Configuración del dispositivo Android Enterprise para configurar VPN en Intune
En este artículo se describen las distintas configuraciones de conexión VPN que puede controlar en dispositivos Android Enterprise. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para crear una conexión VPN, elegir cómo se autentica la VPN, seleccionar un tipo de servidor VPN y mucho más.
Esta característica se aplica a:
- Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo (BYOD)
- Perfil de trabajo corporativo de Android Enterprise (COPE)
- Dispositivos Android Enterprise de propiedad corporativa totalmente administrados (COBO)
- Dispositivos Android Enterprise dedicados de propiedad corporativa (COSU)
Como administrador de Intune, puede crear y asignar la configuración de VPN a dispositivos Android Enterprise. Para más información sobre los perfiles de VPN en Intune, consulte Perfiles de VPN.
Nota:
Para configurar vpn always-on, debe:
- Cree un perfil de VPN con la información de conexión, como se describe en este artículo.
- Cree un perfil de restricciones de dispositivo con la configuración vpn always-on configurada.
- Asigne ambos perfiles a los grupos.
Antes de empezar
Cree un perfil de configuración de dispositivo VPN de Android Enterprise:
- Perfil de trabajo totalmente administrado, dedicado y corporativo
- Perfil de trabajo de propiedad personal
-
Es posible que algunos servicios de Microsoft 365, como Outlook, no funcionen bien con VPN de terceros o asociados. Si usa una VPN de terceros o asociados y experimenta un problema de latencia o rendimiento, quite la VPN.
Si al quitar la VPN se resuelve el comportamiento, puede hacer lo siguiente:
- Trabaje con la VPN de terceros o asociados para posibles resoluciones. Microsoft no proporciona soporte técnico para VPN de terceros o asociados.
- No use una VPN con tráfico de Outlook.
- Si necesita usar una VPN, use una VPN de túnel dividido. Además, permita que el tráfico de Outlook omita la VPN.
Para obtener más información, vaya a:
- Información general: Túnel dividido de VPN para Microsoft 365
- Uso de soluciones o dispositivos de red de terceros con Microsoft 365
- Formas alternativas para que los profesionales de seguridad y TI logren controles de seguridad modernos en el blog de escenarios de trabajo remoto únicos de hoy en día
- Principios de conectividad de red de Microsoft 365
Si necesita que estos dispositivos accedan a los recursos locales mediante la autenticación moderna y el acceso condicional, puede usar Microsoft Tunnel, que admite la tunelización dividida.
Perfil de trabajo totalmente administrado, dedicado y Corporate-Owned
Tipo de conexión: seleccione el tipo de conexión VPN. Las opciones son:
- Cisco AnyConnect
- SonicWall Mobile Connect
- F5 Access
- Pulse Secure
- Microsoft Tunnel (no se admite en dispositivos dedicados de Android Enterprise).
La configuración disponible depende del cliente VPN que elija. Algunas opciones de configuración solo están disponibles para clientes VPN específicos.
VPN base (perfil de trabajo totalmente administrado, dedicado y corporativo)
Nombre de conexión: escriba un nombre para esta conexión. Los usuarios finales ven este nombre cuando examinan su dispositivo en busca de las conexiones VPN disponibles. Por ejemplo, escriba
Contoso VPN
.Dirección del servidor VPN o FQDN: escriba la dirección IP o el nombre de dominio completo (FQDN) del servidor VPN al que se conectan los dispositivos. Por ejemplo, escriba
192.168.1.1
ovpn.contoso.com
.Método de autenticación: elija cómo se autentican los dispositivos en el servidor VPN. Las opciones son:
Certificados: seleccione un perfil de certificado SCEP o PKCS existente que autentique la conexión. Configurar certificados muestra los pasos para crear un perfil de certificado.
Nombre de usuario y contraseña: cuando los usuarios finales inician sesión en el servidor VPN, se pide a los usuarios que escriban su nombre de usuario y contraseña.
Credencial derivada: use un certificado derivado de la tarjeta inteligente de un usuario. Si no se configura ningún emisor de credenciales derivado, Intune le pedirá que agregue uno.
Para obtener más información, consulte Uso de credenciales derivadas en Intune.
Escriba pares de clave y valor para los atributos de VPN de NetMotion Mobility: agregue o importe claves y valores que personalicen la conexión VPN. Normalmente, el proveedor de VPN proporciona estos valores.
Sitio de Microsoft Tunnel (solo Microsoft Tunnel): seleccione un sitio existente. El cliente VPN se conecta a la dirección IP pública o el FQDN de este sitio.
Para obtener más información, consulte Microsoft Tunnel para Intune.
VPN por aplicación (perfil de trabajo totalmente administrado, dedicado y corporativo)
- Agregar: seleccione aplicaciones administradas en la lista. Cuando los usuarios inician las aplicaciones que agrega, el tráfico se enruta automáticamente a través de la conexión VPN.
Para obtener más información, consulte Uso de una directiva de VPN y VPN por aplicación en dispositivos Android Enterprise.
VPN always-on (perfil de trabajo totalmente administrado, dedicado y corporativo)
VPN always-on: habilitar activa la VPN siempre activa para que los clientes VPN se conecten automáticamente y vuelvan a conectarse a la VPN cuando sea posible. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración. De forma predeterminada, la VPN siempre activa podría estar deshabilitada para todos los clientes VPN.
Solo se puede configurar un cliente VPN para una VPN siempre activa en un dispositivo. Asegúrese de que no haya más de una directiva DE VPN siempre activada implementada en un solo dispositivo.
Proxy (perfil de trabajo totalmente administrado, dedicado y corporativo)
-
Script de configuración automática: use un archivo para configurar el servidor proxy. Escriba la dirección URL del servidor proxy que incluye el archivo de configuración. Por ejemplo, escriba
http://proxy.contoso.com/pac
. -
Dirección: escriba la dirección IP o el nombre de host completo del servidor proxy. Por ejemplo, escriba
10.0.0.3
ovpn.contoso.com
. -
Número de puerto: escriba el número de puerto asociado al servidor proxy. Por ejemplo, escriba
8080
.
Perfil de trabajo de propiedad personal
Tipo de conexión: seleccione el tipo de conexión VPN. Las opciones son:
Check Point Capsule VPN
Cisco AnyConnect
Nota:
Con Cisco AnyConnect en el perfil de trabajo de propiedad personal, puede haber algunos pasos adicionales para que los usuarios finales completen la conexión VPN. Para obtener más información, vaya a Perfiles de VPN: qué aspecto tienen los perfiles de VPN correctos.
SonicWall Mobile Connect
F5 Access
Pulse Secure
NetMotion Mobility
Microsoft Tunnel
La configuración disponible depende del cliente VPN que elija. Algunas opciones de configuración solo están disponibles para clientes VPN específicos.
VPN base (perfil de trabajo de propiedad personal)
Nombre de conexión: escriba un nombre para esta conexión. Los usuarios finales ven este nombre cuando examinan su dispositivo en busca de las conexiones VPN disponibles. Por ejemplo, escriba
Contoso VPN
.Dirección del servidor VPN: escriba la dirección IP o el nombre de dominio completo (FQDN) del servidor VPN al que se conectan los dispositivos. Por ejemplo, escriba
192.168.1.1
ovpn.contoso.com
.Método de autenticación: elija cómo se autentican los dispositivos en el servidor VPN. Las opciones son:
Certificados: seleccione un perfil de certificado SCEP o PKCS existente que autentique la conexión. Configurar certificados muestra los pasos para crear un perfil de certificado.
Nombre de usuario y contraseña: cuando los usuarios finales inician sesión en el servidor VPN, se pide a los usuarios que escriban su nombre de usuario y contraseña.
Credencial derivada: use un certificado derivado de la tarjeta inteligente de un usuario. Si no se configura ningún emisor de credenciales derivado, Intune le pedirá que agregue uno.
Para obtener más información, consulte Uso de credenciales derivadas en Intune.
Huella digital (solo CHECK POINT Capsule VPN): escriba la cadena de huella digital que le ha proporcionado el proveedor de VPN, como
Contoso Fingerprint Code
. Esta huella digital comprueba que el servidor VPN puede ser de confianza.Al autenticarse, se envía una huella digital al cliente para que el cliente sepa confiar en cualquier servidor que tenga la misma huella digital. Si el dispositivo no tiene la huella digital, pide al usuario que confíe en el servidor VPN mientras muestra la huella digital. El usuario comprueba manualmente la huella digital y decide confiar en la conexión.
Escriba pares de clave y valor para los atributos de VPN de NetMotion Mobility: agregue o importe claves y valores que personalicen la conexión VPN. Normalmente, el proveedor de VPN proporciona estos valores.
Sitio de Microsoft Tunnel (solo Microsoft Tunnel): seleccione un sitio existente. El cliente VPN se conecta a la dirección IP pública o el FQDN de este sitio.
Para obtener más información, consulte Microsoft Tunnel para Intune.
VPN por aplicación (perfil de trabajo de propiedad personal)
- Agregar: seleccione aplicaciones administradas en la lista. Cuando los usuarios inician las aplicaciones que agrega, el tráfico se enruta automáticamente a través de la conexión VPN.
Para obtener más información, consulte Uso de una directiva de VPN y VPN por aplicación en dispositivos Android Enterprise.
VPN always-on (perfil de trabajo de propiedad personal)
VPN always-on: habilitar activa la VPN siempre activa para que los clientes VPN se conecten automáticamente y vuelvan a conectarse a la VPN cuando sea posible. Cuando se establece en No configurado, Intune no cambia ni actualiza esta configuración. De forma predeterminada, la VPN siempre activa podría estar deshabilitada para todos los clientes VPN.
Solo se puede configurar un cliente VPN para una VPN siempre activa en un dispositivo. Asegúrese de que no haya más de una directiva DE VPN siempre activada implementada en un solo dispositivo.
Proxy (perfil de trabajo de propiedad personal)
-
Script de configuración automática: use un archivo para configurar el servidor proxy. Escriba la dirección URL del servidor proxy que incluye el archivo de configuración. Por ejemplo, escriba
http://proxy.contoso.com/pac
. -
Dirección: escriba la dirección IP o el nombre de host completo del servidor proxy. Por ejemplo, escriba
10.0.0.3
ovpn.contoso.com
. -
Número de puerto: escriba el número de puerto asociado al servidor proxy. Por ejemplo, escriba
8080
.
Artículos relacionados
Cree perfiles de VPN para el administrador de dispositivos Android, iOS/iPadOS, macOS y Windows.
Obtenga información sobre cómo solucionar problemas de perfil de VPN en Microsoft Intune.