Ajouter des paramètres VPN sur les appareils iOS et iPad dans Microsoft Intune

Microsoft Intune inclut de nombreux paramètres VPN qui peuvent être déployés sur vos appareils iOS/iPadOS. Ces paramètres sont utilisés pour créer et configurer des connexions VPN au réseau de votre organization. Cet article décrit ces paramètres. Certains paramètres sont uniquement disponibles pour certains clients VPN, tels que Citrix, Zscaler, etc.

Cette fonctionnalité s’applique à :

• iOS/iPadOS

Avant de commencer

• Créez un profil de configuration d’appareil VPN iOS/iPadOS.

• Certains services Microsoft 365, tels qu’Outlook, peuvent ne pas fonctionner correctement en utilisant des VPN tiers ou partenaires. Si vous utilisez un VPN tiers ou partenaire et que vous rencontrez un problème de latence ou de performances, supprimez le VPN.

  Si la suppression du VPN résout le comportement, vous pouvez :

  • Collaborez avec le VPN tiers ou partenaire pour les solutions possibles. Microsoft ne fournit pas de support technique pour les VPN tiers ou partenaires.
  • N’utilisez pas de VPN avec le trafic Outlook.
  • Si vous avez besoin d’utiliser un VPN, utilisez un VPN à tunnel partagé. Et autorisez le trafic Outlook à contourner le VPN.

  Pour plus d’informations, voir :

  • Vue d’ensemble : tunneling fractionné VPN pour Microsoft 365
  • Utilisation de solutions ou d’appareils réseau tiers avec Microsoft 365
  • Autres moyens pour les professionnels de la sécurité et l’informatique d’obtenir des contrôles de sécurité modernes dans les scénarios de travail à distance uniques d’aujourd’hui
  • Principes de connectivité réseau Microsoft 365

• Si vous avez besoin de ces appareils pour accéder aux ressources locales à l’aide de l’authentification moderne et de l’accès conditionnel, vous pouvez utiliser Microsoft Tunnel, qui prend en charge le tunneling fractionné.

Remarque

• Ces paramètres sont disponibles pour tous les types d’inscription, à l’exception de l’inscription utilisateur. L’inscription utilisateur est limitée au VPN par application. Pour plus d’informations sur les types d’inscription, consultez Inscription iOS/iPadOS.

• Les paramètres disponibles dépendent du client VPN que vous choisissez. Certains paramètres sont disponibles uniquement pour des clients VPN spécifiques.

• Ces paramètres utilisent la charge utile VPN Apple (ouvre le site web d’Apple).

Type de connexion

Sélectionnez le type de connexion VPN dans la liste suivante de fournisseurs :

• Check Point Capsule VPN

• Cisco Legacy AnyConnect

  S’applique à l’application AnyConnect héritée Cisco version 4.0.5x et antérieure.

• Cisco AnyConnect

  S’applique à l’application Cisco AnyConnect version 4.0.7x et ultérieure.

• SonicWall Mobile Connect

• F5 Access Legacy

  S’applique à l’application F5 Access version 2.1 et antérieure.

• Accès F5

  S’applique à l’application F5 Access version 3.0 et ultérieure.

• Palo Alto Networks GlobalProtect (hérité)

  S’applique à l’application Palo Alto Networks GlobalProtect version 4.1 et antérieure.

• Palo Alto Networks GlobalProtect

  S’applique à l’application Palo Alto Networks GlobalProtect version 5.0 et ultérieure.

• Pulse Secure

• Cisco (IPSec)

• VPN Citrix

• Citrix SSO

• Zscaler

  Pour utiliser l’accès conditionnel ou permettre aux utilisateurs de contourner l’écran de connexion Zscaler, vous devez intégrer Zscaler Private Access (ZPA) à votre compte Microsoft Entra. Pour obtenir des instructions détaillées, consultez la documentation Zscaler.

• Mobilité NetMotion

• IKEv2

  Les paramètres IKEv2 (dans cet article) décrivent les propriétés.

• Microsoft Tunnel

  S’applique à l’application Microsoft Defender pour point de terminaison qui inclut la fonctionnalité cliente Tunnel.

• VPN personnalisé

Remarque

Cisco, Citrix, F5 et Palo Alto ont annoncé que leurs clients hérités ne fonctionnent pas sur iOS 12 et versions ultérieures. Vous devez migrer vers les nouvelles applications dès que possible. Pour plus d’informations, consultez le blog de l’équipe de support Microsoft Intune.

Paramètres VPN de base

• Nom de la connexion : les utilisateurs finaux voient ce nom lorsqu’ils parcourent leur appareil pour obtenir la liste des connexions VPN disponibles.

• Nom de domaine personnalisé (Zscaler uniquement) : préremplir le champ de connexion de l’application Zscaler avec le domaine auquel appartiennent vos utilisateurs. Par exemple, si un nom d’utilisateur est Joe@contoso.net, le contoso.net domaine apparaît statiquement dans le champ lorsque l’application s’ouvre. Si vous n’entrez pas de nom de domaine, la partie domaine de l’UPN dans Microsoft Entra ID est utilisée.

• Adresse du serveur VPN : adresse IP ou nom de domaine complet (FQDN) du serveur VPN avec lequel les appareils se connectent. Par exemple, entrez 192.168.1.1 ou vpn.contoso.com.

• Nom du cloud de l’organisation (Zscaler uniquement) : entrez le nom du cloud où votre organization est approvisionné. L’URL que vous utilisez pour vous connecter à Zscaler porte le nom .

• Méthode d’authentification : choisissez la façon dont les appareils s’authentifient auprès du serveur VPN.

  • Certificats : sous Certificat d’authentification, sélectionnez un profil de certificat SCEP ou PKCS existant pour authentifier la connexion. Configurer des certificats fournit des conseils sur les profils de certificat.

  • Nom d’utilisateur et mot de passe : les utilisateurs finaux doivent entrer un nom d’utilisateur et un mot de passe pour se connecter au serveur VPN.

    Remarque

    Si le nom d’utilisateur et le mot de passe sont utilisés comme méthode d’authentification pour le VPN Cisco IPsec, ils doivent fournir le SharedSecret via un profil Apple Configurator personnalisé.

  • Informations d’identification dérivées : utilisez un certificat dérivé de la carte intelligente d’un utilisateur. Si aucun émetteur d’informations d’identification dérivées n’est configuré, Intune vous invite à en ajouter un. Pour plus d’informations, consultez Utiliser des informations d’identification dérivées dans Microsoft Intune.

• URL exclues (Zscaler uniquement) : quand vous êtes connecté au VPN Zscaler, les URL répertoriées sont accessibles en dehors du cloud Zscaler. Vous pouvez ajouter jusqu’à 50 URL.

• Tunneling fractionné : activez ou désactivez pour permettre aux appareils de décider de la connexion à utiliser, en fonction du trafic. Par exemple, un utilisateur dans un hôtel utilise la connexion VPN pour accéder aux fichiers professionnels, mais utilise le réseau standard de l’hôtel pour la navigation web régulière.

• Identificateur VPN (VPN personnalisé, Zscaler et Citrix) : identificateur de l’application VPN que vous utilisez et fourni par votre fournisseur VPN.

• Entrez des paires clé/valeur pour les attributs VPN personnalisés de votre organization (VPN personnalisé, Zscaler et Citrix) : ajoutez ou importez des clés et des valeurs qui personnalisent votre connexion VPN. N’oubliez pas que ces valeurs sont généralement fournies par votre fournisseur VPN.

• Activer le contrôle d’accès réseau (NAC) (Cisco AnyConnect, Citrix SSO, F5 Access) : lorsque vous choisissez J’accepte, l’ID d’appareil est inclus dans le profil VPN. Cet ID peut être utilisé pour l’authentification auprès du VPN afin d’autoriser ou d’empêcher l’accès réseau.

  Lorsque vous utilisez Cisco AnyConnect avec ISE, veillez à :

  • Si ce n’est déjà fait, intégrez ISE à Intune pour NAC, comme décrit dans Configurer Microsoft Intune en tant que serveur GPM dans le Guide de l’administrateur du moteur Cisco Identity Services.
  • Activez le contrôle d’accès réseau dans le profil VPN.

  Importante

  Le service de contrôle d’accès réseau (NAC) est déprécié et remplacé par le dernier service NAC de Microsoft, qui est le service de récupération de conformité (CR Service). Pour prendre en charge les modifications dans Cisco ISE, Intune modifié le format de l’ID d’appareil. Ainsi, vos profils existants avec le service NAC d’origine cesseront de fonctionner.

  Pour utiliser le service CR et éviter les temps d’arrêt avec votre connexion VPN, redéployez ce même profil de configuration de périphérique VPN. Aucune modification n’est nécessaire au profil. Il vous suffit de redéployer. Lorsque l’appareil se synchronise avec Intune service et reçoit le profil de configuration VPN, les modifications du service CR sont déployées automatiquement sur l’appareil. Et vos connexions VPN doivent continuer à fonctionner.

  Lorsque vous utilisez l’authentification unique Citrix avec la passerelle, veillez à :

  • Vérifiez que vous utilisez Citrix Gateway 12.0.59 ou une version ultérieure.
  • Vérifiez que Citrix SSO 1.1.6 ou version ultérieure est installé sur vos utilisateurs sur leurs appareils.
  • Intégrez Citrix Gateway à Intune pour NAC. Consultez le guide de déploiement Citrix Intégration de Microsoft Intune/Enterprise Mobility Suite à NetScaler (scénario LDAP+OTP).
  • Activez le contrôle d’accès réseau dans le profil VPN.

  Lorsque vous utilisez L’accès F5, veillez à :

  • Vérifiez que vous utilisez F5 BIG-IP 13.1.1.5 ou version ultérieure.
  • Intégrez BIG-IP à Intune pour NAC. Consultez le guide Vue d’ensemble : Configuration d’APM pour les vérifications de la posture des appareils avec les systèmes de gestion des points de terminaison F5.
  • Activez le contrôle d’accès réseau dans le profil VPN.

  Pour les partenaires VPN qui prennent en charge l’ID d’appareil, le client VPN, tel que Citrix SSO, peut obtenir l’ID. Ensuite, il peut interroger Intune pour confirmer que l’appareil est inscrit et si le profil VPN est conforme ou non conforme.

  • Pour supprimer ce paramètre, recréez le profil et ne sélectionnez pas J’accepte. Ensuite, réaffectez le profil.

• Entrez les paires clé et valeur pour les attributs VPN NetMotion Mobility (NetMotion Mobility uniquement) : entrez ou importez des paires clé/valeur. Ces valeurs peuvent être fournies par votre fournisseur VPN.

• Site Microsoft Tunnel (Microsoft Tunnel uniquement) : sélectionnez un site existant. Le client VPN se connecte à l’adresse IP publique ou au nom de domaine complet de ce site.

  Pour plus d’informations, consultez Microsoft Tunnel pour Intune.

Paramètres IKEv2

Ces paramètres s’appliquent lorsque vous choisissez Type >de connexionIKEv2.

• VPN always-on : Activer définit un client VPN pour se connecter automatiquement au VPN et se reconnecter à celui-ci. Les connexions VPN always on restent connectées ou se connectent immédiatement lorsque l’utilisateur verrouille son appareil, que l’appareil redémarre ou que le réseau sans fil change. Lorsqu’il est défini sur Désactiver (valeur par défaut), le VPN toujours actif pour tous les clients VPN est désactivé. Quand cette option est activée, configurez également :

  • Interface réseau : tous les paramètres IKEv2 s’appliquent uniquement à l’interface réseau que vous choisissez. Les options disponibles sont les suivantes :

    • Wi-Fi et cellulaire (par défaut) : les paramètres IKEv2 s’appliquent aux interfaces Wi-Fi et cellulaires sur l’appareil.
    • Cellulaire : les paramètres IKEv2 s’appliquent uniquement à l’interface cellulaire sur l’appareil. Sélectionnez cette option si vous effectuez un déploiement sur des appareils dont l’interface Wi-Fi est désactivée ou supprimée.
    • Wi-Fi : les paramètres IKEv2 s’appliquent uniquement à l’interface Wi-Fi sur l’appareil.

  • Utilisateur pour désactiver la configuration VPN : Activer permet aux utilisateurs de désactiver le VPN always-on. Désactiver (par défaut) empêche les utilisateurs de la désactiver. La valeur par défaut de ce paramètre est l’option la plus sécurisée.

  • Messagerie vocale : choisissez ce qui se passe avec le trafic de messagerie vocale lorsque le VPN always-on est activé. Les options disponibles sont les suivantes :

    • Forcer le trafic réseau via VPN (par défaut) : ce paramètre est l’option la plus sécurisée.
    • Autoriser le trafic réseau à passer en dehors du VPN
    • Supprimer le trafic réseau

  • AirPrint : choisissez ce qui se passe avec le trafic AirPrint lorsque le VPN always-on est activé. Les options disponibles sont les suivantes :

    • Forcer le trafic réseau via VPN (par défaut) : ce paramètre est l’option la plus sécurisée.
    • Autoriser le trafic réseau à passer en dehors du VPN
    • Supprimer le trafic réseau

  • Services cellulaires : sur iOS 13.0+, choisissez ce qui se passe avec le trafic cellulaire lorsque le VPN always on est activé. Les options disponibles sont les suivantes :

    • Forcer le trafic réseau via VPN (par défaut) : ce paramètre est l’option la plus sécurisée.
    • Autoriser le trafic réseau à passer en dehors du VPN
    • Supprimer le trafic réseau

  • Autoriser le trafic des applications réseau captives non natives à passer en dehors du VPN : un réseau captif fait référence aux points d’accès Wi-Fi généralement présents dans les restaurants et les hôtels. Les options disponibles sont les suivantes :

    • Non : force tout le trafic de l’application Réseau captif (CN) via le tunnel VPN.
    • Oui, toutes les applications : autorise tout le trafic de l’application CN à contourner le VPN.
    • Oui, applications spécifiques : ajoutez une liste d’applications CN dont le trafic peut contourner le VPN. Entrez les identificateurs d’offre groupée de l’application CN. Par exemple, entrez com.contoso.app.id.package.

  • Trafic provenant de l’application Captive Websheet pour passer en dehors du VPN : Captive WebSheet est un navigateur web intégré qui gère l’authentification captive. Activer permet au trafic de l’application de navigateur de contourner le VPN. Désactiver (par défaut) force le trafic webSheet à utiliser le VPN always-on. La valeur par défaut est l’option la plus sécurisée.

  • Intervalle de conservation de traduction d’adresses réseau (NAT) (secondes) : pour rester connecté au VPN, l’appareil envoie des paquets réseau pour rester actif. Entrez une valeur en secondes sur la fréquence d’envoi de ces paquets, comprise entre 20 et 1440. Par exemple, entrez la valeur pour 60 envoyer les paquets réseau au VPN toutes les 60 secondes. Par défaut, cette valeur est définie sur 110 secondes.

  • Déchargez la conservation NAT sur le matériel quand l’appareil est en veille : lorsqu’un appareil est en veille, l’option Activer (par défaut) permet à NAT d’envoyer en continu des paquets de conservation afin que l’appareil reste connecté au VPN. Désactiver désactive cette fonctionnalité.

• Identificateur distant : entrez l’adresse IP réseau, le nom de domaine complet, le nom de domaine complet utilisateur ou l’ASN1DN du serveur IKEv2. Par exemple, entrez 10.0.0.3 ou vpn.contoso.com. En règle générale, vous entrez la même valeur que le nom de la connexion (dans cet article). Toutefois, cela dépend des paramètres de votre serveur IKEv2.

• Identificateur local : entrez le nom de domaine complet de l’appareil ou le nom commun de l’objet du client VPN IKEv2 sur l’appareil. Vous pouvez également laisser cette valeur vide (par défaut). En règle générale, l’identificateur local doit correspondre à l’identité du certificat d’utilisateur ou d’appareil. Le serveur IKEv2 peut exiger que les valeurs correspondent afin de pouvoir valider l’identité du client.

• Type d’authentification du client : choisissez la façon dont le client VPN s’authentifie auprès du VPN. Les options disponibles sont les suivantes :

  • Authentification utilisateur (par défaut) : les informations d’identification de l’utilisateur s’authentifient auprès du VPN.
  • Authentification de l’ordinateur : les informations d’identification de l’appareil s’authentifient auprès du VPN.

• Méthode d’authentification : choisissez le type d’informations d’identification du client à envoyer au serveur. Les options disponibles sont les suivantes :

  • Certificats : utilise un profil de certificat existant pour s’authentifier auprès du VPN. Assurez-vous que ce profil de certificat est déjà attribué à l’utilisateur ou à l’appareil. Sinon, la connexion VPN échoue.

    • Type de certificat : sélectionnez le type de chiffrement utilisé par le certificat. Assurez-vous que le serveur VPN est configuré pour accepter ce type de certificat. Les options disponibles sont les suivantes :
      • RSA (par défaut)
      • ECDSA256
      • ECDSA384
      • ECDSA521

  • Secret partagé (authentification de l’ordinateur uniquement) : vous permet d’entrer un secret partagé à envoyer au serveur VPN.

    • Secret partagé : entrez le secret partagé, également appelé clé pré-partagée (PSK). Vérifiez que la valeur correspond au secret partagé configuré sur le serveur VPN.

• Nom commun de l’émetteur du certificat de serveur : permet au serveur VPN de s’authentifier auprès du client VPN. Entrez le nom commun de l’émetteur de certificat (CN) du certificat de serveur VPN envoyé au client VPN sur l’appareil. Vérifiez que la valeur CN correspond à la configuration sur le serveur VPN. Sinon, la connexion VPN échoue.

• Nom commun du certificat de serveur : entrez le nom commun du certificat lui-même. Si elle est vide, la valeur de l’identificateur distant est utilisée.

• Taux de détection des homologues morts : choisissez la fréquence à laquelle le client VPN vérifie si le tunnel VPN est actif. Les options disponibles sont les suivantes :

  • Non configuré : utilise la valeur par défaut du système iOS/iPadOS, qui peut être identique au choix moyen.
  • Aucun : désactive la détection des homologues morts.
  • Faible : envoie un message de maintien toutes les 30 minutes.
  • Moyen (par défaut) : envoie un message de maintien toutes les 10 minutes.
  • Élevé : envoie un message de maintien toutes les 60 secondes.

• Plage de versions TLS minimale : entrez la version TLS minimale à utiliser. Entrez 1.0, 1.1ou 1.2. Si ce champ est vide, la valeur par défaut de 1.0 est utilisée. Lorsque vous utilisez l’authentification utilisateur et les certificats, vous devez configurer ce paramètre.

• Plage de versions TLS maximale : entrez la version TLS maximale à utiliser. Entrez 1.0, 1.1ou 1.2. Si ce champ est vide, la valeur par défaut de 1.2 est utilisée. Lorsque vous utilisez l’authentification utilisateur et les certificats, vous devez configurer ce paramètre.

• Secret avant parfait : sélectionnez Activer pour activer le secret avant parfait (PFS). PFS est une fonctionnalité de sécurité IP qui réduit l’impact si une clé de session est compromise. Disable (valeur par défaut) n’utilise pas PFS.

• Révocation de certificats case activée : sélectionnez Activer pour vous assurer que les certificats ne sont pas révoqués avant d’autoriser la connexion VPN à réussir. Cette case activée est le meilleur effort. Si le serveur VPN expire avant de déterminer si le certificat est révoqué, l’accès est accordé. Désactiver (par défaut) n’case activée pas pour les certificats révoqués.

• Utiliser les attributs de sous-réseau internes IPv4/IPv6 : certains serveurs IKEv2 utilisent les INTERNAL_IP4_SUBNET attributs ou INTERNAL_IP6_SUBNET . Activer force la connexion VPN à utiliser ces attributs. Désactiver (par défaut) ne force pas la connexion VPN à utiliser ces attributs de sous-réseau.

• Mobility and multihoming (MOBIKE) : MOBIKE permet aux clients VPN de modifier leur adresse IP sans recréer une association de sécurité avec le serveur VPN. Activer (par défaut) active MOBIKE, ce qui peut améliorer les connexions VPN lors des déplacements entre les réseaux. Désactiver désactive MOBIKE.

• Redirection : Activer (par défaut) redirige la connexion IKEv2 si une demande de redirection est reçue du serveur VPN. Désactiver empêche la connexion IKEv2 de rediriger si une demande de redirection est reçue du serveur VPN.

• Unité de transmission maximale : entrez l’unité de transmission maximale (MTU) en octets, comprise entre 1 et 65536. Lorsqu’il est défini sur Non configuré ou laissé vide, Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, Apple peut définir cette valeur sur 1280.

  Ce paramètre s’applique à :

  • iOS/iPadOS 14 et versions ultérieures

• Paramètres d’association de sécurité : entrez les paramètres à utiliser lors de la création d’associations de sécurité avec le serveur VPN :

  • Algorithme de chiffrement : sélectionnez l’algorithme souhaité :

    • DES
    • 3DES
    • AES-128
    • AES-256 (par défaut)
    • AES-128-GCM
    • AES-256-GCM

    Remarque

    Si vous définissez l’algorithme de chiffrement sur AES-128-GCM ou AES-256-GCM, la AES-256 valeur par défaut est utilisée. Il s’agit d’un problème connu qui sera résolu dans une version ultérieure. Il n’y a pas d’ETA.

  • Algorithme d’intégrité : sélectionnez l’algorithme souhaité :

    • SHA1-96
    • SHA1-160
    • SHA2-256 (par défaut)
    • SHA2-384
    • SHA2-512

  • Groupe Diffie-Hellman : sélectionnez le groupe souhaité. La valeur par défaut est group 2.

  • Durée de vie (minutes) : entrez la durée pendant laquelle l’association de sécurité reste active jusqu’à ce que les clés soient pivotées. Entrez une valeur entière comprise entre 10 et 1440 (1 440 minutes est 24 heures). La valeur par défaut est 1440.

• Paramètres d’association de sécurité enfant : iOS/iPadOS vous permet de configurer des paramètres distincts pour la connexion IKE et toutes les connexions enfants. Entrez les paramètres utilisés lors de la création d’associations de sécurité enfants avec le serveur VPN :

  • Algorithme de chiffrement : sélectionnez l’algorithme souhaité :

    • DES
    • 3DES
    • AES-128
    • AES-256 (par défaut)
    • AES-128-GCM
    • AES-256-GCM

    Remarque

    Si vous définissez l’algorithme de chiffrement sur AES-128-GCM ou AES-256-GCM, la AES-256 valeur par défaut est utilisée. Il s’agit d’un problème connu qui sera résolu dans une version ultérieure. Il n’y a pas d’ETA.

• Algorithme d’intégrité : sélectionnez l’algorithme souhaité :

  • SHA1-96
  • SHA1-160
  • SHA2-256 (par défaut)
  • SHA2-384
  • SHA2-512

  Configurez également :

  • Groupe Diffie-Hellman : sélectionnez le groupe souhaité. La valeur par défaut est group 2.
  • Durée de vie (minutes) : entrez la durée pendant laquelle l’association de sécurité reste active jusqu’à ce que les clés soient pivotées. Entrez une valeur entière comprise entre 10 et 1440 (1 440 minutes est 24 heures). La valeur par défaut est 1440.

VPN automatique

• Type de VPN automatique : sélectionnez le type de VPN que vous souhaitez configurer : VPN à la demande ou VPN par application. Veillez à n’utiliser qu’une seule option. Leur utilisation simultanée entraîne des problèmes de connexion.

  • Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre.

  • VPN à la demande : le VPN à la demande utilise des règles pour se connecter ou déconnecter automatiquement la connexion VPN. Lorsque vos appareils tentent de se connecter au VPN, il recherche des correspondances dans les paramètres et les règles que vous créez, comme un nom de domaine correspondant. S’il existe une correspondance, l’action que vous choisissez s’exécute.

    Par exemple, vous pouvez créer une condition dans laquelle la connexion VPN est utilisée uniquement lorsqu’un appareil n’est pas connecté à un réseau d’entreprise Wi-Fi. Ou, si un appareil ne peut pas accéder à un domaine de recherche DNS que vous entrez, la connexion VPN n’est pas démarrée.

    • Règles à la demande>Ajouter : sélectionnez Ajouter pour ajouter une règle. S’il n’existe pas de connexion VPN existante, utilisez ces paramètres pour créer une règle à la demande. S’il existe une correspondance avec votre règle, l’appareil effectue l’action que vous sélectionnez.

      • Je souhaite effectuer les opérations suivantes : s’il existe une correspondance entre la valeur de l’appareil et votre règle à la demande, sélectionnez l’action que vous souhaitez que l’appareil effectue. Les options disponibles sont les suivantes :

        • Établir un VPN : s’il existe une correspondance entre la valeur de l’appareil et votre règle à la demande, l’appareil se connecte au VPN.

        • Déconnecter le VPN : s’il existe une correspondance entre la valeur de l’appareil et votre règle à la demande, la connexion VPN est déconnectée.

        • Évaluer chaque tentative de connexion : s’il existe une correspondance entre la valeur de l’appareil et votre règle à la demande, utilisez le paramètre Choisir s’il faut se connecter pour décider de ce qui se passe pour chaque tentative de connexion VPN :

          • Se connecter si nécessaire : si l’appareil se trouve sur un réseau interne ou s’il existe déjà une connexion VPN établie au réseau interne, le VPN à la demande ne se connecte pas. Ces paramètres ne sont pas utilisés.

            S’il n’existe pas de connexion VPN existante, déterminez si les utilisateurs doivent se connecter à l’aide d’un nom de domaine DNS pour chaque tentative de connexion VPN. Cette règle s’applique uniquement aux domaines dans la liste Lorsque les utilisateurs essaient d’accéder à ces domaines . Tous les autres domaines sont ignorés.

            • Lorsque les utilisateurs essaient d’accéder à ces domaines : entrez un ou plusieurs domaines DNS, comme contoso.com. Si les utilisateurs essaient de se connecter à un domaine dans cette liste, l’appareil utilise dns pour résoudre les domaines que vous entrez. Si le domaine ne se résout pas, ce qui signifie qu’il n’a pas accès aux ressources internes, il se connecte au VPN à la demande. Si le domaine est résolu, ce qui signifie qu’il a déjà accès aux ressources internes, il ne se connecte pas au VPN.

              Remarque

              • Si le paramètre Lorsque les utilisateurs essaient d’accéder à ces domaines est vide, l’appareil utilise les serveurs DNS configurés sur le service de connexion réseau (Wi-Fi/Ethernet) pour résoudre le domaine. L’idée est que ces serveurs DNS sont des serveurs publics.

                Les domaines dans la liste Lorsque les utilisateurs essaient d’accéder à ces domaines sont des ressources internes. Les ressources internes ne se trouvent pas sur les serveurs DNS publics et ne peuvent pas être résolues. Ainsi, l’appareil se connecte au VPN. À présent, le domaine est résolu à l’aide des serveurs DNS de la connexion VPN et la ressource interne est disponible.

                Si l’appareil se trouve sur le réseau interne, le domaine est résolu et aucune connexion VPN n’est créée, car le domaine interne est déjà disponible. Vous ne souhaitez pas gaspiller des ressources VPN sur des appareils qui se trouvent déjà sur le réseau interne.

              • Si le paramètre Lorsque les utilisateurs essaient d’accéder à ces domaines est renseigné, les serveurs DNS de cette liste sont utilisés pour résoudre les domaines de la liste.

                L’idée est l’opposé de la première puce (Lorsque les utilisateurs essaient d’accéder à ces domaines , le paramètre est vide). Par instance, la liste Quand les utilisateurs essaient d’accéder à ces domaines comporte des serveurs DNS internes. Un appareil sur un réseau externe ne peut pas acheminer vers les serveurs DNS internes. La résolution de noms expire et l’appareil se connecte au VPN à la demande. Les ressources internes sont désormais disponibles.

                N’oubliez pas que ces informations s’appliquent uniquement aux domaines dans la liste Lorsque les utilisateurs essaient d’accéder à ces domaines . Tous les autres domaines sont résolus avec des serveurs DNS publics. Lorsque l’appareil est connecté au réseau interne, les serveurs DNS de la liste sont accessibles et il n’est pas nécessaire de se connecter au VPN.

            • Utilisez les serveurs DNS suivants pour résoudre ces domaines (facultatif) : entrez une ou plusieurs adresses IP de serveur DNS, comme 10.0.0.22. Les serveurs DNS que vous entrez sont utilisés pour résoudre les domaines dans le paramètre Lorsque les utilisateurs essaient d’accéder à ces domaines .

            • Lorsque cette URL est inaccessible, forcez à connecter le VPN : Facultatif. Entrez une URL de détection HTTP ou HTTPS que la règle utilise comme test. Par exemple, entrez https://probe.Contoso.com. Cette URL est sondée chaque fois qu’un utilisateur tente d’accéder à un domaine dans le paramètre Lorsque les utilisateurs essaient d’accéder à ces domaines . L’utilisateur ne voit pas le site de sonde de chaîne d’URL.

              Si la sonde échoue parce que l’URL est inaccessible ou ne retourne pas de code de status HTTP 200, l’appareil se connecte au VPN.

              L’idée est que l’URL n’est accessible que sur le réseau interne. Si l’URL est accessible, aucune connexion VPN n’est nécessaire. Si l’URL n’est pas accessible, l’appareil se trouve sur un réseau externe et se connecte au VPN à la demande. Une fois la connexion VPN établie, les ressources internes sont disponibles.

          • Ne jamais se connecter : pour chaque tentative de connexion VPN, lorsque les utilisateurs tentent d’accéder aux domaines que vous entrez, l’appareil ne se connecte jamais au VPN.

            • Lorsque les utilisateurs essaient d’accéder à ces domaines : entrez un ou plusieurs domaines DNS, comme contoso.com. Si les utilisateurs tentent de se connecter à un domaine dans cette liste, aucune connexion VPN n’est créée. S’ils tentent de se connecter à un domaine qui ne fait pas partie de cette liste, l’appareil se connecte au VPN.

        • Ignorer : s’il existe une correspondance entre la valeur de l’appareil et votre règle à la demande, une connexion VPN est ignorée.

      • Je souhaite limiter à : Dans le paramètre Je souhaite effectuer le paramètre suivant , si vous sélectionnez Établir un VPN, Déconnecter le VPN ou Ignorer, sélectionnez la condition que la règle doit respecter. Les options disponibles sont les suivantes :

        • SSID spécifiques : entrez un ou plusieurs noms de réseau sans fil auxquels la règle s’applique. Ce nom de réseau est l’identificateur de jeu de services (SSID). Par exemple, entrez Contoso VPN.
        • Domaines de recherche spécifiques : entrez un ou plusieurs domaines DNS auxquels la règle s’applique. Par exemple, entrez contoso.com.
        • Tous les domaines : sélectionnez cette option pour appliquer votre règle à tous les domaines de votre organization.

      • Mais uniquement si cette sonde d’URL réussit : Facultatif. Entrez une URL que la règle utilise comme test. Par exemple, entrez https://probe.Contoso.com. Si l’appareil accède à cette URL sans redirection, la connexion VPN est démarrée. Et l’appareil se connecte à l’URL cible. L’utilisateur ne voit pas le site de sonde de chaîne d’URL.

        Par exemple, l’URL teste la capacité du VPN à se connecter à un site avant que l’appareil ne se connecte à l’URL cible via le VPN.

    • Empêcher les utilisateurs de désactiver le VPN automatique : Vos options :

      • Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
      • Oui : empêche les utilisateurs de désactiver le VPN automatique. Il force les utilisateurs à maintenir le VPN automatique activé et en cours d’exécution.
      • Non : permet aux utilisateurs de désactiver le VPN automatique.

      Ce paramètre s’applique à :

      • iOS 14 et versions ultérieures
      • iPadOS 14 et versions ultérieures

  • VPN par application : active le VPN par application en associant cette connexion VPN à une application spécifique. Lorsque l’application s’exécute, la connexion VPN démarre. Vous pouvez associer le profil VPN à une application lorsque vous attribuez le logiciel ou le programme de l’application. Pour plus d’informations, consultez Comment attribuer et surveiller des applications.

    Le VPN par application n’est pas pris en charge sur une connexion IKEv2. Pour plus d’informations, consultez Configurer un VPN par application pour les appareils iOS/iPadOS.

    • Type de fournisseur : disponible uniquement pour Pulse Secure et vpn personnalisé.

      Lorsque vous utilisez des profils VPN par application avec Pulse Secure ou un VPN personnalisé, choisissez le tunneling de couche application (app-proxy) ou le tunneling au niveau des paquets (packet-tunnel) :

      • app-proxy : sélectionnez cette option pour le tunneling de couche application.
      • packet-tunnel : sélectionnez cette option pour le tunneling de couche de paquets.

      Si vous ne savez pas quelle option utiliser, case activée la documentation de votre fournisseur VPN.

    • URL Safari qui déclenchent ce VPN : ajoutez une ou plusieurs URL de site web. Lorsque ces URL sont visitées à l’aide du navigateur Safari sur l’appareil, la connexion VPN est automatiquement établie. Par exemple, entrez contoso.com.

    • Domaines associés : entrez les domaines associés dans le profil VPN à utiliser avec cette connexion VPN.

      Pour plus d’informations, consultez domaines associés.

    • Domaines exclus : entrez les domaines qui peuvent contourner la connexion VPN lorsque le VPN par application est connecté. Par exemple, entrez contoso.com. Le trafic vers le contoso.com domaine utilise l’Internet public même si le VPN est connecté.

    • Empêcher les utilisateurs de désactiver le VPN automatique : Vos options :

      • Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
      • Oui : empêche les utilisateurs de désactiver le bouton bascule Connexion à la demande dans les paramètres de profil VPN. Il force les utilisateurs à maintenir les règles VPN par application ou à la demande activées et en cours d’exécution.
      • Non : permet aux utilisateurs de désactiver le bouton bascule Se connecter à la demande, ce qui désactive les règles VPN par application et à la demande.

      Ce paramètre s’applique à :

      • iOS 14 et versions ultérieures
      • iPadOS 14 et versions ultérieures

VPN par application

Ces paramètres s’appliquent aux types de connexion VPN suivants :

• Microsoft Tunnel

Paramètres :

• VPN par application : Activer associe une application spécifique à cette connexion VPN. Lorsque l’application s’exécute, le trafic achemine automatiquement via la connexion VPN. Vous pouvez associer le profil VPN à une application lorsque vous attribuez le logiciel. Pour plus d’informations, consultez Comment attribuer et surveiller des applications.

  Pour plus d’informations, consultez Microsoft Tunnel pour Intune.

• URL Safari qui déclenchent ce VPN : ajoutez une ou plusieurs URL de site web. Lorsque ces URL sont visitées à l’aide du navigateur Safari sur l’appareil, la connexion VPN est automatiquement établie. Par exemple, entrez contoso.com.

• Domaines associés : entrez les domaines associés dans le profil VPN à utiliser avec cette connexion VPN.

  Pour plus d’informations, consultez domaines associés.

• Domaines exclus : entrez les domaines qui peuvent contourner la connexion VPN lorsque le VPN par application est connecté. Par exemple, entrez contoso.com. Le trafic vers le contoso.com domaine utilise l’Internet public même si le VPN est connecté.

Proxy

Si vous utilisez un proxy, configurez les paramètres suivants.

• Script de configuration automatique : utilisez un fichier pour configurer le serveur proxy. Entrez l’URL du serveur proxy qui inclut le fichier de configuration. Par exemple, entrez http://proxy.contoso.com/pac.
• Adresse : entrez l’adresse IP ou le nom d’hôte complet du serveur proxy. Par exemple, entrez 10.0.0.3 ou vpn.contoso.com.
• Numéro de port : entrez le numéro de port associé au serveur proxy. Par exemple, entrez 8080.

Étapes suivantes

Le profil est créé, mais il se peut qu’il ne fasse rien pour l’instant. Affectez le profil et surveillez son état.

Configurez les paramètres VPN sur les appareils Android, Android Enterprise, macOS et Windows 10.