Criar perfis VPN para se conectar a servidores VPN no Microsoft Intune

Importante

Em 22 de outubro de 2022, Microsoft Intune está encerrando o suporte para dispositivos que executam Windows 8.1. Após essa data, a assistência técnica e as atualizações automáticas nesses dispositivos não estarão disponíveis. Para obter mais informações, acesse Planejar para Alteração: Fim do suporte para Windows 8.1.

Se você usar Windows 8.1 no momento, recomendamos mudar para dispositivos Windows 10/11. Microsoft Intune tem recursos internos de segurança e dispositivo que gerenciam dispositivos cliente Windows 10/11. Para obter mais informações, acesse Fim do suporte para Windows 7 e Windows 8.1.

As VPNs proporcionam para os usuários um acesso remoto seguro à rede da empresa. Os dispositivos usam um perfil de conexão VPN para iniciar uma conexão com o servidor VPN. Os perfis de VPN no Microsoft Intune atribuem configurações de VPN a usuários e dispositivos na sua organização. Use essas configurações para que os usuários possam se conectar com facilidade e segurança à sua rede organizacional.

Esse recurso aplica-se a:

  • Administrador de dispositivo Android

  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho

  • iOS/iPadOS

  • macOS

  • Windows 10

  • Windows 11

    Importante

    Para dispositivos Windows 11, há um problema entre o cliente Windows 11 e o VPNv2 CSP do Windows. Um dispositivo com um ou mais perfis VPN do Intune perde sua conectividade VPN quando o dispositivo processa várias alterações em perfis VPN para o dispositivo simultaneamente. Quando o dispositivo faz check-in no Intune pela segunda vez, ele processa as alterações de perfil VPN e a conectividade é restaurada.

    As seguintes alterações podem causar uma perda de funcionalidade da VPN:

    • Alterações em um perfil VPN que foi processado anteriormente pelo dispositivo Windows 11. Essa ação exclui o perfil original e aplica o perfil atualizado.
    • Dois novos perfis VPN se aplicam ao dispositivo ao mesmo tempo.
    • Um perfil VPN ativo é removido ao mesmo tempo em que um novo perfil VPN é atribuído.

    Este problema não se aplica quando:

    • Um dispositivo Windows 11 não tem um perfil VPN existente atribuído e recebe um perfil VPN do Intune.
    • Dispositivos Windows 11 com um perfil VPN atribuído e recebem outro perfil VPN sem outras alterações de perfil.
    • Um dispositivo Windows 10 é atualizado para o Windows 11 e se não houver alterações nos perfis VPN desse dispositivo. Após a atualização para o Windows 11, qualquer alteração nos perfis VPN dos dispositivos ou a adição de novos perfis VPN disparará o problema.

    Esse problema e aviso permanecem até que o Windows atualize o cliente do Windows 11 que resolva esse problema.

  • Windows 8.1 e mais recente

Por exemplo, se você quiser definir todos os dispositivos iOS/iPadOS com as configurações necessárias para se conectar a um compartilhamento de arquivo na rede da empresa. Crie um perfil VPN que inclui essas configurações. Atribua esse perfil a todos os usuários que têm dispositivos iOS/iPadOS. Os usuários veem a conexão VPN na lista de redes disponíveis e podem se conectar com esforço mínimo.

Este artigo lista os aplicativos VPN que você pode usar, mostra como criar um perfil VPN e inclui orientação sobre como protegê-lo. Você deve implantar o aplicativo VPN antes de criar seu perfil. Se precisar de ajuda para implantar aplicativos usando o Microsoft Intune, confira O que é gerenciamento de aplicativos no Microsoft Intune?.

Antes de começar

Tipos de conexão VPN

Importante

Antes de usar perfis VPN atribuídos a um dispositivo, é necessário instalar o aplicativo VPN correspondente ao perfil. Para ajudar você a atribuir o aplicativo usando o Intune, confira Adicionar aplicativos ao Microsoft Intune.

Você pode criar perfis VPN usando os seguintes tipos de conexão:

  • Automático

    • Windows 10/11
  • Check Point Capsule VPN

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • No perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Cisco AnyConnect

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
  • Cisco (IPSec)

    • iOS/iPadOS
  • SSO da Citrix

  • VPN personalizado

    • iOS/iPadOS
    • macOS

    Crie perfis de VPN personalizados usando configurações de URI em Criar um perfil com configurações personalizadas.

  • F5 Access

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10/11
  • L2TP

    • Windows 10/11
  • Microsoft Tunnel

    • Dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho.
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise.

    Importante

    A partir de 14 de junho de 2021, o aplicativo de túnel autônomo e o tipo de conexão de cliente autônomo para Android serão preteridos e removidos do suporte após 26 de outubro de 2021.

  • Microsoft Tunnel

    • iOS/iPadOS
  • Microsoft Tunnel (cliente autônomo)(visualização)

    • iOS/iPadOS

    Importante

    Planeje a alteração. Em 29 de abril de 2022, tanto o tipo de conexão doMicrosoft Tunnel quanto do Microsoft Defender para Ponto de Extremidade tornaram-se disponíveis para o público geral. Com essa disponibilidade geral, o uso do tipo de conexão Microsoft Tunnel (cliente autônomo)(versão prévia) e o aplicativo cliente de túnel autônomo estão obsoletos e em breve serão retirados do suporte.

    • Em 29 de julho de 2022, o aplicativo cliente de túnel autônomo não estará mais disponível para download. Somente a versão geralmente disponível do Microsoft Defender for Endpoint estará disponível como o aplicativo cliente de túnel.
    • Em 1º de agosto de 2022, o tipo de conexão Microsoft Tunnel (cliente autônomo) (versão prévia) deixará de se conectar ao Microsoft Tunnel.

    Para evitar uma interrupção no serviço do Microsoft Tunnel, planeje migrar seu uso do aplicativo cliente de túnel preterido e do tipo de conexão para aqueles que agora estão disponíveis para todos.

  • NetMotion Mobility

    • Dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10/11
  • Pulse Secure

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1
  • SonicWall Mobile Connect

    • Administrador de dispositivo Android
    • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
    • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Zscaler

Criar o perfil

  1. Entre no Centro de administração do Microsoft Endpoint Manager.

  2. Selecione Dispositivos>Perfis de configuração>Criar perfil.

  3. Insira as seguintes propriedades:

    • Plataforma: escolha a plataforma dos dispositivos. Suas opções:
      • Administrador de dispositivo Android
      • Perfil de Trabalho Totalmente Gerenciado, Dedicado e de Propriedade Corporativa> do Android Enterprise
      • Android Enterprise>Perfil de trabalho de propriedade pessoal
      • iOS/iPadOS
      • macOS
      • Windows 10 e posterior
      • Windows 8.1 e posterior
    • Perfil: selecione VPN. Ou selecione Modelos>VPN.
  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um nome ideal de perfil é Perfil VPN para toda a empresa.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  6. Selecione Avançar.

  7. Em Definições de configuração, dependendo da plataforma escolhida, as configurações que podem ser definidas são diferentes. Selecione sua plataforma para obter as configurações detalhadas:

  8. Selecione Avançar.

  9. Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre as marcas de escopo, confira Usar o RBAC e as marcas de escopo para TI distribuída.

    Selecione Avançar.

  10. Em Atribuições, selecione o usuário ou os grupos que receberão seu perfil. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Proteger perfis VPN

Perfis VPN podem usar vários tipos de conexão e protocolos diferentes, de fabricantes diferentes. Essas conexões geralmente são protegidas por meio dos métodos a seguir.

Certificados

Ao criar o perfil VPN, escolha um perfil de certificado SCEP ou PKCS criado anteriormente no Intune. Esse perfil é conhecido como certificado de identidade. Ele é usado para autenticar um perfil de certificado confiável (ou certificado raiz) que você criou para permitir que o dispositivo do usuário consiga se conectar. O certificado confiável é atribuído ao computador que autentica a conexão VPN, em geral, o servidor VPN.

Se você usar a autenticação baseada em certificado para o perfil de VPN, implante o perfil de VPN, o perfil de certificado e o perfil raiz confiável nos mesmos grupos. Essa atribuição garante que cada dispositivo reconheça a legitimidade de sua autoridade de certificação.

Para obter mais informações sobre como criar e usar perfis de certificado no Intune, consulte Como configurar certificados com o Microsoft Intune.

Observação

Os certificados adicionados usando o perfil Certificado importado PKCS não têm suporte para autenticação de VPN. Os certificados adicionados usando o perfil Certificados PKCS têm suporte para autenticação de VPN.

Nome e senha do usuário

O usuário se autentica no servidor VPN fornecendo o nome de usuário e a senha ou credenciais derivadas.

Próximas etapas