Utilize uma política VPN e VPN por aplicação em dispositivos Android Enterprise em Microsoft Intune
As redes privadas virtuais (VPN) permitem que os utilizadores acedam remotamente aos recursos da organização, incluindo a partir de casa, hotéis, cafés e muito mais. Em Microsoft Intune, pode configurar aplicações de clientes VPN em dispositivos Android Enterprise usando uma política de configuração de aplicações. Em seguida, implemente esta política com a sua configuração VPN para dispositivos na sua organização.
Também pode criar políticas VPN que são usadas por aplicações específicas. Esta funcionalidade chama-se VPN por aplicação. Quando a aplicação está ativa, pode ligar-se à VPN e aceder aos recursos através da VPN. Quando a aplicação não está ativa, a VPN não é usada.
Esta funcionalidade aplica-se a:
- Android Enterprise
Existem duas formas de construir a política de configuração de aplicativos para a sua aplicação de cliente VPN:
- Estruturador de configuração
- Dados JSON
Este artigo mostra-lhe como criar uma política de configuração de aplicações VPN e VPN por aplicação usando ambas as opções.
Nota
Muitos dos parâmetros de configuração do cliente VPN são semelhantes. Mas cada aplicação tem as suas chaves e opções únicas. Consulte o seu fornecedor VPN se tiver dúvidas.
Antes de começar
O Android não ativa automaticamente uma ligação ao cliente VPN quando uma aplicação é aberta. A ligação VPN deve ser iniciada manualmente. Ou pode usar a VPN sempre ligada para iniciar a ligação.
Os seguintes clientes VPN suportam políticas de configuração de aplicações Intune:
- Cisco AnyConnect
- Citrix SSO
- F5 Access
- Palo Alto Networks GlobalProtect
- Pulse Secure
- SonicWall Mobile Connect
Quando criar a política VPN em Intune, seleciona diferentes teclas para configurar. Estes nomes-chave variam com as diferentes aplicações de clientes VPN. Assim, os nomes-chave no seu ambiente podem ser diferentes dos exemplos deste artigo.
Os dados do designer de configuração e do JSON podem utilizar com sucesso a autenticação baseada em certificados. Se a autenticação VPN necessitar de certificados de cliente, então crie os perfis de certificado antes de criar a política VPN. As políticas de configuração de aplicações VPN utilizam os valores dos perfis de certificado.
Os dispositivos de perfil de trabalho da Android Enterprise suportam certificados SCEP e PKCS. Os dispositivos de perfil de trabalho geridos na íntegra pela Android Enterprise, dedicados e corporativos, apenas suportam certificados SCEP. Para obter mais informações, consulte os certificados de autenticação para autenticação em Microsoft Intune.
Visão geral da VPN por aplicação
Ao criar e testar a VPN por aplicação, o fluxo básico inclui os seguintes passos:
- Selecione a aplicação do cliente VPN. Antes de começar (neste artigo) lista as aplicações suportadas.
- Obtenha os IDs do pacote de aplicações das aplicações que utilizarão a ligação VPN. Obtenha o ID do pacote de aplicações (neste artigo) mostra-lhe como.
- Se utilizar certificados para autenticar a ligação VPN, então crie e implemente os perfis de certificado antes de implementar a política VPN. Certifique-se de que os perfis de certificado são utilizados com sucesso. Para obter mais informações, consulte os certificados de autenticação para autenticação em Microsoft Intune.
- Adicione a aplicação do cliente VPN ao Intune e implemente a aplicação para os seus utilizadores e dispositivos.
- Crie a política de configuração de aplicações VPN. Utilize os IDs do pacote de aplicações e informações de certificados na apólice.
- Implementar a nova política VPN.
- Confirme que a aplicação do cliente VPN se conecta com sucesso ao seu servidor VPN.
- Quando a aplicação estiver ativa, confirme que o tráfego da sua aplicação passa com sucesso pela VPN.
Obtenha o pacote de aplicativo iD
Obtenha o iD do pacote para cada aplicação que utilizará a VPN. Para aplicações publicamente disponíveis, pode obter o ID do pacote de aplicações na loja Google Play. O URL apresentado para cada aplicação inclui o ID do pacote.
No exemplo seguinte, o ID do pacote da aplicação de navegador Microsoft Edge é com.microsoft.emmx
. O ID do pacote faz parte do URL:
Para aplicações line of business (LOB), obtenha o ID do pacote do fornecedor ou desenvolvedor de aplicações.
Certificados
Este artigo assume que a sua ligação VPN utiliza autenticação baseada em certificados. Também assume que implementou com sucesso todos os certificados na cadeia necessários para que os clientes autenha com sucesso. Normalmente, esta cadeia de certificados inclui o certificado de cliente, quaisquer certificados intermédios e o certificado raiz.
Para obter mais informações sobre certificados, consulte os certificados de autenticação em Microsoft Intune.
Quando o perfil do certificado de autenticação do cliente é implantado, cria um símbolo de certificado no perfil do certificado. Este token é usado para criar a política de configuração de aplicações VPN.
Se não estiver familiarizado com a criação de políticas de configuração de aplicações, consulte as políticas de configuração de aplicações para dispositivos Android Enterprise geridos.
Use o Designer de Configuração
Inicie sessão no centro de administração do Microsoft Endpoint Manager.
Selecione > políticas de configuração de aplicativos > adicionar > dispositivos geridos.
No Básico, insira as seguintes propriedades:
Nome: Introduza um nome descritivo para a apólice. Atribua nomes às políticas de forma que possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é a política de config da App: Cisco AnyConnect VPN política para dispositivos de perfil de trabalho Android Enterprise.
Descrição: Introduza uma descrição para a apólice. Esta definição é opcional, mas recomendada.
Plataforma: Selecione Android Enterprise.
Tipo de perfil: As suas opções:
- Todos os Tipos de Perfis: Esta opção suporta o nome de utilizador e a autenticação da palavra-passe. Se utilizar a autenticação baseada em certificados, não utilize esta opção.
- Perfil de trabalho totalmente gerido, dedicado e Corporate-Owned: Esta opção suporta a autenticação baseada em certificados e o nome de utilizador e a autenticação de palavra-passe.
- Apenas perfil de trabalho de propriedade pessoal: Esta opção suporta a autenticação baseada em certificados e o nome de utilizador e a autenticação de senha.
Aplicação direcionada: Selecione a aplicação de cliente VPN que adicionou anteriormente. No exemplo seguinte, é utilizada a aplicação de clientes Cisco AnyConnect VPN:
Selecione Seguinte.
Em Definições, insira as seguintes propriedades:
Formato de configuração : Selecione Use Configuration designer:
Adicione: Mostra a lista de teclas de configuração. Selecione todas as teclas de configuração necessárias para a sua configuração > OK.
No exemplo seguinte, selecionamos uma lista mínima para a VPN AnyConnect, incluindo autenticação baseada em certificados e VPN por aplicação:
Valor de configuração: Introduza os valores para as teclas de configuração selecionadas. Lembre-se, os nomes-chave variam dependendo da aplicação VPN Client que está a usar. Nas chaves selecionadas no nosso exemplo:
De acordo com aplicações VPN Allowed Apps: Introduza o pacote de identificação de aplicações que recolheu anteriormente. Por exemplo:
Teclado Certificado Alias (opcional): Alterar o tipo de valor de cadeia para certificado. Selecione o perfil de certificado do cliente para utilizar com autenticação VPN. Por exemplo:
Protocolo: Selecione o protocolo do túnel SSL ou IPsec da VPN.
Nome de ligação: Introduza um nome amigável para a ligação VPN. Os utilizadores vêem este nome de ligação nos seus dispositivos. Por exemplo, introduza
ContosoVPN
.Anfitrião: Introduza o URL de nome de anfitrião no router headend. Por exemplo, introduza
vpn.contoso.com
.
Selecione Seguinte.
Em Atribuições, selecione os grupos para atribuir a política de configuração de aplicações VPN.
Selecione Seguinte.
Em Rever + criar, rever as suas definições. Quando selecionar Criar, as suas alterações são guardadas e a política é implementada para os seus grupos. A política também é mostrada na lista de políticas de configuração de aplicações.
Use JSON
Utilize esta opção se não tiver ou não conhecer todas as definições VPN necessárias utilizadas no designer de configuração. Se precisar de ajuda, consulte o seu fornecedor VPN.
Obtenha o token certificado
Nestes passos, criar uma política temporária. A apólice não será salva. A intenção é copiar o símbolo do certificado. Utilizará este símbolo ao criar a política VPN utilizando o JSON (secção seguinte).
No centro de administração Microsoft Endpoint Manager, selecione políticas de > configuração de aplicações de aplicações > adicionar > dispositivos geridos.
No Básico, insira as seguintes propriedades:
- Nome: Insira qualquer nome. Esta apólice é temporária e não será salva.
- Plataforma: Selecione Android Enterprise.
- Tipo de perfil: Selecione apenas o perfil de trabalho de propriedade pessoal.
- Aplicação direcionada: Selecione a aplicação de cliente VPN que adicionou anteriormente.
Selecione Seguinte.
Em Definições, insira as seguintes propriedades:
Formato de configuração: Selecione Use o designer de configuração.
Adicione: Mostra a lista de teclas de configuração. Selecione qualquer tecla com um tipo de cadeia de valor . Selecione OK.
Altere o tipo valor de cadeia para certificado. Este passo permite-lhe selecionar o perfil de certificado de cliente correto que autentica a VPN:
Altere imediatamente o tipo valor de volta para a cadeia. O valor de configuração muda para um
{{cert:GUID}}
símbolo:Copiar e colar este símbolo de certificado a outro ficheiro, como um editor de texto.
Descarte esta política. Não o guarde. O único objetivo é copiar e colar o token do certificado.
Criar a política VPN usando json
No centro de administração Microsoft Endpoint Manager, selecione políticas de > configuração de aplicações de aplicações > adicionar > dispositivos geridos.
No Básico, insira as seguintes propriedades:
- Nome: Introduza um nome descritivo para a apólice. Atribua nomes às políticas de forma que possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de política é a política de configuração de aplicações: JSON Cisco AnyConnect VPN política para dispositivos de perfil de trabalho Android Enterprise em toda a empresa.
- Descrição: Introduza uma descrição para a apólice. Esta definição é opcional, mas recomendada.
- Plataforma: Selecione Android Enterprise.
- Tipo de perfil: As suas opções:
- Todos os tipos de perfis: Esta opção suporta o nome de utilizador e a autenticação de palavra-passe. Se utilizar a autenticação baseada em certificados, não utilize esta opção.
- Totalmente Gerido, dedicado e Corporate-Owned apenas perfil de trabalho : Esta opção suporta a autenticação baseada em certificados, nome de utilizador e autenticação de senha.
- Apenas perfil de trabalho de propriedade pessoal: Esta opção suporta a autenticação baseada em certificados e o nome de utilizador e a autenticação de senha.
- Aplicação direcionada: Selecione a aplicação de cliente VPN que adicionou anteriormente.
Selecione Seguinte.
Em Definições, insira as seguintes propriedades:
- Formato de configuração: Selecione introduzir dados JSON. Pode editar o JSON diretamente.
- Baixar o modelo JSON: Utilize esta opção para descarregar e atualize o modelo em qualquer editor externo. Tenha cuidado com os editores de texto que usam aspas Smart, pois podem criar JSON inválidos.
Depois de introduzir os valores necessários para a sua configuração, remova todas as definições que tenham
"STRING_VALUE"
ouSTRING_VALUE
.Selecione Seguinte.
Em Atribuições, selecione os grupos para atribuir a política de configuração de aplicações VPN.
Selecione Seguinte.
Em Rever + criar, rever as suas definições. Quando selecionar Criar, as suas alterações são guardadas e a política é implementada para os seus grupos. A política também é mostrada na lista de políticas de configuração de aplicações.
JSON exemplo para F5 Access VPN
{
"kind": "androidenterprise#managedConfiguration",
"productId": "app:com.f5.edge.client_ics",
"managedProperty": [
{
"key": "disallowUserConfig",
"valueBool": false
},
{
"key": "vpnConfigurations",
"valueBundleArray": [
{
"managedProperty": [
{
"key": "name",
"valueString": "MyCorpVPN"
},
{
"key": "server",
"valueString": "vpn.contoso.com"
},
{
"key": "weblogonMode",
"valueBool": false
},
{
"key": "fipsMode",
"valueBool": false
},
{
"key": "clientCertKeychainAlias",
"valueString": "{{cert:77333880-14e9-0aa0-9b2c-a1bc6b913829}}"
},
{
"key": "allowedApps",
"valueString": "com.microsoft.emmx"
},
{
"key": "mdmAssignedId",
"valueString": ""
},
{
"key": "mdmInstanceId",
"valueString": ""
},
{
"key": "mdmDeviceUniqueId",
"valueString": ""
},
{
"key": "mdmDeviceWifiMacAddress",
"valueString": ""
},
{
"key": "mdmDeviceSerialNumber",
"valueString": ""
},
{
"key": "allowBypass",
"valueBool": false
}
]
}
]
}
]
}
Informações adicionais
- Adicione políticas de configuração de aplicativos para dispositivos Android Enterprise geridos
- Configurações de dispositivos Android Enterprise para configurar VPN em Intune