Creación de perfiles de VPN para conectarse a servidores VPN en Intune

Importante

El 22 de octubre de 2022, Microsoft Intune finaliza la compatibilidad con dispositivos que ejecutan Windows 8.1. Después de esa fecha, la asistencia técnica y las actualizaciones automáticas en estos dispositivos no estarán disponibles. Para obtener más información, vaya a Plan for Change: Ending support for Windows 8.1 (Plan for Change: Ending support for Windows 8.1).

Si actualmente usa Windows 8.1, se recomienda pasar a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos cliente Windows 10/11. Para obtener más información, vaya a Finalización de la compatibilidad con Windows 7 y Windows 8.1.

Las redes privadas virtuales (VPN) ofrecen a los usuarios acceso remoto seguro a la red de la empresa. Los dispositivos usan un perfil de conexión VPN para iniciar una conexión con el servidor VPN. Los perfiles de VPN en Microsoft Intune asignan la configuración de VPN en los usuarios y los dispositivos de la organización. Use esta configuración para que los usuarios puedan conectarse de forma fácil y segura a la red de la organización.

Esta característica se aplica a:

  • Administrador de dispositivos Android

  • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo

  • iOS/iPadOS

  • macOS

  • Windows 10

  • Windows 11

    Importante

    En el caso de los dispositivos Windows 11, hay un problema entre el cliente de Windows 11 y el CSP de VPNv2 de Windows. Un dispositivo con uno o varios perfiles de VPN de Intune pierde su conectividad VPN cuando el dispositivo procesa varios cambios en los perfiles de VPN del dispositivo simultáneamente. Cuando el dispositivo se registra con Intune por segunda vez, procesa los cambios del perfil de VPN y se restaura la conectividad.

    Los siguientes cambios pueden provocar una pérdida de funcionalidad de VPN:

    • Cambios en un perfil de VPN procesado previamente por el dispositivo Windows 11. Esta acción elimina el perfil original y aplica el perfil actualizado.
    • Dos nuevos perfiles VPN se aplican al dispositivo al mismo tiempo.
    • Se quita un perfil de VPN activo al mismo tiempo que se asigna un nuevo perfil de VPN.

    Este problema no se aplica cuando:

    • Un dispositivo Windows 11 no tiene asignado un perfil de VPN existente y recibe un perfil de VPN de Intune.
    • Dispositivos Windows 11 con un perfil de VPN asignado y a los que se les asigna otro perfil de VPN sin ningún otro cambio de perfil.
    • Un dispositivo Windows 10 se actualiza a Windows 11 y, si no hay cambios en los perfiles de VPN de ese dispositivo. Después de la actualización a Windows 11, cualquier cambio en los perfiles de VPN de los dispositivos o la adición de nuevos perfiles de VPN desencadenará el problema.

    Este problema y esta advertencia permanecen hasta que Windows actualiza el cliente de Windows 11 que resuelve este problema.

  • Windows 8.1 y versiones posteriores

Por ejemplo, quiere configurar todos los dispositivos iOS/iPadOS con las opciones de configuración necesarias para conectarse a un recurso compartido de archivos de la red de la empresa. Cree un perfil de VPN que incluya estas opciones de configuración. Asigne este perfil a todos los usuarios que tengan dispositivos iOS/iPadOS. Los usuarios verán la conexión VPN en la lista de redes disponibles y podrán conectarse con un esfuerzo mínimo.

En este artículo se enumeran las aplicaciones de VPN que puede usar, se muestra cómo crear un perfil de VPN y se incluyen instrucciones para proteger los perfiles de VPN. Debe implementar la aplicación de VPN antes de crear el perfil de VPN. Si necesita ayuda para implementar aplicaciones con Microsoft Intune, consulte ¿Qué es la administración de aplicaciones en Microsoft Intune?.

Antes de empezar

Tipos de conexión VPN

Importante

Para poder usar perfiles de VPN asignados a un dispositivo, debe instalar la aplicación de VPN para el perfil. Para ayudarle a asignar la aplicación mediante Intune, consulte Incorporación de aplicaciones a Microsoft Intune.

Puede crear perfiles de VPN mediante los siguientes tipos de conexión:

  • Automático

    • Windows 10/11
  • Check Point Capsule VPN

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise: use la directiva de configuración de aplicaciones
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Cisco AnyConnect

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
  • Cisco (IPsec)

    • iOS/iPadOS
  • SSO de Citrix

  • VPN personalizada

    • iOS/iPadOS
    • macOS

    Cree perfiles de VPN personalizados usando la configuración de URI de Crear un perfil con una configuración personalizada.

  • F5 Access

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10/11
  • L2TP

    • Windows 10/11
  • Microsoft Tunnel

    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo.
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise.

    Importante

    Para Android, a partir del 14 de junio de 2021, tanto la aplicación de túnel independiente como el tipo de conexión de cliente independiente están en desuso y dejan de ser compatibles después del 26 de octubre de 2021.

  • Microsoft Tunnel

    • iOS/iPadOS
  • Microsoft Tunnel (cliente independiente) (versión preliminar)

    • iOS/iPadOS

    Importante

    Prepararse para el cambio. Desde el 29 de abril de 2022, tanto el tipo de conexión de Microsoft Tunnel como Microsoft Defender para punto de conexión como la aplicación cliente de túnel han pasado a estar disponibles de manera general. Con esta disponibilidad general, el uso del tipo de conexión de Microsoft Tunnel (cliente independiente)(versión preliminar) y la aplicación cliente de túnel independiente están en desuso y pronto dejarán de ser compatibles.

    • El 29 de julio de 2022, la aplicación cliente de túnel independiente ya no estará disponible para su descarga. Solo la versión disponible de manera general de Microsoft Defender para punto de conexión estará disponible como aplicación cliente de túnel.
    • El 1 de agosto de 2022, el tipo de conexión Microsoft Tunnel (cliente independiente) (versión preliminar) dejará de conectarse a Microsoft Tunnel.

    Para evitar una interrupción en el servicio de Microsoft Tunnel, planee migrar el uso de la aplicación cliente de túnel en desuso y el tipo de conexión a los que ya están disponibles con carácter general.

  • NetMotion Mobility

    • Dispositivos de propiedad personal de Android Enterprise con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10/11
  • Pulse Secure

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1
  • SonicWall Mobile Connect

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Zscaler

Creación del perfil

  1. Inicie sesión en el centro de administración de Microsoft Endpoint Manager.

  2. Seleccione Dispositivos>Perfiles de configuración>Crear perfil.

  3. Escriba las propiedades siguientes:

    • Plataforma: seleccione la plataforma de los dispositivos. Las opciones son:
      • Administrador de dispositivos Android
      • Android Enterprise>Perfil de trabajo de propiedad corporativa, dedicado y totalmente administrado
      • Android Enterprise>Perfil de trabajo de propiedad personal
      • iOS/iPadOS
      • macOS
      • Windows 10 y versiones posteriores
      • Windows 8.1 y versiones posteriores
    • Perfil: seleccione VPN. O bien, seleccione Plantillas>VPN.
  4. Seleccione Crear.

  5. En Básico, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el perfil. Asígneles un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante. Por ejemplo, un buen nombre de perfil sería Perfil de VPN para toda la empresa.
    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.
  6. Seleccione Siguiente.

  7. En Opciones de configuración, las opciones que puede configurar serán diferentes, según la plataforma que haya elegido. Seleccione la plataforma en la configuración detallada:

  8. Seleccione Siguiente.

  9. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vea Usar control de acceso basado en rol (RBAC) y etiquetas de ámbito.

    Seleccione Siguiente.

  10. En Asignaciones, seleccione el usuario o los grupos que van a recibir el perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

    Seleccione Siguiente.

  11. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

Protección de los perfiles de VPN

Los perfiles de VPN pueden usar muchos tipos distintos de conexiones y protocolos de diferentes fabricantes. Estas conexiones suelen protegerse con los siguientes métodos.

Certificados

Al crear el perfil de VPN, elija un perfil de certificado SCEP o PKCS que haya creado previamente en Intune. Este perfil se conoce como el certificado de identidad. Se usa para autenticar con un perfil de certificado de confianza (o un certificado raíz) que se crea para que el dispositivo del usuario pueda conectarse. El certificado de confianza se asigna al equipo que autentica la conexión VPN, por lo general, el servidor de VPN.

Si usa la autenticación basada en certificados para el perfil de VPN, implemente el perfil de VPN, el de certificado y el perfil raíz de confianza en los mismos grupos. Esta asignación garantiza que cada dispositivo pueda reconocer la legitimidad de la entidad de certificación.

Para obtener más información sobre cómo crear y usar perfiles de certificado en Intune, consulte Configuración de certificados con Microsoft Intune.

Nota:

No se admiten los certificados agregados con el perfil del certificado PKCS importado para la autenticación de VPN. Se admiten los certificados agregados mediante el perfil de los certificados PKCS para la autenticación de VPN.

Nombre de usuario y contraseña

El usuario se autentica en el servidor de VPN proporcionando el nombre de usuario y la contraseña, o bien las credenciales derivadas.

Siguientes pasos