Agregar una configuración de VPN en dispositivos iOS y iPad en Microsoft Intune

Microsoft Intune incluye muchas configuraciones de VPN que se pueden implementar en los dispositivos iOS/iPadOS. Esta configuración se usa para crear y configurar conexiones VPN a la red de su organización. En este artículo se describe esta configuración. Algunas configuraciones solo están disponibles para algunos clientes VPN, como Citrix, Zscaler y mucho más.

Esta característica se aplica a:

• iOS/iPadOS

Antes de empezar

• Cree un perfil de configuración de dispositivo VPN de iOS/iPadOS.

• Es posible que algunos servicios de Microsoft 365, como Outlook, no funcionen bien con VPN de terceros o asociados. Si usa una VPN de terceros o asociados y experimenta un problema de latencia o rendimiento, quite la VPN.

  Si al quitar la VPN se resuelve el comportamiento, puede hacer lo siguiente:

  • Trabaje con la VPN de terceros o asociados para posibles resoluciones. Microsoft no proporciona soporte técnico para VPN de terceros o asociados.
  • No use una VPN con tráfico de Outlook.
  • Si necesita usar una VPN, use una VPN de túnel dividido. Además, permita que el tráfico de Outlook omita la VPN.

  Para obtener más información, vaya a:

  • Información general: Túnel dividido de VPN para Microsoft 365
  • Uso de soluciones o dispositivos de red de terceros con Microsoft 365
  • Formas alternativas para que los profesionales de seguridad y TI logren controles de seguridad modernos en el blog de escenarios de trabajo remoto únicos de hoy en día
  • Principios de conectividad de red de Microsoft 365

• Si necesita que estos dispositivos accedan a los recursos locales mediante la autenticación moderna y el acceso condicional, puede usar Microsoft Tunnel, que admite la tunelización dividida.

Nota:

• Esta configuración está disponible para todos los tipos de inscripción excepto la inscripción de usuarios. La inscripción de usuarios está limitada a vpn por aplicación. Para obtener más información sobre los tipos de inscripción, consulte inscripción de iOS/iPadOS.

• La configuración disponible depende del cliente VPN que elija. Algunas opciones de configuración solo están disponibles para clientes VPN específicos.

• Esta configuración usa la carga de VPN de Apple (abre el sitio web de Apple).

Tipo de conexión

Seleccione el tipo de conexión VPN en la lista siguiente de proveedores:

• Check Point Capsule VPN

• Cisco Legacy AnyConnect

  Se aplica a la versión 4.0.5x y anterior de la aplicación heredada de Cisco AnyConnect.

• Cisco AnyConnect

  Se aplica a la versión 4.0.7x y posterior de la aplicación Cisco AnyConnect .

• SonicWall Mobile Connect

• F5 Access Legacy

  Se aplica a la aplicación F5 Access versión 2.1 y anteriores.

• F5 Access

  Se aplica a la versión 3.0 y posteriores de la aplicación de F5 Access.

• GlobalProtect de Palo Alto Networks (heredado)

  Se aplica a la aplicación GlobalProtect de Palo Alto Networks versión 4.1 y anteriores.

• Palo Alto Networks GlobalProtect

  Se aplica a la aplicación GlobalProtect de Palo Alto Networks versión 5.0 y posteriores.

• Pulse Secure

• Cisco (IPsec)

• Citrix VPN

• SSO de Citrix

• Zscaler

  Para usar el acceso condicional o permitir que los usuarios omitan la pantalla de inicio de sesión de Zscaler, debe integrar Zscaler Private Access (ZPA) con su cuenta de Microsoft Entra. Para obtener pasos detallados, consulte la documentación de Zscaler.

• NetMotion Mobility

• IKEv2

  La configuración de IKEv2 (en este artículo) describe las propiedades.

• Microsoft Tunnel

  Se aplica a la aplicación Microsoft Defender para punto de conexión que incluye la funcionalidad de cliente de Tunnel.

• VPN personalizada

Nota:

Cisco, Citrix, F5 y Palo Alto han anunciado que sus clientes heredados no funcionan en iOS 12 y versiones posteriores. Debe migrar a las nuevas aplicaciones lo antes posible. Para obtener más información, consulte el blog del equipo de soporte técnico de Microsoft Intune.

Configuración de VPN base

• Nombre de conexión: los usuarios finales ven este nombre cuando examinan su dispositivo para obtener una lista de conexiones VPN disponibles.

• Nombre de dominio personalizado (solo Zscaler): rellena previamente el campo de inicio de sesión de la aplicación Zscaler con el dominio al que pertenecen los usuarios. Por ejemplo, si un nombre de usuario es Joe@contoso.net, el contoso.net dominio aparece estáticamente en el campo cuando se abre la aplicación. Si no escribe un nombre de dominio, se usa la parte de dominio del UPN en Microsoft Entra ID.

• Dirección del servidor VPN: dirección IP o nombre de dominio completo (FQDN) del servidor VPN con el que se conectan los dispositivos. Por ejemplo, escriba 192.168.1.1 o vpn.contoso.com.

• Nombre de la nube de la organización (solo Zscaler): escriba el nombre de la nube donde se aprovisiona la organización. La dirección URL que se usa para iniciar sesión en Zscaler tiene el nombre.

• Método de autenticación: elija cómo se autentican los dispositivos en el servidor VPN.

  • Certificados: en Certificado de autenticación, seleccione un perfil de certificado SCEP o PKCS existente para autenticar la conexión. Configurar certificados proporciona algunas instrucciones sobre los perfiles de certificado.

  • Nombre de usuario y contraseña: los usuarios finales deben escribir un nombre de usuario y una contraseña para iniciar sesión en el servidor VPN.

    Nota:

    Si el nombre de usuario y la contraseña se usan como método de autenticación para la VPN de Cisco IPsec, deben entregar SharedSecret a través de un perfil personalizado de Apple Configurator.

  • Credencial derivada: use un certificado derivado de la tarjeta inteligente de un usuario. Si no se configura ningún emisor de credenciales derivado, Intune le pide que agregue uno. Para obtener más información, consulte Uso de credenciales derivadas en Microsoft Intune.

• Direcciones URL excluidas (solo Zscaler): cuando se conecta a la VPN de Zscaler, las direcciones URL enumeradas son accesibles fuera de la nube de Zscaler. Puede agregar hasta 50 direcciones URL.

• Tunelización dividida: habilite o deshabilite para permitir que los dispositivos decidan qué conexión usar, en función del tráfico. Por ejemplo, un usuario de un hotel usa la conexión VPN para acceder a los archivos de trabajo, pero usa la red estándar del hotel para la exploración web regular.

• Identificador de VPN (VPN personalizada, Zscaler y Citrix): identificador de la aplicación VPN que usa y el proveedor de VPN lo proporciona.

• Escriba pares clave-valor para los atributos de VPN personalizados de su organización (VPN personalizada, Zscaler y Citrix): agregue o importe claves y valores que personalicen la conexión VPN. Recuerde que el proveedor de VPN suele proporcionar estos valores.

• Habilitar el control de acceso de red (NAC) (Cisco AnyConnect, Citrix SSO, F5 Access): cuando elige Acepto, el id. de dispositivo se incluye en el perfil de VPN. Este identificador se puede usar para la autenticación en la VPN con el fin de permitir o impedir el acceso a la red.

  Cuando use Cisco AnyConnect con ISE, asegúrese de:

  • Si aún no lo ha hecho, integre ISE con Intune para NAC como se describe en Configurar Microsoft Intune como servidor MDM en la Guía del administrador del motor de Cisco Identity Services.
  • Habilite nac en el perfil vpn.

  Importante

  El servicio de control de acceso a la red (NAC) está en desuso y se reemplaza por el servicio NAC más reciente de Microsoft, que es el servicio de recuperación de cumplimiento (SERVICIO CR). Para admitir los cambios dentro de Cisco ISE, Intune cambió el formato de id. de dispositivo. Por lo tanto, los perfiles existentes con el servicio NAC original dejarán de funcionar.

  Para usar el servicio CR y evitar el tiempo de inactividad con la conexión VPN, vuelva a implementar este mismo perfil de configuración de dispositivo VPN. No se necesitan cambios en el perfil. Solo tiene que volver a implementar. Cuando el dispositivo se sincroniza con Intune servicio y recibe el perfil de configuración de VPN, los cambios del servicio CR se implementan automáticamente en el dispositivo. Además, las conexiones VPN deben seguir funcionando.

  Al usar Citrix SSO con Gateway, asegúrese de:

  • Confirme que usa Citrix Gateway 12.0.59 o superior.
  • Confirme que los usuarios tienen instalado Citrix SSO 1.1.6 o posterior en sus dispositivos.
  • Integre Citrix Gateway con Intune para NAC. Consulte la guía de implementación de Citrix Integración de Microsoft Intune/Enterprise Mobility Suite con NetScaler (escenario LDAP+OTP).
  • Habilite nac en el perfil vpn.

  Al usar F5 Access, asegúrese de:

  • Confirme que usa F5 BIG-IP 13.1.1.5 o posterior.
  • Integre BIG-IP con Intune para NAC. Consulte la guía introducción: Configuración de APM para comprobaciones de posición del dispositivo con sistemas de administración de puntos de conexión F5.
  • Habilite nac en el perfil vpn.

  Para los asociados de VPN que admiten el identificador de dispositivo, el cliente VPN, como Citrix SSO, puede obtener el identificador. A continuación, puede consultar Intune para confirmar que el dispositivo está inscrito y si el perfil de VPN es compatible o no.

  • Para quitar esta configuración, vuelva a crear el perfil y no seleccione Acepto. A continuación, reasigna el perfil.

• Escriba pares de clave y valor para los atributos de VPN de NetMotion Mobility (solo NetMotion Mobility): escriba o importe pares de clave y valor. El proveedor de VPN puede proporcionar estos valores.

• Sitio de Microsoft Tunnel (solo Microsoft Tunnel): seleccione un sitio existente. El cliente VPN se conecta a la dirección IP pública o el FQDN de este sitio.

  Para obtener más información, consulte Microsoft Tunnel para Intune.

Configuración de IKEv2

Esta configuración se aplica al elegir Tipo> de conexiónIKEv2.

• VPN always-on: habilitar establece un cliente VPN para conectarse y volver a conectarse automáticamente a la VPN. Las conexiones VPN always-on permanecen conectadas o se conectan inmediatamente cuando el usuario bloquea su dispositivo, el dispositivo se reinicia o cambia la red inalámbrica. Cuando se establece en Deshabilitar (valor predeterminado), la VPN siempre activa para todos los clientes VPN está deshabilitada. Cuando esté habilitado, configure también:

  • Interfaz de red: toda la configuración de IKEv2 solo se aplica a la interfaz de red que elija. Sus opciones:

    • Wi-Fi y telefonía móvil (valor predeterminado): la configuración de IKEv2 se aplica a las interfaces de Wi-Fi y de telefonía móvil del dispositivo.
    • Telefonía móvil: la configuración de IKEv2 solo se aplica a la interfaz de telefonía móvil del dispositivo. Seleccione esta opción si va a implementar en dispositivos con la interfaz de Wi-Fi deshabilitada o eliminada.
    • Wi-Fi: la configuración de IKEv2 solo se aplica a la interfaz de Wi-Fi del dispositivo.

  • Usuario para deshabilitar la configuración de VPN: Habilitar permite a los usuarios desactivar la VPN siempre activa. Deshabilitar (valor predeterminado) impide que los usuarios la desactiven. El valor predeterminado para esta configuración es la opción más segura.

  • Correo de voz: elija lo que sucede con el tráfico de correo de voz cuando la VPN siempre activa está habilitada. Sus opciones:

    • Forzar el tráfico de red a través de VPN (valor predeterminado): esta opción es la más segura.
    • Permitir que el tráfico de red pase fuera de VPN
    • Eliminación del tráfico de red

  • AirPrint: elija lo que sucede con el tráfico de AirPrint cuando la VPN siempre activa está habilitada. Sus opciones:

    • Forzar el tráfico de red a través de VPN (valor predeterminado): esta opción es la más segura.
    • Permitir que el tráfico de red pase fuera de VPN
    • Eliminación del tráfico de red

  • Servicios de telefonía móvil: en iOS 13.0+, elija lo que sucede con el tráfico de telefonía móvil cuando la VPN siempre activa esté habilitada. Sus opciones:

    • Forzar el tráfico de red a través de VPN (valor predeterminado): esta opción es la más segura.
    • Permitir que el tráfico de red pase fuera de VPN
    • Eliminación del tráfico de red

  • Permitir que el tráfico de las aplicaciones de redes cautivas no nativas pase fuera de VPN: una red cautiva hace referencia a Wi-Fi puntos de acceso que normalmente se encuentran en restaurantes y hoteles. Sus opciones:

    • No: fuerza todo el tráfico de aplicaciones de Redes cautivas (CN) a través del túnel VPN.
    • Sí, todas las aplicaciones: permite que todo el tráfico de la aplicación CN omita la VPN.
    • Sí, aplicaciones específicas: agregue una lista de aplicaciones CN cuyo tráfico puede omitir la VPN. Escriba los identificadores de agrupación de la aplicación CN. Por ejemplo, escriba com.contoso.app.id.package.

  • Tráfico desde la aplicación Captive Websheet para pasar fuera de VPN: Captive WebSheet es un explorador web integrado que controla el inicio de sesión cautivo. Habilitar permite que el tráfico de la aplicación del explorador omita la VPN. Deshabilitar (valor predeterminado) obliga al tráfico de WebSheet a usar la VPN siempre activa. El valor predeterminado es la opción más segura.

  • Intervalo de keepalive de traducción de direcciones de red (NAT): para mantenerse conectado a la VPN, el dispositivo envía paquetes de red para que permanezcan activos. Escriba un valor en segundos sobre la frecuencia con la que se envían estos paquetes, de 20 a 1440. Por ejemplo, escriba un valor de para enviar los paquetes de 60 red a la VPN cada 60 segundos. De forma predeterminada, este valor se establece en 110 segundos.

  • Descarga del keepalive NAT al hardware cuando el dispositivo está inactivo: cuando un dispositivo está inactivo, Habilitar (valor predeterminado) tiene NAT que envía continuamente paquetes keep-alive para que el dispositivo permanezca conectado a la VPN. Deshabilitar desactiva esta característica.

• Identificador remoto: escriba la dirección IP de red, el FQDN, UserFQDN o ASN1DN del servidor IKEv2. Por ejemplo, escriba 10.0.0.3 o vpn.contoso.com. Normalmente, escriba el mismo valor que el nombre de conexión (en este artículo). Sin embargo, depende de la configuración del servidor IKEv2.

• Identificador local: escriba el FQDN del dispositivo o el nombre común del firmante del cliente VPN IKEv2 en el dispositivo. O bien, puede dejar este valor vacío (valor predeterminado). Normalmente, el identificador local debe coincidir con la identidad del certificado de usuario o dispositivo. El servidor IKEv2 puede requerir que los valores coincidan para que pueda validar la identidad del cliente.

• Tipo de autenticación de cliente: elija cómo se autentica el cliente VPN en la VPN. Sus opciones:

  • Autenticación de usuario (valor predeterminado): las credenciales de usuario se autentican en la VPN.
  • Autenticación de máquina: las credenciales del dispositivo se autentican en la VPN.

• Método de autenticación: elija el tipo de credenciales de cliente que se van a enviar al servidor. Sus opciones:

  • Certificados: usa un perfil de certificado existente para autenticarse en la VPN. Asegúrese de que este perfil de certificado ya está asignado al usuario o dispositivo. De lo contrario, se produce un error en la conexión VPN.

    • Tipo de certificado: seleccione el tipo de cifrado utilizado por el certificado. Asegúrese de que el servidor VPN está configurado para aceptar este tipo de certificado. Sus opciones:
      • RSA (valor predeterminado)
      • ECDSA256
      • ECDSA384
      • ECDSA521

  • Secreto compartido (solo autenticación de máquina): permite escribir un secreto compartido para enviarlo al servidor VPN.

    • Secreto compartido: escriba el secreto compartido, también conocido como clave previamente compartida (PSK). Asegúrese de que el valor coincide con el secreto compartido configurado en el servidor VPN.

• Nombre común del emisor de certificados de servidor: permite que el servidor VPN se autentique en el cliente VPN. Escriba el nombre común del emisor de certificados (CN) del certificado de servidor VPN que se envía al cliente VPN en el dispositivo. Asegúrese de que el valor cn coincide con la configuración del servidor VPN. De lo contrario, se produce un error en la conexión VPN.

• Nombre común del certificado de servidor: escriba el CN para el propio certificado. Si se deja en blanco, se usa el valor del identificador remoto.

• Tasa de detección del punto muerto: elija la frecuencia con la que el cliente VPN comprueba si el túnel VPN está activo. Sus opciones:

  • No configurado: usa el valor predeterminado del sistema iOS/iPadOS, que puede ser el mismo que elegir Medio.
  • Ninguno: deshabilita la detección del mismo nivel.
  • Bajo: envía un mensaje de keepalive cada 30 minutos.
  • Medio (valor predeterminado): envía un mensaje keepalive cada 10 minutos.
  • Alto: envía un mensaje de keepalive cada 60 segundos.

• Intervalo de versiones de TLS mínimo: escriba la versión mínima de TLS que se va a usar. Escriba 1.0, 1.1o 1.2. Si se deja en blanco, se usa el valor predeterminado de 1.0 . Al usar la autenticación de usuario y los certificados, debe configurar esta configuración.

• Máximo de intervalo de versiones de TLS: escriba la versión máxima de TLS que se va a usar. Escriba 1.0, 1.1o 1.2. Si se deja en blanco, se usa el valor predeterminado de 1.2 . Al usar la autenticación de usuario y los certificados, debe configurar esta configuración.

• Secreto de avance perfecto: seleccione Habilitar para activar el secreto de avance perfecto (PFS). PFS es una característica de seguridad ip que reduce el impacto si una clave de sesión está en peligro. Deshabilitar (valor predeterminado) no usa PFS.

• Comprobación de revocación de certificados: seleccione Habilitar para asegurarse de que los certificados no se revocan antes de permitir que la conexión VPN se realice correctamente. Esta comprobación es el mejor esfuerzo. Si el servidor VPN agota el tiempo de espera antes de determinar si se revoca el certificado, se concede acceso. Deshabilitar (valor predeterminado) no comprueba si hay certificados revocados.

• Usar atributos de subred interna IPv4/IPv6: algunos servidores IKEv2 usan los INTERNAL_IP4_SUBNET atributos o INTERNAL_IP6_SUBNET . Habilitar obliga a la conexión VPN a usar estos atributos. Deshabilitar (valor predeterminado) no obliga a la conexión VPN a usar estos atributos de subred.

• Movilidad y multihoming (MOBIKE): MOBIKE permite a los clientes VPN cambiar su dirección IP sin volver a crear una asociación de seguridad con el servidor VPN. Habilitar (valor predeterminado) activa MOBIKE, que puede mejorar las conexiones VPN al viajar entre redes. Desactivar desactiva MOBIKE.

• Redireccionamiento: Habilitar (valor predeterminado) redirige la conexión IKEv2 si se recibe una solicitud de redireccionamiento del servidor VPN. Deshabilitar impide que la conexión IKEv2 redirija si se recibe una solicitud de redireccionamiento del servidor VPN.

• Unidad de transmisión máxima: escriba la unidad de transmisión máxima (MTU) en bytes, de 1 a 65536. Cuando se establece en No configurado o en blanco, Intune no cambia ni actualiza esta configuración. De forma predeterminada, Apple puede establecer este valor en 1280.

  Esta configuración se aplica a:

  • iOS/iPadOS 14 y versiones posteriores

• Parámetros de asociación de seguridad: escriba los parámetros que se usarán al crear asociaciones de seguridad con el servidor VPN:

  • Algoritmo de cifrado: seleccione el algoritmo que desee:

    • DES
    • 3DES
    • AES-128
    • AES-256 (valor predeterminado)
    • AES-128-GCM
    • AES-256-GCM

    Nota:

    Si establece el algoritmo AES-128-GCM de cifrado en o AES-256-GCM, se usa el AES-256 valor predeterminado. Se trata de un problema conocido que se corregirá en una versión futura. No hay ETA.

  • Algoritmo de integridad: seleccione el algoritmo que desee:

    • SHA1-96
    • SHA1-160
    • SHA2-256 (valor predeterminado)
    • SHA2-384
    • SHA2-512

  • Grupo Diffie-Hellman: seleccione el grupo que desee. El valor predeterminado es el grupo 2.

  • Duración (minutos): especifique cuánto tiempo permanece activa la asociación de seguridad hasta que se giran las claves. Escriba un valor completo entre 10 y 1440 (1440 minutos es 24 horas). El valor predeterminado es 1440.

• Parámetros de asociación de seguridad secundaria: iOS/iPadOS permite configurar parámetros independientes para la conexión IKE y cualquier conexión secundaria. Escriba los parámetros usados al crear asociaciones de seguridad secundarias con el servidor VPN:

  • Algoritmo de cifrado: seleccione el algoritmo que desee:

    • DES
    • 3DES
    • AES-128
    • AES-256 (valor predeterminado)
    • AES-128-GCM
    • AES-256-GCM

    Nota:

    Si establece el algoritmo AES-128-GCM de cifrado en o AES-256-GCM, se usa el AES-256 valor predeterminado. Se trata de un problema conocido que se corregirá en una versión futura. No hay ETA.

• Algoritmo de integridad: seleccione el algoritmo que desee:

  • SHA1-96
  • SHA1-160
  • SHA2-256 (valor predeterminado)
  • SHA2-384
  • SHA2-512

  Configure también:

  • Grupo Diffie-Hellman: seleccione el grupo que desee. El valor predeterminado es el grupo 2.
  • Duración (minutos): especifique cuánto tiempo permanece activa la asociación de seguridad hasta que se giran las claves. Escriba un valor completo entre 10 y 1440 (1440 minutos es 24 horas). El valor predeterminado es 1440.

VPN automática

• Tipo de VPN automática: seleccione el tipo de VPN que desea configurar: VPN a petición o VPN por aplicación. Asegúrese de usar solo una opción. El uso de ambos al mismo tiempo provoca problemas de conexión.

  • No configurado (valor predeterminado): Intune no cambia ni actualiza esta configuración.

  • VPN a petición: VPN a petición usa reglas para conectar o desconectar automáticamente la conexión VPN. Cuando los dispositivos intentan conectarse a la VPN, busca coincidencias en los parámetros y reglas que cree, como un nombre de dominio coincidente. Si hay una coincidencia, la acción que elija se ejecuta.

    Por ejemplo, puede crear una condición en la que la conexión VPN solo se use cuando un dispositivo no está conectado a una empresa Wi-Fi red. O bien, si un dispositivo no puede acceder a un dominio de búsqueda DNS que escriba, no se iniciará la conexión VPN.

    • Reglas a petición>Agregar: seleccione Agregar para agregar una regla. Si no hay una conexión VPN existente, use esta configuración para crear una regla a petición. Si hay una coincidencia con la regla, el dispositivo realiza la acción que seleccione.

      • Quiero hacer lo siguiente: Si hay una coincidencia entre el valor del dispositivo y la regla a petición, seleccione la acción que desea que haga el dispositivo. Sus opciones:

        • Establecer VPN: si hay una coincidencia entre el valor del dispositivo y la regla a petición, el dispositivo se conecta a la VPN.

        • Desconectar VPN: si hay una coincidencia entre el valor del dispositivo y la regla a petición, la conexión VPN se desconectará.

        • Evaluar cada intento de conexión: si hay una coincidencia entre el valor del dispositivo y la regla a petición, use la opción Elegir si conectarse para decidir lo que sucede para cada intento de conexión VPN:

          • Conectarse si es necesario: si el dispositivo está en una red interna o si ya hay una conexión VPN establecida a la red interna, la VPN a petición no se conectará. Esta configuración no se usa.

            Si no hay una conexión VPN existente, para cada intento de conexión VPN, decida si los usuarios deben conectarse mediante un nombre de dominio DNS. Esta regla solo se aplica a los dominios de la lista Cuando los usuarios intentan acceder a estos dominios . Se omiten todos los demás dominios.

            • Cuando los usuarios intenten acceder a estos dominios: escriba uno o varios dominios DNS, como contoso.com. Si los usuarios intentan conectarse a un dominio de esta lista, el dispositivo usa DNS para resolver los dominios especificados. Si el dominio no se resuelve, lo que significa que no tiene acceso a los recursos internos, se conecta a la VPN a petición. Si el dominio se resuelve, lo que significa que ya tiene acceso a los recursos internos, no se conecta a la VPN.

              Nota:

              • Si la configuración Cuando los usuarios intentan acceder a estos dominios está vacía, el dispositivo usa los servidores DNS configurados en el servicio de conexión de red (Wi-Fi/Ethernet) para resolver el dominio. La idea es que estos servidores DNS son servidores públicos.

                Los dominios de la lista Cuando los usuarios intentan acceder a estos dominios son recursos internos. Los recursos internos no están en servidores DNS públicos y no se pueden resolver. Por lo tanto, el dispositivo se conecta a la VPN. Ahora, el dominio se resuelve mediante los servidores DNS de la conexión VPN y el recurso interno está disponible.

                Si el dispositivo está en la red interna, el dominio se resuelve y no se crea una conexión VPN porque el dominio interno ya está disponible. No quiere desperdiciar recursos VPN en dispositivos que ya están en la red interna.

              • Si se rellena la configuración Cuando los usuarios intentan acceder a estos dominios , se usan los servidores DNS de esta lista para resolver los dominios de la lista.

                La idea es lo contrario de la primera viñeta (cuando los usuarios intentan acceder a estos dominios , la configuración está vacía). Por ejemplo, la lista Cuando los usuarios intentan acceder a estos dominios tiene servidores DNS internos. Un dispositivo de una red externa no puede enrutarse a los servidores DNS internos. Se agota el tiempo de espera de la resolución de nombres y el dispositivo se conecta a la VPN a petición. Ahora los recursos internos están disponibles.

                Recuerde que esta información solo se aplica a los dominios de la lista Cuando los usuarios intentan acceder a estos dominios . Todos los demás dominios se resuelven con servidores DNS públicos. Cuando el dispositivo está conectado a la red interna, los servidores DNS de la lista son accesibles y no es necesario conectarse a la VPN.

            • Use los siguientes servidores DNS para resolver estos dominios (opcional): escriba una o varias direcciones IP del servidor DNS, como 10.0.0.22. Los servidores DNS especificados se usan para resolver los dominios en la configuración Cuando los usuarios intentan acceder a estos dominios .

            • Cuando no se puede acceder a esta dirección URL, force-connect la VPN: Opcional. Escriba una dirección URL de sondeo HTTP o HTTPS que la regla usa como prueba. Por ejemplo, escriba https://probe.Contoso.com. Esta dirección URL se sondea cada vez que un usuario intenta acceder a un dominio en la configuración Cuando los usuarios intentan acceder a estos dominios . El usuario no ve el sitio de sondeo de cadena de dirección URL.

              Si se produce un error en el sondeo porque la dirección URL no es accesible o no devuelve un código de estado HTTP 200, el dispositivo se conecta a la VPN.

              La idea es que la dirección URL solo es accesible en la red interna. Si se puede acceder a la dirección URL, no se necesita una conexión VPN. Si no se puede acceder a la dirección URL, el dispositivo se encuentra en una red externa y se conecta a la VPN a petición. Una vez establecida la conexión VPN, están disponibles los recursos internos.

          • Nunca conectarse: para cada intento de conexión VPN, cuando los usuarios intentan acceder a los dominios que escribe, el dispositivo nunca se conecta a la VPN.

            • Cuando los usuarios intenten acceder a estos dominios: escriba uno o varios dominios DNS, como contoso.com. Si los usuarios intentan conectarse a un dominio de esta lista, no se crea una conexión VPN. Si intentan conectarse a un dominio que no está en esta lista, el dispositivo se conecta a la VPN.

        • Omitir: si hay una coincidencia entre el valor del dispositivo y la regla a petición, se omite una conexión VPN.

      • Quiero restringir a: en la opción Quiero hacer lo siguiente , si selecciona Establecer VPN, Desconectar VPN o Omitir, seleccione la condición que debe cumplir la regla. Sus opciones:

        • SSD específicos: escriba uno o varios nombres de red inalámbrica a los que se aplica la regla. Este nombre de red es el identificador del conjunto de servicios (SSID). Por ejemplo, escriba Contoso VPN.
        • Dominios de búsqueda específicos: escriba uno o varios dominios DNS a los que se aplica la regla. Por ejemplo, escriba contoso.com.
        • Todos los dominios: seleccione esta opción para aplicar la regla a todos los dominios de la organización.

      • Pero solo si este sondeo de dirección URL se realiza correctamente: opcional. Escriba una dirección URL que la regla usa como prueba. Por ejemplo, escriba https://probe.Contoso.com. Si el dispositivo accede a esta dirección URL sin redireccionamiento, se inicia la conexión VPN. Además, el dispositivo se conecta a la dirección URL de destino. El usuario no ve el sitio de sondeo de cadena de dirección URL.

        Por ejemplo, la dirección URL prueba la capacidad de la VPN para conectarse a un sitio antes de que el dispositivo se conecte a la dirección URL de destino a través de la VPN.

    • Impedir que los usuarios deshabiliten la VPN automática: sus opciones:

      • Sin configurar: Intune no cambia ni actualiza esta configuración.
      • Sí: impide que los usuarios desactiven la VPN automática. Obliga a los usuarios a mantener la VPN automática habilitada y en ejecución.
      • No: permite a los usuarios desactivar la VPN automática.

      Esta configuración se aplica a:

      • iOS 14 y versiones posteriores
      • iPadOS 14 y versiones posteriores

  • VPN por aplicación: habilita la VPN por aplicación mediante la asociación de esta conexión VPN con una aplicación específica. Cuando se ejecuta la aplicación, se inicia la conexión VPN. Puede asociar el perfil de VPN a una aplicación al asignar el programa o el software de la aplicación. Para obtener más información, consulte Asignación y supervisión de aplicaciones.

    La VPN por aplicación no se admite en una conexión IKEv2. Para obtener más información, consulte Configuración de VPN por aplicación para dispositivos iOS/iPadOS.

    • Tipo de proveedor: solo disponible para Pulse Secure y VPN personalizada.

      Al usar perfiles de VPN por aplicación con Pulse Secure o una VPN personalizada, elija tunelización de capa de aplicación (app-proxy) o tunelización de nivel de paquete (túnel de paquetes):

      • app-proxy: seleccione esta opción para la tunelización de la capa de aplicación.
      • packet-tunnel: seleccione esta opción para la tunelización de la capa de paquetes.

      Si no está seguro de qué opción usar, compruebe la documentación del proveedor de VPN.

    • Direcciones URL de Safari que desencadenarán esta VPN: agregue una o varias direcciones URL de sitio web. Cuando estas direcciones URL se visitan mediante el explorador Safari en el dispositivo, la conexión VPN se establece automáticamente. Por ejemplo, escriba contoso.com.

    • Dominios asociados: escriba los dominios asociados en el perfil de VPN para usarlos con esta conexión VPN.

      Para obtener más información, consulte dominios asociados.

    • Dominios excluidos: escriba dominios que puedan omitir la conexión VPN cuando la VPN por aplicación esté conectada. Por ejemplo, escriba contoso.com. El tráfico al contoso.com dominio usa la Red Pública de Internet incluso si la VPN está conectada.

    • Impedir que los usuarios deshabiliten la VPN automática: sus opciones:

      • Sin configurar: Intune no cambia ni actualiza esta configuración.
      • Sí: impide que los usuarios desactiven el botón de alternancia Conectar a petición dentro de la configuración del perfil de VPN. Obliga a los usuarios a mantener habilitadas y en ejecución las reglas de VPN por aplicación o a petición.
      • No: permite a los usuarios desactivar el botón de alternancia Conectar a petición, que deshabilita las reglas vpn por aplicación y a petición.

      Esta configuración se aplica a:

      • iOS 14 y versiones posteriores
      • iPadOS 14 y versiones posteriores

VPN por aplicación

Esta configuración se aplica a los siguientes tipos de conexión VPN:

• Microsoft Tunnel

Configuración:

• VPN por aplicación: habilitar asocia una aplicación específica a esta conexión VPN. Cuando se ejecuta la aplicación, el tráfico se enruta automáticamente a través de la conexión VPN. Puede asociar el perfil de VPN a una aplicación al asignar el software. Para obtener más información, consulte Asignación y supervisión de aplicaciones.

  Para obtener más información, consulte Microsoft Tunnel para Intune.

• Direcciones URL de Safari que desencadenarán esta VPN: agregue una o varias direcciones URL de sitio web. Cuando estas direcciones URL se visitan mediante el explorador Safari en el dispositivo, la conexión VPN se establece automáticamente. Por ejemplo, escriba contoso.com.

• Dominios asociados: escriba los dominios asociados en el perfil de VPN para usarlos con esta conexión VPN.

  Para obtener más información, consulte dominios asociados.

• Dominios excluidos: escriba dominios que puedan omitir la conexión VPN cuando la VPN por aplicación esté conectada. Por ejemplo, escriba contoso.com. El tráfico al contoso.com dominio usa la Red Pública de Internet incluso si la VPN está conectada.

Proxy

Si usa un proxy, configure los siguientes valores.

• Script de configuración automática: use un archivo para configurar el servidor proxy. Escriba la dirección URL del servidor proxy que incluye el archivo de configuración. Por ejemplo, escriba http://proxy.contoso.com/pac.
• Dirección: escriba la dirección IP o el nombre de host completo del servidor proxy. Por ejemplo, escriba 10.0.0.3 o vpn.contoso.com.
• Número de puerto: escriba el número de puerto asociado al servidor proxy. Por ejemplo, escriba 8080.

Pasos siguientes

Se crea el perfil, pero es posible que aún no esté haciendo nada. Asegúrese de asignar el perfil y supervise su estado.

Configure las opciones de VPN en dispositivos Android, Android Enterprise, macOS y Windows 10.