor NPS que você recuperou das configurações de autenticação do servidor NPS nas etapas anteriores.In the Connect to these servers box, enter the name of the NPS server you retrieved from the NPS server authentication settings in the previous steps.

    g.g. Em autoridades de certificação raiz confiáveis, selecione a AC raiz que emitiu o certificado do servidor NPS.Under Trusted Root Certification Authorities, select the root CA that issued the NPS server's certificate.

    h.h. Marque a caixa de seleção não solicitar que o usuário autorize novos servidores ou autoridades de certificação confiáveis .Select the Don't prompt user to authorize new servers or trusted certification authorities check box.

    i.i. Clique em OK para fechar a caixa de diálogo Propriedades do cartão inteligente ou outro certificado.Click OK to close the Smart Card or other Certificate Properties dialog box.

    j.j. Clique em OK para fechar a caixa de diálogo Propriedades EAP protegidas.Click OK to close the Protected EAP Properties dialog box.

  14. Clique em OK para fechar a caixa de diálogo Propriedades do modelo.Click OK to close the Template Properties dialog box.

  15. Feche a janela Conexões de Rede.Close the Network Connections window.

  16. Em configurações, teste a VPN clicando em modeloe, em seguida, clicando em conectar.In Settings, test the VPN by clicking Template, and clicking Connect.

Importante

Verifique se a conexão de VPN de modelo com o servidor VPN foi bem-sucedida.Make sure that the template VPN connection to your VPN server is successful. Isso garante que as configurações de EAP estejam corretas antes de você usá-las no exemplo a seguir.Doing so ensures that the EAP settings are correct before you use them in the next example. Você deve se conectar pelo menos uma vez antes de continuar; caso contrário, o perfil não conterá todas as informações necessárias para se conectar à VPN.You must connect at least once before continuing; otherwise, the profile will not contain all the information necessary to connect to the VPN.

Criar os arquivos de configuração do ProfileXMLCreate the ProfileXML configuration files

Antes de concluir esta seção, verifique se você criou e testou a conexão de VPN de modelo que a seção criar manualmente um perfil de conexão de modelo descreve.Before completing this section, make sure you have created and tested the template VPN connection that the section Manually create a template connection profile describes. O teste da conexão VPN é necessário para garantir que o perfil contenha todas as informações necessárias para se conectar à VPN.Testing the VPN connection is necessary to ensure that the profile contains all the information required to connect to the VPN.

O script do Windows PowerShell na Listagem 1 cria dois arquivos na área de trabalho, ambos contendo marcas EAPConfiguration com base no perfil de conexão de modelo criado anteriormente:The Windows PowerShell script in Listing 1 creates two files on the desktop, both of which contain EAPConfiguration tags based on the template connection profile you created previously:

  • VPN_Profile.xml.VPN_Profile.xml. Esse arquivo contém a marcação XML necessária para configurar o nó ProfileXML no CSP do VPNv2.This file contains the XML markup required to configure the ProfileXML node in the VPNv2 CSP. Use esse arquivo com serviços de MDM compatíveis com OMA-DM, como o Intune.Use this file with OMA-DM–compatible MDM services, such as Intune.

  • VPN_Profile.ps1.VPN_Profile.ps1. Esse arquivo é um script do Windows PowerShell que você pode executar em computadores cliente para configurar o nó ProfileXML no CSP do VPNv2.This file is a Windows PowerShell script that you can run on client computers to configure the ProfileXML node in the VPNv2 CSP. Você também pode configurar o CSP implantando esse script por meio de Configuration Manager.You can also configure the CSP by deploying this script through Configuration Manager. Você não pode executar esse script em uma sessão de Área de Trabalho Remota, incluindo uma sessão avançada do Hyper-V.You cannot run this script in a Remote Desktop session, including a Hyper-V enhanced session.

Importante

Os comandos de exemplo abaixo exigem o Windows 10 Build 1607 ou posterior.The example commands below require Windows 10 Build 1607 or later.

Criar VPN_Profile.xml e VPN_Proflie.ps1Create VPN_Profile.xml and VPN_Proflie.ps1

  1. Entre no computador cliente ingressado no domínio que contém o perfil de VPN de modelo com a mesma conta de usuário em que a seção cria manualmente um perfil de conexão de modelo descrito.Sign in to the domain-joined client computer containing the template VPN profile with the same user account that the section Manually create a template connection profile described.

  2. Cole a listagem 1 no ISE (ambiente de script integrado) do Windows PowerShell e personalize os parâmetros descritos nos comentários.Paste Listing 1 into Windows PowerShell integrated scripting environment (ISE), and customize the parameters described in the comments. São $Template, $ProfileName, $Servers, $DnsSuffix, $DomainName, $TrustedNetwork e $DNSServers.These are $Template, $ProfileName, $Servers, $DnsSuffix, $DomainName, $TrustedNetwork, and $DNSServers. Uma descrição completa de cada configuração está nos comentários.A full description of each setting is in the comments.

  3. Execute o script para gerar VPN_Profile.xml e VPN_Profile.ps1 na área de trabalho.Run the script to generate VPN_Profile.xml and VPN_Profile.ps1 on the desktop.

Listagem 1.Listing 1. Noções básicas sobre MakeProfile.ps1Understanding MakeProfile.ps1

Esta seção explica o código de exemplo que você pode usar para entender como criar um perfil VPN, especificamente para configurar o ProfileXML no CSP do VPNv2.This section explains the example code that you can use to gain an understanding of how to create a VPN Profile, specifically for configuring ProfileXML in the VPNv2 CSP.

Depois de montar um script desse código de exemplo e executar o script, o script gera dois arquivos: VPN_Profile.xml e VPN_Profile.ps1.After you assemble a script from this example code and run the script, the script generates two files: VPN_Profile.xml and VPN_Profile.ps1. Use VPN_Profile.xml para configurar o ProfileXML em serviços de MDM compatíveis com OMA-DM, como Microsoft Intune.Use VPN_Profile.xml to configure ProfileXML in OMA-DM compliant MDM services, such as Microsoft Intune.

Use o script VPN_Profile.ps1 no Windows PowerShell ou Microsoft Endpoint Configuration Manager para configurar o ProfileXML na área de trabalho do Windows 10.Use the VPN_Profile.ps1 script in Windows PowerShell or Microsoft Endpoint Configuration Manager to configure ProfileXML on the Windows 10 desktop.

Observação

Para exibir o script de exemplo completo, consulte a seção MakeProfile.ps1 script completo.To view the full example script, see the section MakeProfile.ps1 Full Script.

ParâmetrosParameters

Configure os seguintes parâmetros:Configure the following parameters:

$Template.$Template. O nome do modelo do qual recuperar a configuração de EAP.The name of the template from which to retrieve the EAP configuration.

$ProfileName.$ProfileName. Identificador alfanumérico exclusivo para o perfil.Unique alphanumeric identifier for the profile. O nome do perfil não deve incluir uma barra (/).The profile name must not include a forward slash (/). Se o nome do perfil tiver um espaço ou outro caractere não alfanumérico, ele deverá ter um escape correto de acordo com o padrão de codificação de URL.If the profile name has a space or other non-alphanumeric character, it must be properly escaped according to the URL encoding standard.

$Servers.$Servers. Endereço IP público ou roteável ou nome DNS para o gateway de VPN.Public or routable IP address or DNS name for the VPN gateway. Ele pode apontar para o IP externo de um gateway ou um IP virtual para um farm de servidores.It can point to the external IP of a gateway or a virtual IP for a server farm. Exemplos, 208.147.66.130 ou vpn.contoso.com.Examples, 208.147.66.130 or vpn.contoso.com.

$DnsSuffix.$DnsSuffix. Especifica um ou mais sufixos DNS separados por vírgulas.Specifies one or more commas separated DNS suffixes. A primeira na lista também é usada como o sufixo DNS específico da conexão primária para a interface VPN.The first in the list is also used as the primary connection-specific DNS suffix for the VPN Interface. A lista inteira também será adicionada ao SuffixSearchList.The entire list will also be added into the SuffixSearchList.

$DomainName.$DomainName. Usado para indicar o namespace ao qual a política se aplica.Used to indicate the namespace to which the policy applies. Quando uma consulta de nome é emitida, o cliente DNS compara o nome na consulta a todos os namespaces em DomainNameInformationList para encontrar uma correspondência.When a Name query is issued, the DNS client compares the name in the query to all of the namespaces under DomainNameInformationList to find a match. Esse parâmetro pode ser um dos seguintes tipos:This parameter can be one of the following types:

  • FQDN-nome de domínio totalmente qualificadoFQDN - Fully qualified domain name
  • Sufixo-um sufixo de domínio que será anexado à consulta de nome curto para resolução de DNS.Suffix - A domain suffix that will be appended to the shortname query for DNS resolution. Para especificar um sufixo, preceda um ponto (.) para o sufixo DNS.To specify a suffix, prepend a period (.) to the DNS suffix.

$DNSServers.$DNSServers. Lista de endereços IP do servidor DNS separados por vírgula a serem usados para o namespace.List of comma-separated DNS Server IP addresses to use for the namespace.

$TrustedNetwork.$TrustedNetwork. Cadeia de caracteres separada por vírgulas para identificar a rede confiável.Comma-separated string to identify the trusted network. A VPN não se conecta automaticamente quando o usuário está na rede sem fio corporativa em que os recursos protegidos estão diretamente acessíveis para o dispositivo.VPN does not connect automatically when the user is on their corporate wireless network where protected resources are directly accessible to the device.

Veja a seguir os valores de exemplo para parâmetros usados nos comandos abaixo.The following are example values for parameters used in the commands below. Certifique-se de alterar esses valores para o seu ambiente.Ensure that you change these values for your environment.

$TemplateName = 'Template'
$ProfileName = 'Contoso%20AlwaysOn%20VPN'
$Servers = 'vpn.contoso.com'
$DnsSuffix = 'corp.contoso.com'
$DomainName = '.corp.contoso.com'
$DNSServers = '10.10.0.2,10.10.0.3'
$TrustedNetwork = 'corp.contoso.com'

Preparar e criar o perfil XMLPrepare and create the profile XML

Os comandos de exemplo a seguir obtêm as configurações de EAP do perfil de modelo:The following example commands get EAP settings from the template profile:

$Connection = Get-VpnConnection -Name $TemplateName
if(!$Connection)
{
$Message = "Unable to get $TemplateName connection profile: $_"
Write-Host "$Message"
exit
}
$EAPSettings= $Connection.EapConfigXmlStream.InnerXml

Criar o perfil XMLCreate the profile XML

Importante

Qualquer outra combinação de maiúsculas ou minúsculas para ' true ' nas seguintes marcas resulta em uma configuração parcial do perfil de VPN:Any other combination of upper or lower case for 'true' in the following tags results in a partial configuration of the VPN profile:

</AlwaysOn > verdadeiroAlwaysOn <><AlwaysOn>true</AlwaysOn>
<RememberCredentials > true < /RememberCredentials><RememberCredentials>true</RememberCredentials>

$ProfileXML = @("
<VPNProfile>
  <DnsSuffix>$DnsSuffix</DnsSuffix>
  <NativeProfile>
<Servers>$Servers</Servers>
<NativeProtocolType>IKEv2</NativeProtocolType>
<Authentication>
  <UserMethod>Eap</UserMethod>
  <Eap>
    <Configuration>
     $EAPSettings
    </Configuration>
  </Eap>
</Authentication>
<RoutingPolicyType>SplitTunnel</RoutingPolicyType>
  </NativeProfile>
  <AlwaysOn>true</AlwaysOn>
  <RememberCredentials>true</RememberCredentials>
  <TrustedNetworkDetection>$TrustedNetwork</TrustedNetworkDetection>
  <DomainNameInformation>
<DomainName>$DomainName</DomainName>
<DnsServers>$DNSServers</DnsServers>
</DomainNameInformation>
</VPNProfile>
")

VPN_Profile.xml de saída para o IntuneOutput VPN_Profile.xml for Intune

Você pode usar o seguinte comando de exemplo para salvar o arquivo XML do perfil:You can use the following example command to save the profile XML file:

$ProfileXML | Out-File -FilePath ($env:USERPROFILE + '\desktop\VPN_Profile.xml')

VPN_Profile.ps1 de saída para área de trabalho e Configuration ManagerOutput VPN_Profile.ps1 for the desktop and Configuration Manager

O código de exemplo a seguir configura uma conexão VPN IKEv2 do AlwaysOn usando o nó ProfileXML no CSP VPNv2.The following example code configures an AlwaysOn IKEv2 VPN Connection by using the ProfileXML node in the VPNv2 CSP.

Você pode usar esse script na área de trabalho do Windows 10 ou no Configuration Manager.You can use this script on the Windows 10 desktop or in Configuration Manager.

Definir parâmetros chave de perfil VPNDefine key VPN profile parameters

$Script = '$ProfileName = ''' + $ProfileName + ''''
$ProfileNameEscaped = $ProfileName -replace ' ', '%20'

Caracteres especiais de escape no perfilEscape special characters in the profile

$ProfileXML = $ProfileXML -replace '<', '&lt;'
$ProfileXML = $ProfileXML -replace '>', '&gt;'
$ProfileXML = $ProfileXML -replace '"', '&quot;'

Definir propriedades de ponte WMI para CSPDefine WMI-to-CSP Bridge properties

$nodeCSPURI = "./Vendor/MSFT/VPNv2"
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"

Determinar o SID de usuário para o perfil VPN:Determine user SID for VPN profile:

try
{
$username = Gwmi -Class Win32_ComputerSystem | select username
$objuser = New-Object System.Security.Principal.NTAccount($username.username)
$sid = $objuser.Translate([System.Security.Principal.SecurityIdentifier])
$SidValue = $sid.Value
$Message = "User SID is $SidValue."
Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to get user SID. User may be logged on over Remote Desktop: $_"
Write-Host "$Message"
exit
}

Definir sessão WMI:Define WMI session:

$session = New-CimSession
$options = New-Object Microsoft.Management.Infrastructure.Options.CimOperationOptions
$options.SetCustomOption("PolicyPlatformContext_PrincipalContext_Type", "PolicyPlatform_UserContext", $false)
$options.SetCustomOption("PolicyPlatformContext_PrincipalContext_Id", "$SidValue", $false)

Detectar e excluir o perfil VPN anterior:Detect and delete previous VPN profile:

try
{
  $deleteInstances = $session.EnumerateInstances($namespaceName, $className, $options)
  foreach ($deleteInstance in $deleteInstances)
  {
    $InstanceId = $deleteInstance.InstanceID
    if ("$InstanceId" -eq "$ProfileNameEscaped")
    {
        $session.DeleteInstance($namespaceName, $deleteInstance, $options)
        $Message = "Removed $ProfileName profile $InstanceId"
        Write-Host "$Message"
    } else {
        $Message = "Ignoring existing VPN profile $InstanceId"
        Write-Host "$Message"
    }
  }
}
catch [Exception]
{
  $Message = "Unable to remove existing outdated instance(s) of $ProfileName profile: $_"
  Write-Host "$Message"
  exit
}

Criar o perfil VPN:Create the VPN profile:

try
{
  $newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance $className, $namespaceName
  $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ParentID", "$nodeCSPURI", "String", "Key")
  $newInstance.CimInstanceProperties.Add($property)
  $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("InstanceID", "$ProfileNameEscaped", "String", "Key")
  $newInstance.CimInstanceProperties.Add($property)
  $property = [Microsoft.Management.Infrastructure.CimProperty]::Create("ProfileXML", "$ProfileXML", "String", "Property")
  $newInstance.CimInstanceProperties.Add($property)
  $session.CreateInstance($namespaceName, $newInstance, $options)
  $Message = "Created $ProfileName profile."


  Write-Host "$Message"
}
catch [Exception]
{
$Message = "Unable to create $ProfileName profile: $_"
Write-Host "$Message"
exit
}

$Message = "Script Complete"
Write-Host "$Message"

Salvar o arquivo XML do perfilSave the profile XML file

$Script | Out-File -FilePath ($env:USERPROFILE + '\desktop\VPN_Profile.ps1')

$Message = "Successfully created VPN_Profile.xml and VPN_Profile.ps1 on the desktop."
Write-Host "$Message"

MakeProfile.ps1 script completoMakeProfile.ps1 Full Script

A maioria dos exemplos usa o cmdlet Set-WmiInstance do Windows PowerShell para inserir ProfileXML em uma nova instância da classe MDM_VPNv2_01 WMI.Most examples use the Set-WmiInstance Windows PowerShell cmdlet to insert ProfileXML into a new instance of the MDM_VPNv2_01 WMI class.

No entanto, isso não funciona em Configuration Manager porque você não pode executar o pacote no contexto dos usuários finais.However, this does not work in Configuration Manager because you cannot run the package in the end users' context. Portanto, esse script usa o modelo CIM para criar uma sessão WMI no contexto do usuário e, em seguida, cria uma nova instância da classe MDM_VPNv2_01 WMI nessa sessão.Therefore, this script uses the Common Information Model to create a WMI session in the user's context, and then it creates a new instance of the MDM_VPNv2_01 WMI class in that session. Essa classe WMI usa a ponte WMI para CSP para configurar o CSP VPNv2.This WMI class uses the WMI-to-CSP bridge to configure the VPNv2 CSP. Portanto, ao adicionar a instância de classe, você configura o CSP.Therefore, by adding the class instance, you configure the CSP.

Importante

A ponte WMI para CSP requer direitos de administrador local, por design.WMI-to-CSP bridge requires local admin rights, by design. Para implantar perfis VPN por usuário, você deve usar Configuration Manager ou MDM.To deploy per user VPN profiles you should be using Configuration Manager or MDM.

Observação

O script VPN_Profile.ps1 usa o SID do usuário atual para identificar o contexto do usuário.The script VPN_Profile.ps1 uses the current user's SID to identify the user's context. Como nenhum SID está disponível em uma sessão de Área de Trabalho Remota, o script não funciona em uma sessão de Área de Trabalho Remota.Because no SID is available in a Remote Desktop session, the script does not work in a Remote Desktop session. Da mesma forma, ele não funciona em uma sessão avançada do Hyper-V.Likewise, it does not work in a Hyper-V enhanced session. Se você estiver testando um acesso remoto Always On VPN em máquinas virtuais, desabilite a sessão avançada em suas VMs de cliente antes de executar esse script.If you're testing a Remote Access Always On VPN in virtual machines, disable enhanced session on your client VMs before running this script.

O script de exemplo a seguir inclui todos os exemplos de código de seções anteriores.The following example script includes all of the code examples from previous sections. Certifique-se de alterar os valores de exemplo para valores que são apropriados para o seu ambiente.Ensure that you change example values to values that are appropriate for your environment.

 $TemplateName = 'Template'
 $ProfileName = 'Contoso AlwaysOn VPN'
 $Servers = 'vpn.contoso.com'
 $DnsSuffix = 'corp.contoso.com'
 $DomainName = '.corp.contoso.com'
 $DNSServers = '10.10.0.2,10.10.0.3'
 $TrustedNetwork = 'corp.contoso.com'


 $Connection = Get-VpnConnection -Name $TemplateName
 if(!$Connection)
 {
 $Message = "Unable to get $TemplateName connection profile: $_"
 Write-Host "$Message"
 exit
 }
 $EAPSettings= $Connection.EapConfigXmlStream.InnerXml

 $ProfileXML = @("
 <VPNProfile>
   <DnsSuffix>$DnsSuffix</DnsSuffix>
   <NativeProfile>
 <Servers>$Servers</Servers>
 <NativeProtocolType>IKEv2</NativeProtocolType>
 <Authentication>
   <UserMethod>Eap</UserMethod>
   <Eap>
    <Configuration>
     $EAPSettings
    </Configuration>
   </Eap>
 </Authentication>
 <RoutingPolicyType>SplitTunnel</RoutingPolicyType>
   </NativeProfile>
 <AlwaysOn>true</AlwaysOn>
 <RememberCredentials>true</RememberCredentials>
 <TrustedNetworkDetection>$TrustedNetwork</TrustedNetworkDetection>
   <DomainNameInformation>
 <DomainName>$DomainName</DomainName>
 <DnsServers>$DNSServers</DnsServers>
 </DomainNameInformation>
 </VPNProfile>
 ")

 $ProfileXML | Out-File -FilePath ($env:USERPROFILE + '\desktop\VPN_Profile.xml')

  $Script = @("
   `$ProfileName = '$ProfileName'
   `$ProfileNameEscaped = `$ProfileName -replace ' ', '%20'

   `$ProfileXML = '$ProfileXML'

   `$ProfileXML = `$ProfileXML -replace '<', '&lt;'
   `$ProfileXML = `$ProfileXML -replace '>', '&gt;'
   `$ProfileXML = `$ProfileXML -replace '`"', '&quot;'

   `$nodeCSPURI = `"./Vendor/MSFT/VPNv2`"
   `$namespaceName = `"root\cimv2\mdm\dmmap`"
   `$className = `"MDM_VPNv2_01`"

   try
   {
   `$username = Gwmi -Class Win32_ComputerSystem | select username
   `$objuser = New-Object System.Security.Principal.NTAccount(`$username.username)
   `$sid = `$objuser.Translate([System.Security.Principal.SecurityIdentifier])
   `$SidValue = `$sid.Value
   `$Message = `"User SID is `$SidValue.`"
   Write-Host `"`$Message`"
   }
   catch [Exception]
   {
   `$Message = `"Unable to get user SID. User may be logged on over Remote Desktop: `$_`"
   Write-Host `"`$Message`"
   exit
   }

   `$session = New-CimSession
   `$options = New-Object Microsoft.Management.Infrastructure.Options.CimOperationOptions
   `$options.SetCustomOption(`"PolicyPlatformContext_PrincipalContext_Type`", `"PolicyPlatform_UserContext`", `$false)
   `$options.SetCustomOption(`"PolicyPlatformContext_PrincipalContext_Id`", `"`$SidValue`", `$false)

   try
   {
  `$deleteInstances = `$session.EnumerateInstances(`$namespaceName, `$className, `$options)
  foreach (`$deleteInstance in `$deleteInstances)
  {
      `$InstanceId = `$deleteInstance.InstanceID
      if (`"`$InstanceId`" -eq `"`$ProfileNameEscaped`")
      {
          `$session.DeleteInstance(`$namespaceName, `$deleteInstance, `$options)
          `$Message = `"Removed `$ProfileName profile `$InstanceId`"
          Write-Host `"`$Message`"
      } else {
          `$Message = `"Ignoring existing VPN profile `$InstanceId`"
          Write-Host `"`$Message`"
      }
  }
   }
   catch [Exception]
   {
  `$Message = `"Unable to remove existing outdated instance(s) of `$ProfileName profile: `$_`"
  Write-Host `"`$Message`"
  exit
   }

   try
   {
  `$newInstance = New-Object Microsoft.Management.Infrastructure.CimInstance `$className, `$namespaceName
  `$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(`"ParentID`", `"`$nodeCSPURI`", `"String`", `"Key`")
  `$newInstance.CimInstanceProperties.Add(`$property)
  `$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(`"InstanceID`", `"`$ProfileNameEscaped`", `"String`",      `"Key`")
  `$newInstance.CimInstanceProperties.Add(`$property)
  `$property = [Microsoft.Management.Infrastructure.CimProperty]::Create(`"ProfileXML`", `"`$ProfileXML`", `"String`", `"Property`")
  `$newInstance.CimInstanceProperties.Add(`$property)
  `$session.CreateInstance(`$namespaceName, `$newInstance, `$options)
  `$Message = `"Created `$ProfileName profile.`"

  Write-Host `"`$Message`"
   }
   catch [Exception]
   {
  `$Message = `"Unable to create `$ProfileName profile: `$_`"
  Write-Host `"`$Message`"
  exit
   }

   `$Message = `"Script Complete`"
   Write-Host `"`$Message`"
   ")

   $Script | Out-File -FilePath ($env:USERPROFILE + '\desktop\VPN_Profile.ps1')

 $Message = "Successfully created VPN_Profile.xml and VPN_Profile.ps1 on the desktop."
 Write-Host "$Message"

Configurar o cliente VPN usando o Windows PowerShellConfigure the VPN client by using Windows PowerShell

Para configurar o CSP VPNv2 em um computador cliente com Windows 10, execute o VPN_Profile.ps1 script do Windows PowerShell que você criou na seção criar o perfil XML .To configure the VPNv2 CSP on a Windows 10 client computer, run the VPN_Profile.ps1 Windows PowerShell script that you created in the Create the profile XML section. Abra o Windows PowerShell como administrador; caso contrário, você receberá um erro dizendo, acesso negado.Open Windows PowerShell as an Administrator; otherwise, you'll receive an error saying, Access denied.

Depois de executar VPN_Profile.ps1 para configurar o perfil VPN, você pode verificar a qualquer momento que ele foi bem-sucedido executando o seguinte comando no ISE do Windows PowerShell:After running VPN_Profile.ps1 to configure the VPN profile, you can verify at any time that it was successful by running the following command in the Windows PowerShell ISE:

Get-WmiObject -Namespace root\cimv2\mdm\dmmap -Class MDM_VPNv2_01

Resultados bem-sucedidos do cmdlet Get-WmiObjectSuccessful results from the Get-WmiObject cmdlet

__GENUS : 2
__CLASS : MDM_VPNv2_01
__SUPERCLASS:
__DYNASTY   : MDM_VPNv2_01
__RELPATH   : MDM_VPNv2_01.InstanceID="Contoso%20AlwaysOn%20VPN",ParentID
  ="./Vendor/MSFT/VPNv2"
__PROPERTY_COUNT: 10
__DERIVATION: {}
__SERVER: WIN01
__NAMESPACE : root\cimv2\mdm\dmmap
__PATH  : \\WIN01\root\cimv2\mdm\dmmap:MDM_VPNv2_01.InstanceID="Conto
  so%20AlwaysOn%20VPN",ParentID="./Vendor/MSFT/VPNv2"
AlwaysOn: True
ByPassForLocal  :
DnsSuffix   : corp.contoso.com
EdpModeId   :
InstanceID  : Contoso%20AlwaysOn%20VPN
LockDown:
ParentID: ./Vendor/MSFT/VPNv2
ProfileXML  : <VPNProfile><RememberCredentials>true</RememberCredentials>
  <AlwaysOn>true</AlwaysOn><DnsSuffix>corp.contoso.com</DnsSu
  ffix><TrustedNetworkDetection>corp.contoso.com</TrustedNetw
  orkDetection><NativeProfile><Servers>vpn.contoso.com;vpn.co
  ntoso.com</Servers><RoutingPolicyType>SplitTunnel</RoutingP
  olicyType><NativeProtocolType>Ikev2</NativeProtocolType><Au
  thentication><UserMethod>Eap</UserMethod><MachineMethod>Eap
  </MachineMethod><Eap><Configuration><EapHostConfig xmlns="h
  ttp://www.microsoft.com/provisioning/EapHostConfig"><EapMet
  hod><Type xmlns="https://www.microsoft.com/provisioning/EapC
  ommon">25</Type><VendorId xmlns="https://www.microsoft.com/p
  rovisioning/EapCommon">0</VendorId><VendorType xmlns="http:
  //www.microsoft.com/provisioning/EapCommon">0</VendorType><
  AuthorId xmlns="https://www.microsoft.com/provisioning/EapCo
  mmon">0</AuthorId></EapMethod><Config xmlns="https://www.mic
  rosoft.com/provisioning/EapHostConfig"><Eap xmlns="https://w
  ww.microsoft.com/provisioning/BaseEapConnectionPropertiesV1
  "><Type>25</Type><EapType xmlns="https://www.microsoft.com/p
  rovisioning/MsPeapConnectionPropertiesV1"><ServerValidation
  ><DisableUserPromptForServerValidation>true</DisableUserPro
  mptForServerValidation><ServerNames>NPS</ServerNames><Trust
  edRootCA>3f 07 88 e8 ac 00 32 e4 06 3f 30 f8 db 74 25 e1
  2e 5b 84 d1 </TrustedRootCA></ServerValidation><FastReconne
  ct>true</FastReconnect><InnerEapOptional>false</InnerEapOpt
  ional><Eap xmlns="https://www.microsoft.com/provisioning/Bas
  eEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="
  https://www.microsoft.com/provisioning/EapTlsConnectionPrope
  rtiesV1"><CredentialsSource><CertificateStore><SimpleCertSe
  lection>true</SimpleCertSelection></CertificateStore></Cred
  entialsSource><ServerValidation><DisableUserPromptForServer
  Validation>true</DisableUserPromptForServerValidation><Serv
  erNames>NPS</ServerNames><TrustedRootCA>3f 07 88 e8 ac 00
  32 e4 06 3f 30 f8 db 74 25 e1 2e 5b 84 d1 </TrustedRootCA><
  /ServerValidation><DifferentUsername>false</DifferentUserna
  me><PerformServerValidation xmlns="https://www.microsoft.com
  /provisioning/EapTlsConnectionPropertiesV2">true</PerformSe
  rverValidation><AcceptServerName xmlns="https://www.microsof
  t.com/provisioning/EapTlsConnectionPropertiesV2">true</Acce
  ptServerName></EapType></Eap><EnableQuarantineChecks>false<
  /EnableQuarantineChecks><RequireCryptoBinding>false</Requir
  eCryptoBinding><PeapExtensions><PerformServerValidation xml
  ns="https://www.microsoft.com/provisioning/MsPeapConnectionP
  ropertiesV2">true</PerformServerValidation><AcceptServerNam
  e xmlns="https://www.microsoft.com/provisioning/MsPeapConnec
  tionPropertiesV2">true</AcceptServerName></PeapExtensions><
  /EapType></Eap></Config></EapHostConfig></Configuration></E
  ap></Authentication></NativeProfile><DomainNameInformation>
  <DomainName>corp.contoso.com</DomainName><DnsServers>10.10.
      0.2,10.10.0.3</DnsServers><AutoTrigger>true</AutoTrigger></
  DomainNameInformation></VPNProfile>
RememberCredentials : True
TrustedNetworkDetection : corp.contoso.com
PSComputerName  : WIN01

A configuração ProfileXML deve estar correta em estrutura, ortografia, configuração e, às vezes, letras maiúsculas e minúsculas.The ProfileXML configuration must be correct in structure, spelling, configuration, and sometimes letter case. Se você vir algo diferente na estrutura para listagem 1, a marcação ProfileXML provavelmente conterá um erro.If you see something different in structure to Listing 1, the ProfileXML markup likely contains an error.

Se você precisar solucionar problemas de marcação, é mais fácil colocá-lo em um editor de XML do que solucionar o problema no ISE do Windows PowerShell.If you need to troubleshoot the markup, it is easier to put it in an XML editor than to troubleshoot it in the Windows PowerShell ISE. Em ambos os casos, comece com a versão mais simples do perfil e adicione os componentes de volta um de cada vez até que o problema ocorra novamente.In either case, start with the simplest version of the profile, and add components back one at a time until the issue occurs again.

Configurar o cliente VPN usando Configuration ManagerConfigure the VPN client by using Configuration Manager

No Configuration Manager, você pode implantar perfis VPN usando o nó CSP ProfileXML, assim como fazia no Windows PowerShell.In Configuration Manager, you can deploy VPN profiles by using the ProfileXML CSP node, just like you did in Windows PowerShell. Aqui, você usa o VPN_Profile.ps1 script do Windows PowerShell que você criou na seção criar os arquivos de configuração do ProfileXML.Here, you use the VPN_Profile.ps1 Windows PowerShell script that you created in the section Create the ProfileXML configuration files.

Para usar Configuration Manager para implantar um perfil VPN de Always On de acesso remoto em computadores cliente com Windows 10, você deve começar criando um grupo de computadores ou usuários para os quais você implanta o perfil.To use Configuration Manager to deploy a Remote Access Always On VPN profile to Windows 10 client computers, you must start by creating a group of machines or users to whom you deploy the profile. Nesse cenário, crie um grupo de usuários para implantar o script de configuração.In this scenario, create a user group to deploy the configuration script.

Criar um grupo de usuáriosCreate a user group

  1. No console do Configuration Manager, abra ativos e conformidade \ coleções de usuários.In the Configuration Manager console, open Assets and Compliance\User Collections.

  2. Na faixa de faixas página inicial , no grupo criar , clique em criar coleção de usuários.On the Home ribbon, in the Create group, click Create User Collection.

  3. Na página geral, conclua as seguintes etapas:On the General page, complete the following steps:

    a.a. Em nome, digite usuários VPN.In Name, type VPN Users.

    b.b. Clique em procurar, clique em todos os usuários e clique em OK.Click Browse, click All Users and click OK.

    c.c. Clique em Próximo.Click Next.

  4. Na página regras de associação, conclua as seguintes etapas:On the Membership Rules page, complete the following steps:

    a.a. Em regras de associação, clique em Adicionar regrae clique em regra direta.In Membership rules, click Add Rule, and click Direct Rule. Neste exemplo, você está adicionando usuários individuais à coleção de usuários.In this example, you're adding individual users to the user collection. No entanto, você pode usar uma regra de consulta para adicionar usuários a essa coleção dinamicamente para uma implantação de maior escala.However, you might use a query rule to add users to this collection dynamically for a larger-scale deployment.

    b.b. Na página de Boas-vindas, clique em Avançar.On the Welcome page, click Next.

    c.c. Na página pesquisar recursos, em valor, digite o nome do usuário que você deseja adicionar.On the Search for Resources page, in Value, type the name of the user you want to add. O nome do recurso inclui o domínio do usuário.The resource name includes the user's domain. Para incluir resultados com base em uma correspondência parcial, insira o % caractere em qualquer extremidade do critério de pesquisa.To include results based on a partial match, insert the % character at either end of your search criterion. Por exemplo, para localizar todos os usuários que contêm a cadeia de caracteres "Lori", digite % Lori%.For example, to find all users containing the string "lori," type %lori%. Clique em Próximo.Click Next.

    d.d. Na página Selecionar recursos, selecione os usuários que você deseja adicionar ao grupo e clique em Avançar.On the Select Resources page, select the users you want to add to the group, and click Next.

    e.e. Na página Resumo, clique em Avançar.On the Summary page, click Next.

    f.f. Na página Conclusão , clique em Fechar.On the Completion page, click Close.

  5. De volta à página regras de associação do assistente para criar coleção de usuários, clique em Avançar.Back on the Membership Rules page of the Create User Collection Wizard, click Next.

  6. Na página Resumo, clique em Avançar.On the Summary page, click Next.

  7. Na página Conclusão , clique em Fechar.On the Completion page, click Close.

Depois de criar o grupo de usuários para receber o perfil VPN, você pode criar um pacote e um programa para implantar o script de configuração do Windows PowerShell que você criou na seção criar os arquivos de configuração do ProfileXML.After you create the user group to receive the VPN profile, you can create a package and program to deploy the Windows PowerShell configuration script that you created in the section Create the ProfileXML configuration files.

Criar um pacote que contém o script de configuração do ProfileXMLCreate a package containing the ProfileXML configuration script

  1. Hospede o script VPN_Profile.ps1 em um compartilhamento de rede que a conta de computador do servidor do site possa acessar.Host the script VPN_Profile.ps1 on a network share that the site server computer account can access.

  2. No console do Configuration Manager, abra biblioteca de software \ Gerenciamento de aplicativos \ pacotes.In the Configuration Manager console, open Software Library\Application Management\Packages.

  3. Na faixa de faixas página inicial , no grupo criar , clique em criar pacote para iniciar o assistente para criar pacote e programa.On the Home ribbon, in the Create group, click Create Package to start the Create Package and Program Wizard.

  4. Na página pacote, conclua as seguintes etapas:On the Package page, complete the following steps:

    a.a. Em nome, digite Windows 10 Always on perfil VPN.In Name, type Windows 10 Always On VPN Profile.

    b.b. Marque a caixa de seleção Este pacote contém arquivos de origem e clique em procurar.Select the This package contains source files check box, and click Browse.

    c.c. Na caixa de diálogo Definir pasta de origem, clique em procurar, selecione o compartilhamento de arquivos que contém VPN_Profile.ps1 e clique em OK.In the Set Source Folder dialog box, click Browse, select the file share containing VPN_Profile.ps1, and click OK. Certifique-se de selecionar um caminho de rede, não um caminho local.Make sure you select a network path, not a local path. Em outras palavras, o caminho deve ser algo como o * \ \ vpnscript*, e não c: \ vpnscript.In other words, the path should be something like \fileserver\vpnscript, not c:\vpnscript.

  5. Clique em Próximo.Click Next.

  6. Na página tipo de programa, clique em Avançar.On the Program Type page, click Next.

  7. Na página programa padrão, conclua as seguintes etapas:On the Standard Program page, complete the following steps:

    a.a. Em nome, digite script de perfil de VPN.In Name, type VPN Profile Script.

    b.b. Na linha de comando, digite PowerShell.exe-ExecutionPolicy bypass-File "VPN_Profile.ps1".In Command line, type PowerShell.exe -ExecutionPolicy Bypass -File "VPN_Profile.ps1".

    c.c. Em modo de execução, clique em executar com direitos administrativos.In Run mode, click Run with administrative rights.

    d.d. Clique em Próximo.Click Next.

  8. Na página requisitos, conclua as seguintes etapas:On the Requirements page, complete the following steps:

    a.a. Selecione este programa pode ser executado somente em plataformas especificadas.Select This program can run only on specified platforms.

    b.b. Marque as caixas de seleção todos os Windows 10 (32 bits) e todos os windows 10 (64 bits) .Select the All Windows 10 (32-bit) and All Windows 10 (64-bit) check boxes.

    c.c. Em espaço em disco estimado, digite 1.In Estimated disk space, type 1.

    d.d. Em tempo de execução máximo permitido (minutos), digite 15.In Maximum allowed run time (minutes), type 15.

    e.e. Clique em Próximo.Click Next.

  9. Na página Resumo, clique em Avançar.On the Summary page, click Next.

  10. Na página Conclusão , clique em Fechar.On the Completion page, click Close.

Com o pacote e o programa criados, você precisa implantá-lo no grupo de usuários VPN .With the package and program created, you need to deploy it to the VPN Users group.

Implantar o script de configuração do ProfileXMLDeploy the ProfileXML configuration script

  1. No console do Configuration Manager, abra biblioteca de software \ Gerenciamento de aplicativos \ pacotes.In the Configuration Manager console, open Software Library\Application Management\Packages.

  2. Em pacotes, clique em perfil de VPN do Windows 10 Always on.In Packages, click Windows 10 Always On VPN Profile.

  3. Na guia programas , na parte inferior do painel de detalhes, clique com o botão direito do mouse em script de perfil VPN, clique em Propriedadese conclua as seguintes etapas:On the Programs tab, at the bottom of the details pane, right-click VPN Profile Script, click Properties, and complete the following steps:

    a.a. Na guia avançado , em quando este programa é atribuído a um computador, clique uma vez para cada usuário que fizer logon.On the Advanced tab, in When this program is assigned to a computer, click Once for every user who logs on.

    b.b. Clique em OK.Click OK.

  4. Clique com o botão direito do mouse em script de perfil VPN e clique em implantar para iniciar o assistente de implantação de software.Right-click VPN Profile Script and click Deploy to start the Deploy Software Wizard.

  5. Na página geral, conclua as seguintes etapas:On the General page, complete the following steps:

    a.a. Ao lado da coleção, clique em procurar.Beside Collection, click Browse.

    b.b. Na lista tipos de coleção (superior à esquerda), clique em coleções de usuários.In the Collection Types list (top left), click User Collections.

    c.c. Clique em usuários VPNe em OK.Click VPN Users, and click OK.

    d.d. Clique em Próximo.Click Next.

  6. Na página conteúdo, conclua as seguintes etapas:On the Content page, complete the following steps:

    a.a. Clique em Adicionare clique em ponto de distribuição.Click Add, and click Distribution Point.

    b.b. Em pontos de distribuição disponíveis, selecione os pontos de distribuição para os quais você deseja distribuir o script de configuração ProfileXML e clique em OK.In Available distribution points, select the distribution points to which you want to distribute the ProfileXML configuration script, and click OK.

    c.c. Clique em Próximo.Click Next.

  7. Na página Configurações de implantação, clique em Avançar.On the Deployment settings page, click Next.

  8. Na página agendamento, conclua as seguintes etapas:On the Scheduling page, complete the following steps:

    a.a. Clique em novo para abrir a caixa de diálogo Agendamento de atribuição.Click New to open the Assignment Schedule dialog box.

    b.b. Clique em atribuir imediatamente após esse eventoe clique em OK.Click Assign immediately after this event, and click OK.

    c.c. Clique em Próximo.Click Next.

  9. Na página experiência do usuário, conclua as seguintes etapas:On the User Experience page, complete the following steps:

    1. Marque a caixa de seleção instalação de software .Select the Software Installation check box.

    2. Clique em Resumo.Click Summary.

  10. Na página Resumo, clique em Avançar.On the Summary page, click Next.

  11. Na página Conclusão , clique em Fechar.On the Completion page, click Close.

Com o script de configuração do ProfileXML implantado, entre em um computador cliente com o Windows 10 com a conta de usuário que você selecionou quando criou a coleção de usuários.With the ProfileXML configuration script deployed, sign in to a Windows 10 client computer with the user account you selected when you built the user collection. Verifique a configuração do cliente VPN.Verify the configuration of the VPN client.

Observação

O script VPN_Profile.ps1 não funciona em uma sessão de Área de Trabalho Remota.The script VPN_Profile.ps1 does not work in a Remote Desktop session. Da mesma forma, ele não funciona em uma sessão avançada do Hyper-V.Likewise, it does not work in a Hyper-V enhanced session. Se você estiver testando um acesso remoto Always On VPN em máquinas virtuais, desabilite a sessão avançada em suas VMs de cliente antes de continuar.If you're testing a Remote Access Always On VPN in virtual machines, disable enhanced session on your client VMs before continuing.

Verificar a configuração do cliente VPNVerify the configuration of the VPN client

  1. No painel de controle, em \ segurança do sistema, clique em Configuration Manager.In Control Panel, under System\Security, click Configuration Manager.

  2. Na caixa de diálogo Propriedades do Configuration Manager, na guia ações , conclua as seguintes etapas:In the Configuration Manager Properties dialog, on the Actions tab, complete the following steps:

    a.a. Clique em recuperação de política de computador & ciclo de avaliação, clique em executar agorae clique em OK.Click Machine Policy Retrieval & Evaluation Cycle, click Run Now, and click OK.

    b.b. Clique em ciclo de avaliação de & recuperação de política de usuário, clique em executar agorae clique em OK.Click User Policy Retrieval & Evaluation Cycle, click Run Now, and click OK.

    c.c. Clique em OK.Click OK.

  3. Feche o painel de controle.Close the Control Panel.

Você deverá ver o novo perfil de VPN em breve.You should see the new VPN profile shortly.

Configurar o cliente VPN usando o IntuneConfigure the VPN client by using Intune

Para usar o Intune para implantar perfis VPN Always On acesso remoto do Windows 10, você pode configurar o nó CSP do ProfileXML usando o perfil VPN criado na seção criar os arquivos de configuração do ProfileXMLou pode usar o exemplo de XML EAP base fornecido abaixo.To use Intune to deploy Windows 10 Remote Access Always On VPN profiles, you can configure the ProfileXML CSP node by using the VPN profile you created in the section Create the ProfileXML configuration files, or you can use the base EAP XML sample provided below.

Observação

O Intune agora usa grupos do Azure AD.Intune now uses Azure AD groups. Se Azure AD Connect tiver sincronizado o grupo de usuários VPN do local para o Azure AD e os usuários forem atribuídos ao grupo de usuários VPN, você estará pronto para continuar.If Azure AD Connect synced the VPN Users group from on-premises to Azure AD, and users are assigned to the VPN Users group, you are ready to proceed.

Crie a política de configuração de dispositivo VPN para configurar os computadores cliente do Windows 10 para todos os usuários adicionados ao grupo.Create the VPN device configuration policy to configure the Windows 10 client computers for all users added to the group. Como o modelo do Intune fornece parâmetros de VPN, copie apenas a <EapHostConfig> </EapHostConfig> parte do arquivo de VPN_ProfileXML.Since the Intune template provides VPN parameters, only copy the <EapHostConfig> </EapHostConfig> portion of the VPN_ProfileXML file.

Criar a política de configuração de VPN Always OnCreate the Always On VPN configuration policy

  1. Entre no Portal do Azure.Sign into the Azure portal.

  2. Vá para Intune > perfis deconfiguração de dispositivodo Intune > Profiles.Go to Intune > Device Configuration > Profiles.

  3. Clique em Criar perfil para iniciar o assistente para criar perfil.Click Create Profile to start the Create profile Wizard.

  4. Insira um nome para o perfil VPN e (opcionalmente) uma descrição.Enter a Name for the VPN profile and (optionally) a description.

  5. Em plataforma, selecione Windows 10 ou posteriore escolha VPN na lista suspensa tipo de perfil.Under Platform, select Windows 10 or later, and choose VPN from the Profile type drop-down.

    Dica

    Se você estiver criando um profileXML VPN personalizado, consulte aplicar profileXML usando o Intune para obter as instruções.If you are creating a custom VPN profileXML, see Apply ProfileXML using Intune for the instructions.

  6. Na guia VPN de base , verifique ou defina as seguintes configurações:Under the Base VPN tab, verify or set the following settings:

    • Nome da conexão: Insira o nome da conexão VPN que aparece no computador cliente na guia VPN em configurações, por exemplo, contoso AutoVPN.Connection name: Enter the name of the VPN connection as it appears on the client computer in the VPN tab under Settings, for example, Contoso AutoVPN.

    • Servidores: Adicione um ou mais servidores VPN clicando em Adicionar.Servers: Add one or more VPN servers by clicking Add.

    • Descrição e endereço IP ou FQDN: Insira a descrição e o endereço IP ou o FQDN do servidor VPN.Description and IP Address or FQDN: Enter the description and IP Address or FQDN of the VPN server. Esses valores devem ser alinhados com o nome da entidade no certificado de autenticação do servidor VPN.These values must align with the Subject Name in the VPN server's authentication certificate.

    • Servidor padrão: Se esse for o servidor VPN padrão, defina como true.Default server: If this is the default VPN server, set to True. Isso habilita esse servidor como o servidor padrão que os dispositivos usam para estabelecer a conexão.Doing this enables this server as the default server that devices use to establish the connection.

    • Tipo de conexão: Defina como IKEv2.Connection type: Set to IKEv2.

    • Always on: Defina para habilitar o para se conectar à VPN automaticamente na entrada e permanecer conectado até que o usuário se desconecte manualmente.Always On: Set to Enable to connect to the VPN automatically at the sign-in and stay connected until the user manually disconnects.

    • Lembrar credenciais a cada logon: valor booliano (true ou false) para armazenar as credenciais em cache.Remember credentials at each logon: Boolean value (true or false) for caching credentials. Se definido como true, as credenciais serão armazenadas em cache sempre que possível.If set to true, credentials are cached whenever possible.

  7. Copie a seguinte cadeia de caracteres XML em um editor de texto:Copy the following XML string to a text editor:

    Importante

    Qualquer outra combinação de maiúsculas ou minúsculas para ' true ' nas seguintes marcas resulta em uma configuração parcial do perfil de VPN:Any other combination of upper or lower case for 'true' in the following tags results in a partial configuration of the VPN profile:

    </AlwaysOn > verdadeiroAlwaysOn <><AlwaysOn>true</AlwaysOn>
    <RememberCredentials > true < /RememberCredentials><RememberCredentials>true</RememberCredentials>

    <EapHostConfig xmlns="https://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="https://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="https://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="https://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="https://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="https://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="https://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
    
  8. Substitua o ** <TrustedRootCA> 5a 89 FE cb 5b 49 a7 0b 1a 52 63 B7 35 EE D7 1c C2 68 ser 4B</ TrustedRootCA>** no exemplo com a impressão digital do certificado de sua autoridade de certificação raiz local em ambos os locais.Replace the <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> in the sample with the certificate thumbprint of your on-premises root certificate authority in both places.

    Importante

    Não use a impressão digital de exemplo na <TrustedRootCA> </TrustedRootCA> seção abaixo.Do not use the sample thumbprint in the <TrustedRootCA></TrustedRootCA> section below. O TrustedRootCA deve ser a impressão digital do certificado da autoridade de certificação raiz local que emitiu o certificado de autenticação de servidor para servidores RRAS e NPS.The TrustedRootCA must be the certificate thumbprint of the on-premises root certificate authority that issued the server-authentication certificate for RRAS and NPS servers. Esse não deve ser o certificado raiz da nuvem nem a impressão digital do certificado de CA emissora intermediária.This must not be the cloud root certificate, nor the intermediate issuing CA certificate thumbprint.

  9. Substitua o ** <ServerNames> NPS.contoso.com </ServerNames> ** no XML de exemplo pelo FQDN do NPS ingressado no domínio em que a autenticação ocorre.Replace the <ServerNames>NPS.contoso.com</ServerNames> in the sample XML with the FQDN of the domain-joined NPS where authentication takes place.

  10. Copie a cadeia de caracteres XML revisada e cole-a na caixa EAP XML na guia VPN de base e clique em OK.Copy the revised XML string and paste into the EAP Xml box under the Base VPN tab and click OK. Uma política de configuração de dispositivo VPN Always On usando EAP é criada no Intune.An Always On VPN Device Configuration policy using EAP is created in Intune.

Sincronizar a política de configuração de VPN Always On com o IntuneSync the Always On VPN configuration policy with Intune

Para testar a política de configuração, entre em um computador cliente com Windows 10 como o usuário que você adicionou ao grupo Always on usuários VPN e, em seguida, sincronize com o Intune.To test the configuration policy, sign in to a Windows 10 client computer as the user you added to the Always On VPN Users group, and then sync with Intune.

  1. No menu Iniciar, clique em Configurações.On the Start menu, click Settings.

  2. Em configurações, clique em contase clique em acessar trabalho ou escola.In Settings, click Accounts, and click Access work or school.

  3. Clique no perfil MDM e clique em informações.Click the MDM profile, and click Info.

  4. Clique em sincronizar para forçar uma avaliação e recuperação de política do Intune.Click Sync to force an Intune policy evaluation and retrieval.

  5. Feche as configurações.Close Settings. Após a sincronização, você verá o perfil VPN disponível no computador.After synchronization, you see the VPN profile available on the computer.

Próximas etapasNext steps

Você concluiu a implantação de Always On VPN.You are done deploying Always On VPN. Para outros recursos que você pode configurar, consulte a tabela abaixo:For other features you can configure, see the table below:

Se desejar...If you want to... Em seguida, consulte...Then see...
Configurar o acesso condicional para VPNConfigure Conditional Access for VPN Etapa 7. Adicional Configurar o acesso condicional para conectividade VPN usando o Azure AD: nesta etapa, você pode ajustar como os usuários de VPN autorizados acessam seus recursos usando o acesso condicional do Azure Active Directory (AD do Azure).Step 7. (Optional) Configure conditional access for VPN connectivity using Azure AD: In this step, you can fine-tune how authorized VPN users access your resources using Azure Active Directory (Azure AD) conditional access. Com o acesso condicional do Azure AD para conectividade de VPN (rede virtual privada), você pode ajudar a proteger as conexões VPN.With Azure AD conditional access for virtual private network (VPN) connectivity, you can help protect the VPN connections. O Acesso Condicional é um mecanismo de avaliação com base em política que permite que você crie regras de acesso para qualquer aplicativo conectado ao Azure Active Directory (Azure AD).Conditional Access is a policy-based evaluation engine that lets you create access rules for any Azure Active Directory (Azure AD) connected application.
Saiba mais sobre os recursos avançados de VPNLearn more about the advanced VPN features Recursos avançados de VPN: Esta página fornece orientação sobre como habilitar filtros de tráfego de VPN, como configurar conexões VPN automáticas usando gatilhos de aplicativo e como configurar o NPS para permitir somente conexões VPN de clientes usando certificados emitidos pelo Azure AD.Advanced VPN Features: This page provides guidance on how to enable VPN Traffic Filters, how to configure Automatic VPN connections using App-Triggers, and how to configure NPS to only allow VPN Connections from clients using certificates issued by Azure AD.