Aggiungere impostazioni VPN sui dispositivi iOS e iPadOS in Microsoft Intune

Microsoft Intune include molte impostazioni VPN che possono essere distribuite nei dispositivi iOS/iPadOS. Queste impostazioni vengono usate per creare e configurare connessioni VPN alla rete dell'organizzazione. Questo articolo descrive queste impostazioni. Alcune impostazioni sono disponibili solo per alcuni client VPN, ad esempio Citrix, Zscaler e altro ancora.

Questa funzionalità si applica a:

• iOS/iPadOS

Prima di iniziare

• Creare un profilo di configurazione del dispositivo VPN iOS/iPadOS.

• Alcuni servizi di Microsoft 365, ad esempio Outlook, potrebbero non funzionare correttamente usando VPN di terze parti o partner. Se si usa una VPN di terze parti o partner e si verifica un problema di latenza o prestazioni, rimuovere la VPN.

  Se la rimozione della VPN risolve il comportamento, è possibile:

  • Collaborare con la VPN di terze parti o partner per possibili risoluzioni. Microsoft non fornisce supporto tecnico per vpn di terze parti o partner.
  • Non usare una VPN con il traffico di Outlook.
  • Se è necessario usare una VPN, usare una VPN con split tunnel. E consentire al traffico di Outlook di ignorare la VPN.

  Per altre informazioni, vedere:

  • Panoramica: split tunneling VPN per Microsoft 365
  • Uso di dispositivi o soluzioni di rete di terze parti con Microsoft 365
  • Alternative ways for security professionals and IT to achieve modern security controls in today's unique remote work scenarios blog
  • Principi della connettività di rete di Microsoft 365

• Se sono necessari questi dispositivi per accedere alle risorse locali usando l'autenticazione moderna e l'accesso condizionale, è possibile usare Microsoft Tunnel, che supporta il tunneling diviso.

Nota

• Queste impostazioni sono disponibili per tutti i tipi di registrazione, ad eccezione della registrazione utente. La registrazione utente è limitata alla VPN per app. Per altre informazioni sui tipi di registrazione, vedere Registrazione di iOS/iPadOS.

• Le impostazioni disponibili dipendono dal client VPN scelto. Alcune impostazioni sono disponibili solo per client VPN specifici.

• Queste impostazioni usano il payload VPN Apple (apre il sito Web di Apple).

Tipo di connessione

Selezionare il tipo di connessione VPN nell'elenco di fornitori seguente:

• VPN capsule Check Point

• Cisco Legacy AnyConnect

  Si applica all'app Cisco Legacy AnyConnect versione 4.0.5x e versioni precedenti.

• Cisco AnyConnect

  Si applica all'app Cisco AnyConnect versione 4.0.7x e successive.

• SonicWall Mobile Connect

• F5 Access Legacy

  Si applica all'app F5 Access versione 2.1 e precedenti.

• F5 Access

  Si applica all'app F5 Access versione 3.0 e successive.

• Palo Alto Networks GlobalProtect (legacy)

  Si applica all'app Palo Alto Networks GlobalProtect versione 4.1 e precedenti.

• Palo Alto Networks GlobalProtect

  Si applica all'app Palo Alto Networks GlobalProtect versione 5.0 e successive.

• Pulse Secure

• Cisco (IPSec)

• Citrix VPN

• Citrix SSO

• Zscaler

  Per usare l'accesso condizionale o consentire agli utenti di ignorare la schermata di accesso di Zscaler, è necessario integrare Zscaler Private Access (ZPA) con l'account Microsoft Entra. Per i passaggi dettagliati, vedere la documentazione di Zscaler.

• NetMotion Mobility

• IKEv2

  Le impostazioni IKEv2 (in questo articolo) descrivono le proprietà.

• Microsoft Tunnel

  Si applica all'app Microsoft Defender per endpoint che include la funzionalità client Tunnel.

• VPN personalizzata

Nota

Cisco, Citrix, F5 e Palo Alto hanno annunciato che i client legacy non funzionano su iOS 12 e versioni successive. È consigliabile eseguire la migrazione alle nuove app il prima possibile. Per altre informazioni, vedere il blog del team di supporto Microsoft Intune.

Impostazioni VPN di base

• Nome connessione: gli utenti finali visualizzano questo nome quando esplorano il dispositivo per un elenco di connessioni VPN disponibili.

• Nome di dominio personalizzato (solo Zscaler): prepopolare il campo di accesso dell'app Zscaler con il dominio a cui appartengono gli utenti. Ad esempio, se un nome utente è Joe@contoso.net, il contoso.net dominio viene visualizzato in modo statico nel campo all'apertura dell'app. Se non si immette un nome di dominio, viene usata la parte di dominio dell'UPN in Microsoft Entra ID.

• Indirizzo server VPN: indirizzo IP o nome di dominio completo (FQDN) del server VPN con cui i dispositivi si connettono. Ad esempio, immettere 192.168.1.1 o vpn.contoso.com.

• Nome cloud dell'organizzazione (solo Zscaler): immettere il nome cloud in cui viene effettuato il provisioning dell'organizzazione. Il nome dell'URL usato per accedere a Zscaler è .

• Metodo di autenticazione: scegliere il modo in cui i dispositivi eseguono l'autenticazione al server VPN.

  • Certificati: in Certificato di autenticazione selezionare un profilo certificato SCEP o PKCS esistente per autenticare la connessione. Configurare i certificati fornisce alcune indicazioni sui profili certificato.

  • Nome utente e password: gli utenti finali devono immettere un nome utente e una password per accedere al server VPN.

    Nota

    Se nome utente e password vengono usati come metodo di autenticazione per la VPN Cisco IPsec, devono recapitare SharedSecret tramite un profilo Apple Configurator personalizzato.

  • Credenziali derivate: usare un certificato derivato dalla smart card di un utente. Se non è configurato alcun emittente di credenziali derivate, Intune richiede di aggiungerne uno. Per altre informazioni, vedere Usare le credenziali derivate in Microsoft Intune.

• URL esclusi (solo Zscaler): se connessi alla VPN Zscaler, gli URL elencati sono accessibili all'esterno del cloud Zscaler. È possibile aggiungere fino a 50 URL.

• Split tunneling: abilita o disabilita per consentire ai dispositivi di decidere quale connessione usare, a seconda del traffico. Ad esempio, un utente in un hotel usa la connessione VPN per accedere ai file di lavoro, ma usa la rete standard dell'hotel per l'esplorazione Web regolare.

• Identificatore VPN (VPN personalizzata, Zscaler e Citrix): identificatore per l'app VPN in uso e fornito dal provider VPN.

• Immettere coppie chiave/valore per gli attributi VPN personalizzati dell'organizzazione (VPN personalizzata, Zscaler e Citrix): aggiungere o importare chiavi e valori che personalizzano la connessione VPN. Tenere presente che questi valori vengono in genere forniti dal provider VPN.

• Abilitare il controllo di accesso alla rete (NAC) (Cisco AnyConnect, Citrix SSO, F5 Access): quando si sceglie Accetto, l'ID dispositivo viene incluso nel profilo VPN. Questo ID può essere usato per l'autenticazione alla VPN per consentire o impedire l'accesso alla rete.

  Quando si usa Cisco AnyConnect con ISE, assicurarsi di:

  • Se non è già stato fatto, integrare ISE con Intune per NAC come descritto in Configurare Microsoft Intune come server MDM nella Guida dell'amministratore del motore di Cisco Identity Services.
  • Abilitare NAC nel profilo VPN.

  Importante

  Il servizio NAC (Network Access Control) è deprecato e sostituito con il servizio NAC più recente di Microsoft, ovvero il servizio di recupero conformità (CR Service). Per supportare le modifiche all'interno di Cisco ISE, Intune modificato il formato dell'ID dispositivo. Pertanto, i profili esistenti con il servizio NAC originale smetteranno di funzionare.

  Per usare il servizio CR ed evitare tempi di inattività con la connessione VPN, ridistribuire lo stesso profilo di configurazione del dispositivo VPN. Non sono necessarie modifiche al profilo. È sufficiente ridistribuire. Quando il dispositivo si sincronizza con Intune servizio e riceve il profilo di configurazione VPN, le modifiche del servizio CR vengono distribuite automaticamente nel dispositivo. Inoltre, le connessioni VPN dovrebbero continuare a funzionare.

  Quando si usa l'accesso Single Sign-On di Citrix con gateway, assicurarsi di:

  • Verificare di usare Citrix Gateway 12.0.59 o versione successiva.
  • Verificare che citrix SSO 1.1.6 o versione successiva sia installato nei dispositivi degli utenti.
  • Integrare Citrix Gateway con Intune per NAC. Vedere la guida alla distribuzione Citrix Integration Microsoft Intune/Enterprise Mobility Suite with NetScaler (LDAP+OTP Scenario).
  • Abilitare NAC nel profilo VPN.

  Quando si usa F5 Access, assicurarsi di:

  • Verificare di usare F5 BIG-IP 13.1.1.5 o versione successiva.
  • Integrare BIG-IP con Intune per NAC. Vedere la guida Panoramica: Configurazione di APM per i controlli della postura dei dispositivi con i sistemi di gestione degli endpoint F5.
  • Abilitare NAC nel profilo VPN.

  Per i partner VPN che supportano l'ID dispositivo, il client VPN, ad esempio Citrix SSO, può ottenere l'ID. Può quindi eseguire una query su Intune per verificare che il dispositivo sia registrato e se il profilo VPN è conforme o non conforme.

  • Per rimuovere questa impostazione, ricreare il profilo e non selezionare Accetto. Riassegnare quindi il profilo.

• Immettere coppie chiave/valore per gli attributi VPN di NetMotion Mobility (solo NetMotion Mobility): immettere o importare coppie chiave-valore. Questi valori possono essere forniti dal provider VPN.

• Sito di Microsoft Tunnel (solo Microsoft Tunnel): selezionare un sito esistente. Il client VPN si connette all'indirizzo IP pubblico o al nome di dominio completo di questo sito.

  Per altre informazioni, vedere Microsoft Tunnel per Intune.

Impostazioni IKEv2

Queste impostazioni si applicano quando si sceglie Tipo di> connessioneIKEv2.

• VPN always-on: abilita imposta un client VPN per connettersi e riconnettersi automaticamente alla VPN. Le connessioni VPN sempre attive rimangono connesse o si connettono immediatamente quando l'utente blocca il dispositivo, il dispositivo viene riavviato o la rete wireless cambia. Se impostato su Disabilita (impostazione predefinita), la VPN sempre attiva per tutti i client VPN è disabilitata. Se abilitata, configurare anche:

  • Interfaccia di rete: tutte le impostazioni IKEv2 si applicano solo all'interfaccia di rete scelta. Le opzioni disponibili sono:

    • Wi-Fi e cellulare (impostazione predefinita): le impostazioni IKEv2 si applicano alle interfacce Wi-Fi e cellulare nel dispositivo.
    • Cellulare: le impostazioni IKEv2 si applicano solo all'interfaccia cellulare nel dispositivo. Selezionare questa opzione se si esegue la distribuzione nei dispositivi con l'interfaccia Wi-Fi disabilitata o rimossa.
    • Wi-Fi: le impostazioni IKEv2 si applicano solo all'interfaccia Wi-Fi nel dispositivo.

  • Utente per disabilitare la configurazione VPN: Abilita consente agli utenti di disattivare la VPN sempre attiva. Disabilita (impostazione predefinita) impedisce agli utenti di disattivarla. Il valore predefinito per questa impostazione è l'opzione più sicura.

  • Segreteria telefonica: scegliere cosa accade con il traffico della segreteria telefonica quando è abilitata la VPN sempre attiva. Le opzioni disponibili sono:

    • Forzare il traffico di rete tramite VPN (impostazione predefinita): questa impostazione è l'opzione più sicura.
    • Consentire al traffico di rete di passare una VPN esterna
    • Eliminare il traffico di rete

  • AirPrint: scegliere cosa accade con il traffico AirPrint quando è abilitata la VPN sempre attiva. Le opzioni disponibili sono:

    • Forzare il traffico di rete tramite VPN (impostazione predefinita): questa impostazione è l'opzione più sicura.
    • Consentire al traffico di rete di passare una VPN esterna
    • Eliminare il traffico di rete

  • Servizi cellulari: in iOS 13.0+, scegliere cosa accade con il traffico cellulare quando è abilitata la VPN always-on. Le opzioni disponibili sono:

    • Forzare il traffico di rete tramite VPN (impostazione predefinita): questa impostazione è l'opzione più sicura.
    • Consentire al traffico di rete di passare una VPN esterna
    • Eliminare il traffico di rete

  • Consenti il passaggio del traffico dalle app di rete in cattività non native all'esterno della VPN: una rete vincolata si riferisce agli hotspot Wi-Fi in genere presenti in ristoranti e hotel. Le opzioni disponibili sono:

    • No: forza tutto il traffico dell'app Captive Networking (CN) attraverso il tunnel VPN.
    • Sì, tutte le app: consente a tutto il traffico dell'app CN di ignorare la VPN.
    • Sì, app specifiche: aggiungere un elenco di app CN il cui traffico può ignorare la VPN. Immettere gli identificatori del bundle dell'app CN. Immettere ad esempio com.contoso.app.id.package.

  • Traffico dall'app Captive Websheet da passare all'esterno della VPN: Captive WebSheet è un Web browser predefinito che gestisce l'accesso in cattività. Abilita consente al traffico dell'app del browser di ignorare la VPN. Disabilita (impostazione predefinita) impone al traffico WebSheet di usare la VPN sempre attiva. Il valore predefinito è l'opzione più sicura.

  • Intervallo keepalive NAT (Network Address Translation) (secondi): per rimanere connesso alla VPN, il dispositivo invia pacchetti di rete per rimanere attivi. Immettere un valore in secondi sulla frequenza di invio di questi pacchetti, da 20 a 1440. Ad esempio, immettere un valore pari a per inviare i pacchetti di 60 rete alla VPN ogni 60 secondi. Per impostazione predefinita, questo valore è impostato su 110 secondi.

  • Offload nat keepalive all'hardware quando il dispositivo è in stato di sospensione: quando un dispositivo è in stato di sospensione, Abilita (impostazione predefinita) ha NAT che invia continuamente pacchetti keep-alive in modo che il dispositivo rimanga connesso alla VPN. Disabilita disattiva questa funzionalità.

• Identificatore remoto: immettere l'indirizzo IP di rete, FQDN, UserFQDN o ASN1DN del server IKEv2. Ad esempio, immettere 10.0.0.3 o vpn.contoso.com. In genere, si immette lo stesso valore del nome della connessione (in questo articolo). Tuttavia, dipende dalle impostazioni del server IKEv2.

• Identificatore locale: immettere il nome di dominio completo del dispositivo o il nome comune del soggetto del client VPN IKEv2 nel dispositivo. In alternativa, è possibile lasciare vuoto questo valore (impostazione predefinita). In genere, l'identificatore locale deve corrispondere all'identità dell'utente o del certificato del dispositivo. Il server IKEv2 può richiedere la corrispondenza dei valori in modo che possa convalidare l'identità del client.

• Tipo di autenticazione client: scegliere il modo in cui il client VPN esegue l'autenticazione alla VPN. Le opzioni disponibili sono:

  • Autenticazione utente (impostazione predefinita): le credenziali utente eseguono l'autenticazione alla VPN.
  • Autenticazione computer: le credenziali del dispositivo eseguono l'autenticazione alla VPN.

• Metodo di autenticazione: scegliere il tipo di credenziali client da inviare al server. Le opzioni disponibili sono:

  • Certificati: usa un profilo certificato esistente per l'autenticazione alla VPN. Assicurarsi che questo profilo certificato sia già assegnato all'utente o al dispositivo. In caso contrario, la connessione VPN ha esito negativo.

    • Tipo di certificato: selezionare il tipo di crittografia usato dal certificato. Assicurarsi che il server VPN sia configurato per accettare questo tipo di certificato. Le opzioni disponibili sono:
      • RSA (impostazione predefinita)
      • ECDSA256
      • ECDSA384
      • ECDSA521

  • Segreto condiviso (solo autenticazione computer): consente di immettere un segreto condiviso da inviare al server VPN.

    • Segreto condiviso: immettere il segreto condiviso, noto anche come chiave precon condivisa. Assicurarsi che il valore corrisponda al segreto condiviso configurato nel server VPN.

• Nome comune dell'autorità di certificazione del server: consente al server VPN di eseguire l'autenticazione al client VPN. Immettere il nome comune dell'autorità di certificazione (CN) del certificato del server VPN inviato al client VPN nel dispositivo. Assicurarsi che il valore CN corrisponda alla configurazione nel server VPN. In caso contrario, la connessione VPN ha esito negativo.

• Nome comune del certificato server: immettere il cn per il certificato stesso. Se lasciato vuoto, viene usato il valore dell'identificatore remoto.

• Tasso di rilevamento peer non attivo: scegliere la frequenza con cui il client VPN controlla se il tunnel VPN è attivo. Le opzioni disponibili sono:

  • Non configurato: usa l'impostazione predefinita del sistema iOS/iPadOS, che può corrispondere alla scelta media.
  • Nessuno: disabilita il rilevamento peer non recapitabili.
  • Bassa: invia un messaggio keepalive ogni 30 minuti.
  • Media (impostazione predefinita): invia un messaggio keepalive ogni 10 minuti.
  • Alto: invia un messaggio keepalive ogni 60 secondi.

• Intervallo di versioni TLS minimo: immettere la versione minima di TLS da usare. Immettere 1.0, 1.1o 1.2. Se lasciato vuoto, viene usato il valore predefinito di 1.0 . Quando si usano l'autenticazione utente e i certificati, è necessario configurare questa impostazione.

• Intervallo massimo di versioni TLS: immettere la versione massima di TLS da usare. Immettere 1.0, 1.1o 1.2. Se lasciato vuoto, viene usato il valore predefinito di 1.2 . Quando si usano l'autenticazione utente e i certificati, è necessario configurare questa impostazione.

• Perfetta segretezza in avanti: selezionare Abilita per attivare la perfetta segretezza di inoltro (PFS). PFS è una funzionalità di sicurezza IP che riduce l'impatto se una chiave di sessione viene compromessa. Disabilita (impostazione predefinita) non usa PFS.

• Controllo della revoca del certificato: selezionare Abilita per assicurarsi che i certificati non vengano revocati prima di consentire l'esito positivo della connessione VPN. Questo controllo è il massimo sforzo. Se il server VPN scade prima di determinare se il certificato viene revocato, l'accesso viene concesso. Disabilita (impostazione predefinita) non controlla la presenza di certificati revocati.

• Usare gli attributi della subnet interna IPv4/IPv6: alcuni server IKEv2 usano gli INTERNAL_IP4_SUBNET attributi o INTERNAL_IP6_SUBNET . Abilita forza la connessione VPN a usare questi attributi. Disabilita (impostazione predefinita) non impone alla connessione VPN di usare questi attributi della subnet.

• Mobilità e multihoming (MOBIKE): MOBIKE consente ai client VPN di modificare l'indirizzo IP senza ricreare un'associazione di sicurezza con il server VPN. Abilita (impostazione predefinita) attiva MOBIKE, che può migliorare le connessioni VPN quando si viaggia tra reti. Disabilita disattiva MOBIKE.

• Reindirizzamento: abilita (impostazione predefinita) reindirizza la connessione IKEv2 se viene ricevuta una richiesta di reindirizzamento dal server VPN. Disabilita impedisce il reindirizzamento della connessione IKEv2 se viene ricevuta una richiesta di reindirizzamento dal server VPN.

• Unità di trasmissione massima: immettere l'unità di trasmissione massima (MTU) in byte, da 1 a 65536. Se impostato su Non configurato o lasciato vuoto, Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, Apple può impostare questo valore su 1280.

  Questa impostazione si applica a:

  • iOS/iPadOS 14 e versioni successive

• Parametri di associazione di sicurezza: immettere i parametri da usare durante la creazione di associazioni di sicurezza con il server VPN:

  • Algoritmo di crittografia: selezionare l'algoritmo desiderato:

    • DES
    • 3DES
    • AES-128
    • AES-256 (impostazione predefinita)
    • AES-128-GCM
    • AES-256-GCM

    Nota

    Se si imposta l'algoritmo di crittografia su AES-128-GCM o AES-256-GCM, viene usato il AES-256 valore predefinito. Si tratta di un problema noto e verrà risolto in una versione futura. Non esiste un ETA.

  • Algoritmo di integrità: selezionare l'algoritmo desiderato:

    • SHA1-96
    • SHA1-160
    • SHA2-256 (impostazione predefinita)
    • SHA2-384
    • SHA2-512

  • Gruppo Diffie-Hellman: selezionare il gruppo desiderato. Il valore predefinito è group 2.

  • Durata (minuti): immettere per quanto tempo l'associazione di sicurezza rimane attiva fino a quando non vengono ruotate le chiavi. Immettere un valore intero compreso tra 10 e 1440 (1440 minuti è 24 ore). Il valore predefinito è 1440.

• Parametri dell'associazione di sicurezza figlio: iOS/iPadOS consente di configurare parametri separati per la connessione IKE ed eventuali connessioni figlio. Immettere i parametri usati durante la creazione di associazioni di sicurezza figlio con il server VPN:

  • Algoritmo di crittografia: selezionare l'algoritmo desiderato:

    • DES
    • 3DES
    • AES-128
    • AES-256 (impostazione predefinita)
    • AES-128-GCM
    • AES-256-GCM

    Nota

    Se si imposta l'algoritmo di crittografia su AES-128-GCM o AES-256-GCM, viene usato il AES-256 valore predefinito. Si tratta di un problema noto e verrà risolto in una versione futura. Non esiste un ETA.

• Algoritmo di integrità: selezionare l'algoritmo desiderato:

  • SHA1-96
  • SHA1-160
  • SHA2-256 (impostazione predefinita)
  • SHA2-384
  • SHA2-512

  Configurare anche:

  • Gruppo Diffie-Hellman: selezionare il gruppo desiderato. Il valore predefinito è group 2.
  • Durata (minuti): immettere per quanto tempo l'associazione di sicurezza rimane attiva fino a quando non vengono ruotate le chiavi. Immettere un valore intero compreso tra 10 e 1440 (1440 minuti è 24 ore). Il valore predefinito è 1440.

VPN automatica

• Tipo di VPN automatica: selezionare il tipo di VPN da configurare: VPN su richiesta o VPN per app. Assicurarsi di usare solo un'opzione. L'uso di entrambi contemporaneamente causa problemi di connessione.

  • Non configurato (impostazione predefinita): Intune non modifica o aggiorna questa impostazione.

  • VPN su richiesta: la VPN su richiesta usa regole per connettersi o disconnettere automaticamente la connessione VPN. Quando i dispositivi tentano di connettersi alla VPN, cerca corrispondenze nei parametri e nelle regole create, ad esempio un nome di dominio corrispondente. Se è presente una corrispondenza, l'azione scelta viene eseguita.

    Ad esempio, è possibile creare una condizione in cui la connessione VPN viene usata solo quando un dispositivo non è connesso a una rete Wi-Fi aziendale. In alternativa, se un dispositivo non può accedere a un dominio di ricerca DNS immesso, la connessione VPN non viene avviata.

    • Regole su richiesta>Aggiungi: selezionare Aggiungi per aggiungere una regola. Se non è presente una connessione VPN esistente, usare queste impostazioni per creare una regola su richiesta. Se è presente una corrispondenza con la regola, il dispositivo esegue l'azione selezionata.

      • Se si verifica una corrispondenza tra il valore del dispositivo e la regola su richiesta, selezionare l'azione desiderata per il dispositivo. Le opzioni disponibili sono:

        • Stabilire la VPN: se esiste una corrispondenza tra il valore del dispositivo e la regola su richiesta, il dispositivo si connette alla VPN.

        • Disconnetti VPN: se esiste una corrispondenza tra il valore del dispositivo e la regola su richiesta, la connessione VPN viene disconnessa.

        • Valutare ogni tentativo di connessione: se esiste una corrispondenza tra il valore del dispositivo e la regola su richiesta, usare l'impostazione Scegliere se connettersi per decidere cosa accade per ogni tentativo di connessione VPN:

          • Connettersi se necessario: se il dispositivo si trova in una rete interna o se è già presente una connessione VPN stabilita alla rete interna, la VPN su richiesta non si connetterà. Queste impostazioni non vengono usate.

            Se non è presente una connessione VPN esistente, per ogni tentativo di connessione VPN decidere se gli utenti devono connettersi usando un nome di dominio DNS. Questa regola si applica solo ai domini nell'elenco Quando gli utenti provano ad accedere a questi domini . Tutti gli altri domini vengono ignorati.

            • Quando gli utenti provano ad accedere a questi domini: immettere uno o più domini DNS, ad esempio contoso.com. Se gli utenti tentano di connettersi a un dominio in questo elenco, il dispositivo usa DNS per risolvere i domini immessi. Se il dominio non viene risolto, ovvero non ha accesso alle risorse interne, si connette alla VPN su richiesta. Se il dominio viene risolto, ovvero ha già accesso alle risorse interne, non si connette alla VPN.

              Nota

              • Se l'impostazione Quando gli utenti tentano di accedere a questi domini è vuota, il dispositivo usa i server DNS configurati nel servizio di connessione di rete (Wi-Fi/ethernet) per risolvere il dominio. L'idea è che questi server DNS siano server pubblici.

                I domini nell'elenco Quando gli utenti tentano di accedere a questi domini sono risorse interne. Le risorse interne non sono presenti nei server DNS pubblici e non possono essere risolte. Quindi, il dispositivo si connette alla VPN. A questo punto, il dominio viene risolto usando i server DNS della connessione VPN e la risorsa interna è disponibile.

                Se il dispositivo si trova nella rete interna, il dominio viene risolto e non viene creata una connessione VPN perché il dominio interno è già disponibile. Non si vuole sprecare risorse VPN nei dispositivi già presenti nella rete interna.

              • Se l'impostazione Quando gli utenti tentano di accedere a questi domini viene popolata, i server DNS in questo elenco vengono usati per risolvere i domini nell'elenco.

                L'idea è l'opposto del primo punto elenco (quando gli utenti tentano di accedere a questi domini impostazione è vuoto). Ad esempio, l'elenco When users try to access these domains (Quando gli utenti tentano di accedere a questi domini ) include server DNS interni. Un dispositivo in una rete esterna non può essere indirizzato ai server DNS interni. Timeout della risoluzione dei nomi e il dispositivo si connette alla VPN su richiesta. A questo momento le risorse interne sono disponibili.

                Tenere presente che queste informazioni si applicano solo ai domini nell'elenco Quando gli utenti tentano di accedere a questi domini . Tutti gli altri domini vengono risolti con server DNS pubblici. Quando il dispositivo è connesso alla rete interna, i server DNS nell'elenco sono accessibili e non è necessario connettersi alla VPN.

            • Usare i server DNS seguenti per risolvere questi domini (facoltativo): immettere uno o più indirizzi IP del server DNS, ad esempio 10.0.0.22. I server DNS immessi vengono usati per risolvere i domini nell'impostazione Quando gli utenti provano ad accedere a questi domini .

            • Quando questo URL non è raggiungibile, forzare la connessione alla VPN: facoltativo. Immettere un URL di probe HTTP o HTTPS usato dalla regola come test. Immettere ad esempio https://probe.Contoso.com. Questo URL viene sottoposto a probe ogni volta che un utente tenta di accedere a un dominio nell'impostazione Quando gli utenti provano ad accedere a questi domini . L'utente non visualizza il sito probe della stringa URL.

              Se il probe ha esito negativo perché l'URL non è raggiungibile o non restituisce un codice di stato HTTP 200, il dispositivo si connette alla VPN.

              L'idea è che l'URL sia accessibile solo nella rete interna. Se è possibile accedere all'URL, non è necessaria una connessione VPN. Se non è possibile accedere all'URL, il dispositivo si trova in una rete esterna e si connette alla VPN su richiesta. Una volta stabilita la connessione VPN, sono disponibili risorse interne.

          • Non connettersi mai: per ogni tentativo di connessione VPN, quando gli utenti provano ad accedere ai domini immessi, il dispositivo non si connette mai alla VPN.

            • Quando gli utenti provano ad accedere a questi domini: immettere uno o più domini DNS, ad esempio contoso.com. Se gli utenti tentano di connettersi a un dominio in questo elenco, non viene creata una connessione VPN. Se provano a connettersi a un dominio non incluso in questo elenco, il dispositivo si connette alla VPN.

        • Ignora: se esiste una corrispondenza tra il valore del dispositivo e la regola su richiesta, una connessione VPN viene ignorata.

      • Si vuole limitare a: nell'impostazione Si vuole eseguire la seguente impostazione, se si seleziona Stabilisci VPN, Disconnetti VPN o Ignora, quindi selezionare la condizione che la regola deve soddisfare. Le opzioni disponibili sono:

        • SSID specifici: immettere uno o più nomi di rete wireless a cui si applica la regola. Questo nome di rete è l'identificatore del set di servizi (SSID). Immettere ad esempio Contoso VPN.
        • Domini di ricerca specifici: immettere uno o più domini DNS a cui si applica la regola. Immettere ad esempio contoso.com.
        • Tutti i domini: selezionare questa opzione per applicare la regola a tutti i domini dell'organizzazione.

      • Ma solo se il probe URL ha esito positivo: Facoltativo. Immettere un URL usato dalla regola come test. Immettere ad esempio https://probe.Contoso.com. Se il dispositivo accede a questo URL senza reindirizzamento, viene avviata la connessione VPN. Inoltre, il dispositivo si connette all'URL di destinazione. L'utente non visualizza il sito probe della stringa URL.

        Ad esempio, l'URL verifica la capacità della VPN di connettersi a un sito prima che il dispositivo si connetta all'URL di destinazione tramite la VPN.

    • Impedire agli utenti di disabilitare la VPN automatica: opzioni:

      • Non configurato: Intune non modifica o aggiorna questa impostazione.
      • Sì: impedisce agli utenti di disattivare la VPN automatica. Impone agli utenti di mantenere abilitata e in esecuzione la VPN automatica.
      • No: consente agli utenti di disattivare la VPN automatica.

      Questa impostazione si applica a:

      • iOS 14 e versioni successive
      • iPadOS 14 e versioni successive

  • VPN per app: abilita la VPN per app associando questa connessione VPN a un'app specifica. Quando l'app viene eseguita, viene avviata la connessione VPN. È possibile associare il profilo VPN a un'app quando si assegna il software o il programma dell'app. Per altre informazioni, vedere Come assegnare e monitorare le app.

    La VPN per app non è supportata in una connessione IKEv2. Per altre informazioni, vedere Configurare vpn per app per dispositivi iOS/iPadOS.

    • Tipo di provider: disponibile solo per Pulse Secure e VPN personalizzata.

      Quando si usano profili VPN per app con Pulse Secure o una VPN personalizzata, scegliere tunneling a livello di app (app-proxy) o tunneling a livello di pacchetto (tunneling di pacchetti):

      • app-proxy: selezionare questa opzione per il tunneling a livello di app.
      • packet-tunnel: selezionare questa opzione per il tunneling a livello di pacchetto.

      Se non si è certi dell'opzione da usare, controllare la documentazione del provider VPN.

    • URL di Safari che attiveranno questa VPN: aggiungere uno o più URL del sito Web. Quando questi URL vengono visitati usando il browser Safari nel dispositivo, la connessione VPN viene stabilita automaticamente. Immettere ad esempio contoso.com.

    • Domini associati: immettere i domini associati nel profilo VPN da usare con questa connessione VPN.

      Per altre informazioni, vedere Domini associati.

    • Domini esclusi: immettere domini che possono ignorare la connessione VPN quando la VPN per app è connessa. Immettere ad esempio contoso.com. Il traffico verso il contoso.com dominio usa internet pubblico anche se la VPN è connessa.

    • Impedire agli utenti di disabilitare la VPN automatica: opzioni:

      • Non configurato: Intune non modifica o aggiorna questa impostazione.
      • Sì: impedisce agli utenti di disattivare l'interruttore Connetti su richiesta all'interno delle impostazioni del profilo VPN. Impone agli utenti di mantenere abilitate e in esecuzione regole VPN per app o su richiesta.
      • No: consente agli utenti di disattivare l'interruttore Connetti su richiesta, che disabilita le regole VPN per app e su richiesta.

      Questa impostazione si applica a:

      • iOS 14 e versioni successive
      • iPadOS 14 e versioni successive

VPN per app

Queste impostazioni si applicano ai tipi di connessione VPN seguenti:

• Microsoft Tunnel

Impostazioni:

• VPN per app: abilita associa un'app specifica a questa connessione VPN. Quando l'app viene eseguita, il traffico viene instradato automaticamente attraverso la connessione VPN. È possibile associare il profilo VPN a un'app quando si assegna il software. Per altre informazioni, vedere Come assegnare e monitorare le app.

  Per altre informazioni, vedere Microsoft Tunnel per Intune.

• URL di Safari che attiveranno questa VPN: aggiungere uno o più URL del sito Web. Quando questi URL vengono visitati usando il browser Safari nel dispositivo, la connessione VPN viene stabilita automaticamente. Immettere ad esempio contoso.com.

• Domini associati: immettere i domini associati nel profilo VPN da usare con questa connessione VPN.

  Per altre informazioni, vedere Domini associati.

• Domini esclusi: immettere domini che possono ignorare la connessione VPN quando la VPN per app è connessa. Immettere ad esempio contoso.com. Il traffico verso il contoso.com dominio usa internet pubblico anche se la VPN è connessa.

Proxy

Se si usa un proxy, configurare le impostazioni seguenti.

• Script di configurazione automatica: usare un file per configurare il server proxy. Immettere l'URL del server proxy che include il file di configurazione. Immettere ad esempio http://proxy.contoso.com/pac.
• Indirizzo: immettere l'indirizzo IP o il nome host completo del server proxy. Ad esempio, immettere 10.0.0.3 o vpn.contoso.com.
• Numero di porta: immettere il numero di porta associato al server proxy. Immettere ad esempio 8080.

Passaggi successivi

Il profilo viene creato, ma potrebbe non essere ancora in esecuzione. Assicurarsi di assegnare il profilo e monitorarne lo stato.

Configurare le impostazioni VPN nei dispositivi Android, Android Enterprise, macOS e Windows 10.