Compartilhar via


Criar perfis VPN para se conectar a servidores VPN no Microsoft Intune

Importante

A 22 de outubro de 2022, o Microsoft Intune terminou o suporte para dispositivos com o Windows 8.1. A assistência técnica e as atualizações automáticas nestes dispositivos não estão disponíveis.

Se utilizar atualmente o Windows 8.1, recomendamos a mudança para dispositivos Windows 10/11. O Microsoft Intune tem funcionalidades de segurança e dispositivos incorporadas que gerem dispositivos cliente Windows 10/11.

Importante

O Microsoft Intune vai terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.

As VPNs proporcionam para os usuários um acesso remoto seguro à rede da empresa. Os dispositivos usam um perfil de conexão VPN para iniciar uma conexão com o servidor VPN. Os perfis de VPN no Microsoft Intune atribuem configurações de VPN a usuários e dispositivos na sua organização. Use essas configurações para que os usuários possam se conectar com facilidade e segurança à sua rede organizacional.

Esse recurso aplica-se a:

  • Administrador de dispositivo Android
  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11
  • Windows 8.1 e mais recente

Por exemplo, se você quiser definir todos os dispositivos iOS/iPadOS com as configurações necessárias para se conectar a um compartilhamento de arquivo na rede da empresa. Crie um perfil VPN que inclui essas configurações. Atribua esse perfil a todos os usuários que têm dispositivos iOS/iPadOS. Os usuários veem a conexão VPN na lista de redes disponíveis e podem se conectar com esforço mínimo.

Este artigo lista os aplicativos VPN que você pode usar, mostra como criar um perfil VPN e inclui orientação sobre como protegê-lo. Você deve implantar o aplicativo VPN antes de criar seu perfil. Se precisar de ajuda para implementar aplicações com o Microsoft Intune, aceda a O que é a gestão de aplicações no Microsoft Intune?.

Antes de começar

  • Os perfis VPN para um túnel de dispositivo são compatíveis em Áreas de trabalho remotas multissessão do Windows 10/11 Enterprise.

  • Se você usar a autenticação baseada em certificado para o perfil de VPN, implante o perfil de VPN, o perfil de certificado e o perfil raiz confiável nos mesmos grupos. Essa etapa garante que cada dispositivo possa reconhecer a legitimidade da sua autoridade de certificação. Para obter mais informações, aceda a Como configurar certificados com o Microsoft Intune.

  • O registro do usuário para iOS/iPadOS e macOS dá suporte apenas a VPN por aplicativo.

  • Você pode usar políticas de configuração personalizadas do Microsoft Intune para criar perfis VPN para as seguintes plataformas:

    • Android 4 e posterior
    • Dispositivos registrados que executam o Windows 8.1 e versões posteriores
    • Dispositivos registrados que executam o Windows 10/11
    • Windows Holographic for Business
  • Para dispositivos Windows 11, existe um problema entre o cliente windows 11 e o CSP VPNv2 do Windows.

    Um dispositivo com um ou mais perfis VPN do Intune perde sua conectividade VPN quando o dispositivo processa várias alterações em perfis VPN para o dispositivo simultaneamente. Quando o dispositivo faz check-in no Intune pela segunda vez, ele processa as alterações de perfil VPN e a conectividade é restaurada.

    As seguintes alterações podem causar uma perda de funcionalidade de VPN:

    • Altere ou atualize um perfil VPN existente que tenha sido processado anteriormente pelo dispositivo Windows 11. Essa ação exclui o perfil original e aplica o perfil atualizado.
    • Dois novos perfis VPN se aplicam ao dispositivo ao mesmo tempo.
    • Um perfil VPN ativo é removido ao mesmo tempo em que um novo perfil VPN é atribuído.

    Este problema não se aplica e a conectividade VPN permanece nos seguintes cenários:

    • Um dispositivo Windows 11 não tem um perfil VPN existente atribuído e os dispositivos recebem um perfil VPN do Intune.

    • Os dispositivos Windows 11 têm um perfil VPN existente atribuído e é-lhe atribuído outro perfil VPN sem outras alterações de perfil.

    • Um dispositivo Windows 10 é atualizado para o Windows 11 e não existem alterações aos perfis VPN desse dispositivo. Após a atualização para o Windows 11, qualquer alteração nos perfis VPN dos dispositivos ou a adição de novos perfis VPN disparará o problema.

    • O Windows 11 requer que:

      Se configurar apenas uma das definições de Parâmetros de Associação de Segurança IKE ou Parâmetros de Associação de Segurança Subordinada, significa que existe uma perda de funcionalidade de VPN.

Passo 1 – Implementar a sua aplicação VPN

Antes de poder utilizar perfis VPN atribuídos a um dispositivo, tem de instalar a aplicação VPN. Esta aplicação VPN liga-se ao servidor VPN.

Existem diferentes aplicações VPN disponíveis. Em dispositivos de utilizador, implementa a aplicação VPN que a sua organização utiliza. Após a implementação da aplicação VPN, cria e implementa um perfil de configuração de dispositivo VPN que configura as definições do servidor VPN, incluindo o nome do servidor VPN (ou FQDN) e o método de autenticação.

Algumas plataformas e aplicações VPN requerem uma política de configuração de aplicações para pré-configurar a aplicação VPN, em vez de um perfil de configuração de dispositivo VPN. Esta secção também lista as plataformas e as aplicações VPN que têm de utilizar uma política de configuração de aplicações.

Para o ajudar a atribuir a aplicação com o Intune, aceda a Adicionar aplicações ao Microsoft Intune.

Tipos de conexão VPN

Pode criar perfis VPN com os seguintes tipos de ligação VPN:

  • Automático

    • Windows 10/11
  • Check Point Capsule VPN

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • No perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Cisco AnyConnect

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
  • Cisco (IPSec)

    • iOS/iPadOS
  • SSO da Citrix

  • VPN personalizado

    • iOS/iPadOS
    • macOS

    Crie perfis de VPN personalizados usando configurações de URI em Criar um perfil com configurações personalizadas.

  • F5 Access

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10/11
  • L2TP

    • Windows 10/11
  • Microsoft Tunnel

    • Dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
  • NetMotion Mobility

    • Dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10/11
  • Pulse Secure

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1
  • SonicWall Mobile Connect

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Zscaler

Passo 2 – Criar o perfil

Depois de a aplicação VPN ser atribuída ao dispositivo, este passo seguinte cria a política de configuração do dispositivo que configura a ligação VPN. Se o tipo de ligação da aplicação VPN utilizar uma política de configuração de aplicação para configurar a aplicação, ignore este passo.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Gerir dispositivos>Configuração>Criar>Nova política.

  3. Insira as seguintes propriedades:

    • Plataforma: escolha a plataforma dos dispositivos. Suas opções:
      • Administrador de dispositivo Android
      • Perfil de Trabalho Totalmente Gerenciado, Dedicado e de Propriedade Corporativa> do Android Enterprise
      • Android Enterprise>Perfil de trabalho de propriedade pessoal
      • iOS/iPadOS
      • macOS
      • Windows 10 e posterior
      • Windows 8.1 e posterior
    • Tipo de perfil: selecione VPN. Ou selecione Modelos>VPN.
  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um nome ideal de perfil é Perfil VPN para toda a empresa.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  6. Selecione Avançar.

  7. Em Definições de configuração, dependendo da plataforma escolhida, as configurações que podem ser definidas são diferentes. Selecione sua plataforma para obter as configurações detalhadas:

  8. Selecione Avançar.

  9. Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre etiquetas de âmbito, aceda a Utilizar RBAC e etiquetas de âmbito para TI distribuídas.

    Selecione Avançar.

  10. Em Atribuições, selecione o utilizador ou grupos que recebem o seu perfil. Para obter mais informações sobre a atribuição de perfis, aceda a Atribuir perfis de utilizador e de dispositivo.

    Selecione Avançar.

  11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Proteger perfis VPN

Perfis VPN podem usar vários tipos de conexão e protocolos diferentes, de fabricantes diferentes. Essas conexões geralmente são protegidas por meio dos métodos a seguir.

Certificados

Ao criar o perfil VPN, escolha um perfil de certificado SCEP ou PKCS criado anteriormente no Intune. Esse perfil é conhecido como certificado de identidade. Ele é usado para autenticar um perfil de certificado confiável (ou certificado raiz) que você criou para permitir que o dispositivo do usuário consiga se conectar. O certificado confiável é atribuído ao computador que autentica a conexão VPN, em geral, o servidor VPN.

Se você usar a autenticação baseada em certificado para o perfil de VPN, implante o perfil de VPN, o perfil de certificado e o perfil raiz confiável nos mesmos grupos. Essa atribuição garante que cada dispositivo reconheça a legitimidade de sua autoridade de certificação.

Para obter mais informações sobre como criar e utilizar perfis de certificado no Intune, aceda a Como configurar certificados com o Microsoft Intune.

Observação

Os certificados adicionados usando o perfil Certificado importado PKCS não têm suporte para autenticação de VPN. Os certificados adicionados usando o perfil Certificados PKCS têm suporte para autenticação de VPN.

Nome e senha do usuário

O usuário se autentica no servidor VPN fornecendo o nome de usuário e a senha ou credenciais derivadas.

Próximas etapas