Perfis da VPN em dispositivos móveis no System Center Configuration ManagerVPN Profiles on mobile devices in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Utilize perfis VPN no System Center Configuration Manager para implementar definições VPN em utilizadores de dispositivos móveis na sua organização.Use VPN profiles in System Center Configuration Manager to deploy VPN settings to mobile device users in your organization. Ao implementar estas definições, minimiza o esforço do utilizador final necessárias para ligar a recursos na rede da empresa.When you deploy these settings, you minimize the end-user effort that's required to connect to resources on the company network.

Por exemplo, pretende configurar todos os dispositivos que executam o sistema operativo iOS, utilizando as definições que são necessárias para ligar a uma partilha de ficheiros na rede empresarial.For example, you want to set up all devices that run the iOS operating system by using the settings that are required to connect to a file share on the corporate network. Pode criar um perfil da VPN com as definições necessárias para ligar à rede empresarial e, em seguida, implementar este perfil em todos os utilizadores com dispositivos que executam o iOS na sua hierarquia.You can create a VPN profile that has the necessary settings to connect to the corporate network and then deploy this profile to all users who have devices that run iOS in your hierarchy. Os utilizadores de dispositivos com iOS veem a ligação VPN na lista de redes disponíveis e podem estabelecer ligação com esta rede com o mínimo de esforço.Users of iOS devices see the VPN connection in the list of available networks and can connect to this network with the minimum of effort.

Quando cria um perfil da VPN, pode incluir um vasto leque de definições de segurança.When you create a VPN profile, you can include a wide range of security settings. Por exemplo, pode especificar certificados para autenticação de cliente e validação do servidor que configurou através da utilização de perfis de certificado do System Center Configuration Manager.For example, you can specify certificates for server validation and client authentication that have been set up by using System Center Configuration Manager certificate profiles. Para obter mais informações sobre perfis de certificado, consulte no System Center Configuration Manager de perfis de certificado.For more about certificate profiles, see Certificate profiles in System Center Configuration Manager.

Perfis VPN, ao utilizar o Gestor de configuração com o IntuneVPN profiles when using Configuration Manager together with Intune

Para implementar perfis em dispositivos Windows 8.1, Windows Phone, Android e iOS, estes dispositivos têm de estar inscritos no Microsoft Intune.To deploy profiles to iOS, Android, Windows Phone, and Windows 8.1 devices, these devices must be enrolled in Microsoft Intune. Dispositivos em outras plataformas também podem ser inscritos no Intune.Devices on other platforms can also be enrolled to Intune. Para obter informações sobre como inscrever, consulte gerir dispositivos móveis com o Microsoft Intune.For information about how to enroll, see Manage mobile devices with Microsoft Intune. Esta tabela mostra o tipo de ligação que é suportado para cada plataforma de dispositivo:This table shows the connection type that is supported for each device platform:

Tipo de ligaçãoConnection type iOS e macOS XiOS and macOS X AndroidAndroid Windows 8,1Windows 8.1 Windows RTWindows RT Windows RT 8.1Windows RT 8.1 Windows Phone 8.1Windows Phone 8.1 Windows 10 Desktop e MobileWindows 10 Desktop and Mobile
Cisco AnyConnectCisco AnyConnect SimYes SimYes NãoNo NãoNo NãoNo NãoNo Sim (OMA-URI)Yes (OMA-URI)
Cisco (IPSec)Cisco (IPSec) apenas em iOSiOS only NãoNo NãoNo NãoNo NãoNo NãoNo NãoNo
Pulse SecurePulse Secure SimYes SimYes SimYes NãoNo SimYes SimYes SimYes
F5 Edge ClientF5 Edge Client SimYes SimYes SimYes NãoNo SimYes SimYes SimYes
Dell SonicWALL Mobile ConnectDell SonicWALL Mobile Connect SimYes SimYes SimYes NãoNo SimYes SimYes SimYes
VPN Móvel do Ponto de VerificaçãoCheck Point Mobile VPN SimYes SimYes SimYes NãoNo SimYes SimYes SimYes
Microsoft SSL (SSTP)Microsoft SSL (SSTP) NãoNo NãoNo SimYes SimYes SimYes NãoNo NãoNo
Microsoft AutomaticMicrosoft Automatic NãoNo NãoNo SimYes SimYes SimYes NãoNo Sim (OMA-URI)Yes (OMA-URI)
IKEv2IKEv2 Sim (política personalizada)Yes (Custom policy) NãoNo SimYes SimYes SimYes SimYes Sim (OMA-URI)Yes (OMA-URI)
PPTPPPTP SimYes NãoNo SimYes SimYes SimYes NãoNo Sim (OMA-URI)Yes (OMA-URI)
L2TPL2TP SimYes NãoNo SimYes SimYes SimYes NãoNo Sim (OMA-URI)Yes (OMA-URI)

Criar perfis de VPNCreate VPN profiles

Como criar perfis VPN no System Center Configuration Manager fornece informações gerais sobre como creat perfis VPN.How to Create VPN profiles in System Center Configuration Manager provides general information about how to creat VPN profiles.

Funcionalidades de VPN do Windows 10 estão disponíveis ao utilizar o Configuration Manager com o IntuneWindows 10 VPN features available when using Configuration Manager with Intune

Nota

O nome de um perfil VPN que utiliza funcionalidades de VPN do Windows 10 não pode estar em Unicode ou incluir carateres especiais.The name of a VPN profile that uses Windows 10 VPN features cannot be in Unicode or include special characters.

OpçãoOption Mais informaçõesMore information Tipo de ligaçãoConnection type
Ignorar a VPN quando ligado à rede Wi-Fi da empresaBypass VPN when connected to company Wi-Fi network A ligação VPN não será utilizada quando o dispositivo estiver ligado à rede Wi-Fi da empresa.The VPN connection will not be used when the device is connected to the company Wi-Fi network. Introduza o nome de rede fidedigna, que é utilizado para determinar se o dispositivo está ligado à rede da empresa.Enter the trusted network name that's used to determine if the device is connected to the company network. TodasAll
Regras network traffic (de tráfego de rede)Network traffic rules Defina os protocolos, portas locais, porta remota e intervalos de endereços que irão estar ativados para a ligação VPN.Set the protocols, local port, remote port, and address ranges that will be enabled for the VPN connection.

Nota: Se não criar uma regra de tráfego de rede, todos os protocolos, portas e intervalos de endereços estarão ativados.Note: If you do not create a network traffic rule, all protocols, ports, and address ranges are enabled. Depois de criar uma regra, apenas os protocolos, portas e intervalos de endereços que especificar nessa regra ou nas regras adicionais serão utilizados pela ligação VPN.After you create a rule, only the protocols, ports, and address ranges that you specify in that rule or in additional rules will be used by the VPN connection.
TodasAll
RotasRoutes Rotas que utilizarão a ligação VPN.Routes that will use the VPN connection. Tenha em atenção que a criação de mais de 60 rotas pode fazer com que a política de falha.Note that creation of more than 60 routes may cause the policy to fail. TodasAll
Servidores DNSDNS servers Servidores DNS que são utilizados pela ligação VPN, depois da ligação for estabelecida.DNS servers that are used by the VPN connection after the connection has been established. TodasAll
Aplicações que ligam automaticamente à VPNApps that automatically connect to the VPN Pode adicionar aplicações ou importar listas de aplicações que irão utilizar automaticamente a ligação VPN.You can add apps or import lists of apps that will automatically use the VPN connection. O tipo de aplicação irá determinar o identificador de aplicação.The type of app will determine the app identifier. Para uma aplicação de ambiente de trabalho, forneça o caminho do ficheiro da aplicação.For a desktop app, provide the file path of the app. Para uma aplicação universal, forneça o nome de família de pacotes (PFN).For a universal app, provide the package family name (PFN). Para saber como encontrar o PFN para uma aplicação, consulte localizar um nome de família de pacotes para VPN por aplicação.To learn how to find the PFN for an app, see Find a package family name for per-app VPN. TodasAll
Importante

Recomendamos que proteja todas as listas de aplicações associadas que compilar para utilização na configuração da VPN por aplicação.We recommend that you secure all lists of associated apps that you compile for use in configuration of per-app VPN. Se a sua lista de alterações de um utilizador não autorizado e importe-o à lista de aplicações VPN por aplicação, irá autorizar potencialmente o acesso VPN para aplicações que não devem ter acesso.If an unauthorized user changes your list and you import it to the per-app VPN app list, you will potentially authorize VPN access to apps that should not have access. Uma forma de proteger as listas de aplicação é utilizar uma lista de controlo de acesso (ACL).One way you can secure app lists is by using an access control list (ACL).

  1. No método de autenticação página do assistente, especifique:On the Authentication Method page of the wizard, specify:

    • Método de autenticação: Selecione o método de autenticação que será utilizado pela ligação VPN.Authentication method: Select the authentication method that the VPN connection will use. Métodos disponíveis dependem do tipo de ligação conforme mostrado nesta tabela.Available methods depend on the connection type as shown in this table.

      Método de AutenticaçãoAuthentication method Suportado ligação tiposSupported connection types
      CertificadosCertificates

      Notas:Notes:
      • Se o certificado de cliente efetua a autenticação para um servidor RADIUS, como um servidor de políticas de rede, tem de definir o nome alternativo do requerente no certificado para o nome Principal de utilizador.If the client certificate authenticates to a RADIUS server, like a Network Policy Server, the Subject Alternative Name in the certificate must be set to the User Principal Name.
      • Para implementações de Android, selecione o identificador EKU e o valor de hash de thumbprint do certificado emissor.For Android deployments, select the EKU identifier and the certificate issuer thumbprint hash value. Caso contrário, os utilizadores tem de selecionar o certificado adequado manualmente.Otherwise, users must select the appropriate certificate manually.
      • Cisco AnyConnectCisco AnyConnect
      • Pulse SecurePulse Secure
      • F5 Edge ClientF5 Edge Client
      • Dell SonicWALL Mobile ConnectDell SonicWALL Mobile Connect
      • VPN Móvel do Ponto de VerificaçãoCheck Point Mobile VPN
      Nome de Utilizador e Palavra-passeUsername and Password
      • Pulse SecurePulse Secure
      • F5 Edge ClientF5 Edge Client
      • Dell SonicWALL Mobile ConnectDell SonicWALL Mobile Connect
      • VPN Móvel do Ponto de VerificaçãoCheck Point Mobile VPN
      Microsoft EAP-TTLSMicrosoft EAP-TTLS
      • Microsoft SSL (SSTP)Microsoft SSL (SSTP)
      • Microsoft AutomaticMicrosoft Automatic
      • PPTPPPTP
      • IKEv2IKEv2
      • L2TPL2TP
      EAP (PEAP) protegido da MicrosoftMicrosoft protected EAP (PEAP)
      • Microsoft SSL (SSTP)Microsoft SSL (SSTP)
      • Microsoft AutomaticMicrosoft Automatic
      • IKEv2IKEv2
      • PPTPPPTP
      • L2TPL2TP
      Microsoft protegida por palavra-passe (EAP-MSCHAP v2)Microsoft secured password (EAP-MSCHAP v2)
      • Microsoft SSL (SSTP)Microsoft SSL (SSTP)
      • Microsoft AutomaticMicrosoft Automatic
      • IKEv2IKEv2
      • PPTPPPTP
      • L2TPL2TP
      Smart Card ou outro certificadoSmart Card or other certificate
      • Microsoft SSL (SSTP)Microsoft SSL (SSTP)
      • Microsoft AutomaticMicrosoft Automatic
      • IKEv2IKEv2
      • PPTPPPTP
      • L2TPL2TP
      MSCHAP v2MSCHAP v2
      • Microsoft SSL (SSTP)Microsoft SSL (SSTP)
      • Microsoft AutomaticMicrosoft Automatic
      • IKEv2IKEv2
      • PPTPPPTP
      • L2TPL2TP
      RSA SecurID (apenas para iOS)RSA SecurID (iOS only)
      • Microsoft SSL (SSTP)Microsoft SSL (SSTP)
      • Microsoft AutomaticMicrosoft Automatic
      • PPTPPPTP
      • L2TPL2TP
      Utilizar certificados de computadorUse machine certificates
      • IKEv2IKEv2

      Consoante as opções selecionadas, poderá ser-lhe pedido para especificar a obter mais informações, como:Depending on the selected options, you might be asked to specify more information, like:

      • Lembrar as credenciais de utilizador em cada início de sessão: As credenciais de utilizador são memorizadas, para que os utilizadores não têm introduzi-las sempre que se ligam.Remember the user credentials at each logon: User credentials are remembered so that users don't have to enter them each time they connect.

      • Selecione um certificado de cliente para autenticação de cliente: Selecione o cliente criado anteriormente certificado de SCEP que será utilizado para autenticar a ligação VPN.Select a client certificate for client authentication: Select the previously created client SCEP certificate that will be used to authenticate the VPN connection.

        Nota

        Para dispositivos iOS, o perfil SCEP que selecionar será incorporado no perfil da VPN.For iOS devices, the SCEP profile that you select will be embedded in the VPN profile. Para outras plataformas, é adicionada uma regra de aplicabilidade para assegurar que o perfil VPN não está instalado se o certificado não está presente ou não está em conformidade.For other platforms, an applicability rule is added to ensure that the VPN profile is not installed if the certificate is not present or is not compliant.

        Se o certificado SCEP que especificou não está em conformidade ou não foi implementado, em seguida, o perfil VPN não será instalado no dispositivo.If the SCEP certificate that you specify is not compliant or has not been deployed, then the VPN profile will not be installed on the device.

        Os dispositivos que executam o iOS suportam apenas SecurID de RSA e MSCHAP v2 para o método de autenticação quando o tipo de ligação for PPTP.Devices that run iOS support only RSA SecurID and MSCHAP v2 for the authentication method when the connection type is PPTP. Para evitar erros de relatório, implemente um perfil VPN PPTP separado para dispositivos com iOS.To avoid reporting errors, deploy a separate PPTP VPN profile to devices that run iOS.

      • Acesso condicionalConditional access

        • Escolha ativar o acesso condicional para esta ligação VPN para se certificar de que os dispositivos que ligam à VPN são testados para compatibilidade de acesso condicional, antes de ligar.Choose Enable conditional access for this VPN connection to ensure that devices that connect to the VPN are tested for conditional access compliance before connecting. Políticas de conformidade são descritas nas políticas de conformidade de dispositivos no System Center Configuration Manager.Compliance policies are described in Device compliance policies in System Center Configuration Manager.
        • Escolha ativar início de sessão único (SSO) com certificado alternativo para escolher um certificado que não seja o certificado de autenticação VPN para conformidade do dispositivo.Choose Enable single sign-on (SSO) with alternate certificate to choose a certificate other than the VPN Authentication certificate for device compliance. Se escolher esta opção, forneça o EKU (lista de valores separados por vírgulas) e Hash de emissor, para o certificado correto que o cliente VPN deve localizar.If you choose this option, provide the EKU (comma-separated list) and Issuer Hash, for the correct certificate that the VPN client should locate.
        • Para Windows Information Protection, forneça a geridas por empresas identidade empresarial, que é normalmente domínio principal da sua organização, por exemplo, contoso.com.For Windows Information Protection, provide the enterprise-managed corporate identity, which is usually your organization's primary domain, for example, contoso.com. Pode especificar vários domínios que a organização é proprietária, separando-as com o "|" carateres.You can specify multiple domains that you organization owns by separating them with the "|" character. Por exemplo, contoso.com|newcontoso.com.For example, contoso.com|newcontoso.com.
          Para mais informações sobre o Windows Information Protection, consulte criar uma política de proteção de informações do Windows (WIP) através do Microsoft Intune.For more about Windows Information Protection, see Create a Windows Information Protection (WIP) policy using Microsoft Intune.

        Configurar o acesso condicional para VPN

        Quando suportado pela versão do Windows que executa o Configuration Manager e o método de autorização selecionada, pode escolher configurar para abrir a caixa de diálogo de propriedades do Windows e configurar as propriedades do método de autenticação.When supported by the version of Windows that runs Configuration Manager and the selected authorization method, you can choose Configure to open the Windows properties dialog box and configure authentication method properties. Se configurar está desativada, utilize um meio diferente para configurar as propriedades do método de autenticação.If Configure is disabled, use a different means to configure authentication method properties.

  2. No as definições de Proxy página do VPN Assistente para criar perfil, verifique o configurar definições de proxy para este perfil VPN caixa se a ligação VPN utilizar um servidor proxy.On the Proxy Settings page of the Create VPN Profile Wizard, check the Configure proxy settings for this VPN profile box if your VPN connection uses a proxy server. Em seguida, forneça o proxy de informações do servidor.Then, provide the proxy server information. Para obter mais informações, consulte a documentação do Windows Server.For more information, see the Windows Server documentation.

    Nota

    Em computadores Windows 8.1, o perfil VPN não irá mostrar as informações de proxy até que o se ligar à VPN utilizando esse computador.On Windows 8.1 computers, the VPN profile will not show the proxy information until you connect to the VPN by using that computer.

  3. Configure definições DNS adicionais (se necessário).Configure further DNS settings (if required).
    No configurar ligação VPN automática página, pode configurar o seguinte:On the Configure Automatic VPN connection page, you can configure the following:

    • Ativar VPN a pedido: Utilize se pretender configurar mais definições de DNS para dispositivos Windows Phone 8.1.Enable VPN on-demand: Use if you want to configure more DNS settings for Windows Phone 8.1 devices. Esta definição só se aplica a dispositivos Windows Phone 8.1 e só deve ser ativada em perfis VPN que vão ser implementado em dispositivos Windows Phone 8.1.This setting applies only to Windows Phone 8.1 devices and should only be enabled on VPN profiles that are going to be deployed to Windows Phone 8.1 devices.

    • Lista de sufixos DNS (apenas para dispositivos Windows Phone 8.1): Configura domínios que irão estabelecer uma ligação VPN.DNS Suffix list (Windows Phone 8.1 devices only): Configures domains that will establish a VPN connection. Para cada domínio que especificar, adicione o sufixo DNS, o endereço do servidor DNS e uma das seguintes ações a pedido:For each domain that you specify, add the DNS suffix, the DNS server address, and one of the following on-demand actions:

      • Nunca estabelecer: Nunca abra uma ligação VPN.Never establish: Never open a VPN connection.

      • Estabelecer se necessário: Apenas abra uma ligação VPN se o dispositivo tem de se ligar aos recursos.Establish if needed: Only open a VPN connection if the device needs to connect to resources.

      • Estabelecer sempre: Abra sempre a ligação VPN.Always establish: Always open the VPN connection.

    • Intercalar: Copia todos os sufixos DNS que configurou para o lista de redes fidedignas.Merge: Copies all DNS suffixes that you configured to the Trusted network list.

    • Lista de redes fidedignas (apenas para dispositivos Windows Phone 8.1): Especifique um sufixo DNS em cada linha.Trusted network list (Windows Phone 8.1 devices only): Specify one DNS suffix on each line. Se o dispositivo estiver numa rede fidedigna, a ligação VPN não será aberta.If the device is in a trusted network, the VPN connection will not be opened.

    • Lista de pesquisa de sufixos (apenas para dispositivos Windows Phone 8.1): Especifique um sufixo DNS em cada linha.Suffix search list (Windows Phone 8.1 devices only): Specify one DNS suffix on each line. Cada sufixo DNS será procurado ao ligar a um Web site utilizando um nome abreviado.Each DNS suffix will be searched when connecting to a website by using a short name.

      Por exemplo, pode especificar os sufixos DNS, dominio1.contoso.com e dominio2.contoso.come, em seguida, avance para o URL http://mywebsite.For example, you specify the DNS suffixes, domain1.contoso.com and domain2.contoso.com, and then go to the URL http://mywebsite. Serão procurados os seguintes endereços:The following addresses will be searched:

    • http://omeusite.dominio1.contoso.comhttp://mywebsite.domain1.contoso.com

    • http://omeusite.dominio2.contoso.comhttp://mywebsite.domain2.contoso.com

      Nota

      Apenas para dispositivos Windows Phone 8.1For Windows Phone 8.1 devices only

      Quando o enviar fego de rede através da ligação VPN opção está selecionada e a ligação VPN utiliza túneis completos, a ligação VPN abre automaticamente com o primeiro perfil de dispositivo.When the Send all network traffic through the VPN connection option is selected and the VPN connection uses full tunneling, the VPN connection automatically opens using the first device profile. Para abrir uma ligação com um perfil diferente, defina o perfil pretendido como predefinição.To open a connection with a different profile, set the desired profile as the default.

      Quando o enviar fego de rede através da ligação VPN opção é não selecionado e a ligação VPN utiliza a divisão de túnel, as ligações VPN aberta automaticamente para rotas configuradas ou sufixos DNS específico da ligação.When the Send all network traffic through the VPN connection option is not selected and the VPN connection uses split-tunneling, VPN connections open automatically for configured routes or connection-specific DNS suffixes.

  4. No plataformas suportadas página do VPN Assistente para criar perfil, selecione os sistemas operativos nos quais o perfil VPN será instalado ou escolha Selecionar tudo para instalar o perfil da VPN em todos os sistemas operativos disponíveis.On the Supported Platforms page of the Create VPN Profile Wizard, select the operating systems on which the VPN profile will be installed, or choose Select all to install the VPN profile on all available operating systems.

  5. Conclua o assistente.Finish the wizard. O perfis VPN no nó de ativos e compatibilidade área de trabalho mostra o novo perfil VPN.The VPN Profiles node in the Assets and Compliance workspace shows the new VPN profile.

Implementar: Consulte implementar Wi-Fi, VPN, e-mail e perfis de certificado para obter mais informações sobre como implementar perfis VPN.Deploy: See Deploy Wi-Fi, VPN, email, and certificate profiles for more about how to deploy VPN profiles.

Passos seguintesNext steps

Utilize os tópicos seguintes para o ajudar a planear, configurar, operar e manter perfis VPN no Configuration Manager.Use the following topics to help you plan for, set up, operate, and maintain VPN profiles in Configuration Manager.