Compartilhar via


Configurar VPN (rede virtual privada) por aplicativo para dispositivos iOS/iPadOS no Intune

No Microsoft Intune, você pode criar e usar VPNs (redes virtuais privadas) atribuídas a um aplicativo. Esta funcionalidade é denominada VPN por aplicação. Você escolhe os aplicativos gerenciados que podem usar a VPN em dispositivos gerenciados pelo Intune. Quando utiliza VPNs por aplicação, os utilizadores finais ligam-se automaticamente através da VPN e obtêm acesso a recursos organizacionais, como documentos.

Esse recurso aplica-se a:

  • iOS 9 e mais recente
  • iPadOS 13.0 e versões mais recentes

Verifique a documentação do seu provedor VPN para ver se a sua VPN dá suporte a VPN por aplicativo.

Este artigo mostra como criar um perfil de VPN por aplicativo e atribuir esse perfil a seus aplicativos. Use estas etapas para criar uma experiência VPN por aplicativo contínuo para seus usuários finais. Para a maioria das VPNs que dão suporte a VPN por aplicativo, o usuário abre um aplicativo e conecta-se automaticamente à VPN.

Algumas VPNs permitem autenticação de nome de usuário e senha com a VPN por aplicativo. Ou seja, os usuários precisam inserir um nome de usuário e senha para se conectar à VPN.

Importante

  • No iOS/iPadOS, a VPN por aplicativo não é compatível com perfis de VPN IKEv2.

VPN por aplicativo com Microsoft Tunnel ou Zscaler

O Microsoft Tunnel e o Zscaler Private Access (ZPA) integram-se no Microsoft Entra ID para autenticação. Ao usar o Tunnel ou o ZPA, você não precisa de perfis de certificado confiável ou de certificado SCEP ou PKCS (descritos neste artigo).

Se você tiver um perfil de VPN por aplicativo configurado para o Zscaler, a abertura de um dos aplicativos associados não fará a conexão automática com o ZPA. Em vez disso, primeiro, o usuário precisará entrar no aplicativo Zscaler. Em seguida, o acesso remoto é limitado aos aplicativos associados.

Pré-requisitos

  • O fornecedor de VPN pode ter outros requisitos para a VPN por aplicação, como hardware ou licenciamento específicos. Consulte a documentação e cumpra esses pré-requisitos antes de configurar o VPN por aplicativo no Intune.

  • Exporte o ficheiro de certificado .cer de raiz fidedigna do servidor VPN. Adicione este ficheiro ao perfil de certificado fidedigno que criou no Intune, descrito neste artigo.

    Para exportar o ficheiro:

    1. Abra o console de administração no seu servidor da VPN.

    2. Verifique se o servidor da VPN usa a Autenticação Baseada em Certificado.

    3. Exporte o arquivo do certificado raiz confiável. Tem uma .cer extensão.

    4. Adicione o nome da autoridade de certificação (AC) que emitiu o certificado para autenticação ao servidor VPN.

      Se a AC apresentada pelo dispositivo corresponder a uma AC na lista de autoridades de certificação confiáveis no servidor da VPN, o servidor da VPN autenticará o dispositivo com êxito.

    Para provar sua identidade, o servidor da VPN apresenta o certificado que deve ser aceito sem um aviso pelo dispositivo. Para confirmar a aprovação automática do certificado, crie um perfil de certificado fidedigno no Intune (neste artigo). O perfil de certificado fidedigno do Intune tem de incluir o certificado de raiz (.cer ficheiro) do servidor VPN emitido pela Autoridade de Certificação (AC).

  • Para criar a política, no mínimo, inicie sessão no centro de administração do Microsoft Intune com uma conta que tenha a função incorporada Gestor de Políticas e Perfis . Para obter mais informações sobre as funções incorporadas, aceda a Controlo de acesso baseado em funções do Microsoft Intune.

Passo 1 – Criar um grupo para os utilizadores de VPN

Crie ou escolha um grupo existente no Microsoft Entra ID. Este grupo:

  • Tem de incluir os utilizadores ou dispositivos que irão utilizar a VPN por aplicação.
  • Receberá todas as políticas do Intune que criar.

Para obter os passos para criar um novo grupo, aceda a Adicionar grupos para organizar utilizadores e dispositivos.

Passo 2 – Criar um perfil de certificado fidedigno

Importe o certificado de raiz do servidor VPN emitido pela AC para um perfil do Intune. Este certificado de raiz é o .cer ficheiro que exportou em Pré-requisitos (neste artigo). O perfil de certificado confiável instrui o dispositivo iOS/iPadOS a confiar automaticamente na AC que o servidor da VPN apresenta.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Dispositivos gerenciados>Configuração>Criar>Nova política.

  3. Insira as seguintes propriedades:

    • Plataforma: Selecione iOS/iPadOS.
    • Tipo de perfil: selecione Certificado fidedigno.
  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um nome ideal de perfil é Perfil VPN de certificado confiável de iOS/iPadOS para toda a empresa.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  6. Selecione Avançar.

  7. Em Definições de configuração, selecione o ícone de pasta e procure o certificado da VPN (arquivo .cer) que você exportou do console de administração da VPN.

  8. Selecione Avançar e continue criando seu perfil. Para obter mais informações, aceda a Criar um perfil VPN.

    Crie um perfil de certificado fidedigno para dispositivos iOS/iPadOS no Microsoft Intune e no centro de administração do Intune.

Passo 3 – Criar um perfil de certificado SCEP ou PKCS

O perfil de certificado de raiz fidedigna que criou no passo 2 permite que o dispositivo confie automaticamente no Servidor VPN.

Neste passo, crie o perfil de certificado SCEP ou PKCS no Intune. O certificado SCEP ou PKCS fornece as credenciais do cliente VPN do iOS/iPadOS para o servidor da VPN. O certificado permite que o dispositivo autentique silenciosamente sem solicitar um nome de usuário e senha.

Para configurar e atribuir o certificado de autenticação de cliente no Intune, aceda a um dos seguintes artigos:

Não deixe de configurar o certificado para autenticação do cliente. Pode definir a autenticação de cliente diretamente nos perfis de certificado SCEP (Lista > de utilização alargada de chavesAutenticação de cliente). Para PKCS, defina a autenticação de cliente do modelo de certificado na AC (autoridade de certificação).

Crie um perfil de certificado SCEP no Microsoft Intune e no centro de administração do Intune. Inclua o formato do nome do requerente, a utilização da chave, a utilização expandida da chave e muito mais.

Passo 4 – Criar um perfil VPN por aplicação

Esse perfil de VPN inclui o certificado SCEP ou PKCS que tem as credenciais do cliente, as informações de conexão VPN e o sinalizador da VPN por aplicativo que habilita a VPN por aplicativo usada pelo aplicativo iOS/iPadOS.

  1. No centro de administração do Microsoft Intune, selecioneDispositivos>Gerir dispositivos>Configuração>Criar>Nova política.

  2. Introduza as seguintes propriedades e selecione Criar:

    • Plataforma: Selecione iOS/iPadOS.
    • Tipo de perfil: selecione VPN.
  3. Em Básico, insira as seguintes propriedades:

    • Nome: Insira um nome descritivo para o perfil personalizado. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é Perfil de VPN por aplicativo do iOS/iPadOS para myApp.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  4. Em Definições de configuração, defina as seguintes configurações:

    • Tipo de conexão: Selecione seu aplicativo de cliente VPN.

    • Base VPN: Configure suas definições. As configurações de VPN do iOS/iPadOS descrevem todas as configurações. Ao usar a VPN por aplicativo, verifique se você definiu as seguintes propriedades conforme listado:

      • Método de autenticação: Selecione Certificados.
      • Certificado de autenticação: selecione um CERTIFICADO > SCEP ou PKCS existente OK.
      • Túnel dividido: Selecione Desative para forçar todo o tráfego para utilizar o túnel VPN quando a conexão VPN está ativa.

      Captura de ecrã que mostra um perfil VPN por aplicação, um endereço IP ou FQDN, um método de autenticação e um túnel dividido no Centro de administração do Microsoft Intune e do Intune.

      Para obter informações sobre as outras definições, aceda às definições de VPN do iOS/iPadOS.

    • VPN Automática>Tipo de VPN automática>VPN por aplicativo

      Captura de ecrã que mostra a VPN Automática definida como VPN por aplicação em dispositivos iOS/iPadOS no Microsoft Intune.

  5. Selecione Avançar e continue criando seu perfil. Para obter mais informações, aceda a Criar um perfil VPN.

Passo 5 – Associar uma aplicação ao perfil VPN

Depois de adicionar o seu perfil VPN, associe a aplicação e o grupo Microsoft Entra ao perfil.

  1. No centro de administração do Microsoft Intune, selecioneAplicações>Todas as aplicações.

  2. Selecione uma aplicação na lista >Ediçãode Atribuiçõesde Propriedades>>.

  3. Acesse a seção Obrigatório ou Disponível para dispositivos registrados.

  4. Selecione Adicionar grupo> Selecionar o grupo que criou (neste artigo) >Selecionar.

  5. Em VPNs, selecione o perfil de VPN por aplicativo que você criou (neste artigo).

    Duas capturas de ecrã que mostram a atribuição de uma aplicação ao perfil VPN por aplicação no Microsoft Intune e no centro de administração do Intune.

  6. Selecione OK>Salvar.

Quando as seguintes condições existirem, uma associação entre um aplicativo e um perfil permanecerá até o usuário solicitar uma reinstalação do aplicativo do Portal da Empresa:

  • O aplicativo foi direcionado com a intenção de instalação disponível.
  • O perfil e o aplicativo foram atribuídos ao mesmo grupo.
  • O usuário final solicitou a instalação do aplicativo no aplicativo do Portal da Empresa. Essa solicitação faz com que o aplicativo e o perfil sejam instalados no dispositivo.
  • Você remover ou alterar a configuração de VPN por aplicativo da atribuição de aplicativo.

Quando todas as seguintes condições existirem, uma associação entre um aplicativo e um perfil será removida durante o próximo check-in do dispositivo:

  • O aplicativo foi direcionado com a intenção de instalação obrigatória.
  • O perfil e o aplicativo foram atribuídos ao mesmo grupo.
  • Você remove a configuração VPN por aplicativo da atribuição do aplicativo.

Verifique a conexão no dispositivo iOS/iPadOS

Com a sua VPN por aplicação configurada e associada à sua aplicação, verifique se a ligação funciona a partir de um dispositivo.

Antes de tentar se conectar

  • Lembre-se de implantar todas as políticas descritas neste artigo no mesmo grupo. Caso contrário, a experiência de VPN por aplicativo não funcionará.

  • Se estiver a utilizar a aplicação Pulse Secure VPN ou uma aplicação cliente VPN personalizada, pode optar por utilizar a camada de aplicação ou o túnel de camada de pacote:

    • Para o túnel de camada de aplicativo, defina o valor de ProviderType como proxy de aplicativo.
    • Para o túnel de camada de pacote, defina o valor de ProviderType como túnel de pacote.

    Verifique a documentação do provedor de VPN para verificar se você está usando o valor correto.

Conectar-se usando a VPN por aplicativo

Confira a experiência de toque zero ao se conectar sem a necessidade de selecionar a VPN ou digitar suas credenciais. A experiência de toque zero significa que:

  • O dispositivo não pede para você confiar no servidor da VPN. Ou seja, o usuário não vê a caixa de diálogo Confiança Dinâmica.
  • O usuário não precisa inserir credenciais.
  • Quando o usuário abre um dos aplicativos associados, o dispositivo dele é conectado à VPN.

Recursos