Opzioni del profilo ad attivazione automatica VPN

Windows può usare diverse funzionalità per attivare automaticamente la VPN, evitando agli utenti di connettersi manualmente quando la VPN è necessaria per accedere alle risorse necessarie. Esistono tre diversi tipi di regole di attivazione automatica:

  • Trigger applicazione
  • Trigger basato sul nome
  • Sempre attivato

Nota

Le connessioni VPN attivate automaticamente non funzionano se è abilitato il reindirizzamento cartelle per AppData . Il reindirizzamento cartelle per AppData deve essere disabilitato oppure il profilo VPN attivato automaticamente deve essere distribuito nel contesto SYSTEM, che modifica il percorso in cui è archiviato il file rasphone.pbk .

Trigger applicazione

I profili VPN possono essere configurati per la connessione automatica all'esecuzione di determinate applicazioni:

  • È possibile configurare app desktop o piattaforma UWP (Universal Windows Platform) (UWP) per attivare una connessione VPN
  • È possibile configurare vpn per app e specificare regole di traffico per ogni app

Nota

L'identificatore dell'app per un'app desktop è un percorso di file. L'identificatore dell'app per un'app UWP è un nome di famiglia di pacchetti.

Trovare un nome di famiglia pacchetti per la configurazione della rete VPN per ogni app

Per altre informazioni, vedere Filtri di traffico.

Trigger basato sul nome

È possibile configurare una regola basata su nome di dominio in modo che un nome di dominio specifico attivi la connessione VPN.\ Il trigger automatico basato sul nome può essere configurato usando l'impostazione VPNv2/<ProfileName>/DomainNameInformationList/dniRowId/AutoTrigger nel provider del servizio di configurazione VPNv2 (CSP).

Esistono quattro tipi di trigger basati sul nome:

  • Nome breve: ad esempio, se HRweb è configurato come trigger e lo stack visualizza una richiesta di risoluzione DNS per HRweb, i trigger VPN
  • Nome di dominio completo (FQDN): ad esempio, se HRweb.corp.contoso.com è configurato come trigger e lo stack visualizza una richiesta di risoluzione DNS per HRweb.corp.contoso.com, i trigger VPN
  • Suffisso: ad esempio, se .corp.contoso.com è configurato come trigger e lo stack visualizza una richiesta di risoluzione DNS con un suffisso corrispondente (ad esempio HRweb.corp.contoso.com), i trigger VPN. Per qualsiasi risoluzione dei nomi breve, i trigger VPN e i server DNS vengono sottoposti a query per <ShortName.corp.contoso.com>
  • Tutto: se usato, tutte le risoluzioni DNS attivano la VPN

Sempre attivato

Always On è una funzionalità di Windows che consente al profilo VPN attivo di connettersi automaticamente nei trigger seguenti:

  • Accesso dell'utente
  • Modifica della rete
  • Attivazione dello schermo del dispositivo

In questi casi, la VPN tenta la connessione. Se si verifica un errore o è necessario un input utente, l'utente visualizza una notifica di tipo avviso popup per una maggiore interazione.

Quando un dispositivo ha più profili con trigger Always On, l'utente può specificare il profilo attivo in Impostazioni > Rete & profilo> VPN Internet >>< selezionando la casella di controllo Consenti alle app di usare automaticamente questa connessione VPN. Per impostazione predefinita, il primo profilo configurato con MDM è contrassegnato come attivo. I dispositivi con più utenti hanno la stessa restrizione: solo un profilo, e quindi un solo utente, è in grado di usare i trigger Always On.

Mantenimento delle preferenze Always On utente

Un'altra funzionalità di Windows consiste nel mantenere le preferenze di Always On di un utente. Se un utente deseleziona manualmente la casella di controllo Connetti automaticamente , Windows ricorda la preferenza utente per il nome del profilo aggiungendo il nome del profilo al valore del Registro di sistema AutoTriggerDisabledProfilesList.

Se uno strumento di gestione rimuove o aggiunge nuovamente lo stesso nome del profilo e imposta AlwaysOn su true, Windows non seleziona la casella se il nome del profilo esiste nel valore del Registro di sistema seguente, per mantenere le preferenze utente.

Chiave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
Valore:AutoTriggerDisabledProfilesList
Digitare:REG_MULTI_SZ

Rilevamento della rete attendibile

La funzionalità Di rilevamento rete attendibile configura la VPN in modo che la connessione non venga attivata quando un dispositivo si trova in una rete attendibile. Per configurare il rilevamento di rete attendibile, è necessario specificare un elenco di suffissi DNS. Lo stack VPN verifica il nome di rete del profilo di connessione dell'interfaccia fisica: se corrisponde a uno dei suffissi configurati nell'elenco e la rete è privata o di cui è stato effettuato il provisioning da MDM, la VPN non viene attivata.

Il rilevamento di rete attendibile può essere configurato usando l'impostazione VPNv2/<ProfileName>/TrustedNetworkDetection nel provider di servizi di configurazione VPNv2.

Configurare l'attivazione basata su app per una VPN

Vedi Opzioni del profilo VPN e CSP VPNv2 per la configurazione XML.

L'immagine seguente mostra l'associazione di app a una connessione VPN in un criterio di configurazione del profilo VPN usando Microsoft Intune.

Creazione del profilo VPN in Intune: opzioni di associazione dell'applicazione.