Creare profili VPN per connettersi ai server VPN in Intune
Importante
Il 22 ottobre 2022, Microsoft Intune ha terminato il supporto per i dispositivi con Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici non sono quindi più disponibili per questi dispositivi.
Se si sta attualmente usando Windows 8.1, passare a dispositivi con Windows 10/11. Microsoft Intune offre funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.
Importante
Microsoft Intune sta terminando il supporto per la gestione dell'amministratore di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 31 dicembre 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Termina il supporto per l'amministratore di dispositivi Android nei dispositivi GMS.
Le reti private virtuali offrono agli utenti l'accesso remoto sicuro alla rete aziendale. I dispositivi usano un profilo di connessione VPN per avviare una connessione con il server VPN. I profili VPN in Microsoft Intune assegnano le impostazioni VPN a utenti e dispositivi dell'organizzazione. Usare queste impostazioni in modo che gli utenti possano connettersi facilmente e in modo sicuro alla rete aziendale.
Questa funzionalità si applica a:
- Amministratore del dispositivo Android
- Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
- iOS/iPadOS
- macOS
- Windows 10
- Windows 11
- Windows 8.1 e versioni successive
Ad esempio, si vuole configurare tutti i dispositivi iOS/iPadOS con le impostazioni necessarie per connettersi a una condivisione file nella rete dell'organizzazione. Si crea un profilo VPN che include queste impostazioni. Questo profilo viene assegnato a tutti gli utenti che dispongono di dispositivi iOS/iPadOS. Gli utenti visualizzano la connessione VPN nell'elenco delle reti disponibili e possono connettersi con il minimo sforzo.
Questo articolo elenca le app VPN che è possibile usare, illustra come creare un profilo VPN e include indicazioni sulla protezione dei profili VPN. È necessario distribuire l'app VPN prima di creare il profilo VPN. Per informazioni sulla distribuzione di app con Microsoft Intune, vedere Che cos'è la gestione delle app in Microsoft Intune?.
Prima di iniziare
I profili VPN per un tunnel del dispositivo sono supportati per i desktop remoti a più sessioni di Windows 10/11 Enterprise.
Se si usa l'autenticazione basata su certificato per il profilo VPN, distribuire il profilo VPN, il profilo certificato e il profilo radice attendibile negli stessi gruppi. Questo passaggio assicura che ogni dispositivo possa riconoscere la legittimità dell'autorità di certificazione. Per altre informazioni, vedere Come configurare i certificati con Microsoft Intune.
La registrazione utente per iOS/iPadOS e macOS supporta solo vpn per app.
È possibile usare criteri di configurazione personalizzati di Intune per creare profili VPN per le piattaforme seguenti:
- Android 4 e versioni successive
- Dispositivi registrati che eseguono Windows 8.1 e versioni successive
- Dispositivi registrati che eseguono Windows 10/11
- Windows Holographic for Business
Per i dispositivi Windows 11, c'è un problema tra il client Windows 11 e il CSP VPNv2 di Windows.
Un dispositivo con uno o più profili VPN di Intune perde la connettività VPN quando il dispositivo elabora più modifiche ai profili VPN per il dispositivo contemporaneamente. Quando il dispositivo esegue il check-in con Intune una seconda volta, elabora le modifiche del profilo VPN e la connettività viene ripristinata.
Le modifiche seguenti possono causare una perdita di funzionalità VPN:
- Si modifica o si aggiorna un profilo VPN esistente elaborato in precedenza dal dispositivo Windows 11. Questa azione elimina il profilo originale e applica il profilo aggiornato.
- Due nuovi profili VPN si applicano al dispositivo contemporaneamente.
- Un profilo VPN attivo viene rimosso nello stesso momento in cui viene assegnato un nuovo profilo VPN.
Questo problema non si applica e la connettività VPN rimane negli scenari seguenti:
Un dispositivo Windows 11 non ha un profilo VPN esistente assegnato e i dispositivi ricevono un profilo VPN di Intune.
Ai dispositivi Windows 11 è assegnato un profilo VPN esistente e viene assegnato un altro profilo VPN senza altre modifiche al profilo.
Un dispositivo Windows 10 viene aggiornato a Windows 11 e non vengono apportate modifiche ai profili VPN del dispositivo. Dopo l'aggiornamento a Windows 11, eventuali modifiche ai profili VPN dei dispositivi o l'aggiunta di nuovi profili VPN attiveranno il problema.
Windows 11 richiede che:
Tutte le impostazioni Parametri associazione di sicurezza IKE e Parametri dell'associazione di sicurezza figlio sono configurate
O
Nessuna delle impostazioni parametri dell'associazione di sicurezza IKE e dei parametri dell'associazione di sicurezza figlio è configurata
Se si configura solo una delle impostazioni IKE Security Association Parameters o Child Security Association Parameters , si verifica una perdita di funzionalità VPN.
Passaggio 1: Distribuire l'app VPN
Prima di poter usare i profili VPN assegnati a un dispositivo, è necessario installare l'app VPN. Questa app VPN si connette al server VPN.
Sono disponibili diverse app VPN. Nei dispositivi utente si distribuisce l'app VPN usata dall'organizzazione. Dopo aver distribuito l'app VPN, creare e distribuire un profilo di configurazione del dispositivo VPN che configura le impostazioni del server VPN, inclusi il nome del server VPN (o FQDN) e il metodo di autenticazione.
Alcune piattaforme e app VPN richiedono criteri di configurazione dell'app per preconfigurare l'app VPN, anziché un profilo di configurazione del dispositivo VPN. Questa sezione elenca anche le piattaforme e le app VPN che devono usare un criterio di configurazione dell'app.
Per assegnare l'app usando Intune, passare a Aggiungi app a Microsoft Intune.
Tipi di connessione VPN
È possibile creare profili VPN usando i tipi di connessione VPN seguenti:
Automatico
- Windows 10/11
Check Point Capsule VPN
- Amministratore del dispositivo Android
- Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
- Profilo di lavoro completamente gestito e di proprietà dell'azienda Android Enterprise: usare i criteri di configurazione delle app
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Cisco AnyConnect
- Amministratore del dispositivo Android
- Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
- Profilo di lavoro android enterprise completamente gestito e di proprietà dell'azienda
- iOS/iPadOS
- macOS
- Windows 10/11
Cisco (IPSec)
- iOS/iPadOS
Citrix SSO
- Amministratore del dispositivo Android
- Dispositivi di proprietà personale Android Enterprise con un profilo di lavoro: usare i criteri di configurazione delle app
- Profili di lavoro android enterprise completamente gestiti e di proprietà dell'azienda: usare i criteri di configurazione delle app
- iOS/iPadOS
- Windows 10/11
VPN personalizzata
- iOS/iPadOS
- macOS
Creare profili VPN personalizzati usando le impostazioni URI in Creare un profilo con impostazioni personalizzate.
F5 Access
- Amministratore del dispositivo Android
- Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
- Profilo di lavoro android enterprise completamente gestito e di proprietà dell'azienda
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
IKEv2
- iOS/iPadOS
- Windows 10/11
L2TP
- Windows 10/11
Microsoft Tunnel
- Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
- Profilo di lavoro android enterprise completamente gestito e di proprietà dell'azienda
- iOS/iPadOS
NetMotion Mobility
- Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
- Profilo di lavoro android enterprise completamente gestito e di proprietà dell'azienda
- iOS/iPadOS
- macOS
Palo Alto Networks GlobalProtect
- Dispositivi di proprietà personale Android Enterprise con un profilo di lavoro: usare i criteri di configurazione delle app
- Profilo di lavoro completamente gestito e di proprietà dell'azienda Android Enterprise: usare i criteri di configurazione delle app
- iOS/iPadOS
- Windows 10/11
PPTP
- Windows 10/11
Pulse Secure
- Amministratore del dispositivo Android
- Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
- Profilo di lavoro android enterprise completamente gestito e di proprietà dell'azienda
- iOS/iPadOS
- Windows 10/11
- Windows 8.1
SonicWall Mobile Connect
- Amministratore del dispositivo Android
- Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
- Profilo di lavoro android enterprise completamente gestito e di proprietà dell'azienda
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Zscaler
- Dispositivi di proprietà personale Android Enterprise con un profilo di lavoro: usare i criteri di configurazione delle app
- Profilo di lavoro completamente gestito e di proprietà dell'azienda Android Enterprise: usare i criteri di configurazione delle app
- iOS/iPadOS
Passaggio 2: Creare il profilo
Dopo l'assegnazione dell'app VPN al dispositivo, questo passaggio successivo crea i criteri di configurazione del dispositivo che configurano la connessione VPN. Se il tipo di connessione dell'app VPN usa un criterio di configurazione dell'app per configurare l'app, ignorare questo passaggio.
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>Gestisci dispositivi>Configurazione>Crea>Nuovo criterio.
Immettere le proprietà seguenti:
-
Piattaforma: scegliere la piattaforma per il proprio dispositivo. Le opzioni disponibili sono:
- Amministratore del dispositivo Android
- Android Enterprise>Profilo di lavoro gestito, dedicato e di proprietà aziendale
- Android Enterprise>Profilo di lavoro di proprietà personale
- iOS/iPadOS
- macOS
- Windows 10 e versioni successive
- Windows 8.1 e versioni successive
- Tipo di profilo: selezionare VPN. In alternativa, selezionare Modelli>VPN.
-
Piattaforma: scegliere la piattaforma per il proprio dispositivo. Le opzioni disponibili sono:
Selezionare Crea.
In Informazioni di base immettere le proprietà seguenti:
- Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è profilo VPN per l'intera azienda.
- Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
Seleziona Avanti.
In Impostazioni di configurazione le impostazioni configurabili variano in base alla piattaforma scelta. Selezionare la piattaforma per le impostazioni dettagliate:
- Amministratore del dispositivo Android
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10 (incluso Windows Holographic for Business)
- Windows 8.1
Seleziona Avanti.
In Tag ambito (facoltativo) assegnare un tag per filtrare il profilo a gruppi IT specifici, ad esempio
US-NC IT Team
oJohnGlenn_ITDepartment
. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.Seleziona Avanti.
In Assegnazioni selezionare gli utenti o i gruppi che riceveranno il profilo. Per altre informazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.
Seleziona Avanti.
In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.
Proteggere i profili VPN
I profili VPN possono usare diversi tipi di connessione e protocolli di produttori diversi. Queste connessioni sono in genere protette tramite i metodi seguenti.
Certificati
Quando si crea il profilo VPN, si sceglie un profilo certificato SCEP o PKCS creato in precedenza in Intune. Questo certificato è noto come certificato di identità. Viene usato per eseguire l'autenticazione in base a un profilo certificato attendibile (o certificato radice) creato per consentire la connessione del dispositivo dell'utente. Il certificato attendibile viene assegnato al computer che autentica la connessione alla posta elettronica.
Se si usa l'autenticazione basata su certificati per il profilo di posta elettronica, è necessario distribuire il profilo di posta elettronica, il profilo certificato e il profilo radice attendibile agli stessi gruppi. Questa distribuzione assicura che ogni dispositivo possa riconoscere la legittimità dell'autorità di certificazione.
Per altre informazioni su come creare e usare i profili certificato in Intune, vedere Come configurare i certificati con Microsoft Intune.
Nota
I certificati aggiunti usando il profilo certificato importato PKCS non sono supportati per l'autenticazione VPN. I certificati aggiunti usando il profilo dei certificati PKCS sono supportati per l'autenticazione VPN.
Nome utente e password
L'utente esegue l'autenticazione al server VPN specificando un nome utente e una password o credenziali derivate.
Passaggi successivi
- Assegnare il profilo e monitorarne lo stato.
- È anche possibile creare e usare VPN per app nei dispositivi Android device administrator/Android Enterprise e iOS/iPadOS .