Configurar VPN (rede virtual privada) por aplicativo para dispositivos iOS/iPadOS no Intune

No Microsoft Intune, você pode criar e usar VPNs (redes virtuais privadas) atribuídas a um aplicativo. Esse recurso é chamado de "VPN por aplicativo". Você escolhe os aplicativos gerenciados que podem usar a VPN em dispositivos gerenciados pelo Intune. Ao usar VPNs por aplicativo, os usuários finais se conectam automaticamente por meio da VPN e obtêm acesso a recursos organizacionais, como documentos.

Esse recurso aplica-se a:

  • iOS 9 e mais recente
  • iPadOS 13.0 e versões mais recentes

Verifique a documentação do seu provedor VPN para ver se a sua VPN dá suporte a VPN por aplicativo.

Este artigo mostra como criar um perfil de VPN por aplicativo e atribuir esse perfil a seus aplicativos. Use estas etapas para criar uma experiência VPN por aplicativo contínuo para seus usuários finais. Para a maioria das VPNs que dão suporte a VPN por aplicativo, o usuário abre um aplicativo e conecta-se automaticamente à VPN.

Algumas VPNs permitem autenticação de nome de usuário e senha com a VPN por aplicativo. Ou seja, os usuários precisam inserir um nome de usuário e senha para se conectar à VPN.

Importante

  • Há um problema conhecido no iOS/iPadOS 13. O problema impede que os perfis de VPN por aplicativo se conectem em ambientes de registro de usuário que usam a autenticação baseada em certificado. A Apple planeja corrigir isso em uma versão futura do iOS.
  • No iOS/iPadOS, a VPN por aplicativo não é compatível com perfis de VPN IKEv2.

VPN por aplicativo com Microsoft Tunnel ou Zscaler

O Microsoft Tunnel e o ZPA (Acesso Privado do Zscaler) integra-se com o Azure AD (Azure Active Directory) para autenticação. Ao usar o Tunnel ou o ZPA, você não precisa de perfis de certificado confiável ou de certificado SCEP ou PKCS (descritos neste artigo).

Se você tiver um perfil de VPN por aplicativo configurado para o Zscaler, a abertura de um dos aplicativos associados não fará a conexão automática com o ZPA. Em vez disso, primeiro, o usuário precisará entrar no aplicativo Zscaler. Em seguida, o acesso remoto é limitado aos aplicativos associados.

Pré-requisitos para a VPN por aplicativo

Importante

O fornecedor VPN pode ter outros requisitos para VPN por aplicativo, como hardware ou licenciamento específico. Consulte a documentação e cumpra esses pré-requisitos antes de configurar o VPN por aplicativo no Intune.

Para provar sua identidade, o servidor da VPN apresenta o certificado que deve ser aceito sem um aviso pelo dispositivo. Para confirmar a aprovação automática do certificado, crie um perfil de certificado confiável. Esse perfil de certificado confiável precisa incluir o certificado raiz do servidor VPN emitido pela AC (autoridade de certificação).

Exportar o certificado e adicionar a AC

  1. Abra o console de administração no seu servidor da VPN.

  2. Verifique se o servidor da VPN usa a Autenticação Baseada em Certificado.

  3. Exporte o arquivo do certificado raiz confiável. Ele tem uma extensão .cer, e você poderá adicioná-lo quando criar um perfil de certificado confiável.

  4. Adicione o nome da AC que emitiu o certificado para autenticação no servidor da VPN.

    Se a AC apresentada pelo dispositivo corresponder a uma AC na lista de autoridades de certificação confiáveis no servidor da VPN, o servidor da VPN autenticará o dispositivo com êxito.

Criar um grupo para os usuários da VPN

Crie ou escolha um grupo existente no Azure AD (Azure Active Directory). Esse grupo precisa incluir os usuários ou os dispositivos que usarão a VPN por aplicativo. Para criar um novo grupo, veja Adicionar grupos para organizar usuários e dispositivos.

Criar um perfil de certificado confiável

Importe o certificado raiz do servidor da VPN emitido pela AC em um perfil criado no Intune. O perfil de certificado confiável instrui o dispositivo iOS/iPadOS a confiar automaticamente na AC que o servidor da VPN apresenta.

  1. Entre no centro de administração Microsoft Intune.

  2. Selecione Dispositivos>Perfis de configuração>Criar perfil.

  3. Insira as seguintes propriedades:

    • Plataforma: Selecione iOS/iPadOS.
    • Perfil: Selecione Certificado confiável.
  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um nome ideal de perfil é Perfil VPN de certificado confiável de iOS/iPadOS para toda a empresa.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  6. Selecione Avançar.

  7. Em Definições de configuração, selecione o ícone de pasta e procure o certificado da VPN (arquivo .cer) que você exportou do console de administração da VPN.

  8. Selecione Avançar e continue criando seu perfil. Para obter mais informações, confira Criar um perfil da VPN.

    Crie um perfil de certificado confiável para dispositivos iOS/iPadOS em Microsoft Intune e Intune centro de administração.

Criar um perfil de certificado SCEP ou PKCS

O perfil de certificado raiz confiável permite que o dispositivo confie automaticamente no servidor da VPN. O certificado SCEP ou PKCS fornece as credenciais do cliente VPN do iOS/iPadOS para o servidor da VPN. O certificado permite que o dispositivo autentique silenciosamente sem solicitar um nome de usuário e senha.

Para configurar e atribuir o certificado de autenticação de cliente, veja um dos seguintes artigos:

Não deixe de configurar o certificado para autenticação do cliente. Você pode definir a autenticação do cliente diretamente em perfis de certificado SCEP (Autenticação de cliente da lista >de uso de chave estendida). Para PKCS, defina a autenticação de cliente do modelo de certificado na AC (autoridade de certificação).

Crie um perfil de certificado SCEP no centro de administração Microsoft Intune e Intune. Inclua o formato de nome do assunto, o uso da chave, o uso estendido da chave e muito mais.

Criar um perfil de VPN por aplicativo

Esse perfil de VPN inclui o certificado SCEP ou PKCS que tem as credenciais do cliente, as informações de conexão VPN e o sinalizador da VPN por aplicativo que habilita a VPN por aplicativo usada pelo aplicativo iOS/iPadOS.

  1. No centro de administração Microsoft Intune, selecione Perfis >de configuraçãode dispositivos>Criar perfil.

  2. Selecione Dispositivos>Perfis de configuração>Criar perfil.

  3. Insira as seguintes propriedades:

    • Plataforma: Selecione iOS/iPadOS.
    • Perfil: selecione VPN.
  4. Selecionar Criar.

  5. Em Básico, insira as seguintes propriedades:

    • Nome: Insira um nome descritivo para o perfil personalizado. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é Perfil de VPN por aplicativo do iOS/iPadOS para myApp.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  6. Em Definições de configuração, defina as seguintes configurações:

    • Tipo de conexão: Selecione seu aplicativo de cliente VPN.

    • Base VPN: Configure suas definições. As configurações de VPN do iOS/iPadOS descrevem todas as configurações. Ao usar a VPN por aplicativo, verifique se você definiu as seguintes propriedades conforme listado:

      • Método de autenticação: Selecione Certificados.
      • Certificado de autenticação: selecione um certificado > SCEP ou PKCS existente OK.
      • Túnel dividido: Selecione Desative para forçar todo o tráfego para utilizar o túnel VPN quando a conexão VPN está ativa.

      Em um perfil VPN por aplicativo, insira uma conexão, endereço IP ou FQDN, método de autenticação e divida o túnel em Microsoft Intune e Intune centro de administração.

      Para obter informações sobre as outras configurações, veja Configurações de VPN do iOS/iPadOS.

    • VPN Automática>Tipo de VPN automática>VPN por aplicativo

      Em Intune e Intune centro de administração, defina VPN automática como VPN por aplicativo em dispositivos iOS/iPadOS.

  7. Selecione Avançar e continue criando seu perfil. Para obter mais informações, confira Criar um perfil da VPN.

Associar um aplicativo ao perfil da VPN

Depois de adicionar o perfil da VPN, associe o aplicativo e o grupo do Microsoft Azure AD ao perfil.

  1. No centro de administração Microsoft Intune, selecione Aplicativos>Todos os aplicativos.

  2. Selecione um aplicativo na lista >Atribuições> de Propriedades>Editar.

  3. Acesse a seção Obrigatório ou Disponível para dispositivos registrados.

  4. Selecione Adicionar grupo> Selecione o grupo que você criou (neste artigo) >Selecione.

  5. Em VPNs, selecione o perfil de VPN por aplicativo que você criou (neste artigo).

    Atribua um aplicativo ao perfil VPN por aplicativo no centro de administração Microsoft Intune e Intune.

  6. Selecione OK>Salvar.

Quando todas as seguintes condições existirem, uma associação entre um aplicativo e um perfil será removida durante o próximo check-in do dispositivo:

  • O aplicativo foi direcionado com a intenção de instalação obrigatória.
  • O perfil e o aplicativo foram atribuídos ao mesmo grupo.
  • Você remove a configuração VPN por aplicativo da atribuição do aplicativo.

Quando as seguintes condições existirem, uma associação entre um aplicativo e um perfil permanecerá até o usuário solicitar uma reinstalação do aplicativo do Portal da Empresa:

  • O aplicativo foi direcionado com a intenção de instalação disponível.
  • O perfil e o aplicativo foram atribuídos ao mesmo grupo.
  • O usuário final solicitou a instalação do aplicativo no aplicativo do Portal da Empresa. Essa solicitação faz com que o aplicativo e o perfil sejam instalados no dispositivo.
  • Você remover ou alterar a configuração de VPN por aplicativo da atribuição de aplicativo.

Verifique a conexão no dispositivo iOS/iPadOS

Com a VPN por aplicativo configurada e associada ao seu aplicativo, verifique se a conexão funciona a partir de um dispositivo.

Antes de tentar se conectar

  • Lembre-se de implantar todas as políticas descritas neste artigo no mesmo grupo. Caso contrário, a experiência de VPN por aplicativo não funcionará.
  • Se estiver usando o aplicativo VPN Pulse Secure ou um aplicativo cliente VPN personalizado, você poderá optar por usar o túnel de camada de pacote ou de camada de aplicativo. Para o túnel de camada de aplicativo, defina o valor de ProviderType como proxy de aplicativo. Para o túnel de camada de pacote, defina o valor de ProviderType como túnel de pacote. Verifique a documentação do provedor de VPN para verificar se você está usando o valor correto.

Conectar-se usando a VPN por aplicativo

Confira a experiência de toque zero ao se conectar sem a necessidade de selecionar a VPN ou digitar suas credenciais. A experiência de toque zero significa que:

  • O dispositivo não pede para você confiar no servidor da VPN. Ou seja, o usuário não vê a caixa de diálogo Confiança Dinâmica.
  • O usuário não precisa inserir credenciais.
  • Quando o usuário abre um dos aplicativos associados, o dispositivo dele é conectado à VPN.

Próximas etapas