Share via

Windows 10/11 e configurações do dispositivo Windows Holographic para adicionar conexões VPN usando Intune

  • Artigo

Observação

Intune pode dar suporte a mais configurações do que as configurações listadas neste artigo. Nem todas as configurações estão documentadas e não serão documentadas. Para ver as configurações que você pode configurar, crie uma política de configuração de dispositivo e selecione Catálogo de Configurações. Para obter mais informações, acesse Catálogo de configurações.

Você pode adicionar e configurar conexões VPN para dispositivos usando Microsoft Intune. Este artigo descreve algumas das configurações e recursos que você pode configurar ao criar VPNs (redes virtuais privadas). Essas configurações de VPN são usadas em perfis de configuração de dispositivo e, em seguida, enviadas por push ou implantadas em dispositivos.

Como parte da solução MDM (gerenciamento de dispositivo móvel), use essas configurações para permitir ou desabilitar recursos, incluindo usar um fornecedor de VPN específico, habilitar sempre, usar DNS, adicionar um proxy e muito mais.

Essas configurações se aplicam a dispositivos em execução:

  • Windows 10/11
  • Windows Holographic for Business

Antes de começar

Escopo do usuário ou escopo do dispositivo

  • Use este perfil VPN com um escopo de usuário/dispositivo: Aplique o perfil ao escopo do usuário ou ao escopo do dispositivo:

    • Escopo do usuário: o perfil VPN está instalado na conta do usuário no dispositivo, como user@contoso.com. Se outro usuário entrar no dispositivo, o perfil VPN não estará disponível.
    • Escopo do dispositivo: o perfil VPN é instalado no contexto do dispositivo e se aplica a todos os usuários do dispositivo. Dispositivos Holográficos do Windows só dão suporte ao escopo do dispositivo.

Os perfis VPN existentes se aplicam ao escopo existente. Por padrão, novos perfis VPN são instalados no escopo do usuário , exceto para os perfis com o túnel do dispositivo habilitado. Perfis vpn com túnel de dispositivo habilitado usam o escopo do dispositivo.

Tipo de conexão

  • Tipo de conexão: selecione o tipo de conexão VPN na seguinte lista de fornecedores:

    • Check Point Capsule VPN
    • Cisco AnyConnect
    • Citrix
    • F5 Access
    • Palo Alto Networks GlobalProtect
    • Pulse Secure
    • SonicWall Mobile Connect
    • Automático (tipo nativo)
    • IKEv2 (tipo nativo)
    • L2TP (tipo nativo)
    • PPTP (tipo nativo)

Base VPN

As configurações a seguir são mostradas dependendo do tipo de conexão selecionado. Nem todas as configurações estão disponíveis para todos os tipos de conexão.

  • Nome da conexão: insira um nome para essa conexão. Os usuários finais veem esse nome quando navegam pelo dispositivo para obter a lista de conexões VPN disponíveis. Por exemplo, digite Contoso VPN.

  • Servidores: adicione um ou mais servidores VPN aos quais os dispositivos se conectam. Ao adicionar um servidor, insira as seguintes informações:

    • Importação: navegue até um arquivo separado por vírgulas que inclui uma lista de servidores no formato: descrição, endereço IP ou FQDN, servidor padrão. Escolha OK para importar esses servidores para a lista Servidores .
    • Exportação: exporta a lista existente de servidores para um arquivo csv (valores separados por vírgulas).
    • Descrição: insira um nome descritivo para o servidor, como o servidor VPN Contoso.
    • Endereço do servidor VPN: insira o endereço IP ou o FQDN (nome de domínio totalmente qualificado) do servidor VPN ao qual os dispositivos se conectam, como 192.168.1.1 ou vpn.contoso.com.
    • Servidor padrão: True habilita esse servidor como o servidor padrão que os dispositivos usam para estabelecer a conexão. Defina apenas um servidor como o padrão. False (padrão) não usa esse servidor VPN como o servidor padrão.

  • Registrar endereços IP com DNS interno: selecione Habilitar para configurar o perfil VPN para registrar dinamicamente os endereços IP atribuídos à interface VPN com o DNS interno. Selecione Desabilitar para não registrar dinamicamente os endereços IP.

  • Always On: habilitar se conecta automaticamente à conexão VPN quando os seguintes eventos acontecem:

    • Os usuários entram em seus dispositivos.
    • A rede no dispositivo é alterada.
    • A tela do dispositivo volta a ativar depois de ser desativada.

    Para usar conexões de túnel de dispositivo, como IKEv2, habilite essa configuração.

    Desabilitar não ativa automaticamente a conexão VPN. Os usuários podem ter que ativar a VPN manualmente.

  • Método de autenticação: selecione como você deseja que os usuários se autentiquem no servidor VPN. Suas opções:

    • Certificados: selecione um perfil de certificado de cliente de usuário existente para autenticar o usuário. Essa opção fornece recursos aprimorados, como experiência de toque zero, VPN sob demanda e VPN por aplicativo.

      Para criar perfis de certificado no Intune, consulte Usar certificados para autenticação.

    • Nome de usuário e senha: exija que os usuários insiram seu nome de usuário e senha de domínio para autenticar, como user@contoso.com, ou contoso\user.

    • Credencial derivada: use um certificado derivado do cartão inteligente de um usuário. Se nenhum emissor de credencial derivado estiver configurado, Intune solicitará que você adicione um. Para obter mais informações, consulte Usar credenciais derivadas em Intune.

      Observação

      Atualmente, as credenciais derivadas como um método de autenticação para perfis VPN não estão funcionando conforme o esperado em dispositivos Windows. Esse comportamento afeta apenas perfis VPN em dispositivos Windows e será corrigido em uma versão futura (sem ETA).

    • EAP (somente IKEv2): selecione um perfil de certificado de cliente EAP (Protocolo de Autenticação Extensível) existente para autenticar. Insira os parâmetros de autenticação na configuração XML do EAP .

      Para obter mais informações sobre autenticação EAP, consulte Protocolo de Autenticação Extensível (EAP) para acesso à rede e configuração de EAP.

    • Certificados de máquina (somente IKEv2): selecione um perfil de certificado de cliente de dispositivo existente para autenticar o dispositivo.

      Se você usar conexões de túnel de dispositivo, deverá selecionar certificados de máquina.

      Para criar perfis de certificado no Intune, consulte Usar certificados para autenticação.

  • Lembre-se de credenciais em cada logon: habilite os caches das credenciais de autenticação. Quando definido como Não configurado, Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não armazenar em cache as credenciais de autenticação.

  • XML personalizado: insira todos os comandos XML personalizados que configurem a conexão VPN.

  • EAP XML: insira todos os comandos XML do EAP que configurem a conexão VPN.

    Para obter mais informações, incluindo a criação de XML EAP personalizado, consulte Configuração do EAP.

  • Túnel do dispositivo (somente IKEv2): Habilitar conecta o dispositivo à VPN automaticamente sem qualquer interação do usuário ou entrada. Essa configuração se aplica aos dispositivos ingressados no Microsoft Entra ID.

    Para usar esse recurso, você deve configurar as seguintes configurações:

    • Tipo de conexão: definido como IKEv2.
    • Always On: defina como Habilitar.
    • Método de autenticação: definir como certificados de máquina.

    Atribua apenas um perfil por dispositivo com o Túnel do Dispositivo habilitado.

Parâmetros de associação de segurança IKE (somente IKEv2)

Importante

Windows 11 exige que:

Essas configurações de criptografia são usadas durante negociações de associação de segurança IKE (também conhecidas como main mode ou phase 1) para conexões IKEv2. Essas configurações devem corresponder às configurações do servidor VPN. Se as configurações não corresponderem, o perfil VPN não se conectará.

  • Algoritmo de criptografia: selecione o algoritmo de criptografia usado no servidor VPN. Por exemplo, se o servidor VPN usar o AES de 128 bits, selecione AES-128 na lista.

    Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

  • Algoritmo marcar integridade: selecione o algoritmo de integridade usado no servidor VPN. Por exemplo, se o servidor VPN usar SHA1-96, selecione SHA1-96 na lista.

    Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

  • Grupo Diffie-Hellman: selecione o grupo de computação Diffie-Hellman usado no servidor VPN. Por exemplo, se o servidor VPN usar o Group2 (1024 bits), selecione 2 na lista.

    Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

Parâmetros de associação de segurança infantil (somente IKEv2)

Importante

Windows 11 exige que:

Essas configurações de criptografia são usadas durante negociações de associação de segurança filho (também conhecidas como quick mode ou phase 2) para conexões IKEv2. Essas configurações devem corresponder às configurações do servidor VPN. Se as configurações não corresponderem, o perfil VPN não se conectará.

  • Algoritmo de transformação de cifra: selecione o algoritmo usado no servidor VPN. Por exemplo, se o servidor VPN usar o bit AES-CBC 128, selecione CBC-AES-128 na lista.

    Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

  • Algoritmo de transformação de autenticação: selecione o algoritmo usado no servidor VPN. Por exemplo, se o servidor VPN usar o AES-GCM de 128 bits, selecione GCM-AES-128 na lista.

    Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

  • Grupo PFS (segredo de encaminhamento perfeito): selecione o grupo de computação Diffie-Hellman usado para o PFS (segredo de encaminhamento perfeito) no servidor VPN. Por exemplo, se o servidor VPN usar o Group2 (1024 bits), selecione 2 na lista.

    Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

Exemplo do Pulse Secure

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

Exemplo do Cliente do F5 Edge

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

Exemplo do SonicWALL Mobile Connect

Grupo de logon ou domínio: essa propriedade não pode ser definida no perfil VPN. Em vez disso, o Mobile Connect analisa esse valor quando o nome de usuário e o domínio são inseridos nos username@domain formatos ou DOMAIN\username .

Exemplo:

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

Exemplo de VPN do CheckPoint Mobile

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

Dica

Para obter mais informações sobre como escrever comandos XML personalizados, consulte a documentação vpn do fabricante.

Regras de tráfego e aplicativos

  • Associe WIP ou aplicativos a essa VPN: habilite essa configuração se você quiser apenas que alguns aplicativos usem a conexão VPN. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração.
    • Associe um WIP a essa conexão: todos os aplicativos no domínio proteção de identidade do Windows usam automaticamente a conexão VPN.
      • Domínio WIP para essa conexão: insira um domínio wip (Proteção de Identidade do Windows). Por exemplo, digite contoso.com.
    • Associar aplicativos a essa conexão: os aplicativos inseridos usam automaticamente a conexão VPN.

      • Restringir a conexão VPN a esses aplicativos: Desabilitar (padrão) permite que todos os aplicativos usem a conexão VPN. Habilitar restringe a conexão VPN aos aplicativos inseridos (VPN por aplicativo). As regras de tráfego para os aplicativos que você adiciona são adicionadas automaticamente às regras de tráfego de rede para essa configuração de conexão VPN .

        Quando você seleciona Habilitar, a lista de identificadores de aplicativo se torna somente leitura. Antes de habilitar essa configuração, adicione seus aplicativos associados.

      • Aplicativos associados: selecione Importar para importar um .csv arquivo com sua lista de aplicativos. Sua .csv aparência é semelhante ao seguinte arquivo:

        %windir%\system32\notepad.exe,desktop Microsoft.Office.OneNote_8wekyb3d8bbwe,universal

        O tipo de aplicativo determina o identificador do aplicativo. Para um aplicativo universal, insira o nome da família de pacotes, como Microsoft.Office.OneNote_8wekyb3d8bbwe. Para um aplicativo de área de trabalho, insira o caminho do arquivo do aplicativo, como %windir%\system32\notepad.exe.

        Para obter o nome da família de pacotes, você pode usar o Get-AppxPackage cmdlet Windows PowerShell. Por exemplo, para obter o nome da família de pacotes do OneNote, abra Windows PowerShell e insira Get-AppxPackage *OneNote. Para obter mais informações, consulte Localizar um PFN para um aplicativo instalado em um computador cliente windows e cmdlet Get-AppxPackage.

    Importante

    Recomendamos proteger todas as listas de aplicativos criadas para VPNs por aplicativo. Se um usuário não autorizado alterar essa lista e você importá-la para a lista de aplicativos VPN por aplicativo, você poderá autorizar o acesso VPN a aplicativos que não devem ter acesso. Uma maneira de proteger listas de aplicativos é usando uma ACL (lista de controle de acesso).

  • Regras de tráfego de rede para essa conexão VPN: você pode adicionar regras de rede que se aplicam a essa conexão VPN. Use esse recurso para filtrar o tráfego de rede para essa conexão VPN.

    • Se você criar uma regra de tráfego de rede, a VPN só usará os protocolos, portas e intervalos de endereços IP que você inserir nessa regra.
    • Se você não criar uma regra de tráfego de rede, todos os protocolos, portas e intervalos de endereços estarão habilitados para essa conexão VPN.

    Ao adicionar regras de tráfego, para evitar problemas de VPN, é recomendável adicionar uma regra catch-all menos restritiva.

    Selecione Adicionar para criar uma regra e insira as seguintes informações. Você também pode importar um .csv arquivo com essas informações.

    • Nome: insira um nome para a regra de tráfego de rede.

    • Tipo de regra: insira o método de túnel para essa regra. Essa configuração só se aplica quando essa regra está associada a um aplicativo. Suas opções:

      • Nenhum (padrão)
      • Túnel dividido: essa opção fornece aos dispositivos cliente duas conexões simultaneamente. Uma conexão é segura e foi projetada para manter o tráfego de rede privado. A segunda conexão está aberta à rede e permite que o tráfego da Internet passe.
      • Túnel de força: todo o tráfego de rede nessa regra passa pela VPN. Nenhum tráfego de rede nessa regra vai diretamente para a Internet.

    • Direção: selecione o fluxo de tráfego de rede que sua conexão VPN permite. Suas opções:

      • Entrada: só permite o tráfego de sites externos por meio da VPN. O tráfego de saída está impedido de entrar na VPN.
      • Saída (padrão): só permite o tráfego para sites externos por meio da VPN. O tráfego de entrada está impedido de entrar na VPN.

      Para permitir entrada e saída, crie duas regras separadas. Crie uma regra para entrada e outra regra para saída.

    • Protocolo: insira o número da porta do protocolo de rede que você deseja que a VPN use, de 0 a 255. Por exemplo, insira 6 para TCP ou 17 para UDP.

      Ao inserir um protocolo, você está conectando duas redes por esse mesmo protocolo. Se você usar os protocolos TPC (6) ou UDP (17), também precisará inserir os intervalos de portas remotas & locais permitidos e os intervalos de endereços IP remotos & locais permitidos.

      Você também pode importar um .csv arquivo com essas informações.

    • Intervalos de porta locais: se você usar os protocolos TPC (6) ou UDP (17), insira os intervalos de porta de rede locais permitidos. Por exemplo, insira 100 para a porta inferior e 120 para a porta superior.

      Você pode criar uma lista de intervalos de portas permitidos, como 100-120, 200, 300-320. Para uma única porta, insira o mesmo número de porta em ambos os campos.

      Você também pode importar um .csv arquivo com essas informações.

    • Intervalos de porta remotos: se você usar os protocolos TPC (6) ou UDP (17), insira os intervalos de porta de rede remota permitidos. Por exemplo, insira 100 para a porta inferior e 120 para a porta superior.

      Você pode criar uma lista de intervalos de portas permitidos, como 100-120, 200, 300-320. Para uma única porta, insira o mesmo número de porta em ambos os campos.

      Você também pode importar um .csv arquivo com essas informações.

    • Intervalos de endereços locais: insira os intervalos de endereços IPv4 de rede local permitidos que podem usar a VPN. Somente os endereços IP do dispositivo cliente nesse intervalo usam essa VPN.

      Por exemplo, insira 10.0.0.22 para a porta inferior e 10.0.0.122 para a porta superior.

      Você pode criar uma lista de endereços IP permitidos. Para um único endereço IP, insira o mesmo endereço IP em ambos os campos.

      Você também pode importar um .csv arquivo com essas informações.

    • Intervalos de endereços remotos: insira os intervalos de endereços IPv4 de rede remota permitidos que podem usar a VPN. Somente endereços IP nesse intervalo usam essa VPN.

      Por exemplo, insira 10.0.0.22 para a porta inferior e 10.0.0.122 para a porta superior.

      Você pode criar uma lista de endereços IP permitidos. Para um único endereço IP, insira o mesmo endereço IP em ambos os campos.

      Você também pode importar um .csv arquivo com essas informações.

Acesso Condicional

  • Acesso condicional para essa conexão VPN: habilita o fluxo de conformidade do dispositivo do cliente. Quando habilitado, o cliente VPN se comunica com Microsoft Entra ID para obter um certificado a ser usado para autenticação. A VPN deve ser configurada para usar a autenticação de certificado e o servidor VPN deve confiar no servidor retornado por Microsoft Entra ID.

  • SSO (logon único) com certificado alternativo: para conformidade com o dispositivo, use um certificado diferente do certificado de autenticação VPN para autenticação Kerberos. Insira o certificado com as seguintes configurações:

    • Nome: nome para uso de chave estendida (EKU)
    • Identificador de objeto: identificador de objeto para EKU
    • Hash do emissor: impressão digital para certificado SSO

Configurações DNS

  • Lista de pesquisa de sufixo DNS: em sufixos DNS, insira um sufixo DNS e Adicione. Você pode adicionar muitos sufixos.

    Ao usar sufixos DNS, você pode pesquisar um recurso de rede usando seu nome curto, em vez do FQDN (nome de domínio totalmente qualificado). Quando você pesquisa usando o nome curto, o sufixo é determinado automaticamente pelo servidor DNS. Por exemplo, utah.contoso.com está na lista de sufixos DNS. Você ping DEV-comp. Nesse cenário, ele resolve para DEV-comp.utah.contoso.com.

    Os sufixos DNS são resolvidos na ordem listada e a ordem pode ser alterada. Por exemplo, colorado.contoso.com e utah.contoso.com estão na lista de sufixos DNS e ambos têm um recurso chamado DEV-comp. Como colorado.contoso.com é o primeiro da lista, ele é resolvido como DEV-comp.colorado.contoso.com.

    Para alterar a ordem, selecione os ponto à esquerda do sufixo DNS e arraste o sufixo para a parte superior:

    Selecione os três pontos e clique e arraste para mover o sufixo dns

  • Regras da NRPT (Tabela de Política de Resolução de Nomes): as regras da NRPT (Tabela de Política de Resolução de Nomes) definem como o DNS resolve nomes quando conectado à VPN. Depois que a conexão VPN for estabelecida, você escolherá quais servidores DNS a conexão VPN usa.

    Você pode adicionar regras que incluem o domínio, o servidor DNS, o proxy e outros detalhes. Essas regras resolve o domínio inserido. A conexão VPN usa essas regras quando os usuários se conectam aos domínios que você insere.

    Selecione Adicionar para adicionar uma nova regra. Para cada servidor, insira:

    • Domínio: insira o FQDN (nome de domínio totalmente qualificado) ou um sufixo DNS para aplicar a regra. Você também pode inserir um período (.) no início para um sufixo DNS. Por exemplo, insira contoso.com ou .allcontososubdomains.com.
    • Servidores DNS: insira o endereço IP ou o servidor DNS que resolve o domínio. Por exemplo, insira 10.0.0.3 ou vpn.contoso.com.
    • Proxy: insira o servidor de proxy Web que resolve o domínio. Por exemplo, digite http://proxy.com.
    • Conecte-se automaticamente: quando habilitado, o dispositivo se conecta automaticamente à VPN quando um dispositivo se conecta a um domínio que você insere, como contoso.com. Quando não está configurado (padrão), o dispositivo não se conecta automaticamente à VPN
    • Persistente: quando definida como Habilitada, a regra permanece na tabela Política de Resolução de Nomes (NRPT) até que a regra seja removida manualmente do dispositivo, mesmo após a desconexão da VPN. Quando definido como Não configurado (padrão), as regras NRPT no perfil VPN são removidas do dispositivo quando a VPN se desconecta.

Proxy

  • Script de configuração automática: use um arquivo para configurar o servidor proxy. Insira a URL do servidor proxy que inclui o arquivo de configuração. Por exemplo, digite http://proxy.contoso.com/pac.
  • Endereço: insira o endereço IP ou o nome do host totalmente qualificado do servidor proxy. Por exemplo, insira 10.0.0.3 ou vpn.contoso.com.
  • Número da porta: insira o número da porta usado pelo servidor proxy. Por exemplo, digite 8080.
  • Ignorar proxy para endereços locais: essa configuração se aplica se o servidor VPN exigir um servidor proxy para a conexão. Se você não quiser usar um servidor proxy para endereços locais, escolha Habilitar.

Túnel dividido

  • Túnel dividido: habilitar ou desabilitar para permitir que os dispositivos decidam qual conexão usar dependendo do tráfego. Por exemplo, um usuário em um hotel usa a conexão VPN para acessar arquivos de trabalho, mas usa a rede padrão do hotel para navegação regular na Web.
  • Rotas de túnel divididas para essa conexão VPN: adicione rotas opcionais para provedores de VPN de terceiros. Insira um prefixo de destino e um tamanho de prefixo para cada conexão.

Detecção de rede confiável

Sufixos DNS de rede confiáveis: quando os usuários já estão conectados a uma rede confiável, você pode impedir que os dispositivos se conectem automaticamente a outras conexões VPN.

Em sufixos DNS, insira um sufixo DNS em que você deseja confiar, como contoso.com, e selecione Adicionar. Você pode adicionar quantos sufixos desejar.

Se um usuário estiver conectado a um sufixo DNS na lista, o usuário não se conectará automaticamente a outra conexão VPN. O usuário continua a usar a lista confiável de sufixos DNS inseridos. A rede confiável ainda é usada, mesmo que os autotriggers sejam definidos.

Por exemplo, se o usuário já estiver conectado a um sufixo DNS confiável, os seguintes autotriggers serão ignorados. Especificamente, os sufixos DNS na lista cancelam todos os outros autotriggers de conexão, incluindo:

  • Sempre
  • Gatilho baseado em aplicativo
  • Autotrigger DNS

Próximas etapas

O perfil foi criado, mas pode não estar fazendo nada ainda. Atribua o perfil e monitore seu status.

Configure as configurações de VPN em dispositivos Android, iOS/iPadOS e macOS .