Partilhar via


Adicionar configurações de VPN a dispositivos iOS e iPadOS no Microsoft Intune

O Microsoft Intune inclui muitas definições de VPN que podem ser implementadas nos seus dispositivos iOS/iPadOS. Estas definições são utilizadas para criar e configurar ligações VPN à rede da sua organização. Este artigo descreve estas definições. Algumas definições só estão disponíveis para alguns clientes VPN, como Citrix, Zscaler e muito mais.

Esse recurso aplica-se a:

  • iOS/iPadOS

Antes de começar

Observação

  • Estas definições estão disponíveis para todos os tipos de inscrição, exceto a inscrição de utilizadores. A inscrição de utilizadores está limitada à VPN por aplicação. Para obter mais informações sobre os tipos de inscrição, veja Inscrição de iOS/iPadOS.

  • As definições disponíveis dependem do cliente VPN que escolher. Algumas definições só estão disponíveis para clientes VPN específicos.

  • Estas definições utilizam o payload de VPN da Apple (abre o site da Apple).

Tipo de conexão

Selecione o tipo de ligação VPN na seguinte lista de fornecedores:

  • Check Point Capsule VPN

  • Cisco Legacy AnyConnect

    Aplica-se à versão 4.0.5x e anterior da aplicação Cisco Legacy AnyConnect.

  • Cisco AnyConnect

    Aplica-se à versão 4.0.7x e posterior da aplicação Cisco AnyConnect .

  • SonicWall Mobile Connect

  • F5 Access herdado

    Aplica-se à versão 2.1 e anterior da aplicação F5 Access.

  • F5 Access

    Aplica-se à versão 3.0 e posterior da aplicação F5 Access.

  • Palo Alto Networks GlobalProtect (Legado)

    Aplica-se à versão 4.1 e anterior da aplicação Palo Alto Networks GlobalProtect.

  • Palo Alto Networks GlobalProtect

    Aplica-se à versão 5.0 e posterior da aplicação Palo Alto Networks GlobalProtect.

  • Pulse Secure

  • Cisco (IPSec)

  • VPN Citrix

  • SSO da Citrix

  • Zscaler

    Para utilizar o Acesso Condicional ou permitir que os utilizadores ignorem o ecrã de início de sessão do Zscaler, tem de integrar o Zscaler Private Access (ZPA) com a sua conta microsoft Entra. Para obter os passos detalhados, veja a documentação do Zscaler.

  • NetMotion Mobility

  • IKEv2

    As definições de IKEv2 (neste artigo) descrevem as propriedades.

  • Microsoft Tunnel

    Aplica-se à aplicação Microsoft Defender para Endpoint que inclui a funcionalidade de cliente Túnel.

  • VPN personalizado

Observação

A Cisco, Citrix, F5 e Palo Alto anunciaram que os seus clientes legados não funcionam no iOS 12 e posterior. Deve migrar para as novas aplicações o mais rapidamente possível. Para obter mais informações, veja o Blogue da Equipa de Suporte do Microsoft Intune.

Definições de VPN base

  • Nome da ligação: os utilizadores finais veem este nome quando procuram no dispositivo uma lista de ligações VPN disponíveis.

  • Nome de domínio personalizado (apenas Zscaler): pré-povoe o campo de início de sessão da aplicação Zscaler com o domínio a que os seus utilizadores pertencem. Por exemplo, se um nome de utilizador for Joe@contoso.net, o contoso.net domínio aparece estaticamente no campo quando a aplicação é aberta. Se não introduzir um nome de domínio, será utilizada a parte do domínio do UPN no Microsoft Entra ID.

  • Endereço do servidor VPN: o endereço IP ou o nome de domínio completamente qualificado (FQDN) do servidor VPN com o qual os dispositivos se ligam. Por exemplo, introduza 192.168.1.1 ou vpn.contoso.com.

  • Nome da cloud da organização (apenas Zscaler): introduza o nome da cloud onde a sua organização está aprovisionada. O URL que utiliza para iniciar sessão no Zscaler tem o nome .

  • Método de autenticação: escolha a forma como os dispositivos se autenticam no servidor VPN.

    • Certificados: em Certificado de autenticação, selecione um perfil de certificado SCEP ou PKCS existente para autenticar a ligação. Configurar certificados fornece algumas orientações sobre perfis de certificado.

    • Nome de utilizador e palavra-passe: os utilizadores finais têm de introduzir um nome de utilizador e palavra-passe para iniciar sessão no servidor VPN.

      Observação

      Se o nome de utilizador e a palavra-passe forem utilizados como método de autenticação para a VPN Cisco IPsec, têm de entregar o SharedSecret através de um perfil personalizado do Apple Configurator.

    • Credencial derivada: utilize um certificado derivado do smart card de um utilizador. Se não estiver configurado nenhum emissor de credenciais derivado, o Intune pede-lhe para adicionar um. Para obter mais informações, veja Utilizar credenciais derivadas no Microsoft Intune.

  • URLs excluídos (apenas Zscaler): quando ligados à VPN Zscaler, os URLs listados são acessíveis fora da cloud Zscaler. Pode adicionar até 50 URLs.

  • Dividir túnel: ative ou Desative para permitir que os dispositivos decidam qual a ligação a utilizar, consoante o tráfego. Por exemplo, um utilizador num hotel utiliza a ligação VPN para aceder a ficheiros de trabalho, mas utiliza a rede padrão do hotel para navegação regular na Web.

  • Identificador de VPN (VPN Personalizada, Zscaler e Citrix): um identificador para a aplicação VPN que está a utilizar e é fornecido pelo seu fornecedor de VPN.

  • Introduza pares chave/valor para os atributos VPN personalizados da sua organização (VPN Personalizada, Zscaler e Citrix): Adicione ou importe Chaves e Valores que personalizam a sua ligação VPN. Lembre-se de que estes valores são normalmente fornecidos pelo seu fornecedor de VPN.

  • Ativar o controlo de acesso à rede (NAC) (Cisco AnyConnect, Citrix SSO, F5 Access): quando escolher Concordo, o ID do dispositivo é incluído no perfil VPN. Este ID pode ser utilizado para autenticação na VPN para permitir ou impedir o acesso à rede.

    Ao utilizar o Cisco AnyConnect com o ISE, certifique-se de que:

    Importante

    O serviço de controlo de acesso à rede (NAC) foi preterido e substituído pelo serviço NAC mais recente da Microsoft, que é o Serviço de Obtenção de Conformidade (Serviço CR). Para suportar alterações no Cisco ISE, o Intune alterou o formato do ID do dispositivo. Assim, os perfis existentes com o serviço NAC original deixarão de funcionar.

    Para utilizar o Serviço CR e evitar tempo de inatividade com a ligação VPN, implemente novamente este mesmo perfil de configuração de dispositivo VPN. Não são necessárias alterações ao perfil. Só precisa de reimplementar. Quando o dispositivo é sincronizado com o serviço do Intune e recebe o perfil de configuração de VPN, as alterações ao Serviço CR são implementadas automaticamente no dispositivo. Além disso, as suas ligações VPN devem continuar a funcionar.

    Ao utilizar o Citrix SSO com o Gateway, certifique-se de que:

    Ao utilizar o F5 Access, certifique-se de que:

    Para os parceiros VPN que suportam o ID do dispositivo, o cliente VPN, como o Citrix SSO, pode obter o ID. Em seguida, pode consultar o Intune para confirmar que o dispositivo está inscrito e se o perfil VPN está ou não em conformidade.

    • Para remover esta definição, recrie o perfil e não selecione Concordo. Em seguida, reatribua o perfil.
  • Introduza pares chave e valor para os atributos VPN do NetMotion Mobility (apenas NetMotion Mobility): introduza ou importe pares chave e valor. Estes valores podem ser fornecidos pelo seu fornecedor de VPN.

  • Site do Microsoft Tunnel (apenas Microsoft Tunnel): selecione um site existente. O cliente VPN liga-se ao endereço IP público ou FQDN deste site.

    Para obter mais informações, veja Microsoft Tunnel for Intune (Túnel microsoft para o Intune).

Definições de IKEv2

Estas definições aplicam-se quando seleciona Tipo > de ligaçãoIKEv2.

  • VPN Sempre Ativada: a opção Ativar define um cliente VPN para ligar e voltar a ligar automaticamente à VPN. As ligações VPN sempre ligadas permanecem ligadas ou ligam-se imediatamente quando o utilizador bloqueia o dispositivo, o dispositivo é reiniciado ou a rede sem fios é alterada. Quando definida como Desativar (predefinição), a VPN sempre ativada para todos os clientes VPN está desativada. Quando ativado, configure também:

    • Interface de rede: todas as definições de IKEv2 aplicam-se apenas à interface de rede que escolher. Suas opções:

      • Wi-Fi e Rede Móvel (predefinição): as definições de IKEv2 aplicam-se às interfaces de rede móvel e Wi-Fi no dispositivo.
      • Rede móvel: as definições de IKEv2 aplicam-se apenas à interface celular no dispositivo. Selecione esta opção se estiver a implementar em dispositivos com a interface Wi-Fi desativada ou removida.
      • Wi-Fi: as definições do IKEv2 aplicam-se apenas à interface de Wi-Fi no dispositivo.
    • Utilizador para desativar a configuração de VPN: Ativar permite que os utilizadores desativem a VPN sempre ativada. Desativar (predefinição) impede que os utilizadores a desliguem. O valor predefinido para esta definição é a opção mais segura.

    • Voicemail: escolha o que acontece com o tráfego de voicemail quando a VPN sempre ativada está ativada. Suas opções:

      • Forçar o tráfego de rede através de VPN (predefinição): esta definição é a opção mais segura.
      • Permitir que o tráfego de rede passe fora da VPN
      • Remover tráfego de rede
    • AirPrint: escolha o que acontece com o tráfego AirPrint quando a VPN sempre ativada está ativada. Suas opções:

      • Forçar o tráfego de rede através de VPN (predefinição): esta definição é a opção mais segura.
      • Permitir que o tráfego de rede passe fora da VPN
      • Remover tráfego de rede
    • Serviços via rede móvel: no iOS 13.0+, escolha o que acontece com o tráfego de rede móvel quando a VPN sempre ativada está ativada. Suas opções:

      • Forçar o tráfego de rede através de VPN (predefinição): esta definição é a opção mais segura.
      • Permitir que o tráfego de rede passe fora da VPN
      • Remover tráfego de rede
    • Permitir que o tráfego de aplicações de rede cativas não nativas passe fora da VPN: uma rede cativa refere-se a hotspots Wi-Fi normalmente encontrados em restaurantes e hotéis. Suas opções:

      • Não: força todo o tráfego da aplicação Cativa (CN) através do túnel VPN.

      • Sim, todas as aplicações: permite que todo o tráfego da aplicação CN ignore a VPN.

      • Sim, aplicações específicas: adicione uma lista de aplicações CN cujo tráfego pode ignorar a VPN. Introduza os identificadores do pacote da aplicação CN. Por exemplo, digite com.contoso.app.id.package.

        Para obter o ID do pacote de uma aplicação adicionada ao Intune, pode utilizar o centro de administração do Intune.

    • Tráfego da aplicação Folha Web Cativa para passar para fora da VPN: a Folha Web Cativa é um browser incorporado que processa o início de sessão cativo. Ativar permite que o tráfego da aplicação do browser ignore a VPN. Desativar (predefinição) força o tráfego da Folha Web a utilizar a VPN sempre ativada. O valor predefinido é a opção mais segura.

    • Intervalo keepalive da tradução de endereços de rede (NAT) (segundos): para se manter ligado à VPN, o dispositivo envia pacotes de rede para permanecer ativo. Introduza um valor em segundos sobre a frequência com que estes pacotes são enviados, de 20 a 1440. Por exemplo, introduza um valor de para enviar os pacotes de 60 rede para a VPN a cada 60 segundos. Por predefinição, este valor está definido como 110 segundos.

    • Descarregar o nat keepalive para hardware quando o dispositivo está em modo de sono: quando um dispositivo está em modo de sono, Ativar (predefinição ) tem NAT a enviar continuamente pacotes keep-alive para que o dispositivo permaneça ligado à VPN. Desativar desativa esta funcionalidade.

  • Identificador remoto: introduza o endereço IP de rede, FQDN, UserFQDN ou ASN1DN do servidor IKEv2. Por exemplo, introduza 10.0.0.3 ou vpn.contoso.com. Normalmente, introduz o mesmo valor que o Nome da ligação (neste artigo). No entanto, depende das definições do servidor IKEv2.

  • Identificador local: introduza o FQDN do dispositivo ou o nome comum do requerente do cliente VPN IKEv2 no dispositivo. Em alternativa, pode deixar este valor vazio (predefinição). Normalmente, o identificador local deve corresponder à identidade do certificado do utilizador ou do dispositivo. O servidor IKEv2 pode exigir que os valores correspondam para que possa validar a identidade do cliente.

  • Tipo de Autenticação de Cliente: escolha a forma como o cliente VPN se autentica na VPN. Suas opções:

    • Autenticação do utilizador (predefinição): as credenciais do utilizador autenticam-se na VPN.
    • Autenticação do computador: as credenciais do dispositivo são autenticadas na VPN.
  • Método de autenticação: escolha o tipo de credenciais de cliente a enviar para o servidor. Suas opções:

    • Certificados: utiliza um perfil de certificado existente para autenticar na VPN. Certifique-se de que este perfil de certificado já está atribuído ao utilizador ou dispositivo. Caso contrário, a ligação VPN falha.

      • Tipo de certificado: selecione o tipo de encriptação utilizado pelo certificado. Certifique-se de que o servidor VPN está configurado para aceitar este tipo de certificado. Suas opções:
        • RSA (predefinição)
        • ECDSA256
        • ECDSA384
        • ECDSA521
    • Segredo partilhado (apenas autenticação automática): permite-lhe introduzir um segredo partilhado para enviar para o servidor VPN.

      • Segredo partilhado: introduza o segredo partilhado, também conhecido como a chave pré-partilhada (PSK). Certifique-se de que o valor corresponde ao segredo partilhado configurado no servidor VPN.
  • Nome comum do emissor de certificados de servidor: permite que o servidor VPN se autentique no cliente VPN. Introduza o nome comum (CN) do emissor de certificados do certificado de servidor VPN que é enviado para o cliente VPN no dispositivo. Certifique-se de que o valor CN corresponde à configuração no servidor VPN. Caso contrário, a ligação VPN falha.

  • Nome comum do certificado de servidor: introduza o CN para o próprio certificado. Se for deixado em branco, é utilizado o valor do identificador remoto.

  • Taxa de deteção de ponto inativo: escolha a frequência com que o cliente VPN verifica se o túnel VPN está ativo. Suas opções:

    • Não configurado: utiliza a predefinição do sistema iOS/iPadOS, que pode ser a mesma que escolher Médio.
    • Nenhum: desativa a deteção de elementos da rede inativos.
    • Baixa: envia uma mensagem keepalive a cada 30 minutos.
    • Médio (predefinição): envia uma mensagem keepalive a cada 10 minutos.
    • Alta: envia uma mensagem keepalive a cada 60 segundos.
  • Intervalo de versões do TLS mínimo: introduza a versão mínima do TLS a utilizar. Introduza 1.0, 1.1ou 1.2. Se for deixado em branco, é utilizado o valor predefinido de 1.0 . Ao utilizar certificados e autenticação de utilizador, tem de configurar esta definição.

  • Intervalo de versões TLS máximo: introduza a versão máxima do TLS a utilizar. Introduza 1.0, 1.1ou 1.2. Se for deixado em branco, é utilizado o valor predefinido de 1.2 . Ao utilizar certificados e autenticação de utilizador, tem de configurar esta definição.

  • Segredo perfeito para a frente: selecione Ativar para ativar o sigilo perfeito para a frente (PFS). O PFS é uma funcionalidade de segurança de IP que reduz o impacto se uma chave de sessão estiver comprometida. Desativar (predefinição) não utiliza PFS.

  • Verificação de revogação de certificados: selecione Ativar para se certificar de que os certificados não são revogados antes de permitir que a ligação VPN tenha êxito. Esta verificação é o melhor esforço. Se o servidor VPN exceder o limite de tempo antes de determinar se o certificado foi revogado, é concedido acesso. Desativar (predefinição) não verifica a existência de certificados revogados.

  • Utilizar atributos de sub-rede internos IPv4/IPv6: alguns servidores IKEv2 utilizam os INTERNAL_IP4_SUBNET atributos ou INTERNAL_IP6_SUBNET . Ativar força a ligação VPN a utilizar estes atributos. Desativar (predefinição) não força a ligação VPN a utilizar estes atributos de sub-rede.

  • Mobilidade e multihoming (MOBIKE): a MOBIKE permite que os clientes VPN alterem o respetivo endereço IP sem recriar uma associação de segurança com o servidor VPN. Ativar (predefinição) ativa o MOBIKE, o que pode melhorar as ligações VPN ao viajar entre redes. Desativar desativa a MOBIKE.

  • Redirecionamento: Ativar (predefinição) redireciona a ligação IKEv2 se for recebido um pedido de redirecionamento do servidor VPN. Desativar impede que a ligação IKEv2 seja redirecionada se for recebido um pedido de redirecionamento do servidor VPN.

  • Unidade de transmissão máxima: introduza a unidade de transmissão máxima (MTU) em bytes, de 1 a 65536. Quando definido como Não configurado ou deixado em branco, o Intune não altera nem atualiza esta definição. Por predefinição, a Apple pode definir este valor como 1280.

    Esta definição aplica-se a:

    • iOS/iPadOS 14 e mais recente
  • Parâmetros de associação de segurança: introduza os parâmetros a utilizar ao criar associações de segurança com o servidor VPN:

    • Algoritmo de encriptação: selecione o algoritmo que pretende:

      • DES
      • 3DES
      • AES-128
      • AES-256 (predefinição)
      • AES-128-GCM
      • AES-256-GCM

      Observação

      Se definir o algoritmo de encriptação como AES-128-GCM ou AES-256-GCM, será utilizada a AES-256 predefinição. Este é um problema conhecido e será corrigido numa versão futura. Não existe nenhum ETA.

    • Algoritmo de integridade: selecione o algoritmo que pretende:

      • SHA1-96
      • SHA1-160
      • SHA2-256 (predefinição)
      • SHA2-384
      • SHA2-512
    • Grupo Diffie-Hellman: selecione o grupo que pretende. A predefinição é o grupo 2.

    • Duração (minutos): introduza durante quanto tempo a associação de segurança permanece ativa até as chaves serem rodadas. Introduza um valor inteiro entre 10 e 1440 (1440 minutos são 24 horas). O padrão é 1440.

  • Parâmetros de associação de segurança subordinado: o iOS/iPadOS permite-lhe configurar parâmetros separados para a ligação IKE e quaisquer ligações subordinadas. Introduza os parâmetros utilizados ao criar associações de segurança subordinada com o servidor VPN:

    • Algoritmo de encriptação: selecione o algoritmo que pretende:

      • DES
      • 3DES
      • AES-128
      • AES-256 (predefinição)
      • AES-128-GCM
      • AES-256-GCM

      Observação

      Se definir o algoritmo de encriptação como AES-128-GCM ou AES-256-GCM, será utilizada a AES-256 predefinição. Este é um problema conhecido e será corrigido numa versão futura. Não existe nenhum ETA.

  • Algoritmo de integridade: selecione o algoritmo que pretende:

    • SHA1-96
    • SHA1-160
    • SHA2-256 (predefinição)
    • SHA2-384
    • SHA2-512

    Configure também:

    • Grupo Diffie-Hellman: selecione o grupo que pretende. A predefinição é o grupo 2.
    • Duração (minutos): introduza durante quanto tempo a associação de segurança permanece ativa até as chaves serem rodadas. Introduza um valor inteiro entre 10 e 1440 (1440 minutos são 24 horas). O padrão é 1440.

VPN Automática

  • Tipo de VPN automática: selecione o tipo de VPN que pretende configurar – VPN a pedido ou VPN por aplicação. Certifique-se de que utiliza apenas uma opção. A utilização de ambos provoca problemas de ligação em simultâneo.

    • Não configurado (predefinição): o Intune não altera nem atualiza esta definição.

    • VPN a pedido: a VPN a pedido utiliza regras para ligar ou desligar automaticamente a ligação VPN. Quando os seus dispositivos tentam ligar à VPN, procura correspondências nos parâmetros e regras que criar, como um nome de domínio correspondente. Se existir uma correspondência, a ação que escolher é executada.

      Por exemplo, pode criar uma condição em que a ligação VPN só é utilizada quando um dispositivo não está ligado a uma empresa Wi-Fi rede. Em alternativa, se um dispositivo não conseguir aceder a um domínio de pesquisa DNS introduzido, a ligação VPN não será iniciada.

      • Regras a pedido>Adicionar: selecione Adicionar para adicionar uma regra. Se não existir uma ligação VPN, utilize estas definições para criar uma regra a pedido. Se existir uma correspondência com a regra, o dispositivo efetua a ação que selecionar.

        • Quero fazer o seguinte: se existir uma correspondência entre o valor do dispositivo e a regra a pedido, selecione a ação que pretende que o dispositivo faça. Suas opções:

          • Estabelecer VPN: se existir uma correspondência entre o valor do dispositivo e a regra a pedido, o dispositivo liga-se à VPN.

          • Desligar VPN: se existir uma correspondência entre o valor do dispositivo e a regra a pedido, a ligação VPN será desligada.

          • Avaliar cada tentativa de ligação: se existir uma correspondência entre o valor do dispositivo e a regra a pedido, utilize a definição Escolher se pretende ligar para decidir o que acontece para cada tentativa de ligação VPN:

            • Ligar se necessário: se o dispositivo estiver numa rede interna ou se já existir uma ligação VPN estabelecida à rede interna, a VPN a pedido não se ligará. Estas definições não são utilizadas.

              Se não existir uma ligação VPN, para cada tentativa de ligação VPN, decida se os utilizadores devem ligar-se com um nome de domínio DNS. Esta regra aplica-se apenas a domínios na lista Quando os utilizadores tentam aceder a estes domínios . Todos os outros domínios são ignorados.

              • Quando os utilizadores tentarem aceder a estes domínios: introduza um ou mais domínios DNS, como contoso.com. Se os utilizadores tentarem ligar a um domínio nesta lista, o dispositivo utilizará o DNS para resolver os domínios introduzidos. Se o domínio não resolver, o que significa que não tem acesso a recursos internos, liga-se à VPN a pedido. Se o domínio resolver, o que significa que já tem acesso a recursos internos, não liga à VPN.

                Observação

                • Se a definição Quando os utilizadores tentarem aceder a estes domínios estiver vazia, o dispositivo utilizará os servidores DNS configurados no serviço de ligação de rede (Wi-Fi/ethernet) para resolver o domínio. A ideia é que estes servidores DNS sejam servidores públicos.

                  Os domínios na lista Quando os utilizadores tentam aceder a estes domínios são recursos internos . Os recursos internos não estão em servidores DNS públicos e não podem ser resolvidos. Assim, o dispositivo liga-se à VPN. Agora, o domínio é resolvido com os servidores DNS da ligação VPN e o recurso interno está disponível.

                  Se o dispositivo estiver na rede interna, o domínio é resolvido e não é criada uma ligação VPN porque o domínio interno já está disponível. Não quer desperdiçar recursos de VPN em dispositivos já existentes na rede interna.

                • Se a definição Quando os utilizadores tentam aceder a estes domínios estiver preenchida, os servidores DNS nesta lista são utilizados para resolver os domínios na lista.

                  A ideia é o oposto da primeira marca de lista (quando os utilizadores tentam aceder a estes domínios , a definição está vazia). Por exemplo, a lista Quando os utilizadores tentam aceder a estes domínios tem servidores DNS internos. Um dispositivo numa rede externa não consegue encaminhar para os servidores DNS internos. A resolução de nomes excede o limite de tempo e o dispositivo liga-se à VPN a pedido. Agora, os recursos internos estão disponíveis.

                  Lembre-se de que estas informações só se aplicam a domínios na lista Quando os utilizadores tentam aceder a estes domínios . Todos os outros domínios são resolvidos com servidores DNS públicos. Quando o dispositivo está ligado à rede interna, os servidores DNS na lista são acessíveis e não é necessário ligar à VPN.

              • Utilize os seguintes servidores DNS para resolver estes domínios (opcional): introduza um ou mais endereços IP do servidor DNS, como 10.0.0.22. Os servidores DNS introduzidos são utilizados para resolver os domínios na definição Quando os utilizadores tentam aceder a estes domínios .

              • Quando este URL estiver inacessível, force a ligação à VPN: Opcional. Introduza um URL de pesquisa HTTP ou HTTPS que a regra utilize como um teste. Por exemplo, digite https://probe.Contoso.com. Este URL é sondado sempre que um utilizador tenta aceder a um domínio na definição Quando os utilizadores tentam aceder a estes domínios . O utilizador não vê o site de pesquisa de cadeias de URL.

                Se a sonda falhar porque o URL está inacessível ou não devolve um código de estado HTTP 200, o dispositivo liga-se à VPN.

                A ideia é que o URL só esteja acessível na rede interna. Se for possível aceder ao URL, não é necessária uma ligação VPN. Se não for possível aceder ao URL, significa que o dispositivo está numa rede externa e liga-se à VPN a pedido. Assim que a ligação VPN for estabelecida, os recursos internos estão disponíveis.

            • Nunca ligar: para cada tentativa de ligação VPN, quando os utilizadores tentam aceder aos domínios introduzidos, o dispositivo nunca se liga à VPN.

              • Quando os utilizadores tentarem aceder a estes domínios: introduza um ou mais domínios DNS, como contoso.com. Se os utilizadores tentarem ligar a um domínio nesta lista, não será criada uma ligação VPN. Se tentarem ligar a um domínio que não esteja nesta lista, o dispositivo liga-se à VPN.
          • Ignorar: se existir uma correspondência entre o valor do dispositivo e a regra a pedido, uma ligação VPN será ignorada.

        • Pretendo restringir a: na definição Pretendo efetuar a seguinte definição, se selecionar Estabelecer VPN, Desligar VPN ou Ignorar, selecione a condição que a regra tem de cumprir. Suas opções:

          • SSIDs específicos: introduza um ou mais nomes de rede sem fios aos quais a regra se aplique. Este nome de rede é o Identificador do Conjunto de Serviços (SSID). Por exemplo, digite Contoso VPN.
          • Domínios de pesquisa específicos: introduza um ou mais domínios DNS aos quais a regra se aplica. Por exemplo, digite contoso.com.
          • Todos os domínios: selecione esta opção para aplicar a regra a todos os domínios na sua organização.
        • Mas apenas se esta sonda de URL for bem-sucedida: Opcional. Introduza um URL que a regra utilize como um teste. Por exemplo, digite https://probe.Contoso.com. Se o dispositivo aceder a este URL sem redirecionamento, a ligação VPN será iniciada. Além disso, o dispositivo liga-se ao URL de destino. O utilizador não vê o site de pesquisa de cadeias de URL.

          Por exemplo, o URL testa a capacidade da VPN de se ligar a um site antes de o dispositivo se ligar ao URL de destino através da VPN.

      • Impedir que os utilizadores desativem a VPN automática: as suas opções:

        • Não configurado: o Intune não altera nem atualiza essa configuração.
        • Sim: impede os utilizadores de desativar a VPN automática. Força os utilizadores a manter a VPN automática ativada e em execução.
        • Não: permite que os utilizadores desativem a VPN automática.

        Esta definição aplica-se a:

        • iOS 14 e mais recente
        • iPadOS 14 e mais recente
    • VPN por aplicação: ativa a VPN por aplicação ao associar esta ligação VPN a uma aplicação específica. Quando a aplicação é executada, a ligação VPN é iniciada. Pode associar o perfil VPN a uma aplicação quando atribui o software ou programa da aplicação. Para obter mais informações, veja Como atribuir e monitorizar aplicações.

      A VPN por aplicação não é suportada numa ligação IKEv2. Para obter mais informações, consulte Configurar a VPN por aplicação para dispositivos iOS/iPadOS.

      • Tipo de Fornecedor: apenas disponível para Pulse Secure e VPN Personalizada.

        Ao utilizar perfis VPN por aplicação com o Pulse Secure ou uma VPN Personalizada, escolha túnel de camada de aplicação (app-proxy) ou túnel ao nível do pacote (pacote-túnel):

        • app-proxy: selecione esta opção para túnel de camada de aplicação.
        • packet-tunnel: selecione esta opção para túnel de camada de pacote.

        Se não tiver a certeza de qual a opção a utilizar, verifique a documentação do seu fornecedor de VPN.

      • URLs do Safari que irão acionar esta VPN: Adicione um ou mais URLs de web site. Quando estes URLs são visitados através do browser Safari no dispositivo, a ligação VPN é estabelecida automaticamente. Por exemplo, digite contoso.com.

      • Domínios Associados: introduza os domínios associados no perfil VPN a utilizar com esta ligação VPN.

        Para obter mais informações, veja domínios associados.

      • Domínios Excluídos: introduza domínios que possam ignorar a ligação VPN quando a VPN por aplicação estiver ligada. Por exemplo, digite contoso.com. O tráfego para o contoso.com domínio utiliza a Internet pública mesmo que a VPN esteja ligada.

      • Impedir que os utilizadores desativem a VPN automática: as suas opções:

        • Não configurado: o Intune não altera nem atualiza essa configuração.
        • Sim: impede os utilizadores de desativar o seletor Ligar a Pedido nas definições do perfil VPN. Força os utilizadores a manter a VPN por aplicação ou as regras a pedido ativadas e em execução.
        • Não: permite que os utilizadores desativem o botão ligar a pedido, o que desativa a VPN por aplicação e as regras a pedido.

        Esta definição aplica-se a:

        • iOS 14 e mais recente
        • iPadOS 14 e mais recente

VPN por aplicação

Estas definições aplicam-se aos seguintes tipos de ligação VPN:

  • Microsoft Tunnel

Definições:

  • VPN por aplicação: ative associa uma aplicação específica a esta ligação VPN. Quando a aplicação é executada, o tráfego encaminha automaticamente através da ligação VPN. Pode associar o perfil VPN a uma aplicação quando atribuir o software. Para obter mais informações, veja Como atribuir e monitorizar aplicações.

    Para obter mais informações, veja Microsoft Tunnel for Intune (Túnel microsoft para o Intune).

  • URLs do Safari que irão acionar esta VPN: Adicione um ou mais URLs de web site. Quando estes URLs são visitados através do browser Safari no dispositivo, a ligação VPN é estabelecida automaticamente. Por exemplo, digite contoso.com.

  • Domínios Associados: introduza os domínios associados no perfil VPN a utilizar com esta ligação VPN.

    Para obter mais informações, veja domínios associados.

  • Domínios Excluídos: introduza domínios que possam ignorar a ligação VPN quando a VPN por aplicação estiver ligada. Por exemplo, digite contoso.com. O tráfego para o contoso.com domínio utiliza a Internet pública mesmo que a VPN esteja ligada.

Proxy

Se utilizar um proxy, configure as seguintes definições.

  • Script de configuração automática: utilize um ficheiro para configurar o servidor proxy. Introduza o URL do servidor proxy que inclui o ficheiro de configuração. Por exemplo, digite http://proxy.contoso.com/pac.
  • Endereço: introduza o endereço IP ou o nome de anfitrião completamente qualificado do servidor proxy. Por exemplo, introduza 10.0.0.3 ou vpn.contoso.com.
  • Número da porta: introduza o número de porta associado ao servidor proxy. Por exemplo, digite 8080.

Próximas etapas

O perfil é criado, mas pode ainda não estar a fazer nada. Atribua o perfil e monitore seu status.

Configure as definições de VPN em dispositivos Android, Android Enterprise, macOS e Windows .