Impostazioni del dispositivo Android Enterprise per configurare la VPN in Intune

Questo articolo descrive le diverse impostazioni di connessione VPN che è possibile controllare nei dispositivi Android Enterprise. Come parte della soluzione di gestione dei dispositivi mobili (MDM), usare queste impostazioni per creare una connessione VPN, scegliere la modalità di autenticazione della VPN, selezionare un tipo di server VPN e altro ancora.

Questa funzionalità si applica a:

• Dispositivi android enterprise di proprietà personale con un profilo di lavoro (BYOD)
• Profilo di lavoro aziendale Android Enterprise (COPE)
• Android Enterprise di proprietà aziendale completamente gestita (COBO)
• Dispositivi dedicati di proprietà dell'azienda Android Enterprise (COSU)

Gli amministratori di Intune possono creare e assegnare impostazioni VPN ai dispositivi Android Enterprise. Per altre informazioni sui profili VPN in Intune, vedere Profili VPN.

Nota

Per configurare la VPN sempre attiva, è necessario creare un profilo VPN e anche un profilo di restrizioni del dispositivo con l'impostazione VPN Always-on configurata.

Prima di iniziare

• Creare un profilo di configurazione del dispositivo VPN Android Enterprise:

  • Profilo di lavoro completamente gestito, dedicato e di proprietà dell'azienda
  • Profilo di lavoro di proprietà personale

• Alcuni servizi di Microsoft 365, ad esempio Outlook, potrebbero non funzionare correttamente usando VPN di terze parti o partner. Se si usa una VPN di terze parti o partner e si verifica un problema di latenza o prestazioni, rimuovere la VPN.

  Se la rimozione della VPN risolve il comportamento, è possibile:

  • Collaborare con la VPN di terze parti o partner per possibili risoluzioni. Microsoft non fornisce supporto tecnico per vpn di terze parti o partner.
  • Non usare una VPN con il traffico di Outlook.
  • Se è necessario usare una VPN, usare una VPN con split tunnel. E consentire al traffico di Outlook di ignorare la VPN.

  Per altre informazioni, vedere:

  • Panoramica: split tunneling VPN per Microsoft 365
  • Uso di dispositivi o soluzioni di rete di terze parti con Microsoft 365
  • Alternative ways for security professionals and IT to achieve modern security controls in today's unique remote work scenarios blog
  • Principi della connettività di rete di Microsoft 365

• Se sono necessari questi dispositivi per accedere alle risorse locali usando l'autenticazione moderna e l'accesso condizionale, è possibile usare Microsoft Tunnel, che supporta il tunneling diviso.

Profilo di lavoro completamente gestito, dedicato e Corporate-Owned

• Tipo di connessione: selezionare il tipo di connessione VPN. Le opzioni disponibili sono:

  • Cisco AnyConnect
  • SonicWall Mobile Connect
  • F5 Access
  • Pulse Secure
  • Microsoft Tunnel (non supportato nei dispositivi android enterprise dedicati).

Le impostazioni disponibili dipendono dal client VPN scelto. Alcune impostazioni sono disponibili solo per client VPN specifici.

VPN di base (profilo di lavoro completamente gestito, dedicato e di proprietà dell'azienda)

• Nome connessione: immettere un nome per questa connessione. Gli utenti finali visualizzano questo nome quando esplorano il dispositivo per le connessioni VPN disponibili. Immettere ad esempio Contoso VPN.

• Indirizzo server VPN o FQDN: immettere l'indirizzo IP o il nome di dominio completo (FQDN) del server VPN connesso dai dispositivi. Ad esempio, immettere 192.168.1.1 o vpn.contoso.com.

• Metodo di autenticazione: scegliere il modo in cui i dispositivi eseguono l'autenticazione al server VPN. Le opzioni disponibili sono:

  • Certificati: selezionare un profilo certificato SCEP o PKCS esistente per autenticare la connessione. Configura certificati elenca i passaggi per creare un profilo certificato.

  • Nome utente e password: quando gli utenti finali accedono al server VPN, viene richiesto di immettere il nome utente e la password.

  • Credenziali derivate: usare un certificato derivato dalla smart card di un utente. Se non è configurato alcun emittente di credenziali derivate, Intune richiede di aggiungerne uno.

    Per altre informazioni, vedere Usare le credenziali derivate in Intune.

• Immettere coppie chiave/valore per gli attributi VPN di NetMotion Mobility: Aggiungere o importare chiavi e valori che personalizzano la connessione VPN. Questi valori vengono in genere forniti dal provider VPN.

• Sito di Microsoft Tunnel (solo Microsoft Tunnel): selezionare un sito esistente. Il client VPN si connette all'indirizzo IP pubblico o al nome di dominio completo di questo sito.

  Per altre informazioni, vedere Microsoft Tunnel per Intune.

VPN per app (profilo di lavoro completamente gestito, dedicato e di proprietà dell'azienda)

• Aggiungi: selezionare app gestite dall'elenco. Quando gli utenti avviano le app aggiunte, il traffico instrada automaticamente attraverso la connessione VPN.

Per altre informazioni, vedere Usare una VPN e criteri VPN per app nei dispositivi Android Enterprise.

VPN always-on (profilo di lavoro completamente gestito, dedicato e di proprietà dell'azienda)

• VPN always-on: abilita attiva la VPN sempre attiva in modo che i client VPN si connettano e si riconnettano automaticamente alla VPN quando possibile. Se impostato su Non configurato, Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, la VPN always-on potrebbe essere disabilitata per tutti i client VPN.

  È possibile configurare un solo client VPN per la VPN sempre attiva in un dispositivo. Assicurarsi di avere non più di un criterio VPN always-on distribuito in un singolo dispositivo.

Proxy (profilo di lavoro completamente gestito, dedicato e di proprietà dell'azienda)

• Script di configurazione automatica: usare un file per configurare il server proxy. Immettere l'URL del server proxy che include il file di configurazione. Immettere ad esempio http://proxy.contoso.com/pac.
• Indirizzo: immettere l'indirizzo IP o il nome host completo del server proxy. Ad esempio, immettere 10.0.0.3 o vpn.contoso.com.
• Numero di porta: immettere il numero di porta associato al server proxy. Immettere ad esempio 8080.

Profilo di lavoro di proprietà personale

• Tipo di connessione: selezionare il tipo di connessione VPN. Le opzioni disponibili sono:

  • VPN capsule Check Point

  • Cisco AnyConnect

    Nota

    Con Cisco AnyConnect nel profilo di lavoro di proprietà personale, potrebbero essere necessari alcuni passaggi aggiuntivi per consentire agli utenti finali di completare la connessione VPN. Per altre informazioni, vedere Profili VPN - Aspetto dei profili VPN con esito positivo.

  • SonicWall Mobile Connect

  • F5 Access

  • Pulse Secure

  • NetMotion Mobility

  • Microsoft Tunnel

Le impostazioni disponibili dipendono dal client VPN scelto. Alcune impostazioni sono disponibili solo per client VPN specifici.

VPN di base (profilo di lavoro di proprietà personale)

• Nome connessione: immettere un nome per questa connessione. Gli utenti finali visualizzano questo nome quando esplorano il dispositivo per le connessioni VPN disponibili. Immettere ad esempio Contoso VPN.

• Indirizzo server VPN: immettere l'indirizzo IP o il nome di dominio completo (FQDN) del server VPN connesso dai dispositivi. Ad esempio, immettere 192.168.1.1 o vpn.contoso.com.

• Metodo di autenticazione: scegliere il modo in cui i dispositivi eseguono l'autenticazione al server VPN. Le opzioni disponibili sono:

  • Certificati: selezionare un profilo certificato SCEP o PKCS esistente per autenticare la connessione. Configura certificati elenca i passaggi per creare un profilo certificato.

  • Nome utente e password: quando gli utenti finali accedono al server VPN, viene richiesto di immettere il nome utente e la password.

  • Credenziali derivate: usare un certificato derivato dalla smart card di un utente. Se non è configurato alcun emittente di credenziali derivate, Intune richiede di aggiungerne uno.

    Per altre informazioni, vedere Usare le credenziali derivate in Intune.

• Impronta digitale (solo Check Point VPN capsule): immettere la stringa dell'impronta digitale fornita dal fornitore della VPN, ad Contoso Fingerprint Codeesempio . Questa impronta digitale verifica che il server VPN possa essere considerato attendibile.

  Durante l'autenticazione, viene inviata un'impronta digitale al client in modo che il client sappia considerare attendibile qualsiasi server con la stessa impronta digitale. Se il dispositivo non ha l'impronta digitale, richiede all'utente di considerare attendibile il server VPN durante la visualizzazione dell'impronta digitale. L'utente verifica manualmente l'impronta digitale e sceglie di considerare attendibile la connessione.

• Immettere coppie chiave/valore per gli attributi VPN di NetMotion Mobility: Aggiungere o importare chiavi e valori che personalizzano la connessione VPN. Questi valori vengono in genere forniti dal provider VPN.

• Sito di Microsoft Tunnel (solo Microsoft Tunnel): selezionare un sito esistente. Il client VPN si connette all'indirizzo IP pubblico o al nome di dominio completo di questo sito.

  Per altre informazioni, vedere Microsoft Tunnel per Intune.

VPN per app (profilo di lavoro di proprietà personale)

• Aggiungi: selezionare app gestite dall'elenco. Quando gli utenti avviano le app aggiunte, il traffico instrada automaticamente attraverso la connessione VPN.

Per altre informazioni, vedere Usare una VPN e criteri VPN per app nei dispositivi Android Enterprise.

VPN always-on (profilo di lavoro di proprietà personale)

• VPN always-on: abilita attiva la VPN sempre attiva in modo che i client VPN si connettano e si riconnettano automaticamente alla VPN quando possibile. Se impostato su Non configurato, Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, la VPN always-on potrebbe essere disabilitata per tutti i client VPN.

  È possibile configurare un solo client VPN per la VPN sempre attiva in un dispositivo. Assicurarsi di avere non più di un criterio VPN always-on distribuito in un singolo dispositivo.

Proxy (profilo di lavoro di proprietà personale)

• Script di configurazione automatica: usare un file per configurare il server proxy. Immettere l'URL del server proxy che include il file di configurazione. Immettere ad esempio http://proxy.contoso.com/pac.
• Indirizzo: immettere l'indirizzo IP o il nome host completo del server proxy. Ad esempio, immettere 10.0.0.3 o vpn.contoso.com.
• Numero di porta: immettere il numero di porta associato al server proxy. Immettere ad esempio 8080.

Passaggi successivi

Assegnare il profilo e monitorarne lo stato.

È anche possibile creare profili VPN per l'amministratore di dispositivi Android, iOS/iPadOS, macOS e Windows 10 e versioni successive.

Risoluzione dei problemi relativi al profilo VPN in Microsoft Intune