Creación de perfiles de VPN para conectarse a servidores VPN en Intune

Importante

El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.

Si actualmente usa Windows 8.1, se recomienda pasar a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos cliente Windows 10/11.

Importante

Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 30 de agosto de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

Las redes privadas virtuales (VPN) ofrecen a los usuarios acceso remoto seguro a la red de la empresa. Los dispositivos usan un perfil de conexión VPN para iniciar una conexión con el servidor VPN. Los perfiles de VPN en Microsoft Intune asignan la configuración de VPN en los usuarios y los dispositivos de la organización. Use esta configuración para que los usuarios puedan conectarse de forma fácil y segura a la red de la organización.

Esta característica se aplica a:

• Administrador de dispositivos Android
• Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
• iOS/iPadOS
• macOS
• Windows 10
• Windows 11
• Windows 8.1 y versiones posteriores

Por ejemplo, quiere configurar todos los dispositivos iOS/iPadOS con las opciones de configuración necesarias para conectarse a un recurso compartido de archivos de la red de la empresa. Cree un perfil de VPN que incluya estas opciones de configuración. Asigne este perfil a todos los usuarios que tengan dispositivos iOS/iPadOS. Los usuarios verán la conexión VPN en la lista de redes disponibles y podrán conectarse con un esfuerzo mínimo.

En este artículo se enumeran las aplicaciones de VPN que puede usar, se muestra cómo crear un perfil de VPN y se incluyen instrucciones para proteger los perfiles de VPN. Debe implementar la aplicación de VPN antes de crear el perfil de VPN. Si necesita ayuda para implementar aplicaciones mediante Microsoft Intune, vaya a ¿Qué es la administración de aplicaciones en Microsoft Intune?.

Antes de empezar

• Los perfiles de VPN para un túnel de dispositivo son compatibles con Windows 10/11 Enterprise multisesión escritorios remotos.

• Si usa la autenticación basada en certificados para el perfil de VPN, implemente el perfil de VPN, el de certificado y el perfil raíz de confianza en los mismos grupos. Este paso garantiza que cada dispositivo pueda reconocer la legitimidad de la entidad de certificación. Para obtener más información, vaya a Configuración de certificados con Microsoft Intune.

• La inscripción de usuarios para iOS/iPadOS y macOS solo admite VPN por aplicación.

• Puede usar directivas de configuración personalizadas de Intune para crear perfiles de VPN para las siguientes plataformas:

  • Android 4 y versiones posteriores
  • Dispositivos inscritos que ejecutan Windows 8.1 y versiones posteriores
  • Dispositivos inscritos que ejecutan Windows 10/11
  • Windows Holographic for Business

• En Windows 11 dispositivos, hay un problema entre el cliente Windows 11 y el CSP de VPNv2 de Windows.

  Un dispositivo con uno o varios perfiles de VPN de Intune pierde su conectividad VPN cuando el dispositivo procesa varios cambios en los perfiles de VPN del dispositivo simultáneamente. Cuando el dispositivo se registra con Intune por segunda vez, procesa los cambios del perfil de VPN y se restaura la conectividad.

  Los siguientes cambios pueden provocar una pérdida de funcionalidad de VPN:

  • Puede cambiar o actualizar un perfil de VPN existente que el dispositivo Windows 11 procesó anteriormente. Esta acción elimina el perfil original y aplica el perfil actualizado.
  • Dos nuevos perfiles VPN se aplican al dispositivo al mismo tiempo.
  • Se quita un perfil de VPN activo al mismo tiempo que se asigna un nuevo perfil de VPN.

  Este problema no se aplica y la conectividad VPN permanece en los siguientes escenarios:

  • Un dispositivo Windows 11 no tiene asignado un perfil de VPN existente y los dispositivos reciben un perfil de VPN Intune.

  • Windows 11 dispositivos tienen asignado un perfil de VPN existente y se les asigna otro perfil de VPN sin ningún otro cambio de perfil.

  • Un dispositivo Windows 10 se actualiza a Windows 11 y no hay cambios en los perfiles de VPN de ese dispositivo. Después de la actualización a Windows 11, cualquier cambio en los perfiles de VPN de los dispositivos o la adición de nuevos perfiles de VPN desencadenará el problema.

  • Windows 11 requiere lo siguiente:

    • Se configuran todos los parámetros de asociación de seguridad de IKE y los parámetros de asociación de seguridad secundaria.

      O

    • No se configura ninguno de los parámetros de asociación de seguridad de IKE ni los parámetros de asociación de seguridad secundaria

    Si solo configura uno de los parámetros de asociación de seguridad de IKE o parámetros de asociación de seguridad secundaria , se pierde la funcionalidad de VPN.

Paso 1: Implementación de la aplicación VPN

Para poder usar perfiles de VPN asignados a un dispositivo, debe instalar la aplicación VPN. Esta aplicación VPN se conecta al servidor VPN.

Hay diferentes aplicaciones VPN disponibles. En los dispositivos de usuario, implementará la aplicación VPN que usa su organización. Una vez implementada la aplicación VPN, cree e implemente un perfil de configuración de dispositivo VPN que configure la configuración del servidor VPN, incluido el nombre del servidor VPN (o FQDN) y el método de autenticación.

Algunas plataformas y aplicaciones VPN requieren una directiva de configuración de aplicaciones para preconfigurar la aplicación VPN, en lugar de un perfil de configuración de dispositivo VPN. En esta sección también se enumeran las plataformas y las aplicaciones VPN que deben usar una directiva de configuración de aplicaciones.

Para ayudarle a asignar la aplicación mediante Intune, vaya a Agregar aplicaciones para Microsoft Intune.

Tipos de conexión VPN

Puede crear perfiles de VPN mediante los siguientes tipos de conexión VPN:

• Automático

  • Windows 10/11

• Check Point Capsule VPN

  • Administrador de dispositivos Android
  • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
  • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise: use la directiva de configuración de aplicaciones
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• Cisco AnyConnect

  • Administrador de dispositivos Android
  • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
  • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11

• Cisco (IPsec)

  • iOS/iPadOS

• SSO de Citrix

  • Administrador de dispositivos Android
  • Dispositivos de propiedad personal de Android Enterprise con un perfil de trabajo: use la directiva de configuración de aplicaciones
  • Perfiles de trabajo de propiedad corporativa y totalmente administrados de Android Enterprise: use directivas de configuración de aplicaciones
  • iOS/iPadOS
  • Windows 10/11

• VPN personalizada

  • iOS/iPadOS
  • macOS

  Cree perfiles de VPN personalizados usando la configuración de URI de Crear un perfil con una configuración personalizada.

• F5 Access

  • Administrador de dispositivos Android
  • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
  • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• IKEv2

  • iOS/iPadOS
  • Windows 10/11

• L2TP

  • Windows 10/11

• Microsoft Tunnel

  • Dispositivos de propiedad personal de Android Enterprise con un perfil de trabajo
  • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
  • iOS/iPadOS

• NetMotion Mobility

  • Dispositivos de propiedad personal de Android Enterprise con un perfil de trabajo
  • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
  • iOS/iPadOS
  • macOS

• Palo Alto Networks GlobalProtect

  • Dispositivos de propiedad personal de Android Enterprise con un perfil de trabajo: use la directiva de configuración de aplicaciones
  • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise: use la directiva de configuración de aplicaciones
  • iOS/iPadOS
  • Windows 10/11

• PPTP

  • Windows 10/11

• Pulse Secure

  • Administrador de dispositivos Android
  • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
  • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
  • iOS/iPadOS
  • Windows 10/11
  • Windows 8.1

• SonicWall Mobile Connect

  • Administrador de dispositivos Android
  • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
  • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• Zscaler

  • Dispositivos de propiedad personal de Android Enterprise con un perfil de trabajo: use la directiva de configuración de aplicaciones
  • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise: use la directiva de configuración de aplicaciones
  • iOS/iPadOS

Paso 2: Create el perfil

Una vez asignada la aplicación VPN al dispositivo, este paso siguiente crea la directiva de configuración del dispositivo que configura la conexión VPN. Si el tipo de conexión de la aplicación VPN usa una directiva de configuración de aplicaciones para configurar la aplicación, omita este paso.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. SeleccioneConfiguración de>dispositivos>Create.

3. Escriba las propiedades siguientes:

   • Plataforma: seleccione la plataforma de los dispositivos. Las opciones son:
     • Administrador de dispositivos Android
     • Android Enterprise>Perfil de trabajo de propiedad corporativa, dedicado y totalmente administrado
     • Android Enterprise>Perfil de trabajo de propiedad personal
     • iOS/iPadOS
     • macOS
     • Windows 10 y versiones posteriores
     • Windows 8.1 y versiones posteriores
   • Tipo de perfil: seleccione VPN. O bien, seleccione Plantillas>VPN.

4. Seleccione Crear.

5. En Básico, escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para el perfil. Asígneles un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante. Por ejemplo, un buen nombre de perfil sería Perfil de VPN para toda la empresa.
   • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.

6. Seleccione Siguiente.

7. En Opciones de configuración, las opciones que puede configurar serán diferentes, según la plataforma que haya elegido. Seleccione la plataforma en la configuración detallada:

   • Administrador de dispositivos Android
   • Android Enterprise
   • iOS/iPadOS
   • macOS
   • Windows 10 (incluido Windows Holographic for Business)
   • Windows 8.1

8. Seleccione Siguiente.

9. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vaya a Uso de RBAC y etiquetas de ámbito para TI distribuida.

   Seleccione Siguiente.

10. En Asignaciones, seleccione el usuario o los grupos que reciben el perfil. Para obtener más información sobre la asignación de perfiles, vaya a Asignación de perfiles de usuario y dispositivo.

    Seleccione Siguiente.

11. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

Protección de los perfiles de VPN

Los perfiles de VPN pueden usar muchos tipos distintos de conexiones y protocolos de diferentes fabricantes. Estas conexiones suelen protegerse con los siguientes métodos.

Certificados

Al crear el perfil de VPN, elija un perfil de certificado SCEP o PKCS que haya creado previamente en Intune. Este perfil se conoce como el certificado de identidad. Se usa para autenticar con un perfil de certificado de confianza (o un certificado raíz) que se crea para que el dispositivo del usuario pueda conectarse. El certificado de confianza se asigna al equipo que autentica la conexión VPN, por lo general, el servidor de VPN.

Si usa la autenticación basada en certificados para el perfil de VPN, implemente el perfil de VPN, el de certificado y el perfil raíz de confianza en los mismos grupos. Esta asignación garantiza que cada dispositivo pueda reconocer la legitimidad de la entidad de certificación.

Para obtener más información sobre cómo crear y usar perfiles de certificado en Intune, vaya a Configuración de certificados con Microsoft Intune.

Nota:

No se admiten los certificados agregados con el perfil del certificado PKCS importado para la autenticación de VPN. Se admiten los certificados agregados mediante el perfil de los certificados PKCS para la autenticación de VPN.

Nombre de usuario y contraseña

El usuario se autentica en el servidor de VPN proporcionando el nombre de usuario y la contraseña, o bien las credenciales derivadas.

Siguientes pasos

• Asigne el perfil y supervise el estado.
• También puede crear y usar instancias de VPN por aplicación en dispositivos de administrador de dispositivos Android/Android Enterprise y iOS/iPadOS.