Compartir a través de

Implementación del perfil de Always On VPN en clientes Windows 10 o más recientes con Microsoft Intune

  • Artículo

En este artículo de instrucciones, le mostramos cómo usar Intune para crear e implementar perfiles de Always On VPN.

Sin embargo, si quiere crear un profileXML de VPN personalizado, siga las indicaciones de Aplicar ProfileXML mediante Intune.

Requisitos previos

Intune usa grupos de usuarios de Microsoft Entra, por lo que debe hacer lo siguiente:

  • Asegurarse de que dispone de una infraestructura de clave privada (PKI) capaz de emitir certificados de usuario y de dispositivo para la autenticación. Para más información sobre certificados para Intune, consulte Uso de certificados para la autenticación en Microsoft Intune.

  • Crear un grupo de usuarios de Microsoft Entra que esté asociado a los usuarios de VPN y asignar nuevos usuarios al grupo según sea necesario.

  • Asegurarse de que los usuarios de la VPN tienen permisos de conexión al servidor VPN.

Creación del XML de configuración del Protocolo de autenticación extensible (EAP)

En esta sección, creará un XML de configuración del Protocolo de autenticación extensible (EAP).

  1. Copie la siguiente cadena XML en un editor de texto:

    Importante

    Cualquier otra combinación de mayúsculas o minúsculas para "true" en las siguientes etiquetas da como resultado una configuración parcial del perfil de VPN:

    <AlwaysOn>true</AlwaysOn>
    <RememberCredentials>true</RememberCredentials>

    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>

  2. Reemplace <ServerNames>NPS.contoso.com</ServerNames> en el XML de ejemplo por el FQDN del NPS unido al dominio donde tiene lugar la autenticación.

  3. Reemplace <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> en el ejemplo por la huella digital del certificado de la entidad de certificación raíz local en ambos lugares.

    Importante

    No use la huella digital de ejemplo en la sección <TrustedRootCA></TrustedRootCA> que aparece a continuación. TrustedRootCA debe ser la huella digital del certificado de la entidad de certificación raíz local que emitió el certificado de autenticación de servidor para los servidores RRAS y NPS. No debe ser el certificado raíz de la nube ni la huella digital intermedia del certificado de entidad de CA emisora.

  4. Guarde el XML para usarlo en la siguiente sección.

Creación de la directiva de configuración de VPN Always On

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.

  2. Vaya a Dispositivos>Perfiles de configuración.

  3. Seleccione + Crear perfil.

  4. En Plataforma, seleccione Windows 10 y versiones posteriores.

  5. En Tipo de perfil, seleccione Plantillas.

  6. En Nombre de plantilla, seleccione VPN.

  7. Seleccione Crear.

  8. En la pestaña Aspectos básicos:

    • Escriba un Nombre para el perfil de VPN y (opcionalmente) una descripción.

  9. En la pestaña Parámetros de configuración:

    1. Para Usar este perfil VPN con un ámbito de usuario o dispositivo, seleccione Usuario.

    2. En Tipo de conexión:, seleccione IKEv2.

    3. En Nombre de conexión: escriba el nombre de la conexión VPN; por ejemplo, Contoso AutoVPN.

    4. En Servidores: agregue las direcciones y descripciones del servidor VPN. Para el servidor predeterminado, establezca Servidor predeterminado en Verdadero.

    5. Para Registrar direcciones IP con DNS interno, seleccione Desactivar.

    6. Para Always On:, seleccione Habilitar.

    7. En Recordar credenciales en cada inicio de sesión, seleccione el valor adecuado para la directiva de seguridad.

    8. En Método de autenticación, seleccione EAP.

    9. Para XML de EAP, seleccione el XML que guardó en Creación del XML de EAP.

    10. En Túnel de dispositivo, seleccione Deshabilitar. Para más información sobre los túneles de dispositivo, consulte Configuración de túneles de dispositivo VPN en Windows 10.

    11. Para Parámetros de asociación de seguridad IKE

      • Establezca Tunelización dividida en Habilitar.
      • Configure laDetección de redes de confianza. Para encontrar el sufijo DNS, puede usar Get-NetConnectionProfile > Name en un sistema que esté actualmente conectado a la red y tenga el perfil de dominio aplicado (NetworkCategory:DomainAuthenticated).

    12. Deje los demás parámetros según la configuración predeterminada, a menos que su entorno requiera una configuración adicional. Para más información sobre los parámetros del perfil de EAP para Intune, consulte Configuración de dispositivos Windows 10/11 y Windows Holographic para agregar conexiones VPN usando Intune.

    13. Seleccione Next (Siguiente).

  10. En la pestaña Etiquetas de ámbito, deje la configuración predeterminada y seleccione Siguiente.

  11. Para la pestaña Asignaciones:

    1. Seleccione Agregar grupos y agregue su grupo de usuarios de VPN.

    2. Seleccione Next (Siguiente).

  12. En la pestaña Reglas de aplicabilidad, deje la configuración predeterminada y seleccione Siguiente.

  13. Seleccione la pestaña Revisar y crear, revise toda la configuración y seleccione Crear.

Sincronización de la directiva de configuración de VPN Always On con Intune

Para probar la directiva de configuración, inicie sesión en un equipo cliente Windows 10+ como usuario de VPN y sincronice con Intune.

  1. En el menú Inicio, seleccione Configuración.

  2. En Configuración, seleccione Cuentas, y seleccione Acceso al trabajo o la escuela.

  3. Seleccione la cuenta para conectarse a su Microsoft Entra ID y seleccione Información.

  4. Desplácese hacia abajo y seleccione Sincronizar para forzar la evaluación y recuperación de una directiva de Intune.

  5. Una vez completada la sincronización, cierre Configuración. Después de la sincronización, debería poder conectarse al servidor VPN de la organización.

Pasos siguientes