Adicionar configurações de VPN a dispositivos iOS e iPadOS no Microsoft Intune

O Microsoft Intune inclui muitas definições de VPN que podem ser implementadas nos seus dispositivos iOS/iPadOS. Estas definições são utilizadas para criar e configurar ligações VPN à rede da sua organização. Este artigo descreve estas definições. Algumas definições só estão disponíveis para alguns clientes VPN, como Citrix, Zscaler e muito mais.

Esse recurso aplica-se a:

• iOS/iPadOS

Antes de começar

• Crie um perfil de configuração de dispositivo VPN iOS/iPadOS.

• Alguns serviços do Microsoft 365, como o Outlook, podem não ter um bom desempenho com VPNs de terceiros ou parceiros. Se estiver a utilizar uma VPN de terceiros ou parceiro e tiver um problema de latência ou desempenho, remova a VPN.

  Se remover a VPN resolver o comportamento, pode:

  • Trabalhe com a VPN de terceiros ou parceiro para obter possíveis resoluções. A Microsoft não fornece suporte técnico para VPNs de terceiros ou parceiros.
  • Não utilize uma VPN com tráfego do Outlook.
  • Se precisar de utilizar uma VPN, utilize uma VPN de túnel dividido. Além disso, permita que o tráfego do Outlook ignore a VPN.

  Para obter mais informações, confira:

  • Descrição geral: túnel dividido de VPN para o Microsoft 365
  • Utilizar dispositivos de rede de terceiros ou soluções com o Microsoft 365
  • Formas alternativas para profissionais de segurança e TI alcançarem controlos de segurança modernos no blogue de cenários de trabalho remoto exclusivos de hoje
  • Princípios de conectividade de rede do Microsoft 365

• Se precisar que estes dispositivos acedam aos recursos no local através da autenticação moderna e do Acesso Condicional, pode utilizar o Túnel Microsoft, que suporta a divisão de túneis.

Observação

• Estas definições estão disponíveis para todos os tipos de inscrição, exceto a inscrição de utilizadores. A inscrição de utilizadores está limitada à VPN por aplicação. Para obter mais informações sobre os tipos de inscrição, veja Inscrição de iOS/iPadOS.

• As definições disponíveis dependem do cliente VPN que escolher. Algumas definições só estão disponíveis para clientes VPN específicos.

• Estas definições utilizam o payload de VPN da Apple (abre o site da Apple).

Tipo de conexão

Selecione o tipo de ligação VPN na seguinte lista de fornecedores:

• Check Point Capsule VPN

• Cisco Legacy AnyConnect

  Aplica-se à versão 4.0.5x e anterior da aplicação Cisco Legacy AnyConnect.

• Cisco AnyConnect

  Aplica-se à versão 4.0.7x e posterior da aplicação Cisco AnyConnect .

• SonicWall Mobile Connect

• F5 Access herdado

  Aplica-se à versão 2.1 e anterior da aplicação F5 Access.

• F5 Access

  Aplica-se à versão 3.0 e posterior da aplicação F5 Access.

• Palo Alto Networks GlobalProtect (Legado)

  Aplica-se à versão 4.1 e anterior da aplicação Palo Alto Networks GlobalProtect.

• Palo Alto Networks GlobalProtect

  Aplica-se à versão 5.0 e posterior da aplicação Palo Alto Networks GlobalProtect.

• Pulse Secure

• Cisco (IPSec)

• VPN Citrix

• SSO da Citrix

• Zscaler

  Para utilizar o Acesso Condicional ou permitir que os utilizadores ignorem o ecrã de início de sessão do Zscaler, tem de integrar o Zscaler Private Access (ZPA) com a sua conta microsoft Entra. Para obter os passos detalhados, veja a documentação do Zscaler.

• NetMotion Mobility

• IKEv2

  As definições de IKEv2 (neste artigo) descrevem as propriedades.

• Microsoft Tunnel

  Aplica-se à aplicação Microsoft Defender para Endpoint que inclui a funcionalidade de cliente Túnel.

• VPN personalizado

Observação

A Cisco, Citrix, F5 e Palo Alto anunciaram que os seus clientes legados não funcionam no iOS 12 e posterior. Deve migrar para as novas aplicações o mais rapidamente possível. Para obter mais informações, veja o Blogue da Equipa de Suporte do Microsoft Intune.

Definições de VPN base

• Nome da ligação: os utilizadores finais veem este nome quando procuram no dispositivo uma lista de ligações VPN disponíveis.

• Nome de domínio personalizado (apenas Zscaler): pré-povoe o campo de início de sessão da aplicação Zscaler com o domínio a que os seus utilizadores pertencem. Por exemplo, se um nome de utilizador for Joe@contoso.net, o contoso.net domínio aparece estaticamente no campo quando a aplicação é aberta. Se não introduzir um nome de domínio, será utilizada a parte do domínio do UPN no Microsoft Entra ID.

• Endereço do servidor VPN: o endereço IP ou o nome de domínio completamente qualificado (FQDN) do servidor VPN com o qual os dispositivos se ligam. Por exemplo, introduza 192.168.1.1 ou vpn.contoso.com.

• Nome da cloud da organização (apenas Zscaler): introduza o nome da cloud onde a sua organização está aprovisionada. O URL que utiliza para iniciar sessão no Zscaler tem o nome .

• Método de autenticação: escolha a forma como os dispositivos se autenticam no servidor VPN.

  • Certificados: em Certificado de autenticação, selecione um perfil de certificado SCEP ou PKCS existente para autenticar a ligação. Configurar certificados fornece algumas orientações sobre perfis de certificado.

  • Nome de utilizador e palavra-passe: os utilizadores finais têm de introduzir um nome de utilizador e palavra-passe para iniciar sessão no servidor VPN.

    Observação

    Se o nome de utilizador e a palavra-passe forem utilizados como método de autenticação para a VPN Cisco IPsec, têm de entregar o SharedSecret através de um perfil personalizado do Apple Configurator.

  • Credencial derivada: utilize um certificado derivado do smart card de um utilizador. Se não estiver configurado nenhum emissor de credenciais derivado, o Intune pede-lhe para adicionar um. Para obter mais informações, veja Utilizar credenciais derivadas no Microsoft Intune.

• URLs excluídos (apenas Zscaler): quando ligados à VPN Zscaler, os URLs listados são acessíveis fora da cloud Zscaler. Pode adicionar até 50 URLs.

• Dividir túnel: ative ou Desative para permitir que os dispositivos decidam qual a ligação a utilizar, consoante o tráfego. Por exemplo, um utilizador num hotel utiliza a ligação VPN para aceder a ficheiros de trabalho, mas utiliza a rede padrão do hotel para navegação regular na Web.

• Identificador de VPN (VPN Personalizada, Zscaler e Citrix): um identificador para a aplicação VPN que está a utilizar e é fornecido pelo seu fornecedor de VPN.

• Introduza pares chave/valor para os atributos VPN personalizados da sua organização (VPN Personalizada, Zscaler e Citrix): Adicione ou importe Chaves e Valores que personalizam a sua ligação VPN. Lembre-se de que estes valores são normalmente fornecidos pelo seu fornecedor de VPN.

• Ativar o controlo de acesso à rede (NAC) (Cisco AnyConnect, Citrix SSO, F5 Access): quando escolher Concordo, o ID do dispositivo é incluído no perfil VPN. Este ID pode ser utilizado para autenticação na VPN para permitir ou impedir o acesso à rede.

  Ao utilizar o Cisco AnyConnect com o ISE, certifique-se de que:

  • Se ainda não o fez, integre o ISE no Intune para NAC, conforme descrito em Configurar o Microsoft Intune como um Servidor MDM no Guia do Administrador do Motor do Cisco Identity Services.
  • Ative o NAC no perfil VPN.

  Importante

  O serviço de controlo de acesso à rede (NAC) foi preterido e substituído pelo serviço NAC mais recente da Microsoft, que é o Serviço de Obtenção de Conformidade (Serviço CR). Para suportar alterações no Cisco ISE, o Intune alterou o formato do ID do dispositivo. Assim, os perfis existentes com o serviço NAC original deixarão de funcionar.

  Para utilizar o Serviço CR e evitar tempo de inatividade com a ligação VPN, implemente novamente este mesmo perfil de configuração de dispositivo VPN. Não são necessárias alterações ao perfil. Só precisa de reimplementar. Quando o dispositivo é sincronizado com o serviço do Intune e recebe o perfil de configuração de VPN, as alterações ao Serviço CR são implementadas automaticamente no dispositivo. Além disso, as suas ligações VPN devem continuar a funcionar.

  Ao utilizar o Citrix SSO com o Gateway, certifique-se de que:

  • Confirme que está a utilizar o Citrix Gateway 12.0.59 ou superior.
  • Confirme que os utilizadores têm o Citrix SSO 1.1.6 ou posterior instalado nos respetivos dispositivos.
  • Integrar o Citrix Gateway no Intune para NAC. Veja o guia de implementação Citrix Integrar o Microsoft Intune/Enterprise Mobility Suite com o NetScaler (LDAP+OTP Scenario ).
  • Ative o NAC no perfil VPN.

  Ao utilizar o F5 Access, certifique-se de que:

  • Confirme que está a utilizar o F5 BIG-IP 13.1.1.5 ou posterior.
  • Integrar o BIG-IP com o Intune para NAC. Veja o guia Descrição Geral: Configurar o APM para verificações de postura do dispositivo com sistemas de gestão de pontos finais F5.
  • Ative o NAC no perfil VPN.

  Para os parceiros VPN que suportam o ID do dispositivo, o cliente VPN, como o Citrix SSO, pode obter o ID. Em seguida, pode consultar o Intune para confirmar que o dispositivo está inscrito e se o perfil VPN está ou não em conformidade.

  • Para remover esta definição, recrie o perfil e não selecione Concordo. Em seguida, reatribua o perfil.

• Introduza pares chave e valor para os atributos VPN do NetMotion Mobility (apenas NetMotion Mobility): introduza ou importe pares chave e valor. Estes valores podem ser fornecidos pelo seu fornecedor de VPN.

• Site do Microsoft Tunnel (apenas Microsoft Tunnel): selecione um site existente. O cliente VPN liga-se ao endereço IP público ou FQDN deste site.

  Para obter mais informações, veja Microsoft Tunnel for Intune (Túnel microsoft para o Intune).

Definições de IKEv2

Estas definições aplicam-se quando seleciona Tipo > de ligaçãoIKEv2.

• VPN Sempre Ativada: a opção Ativar define um cliente VPN para ligar e voltar a ligar automaticamente à VPN. As ligações VPN sempre ligadas permanecem ligadas ou ligam-se imediatamente quando o utilizador bloqueia o dispositivo, o dispositivo é reiniciado ou a rede sem fios é alterada. Quando definida como Desativar (predefinição), a VPN sempre ativada para todos os clientes VPN está desativada. Quando ativado, configure também:

  • Interface de rede: todas as definições de IKEv2 aplicam-se apenas à interface de rede que escolher. Suas opções:

    • Wi-Fi e Rede Móvel (predefinição): as definições de IKEv2 aplicam-se às interfaces de rede móvel e Wi-Fi no dispositivo.
    • Rede móvel: as definições de IKEv2 aplicam-se apenas à interface celular no dispositivo. Selecione esta opção se estiver a implementar em dispositivos com a interface Wi-Fi desativada ou removida.
    • Wi-Fi: as definições do IKEv2 aplicam-se apenas à interface de Wi-Fi no dispositivo.

  • Utilizador para desativar a configuração de VPN: Ativar permite que os utilizadores desativem a VPN sempre ativada. Desativar (predefinição) impede que os utilizadores a desliguem. O valor predefinido para esta definição é a opção mais segura.

  • Voicemail: escolha o que acontece com o tráfego de voicemail quando a VPN sempre ativada está ativada. Suas opções:

    • Forçar o tráfego de rede através de VPN (predefinição): esta definição é a opção mais segura.
    • Permitir que o tráfego de rede passe fora da VPN
    • Remover tráfego de rede

  • AirPrint: escolha o que acontece com o tráfego AirPrint quando a VPN sempre ativada está ativada. Suas opções:

    • Forçar o tráfego de rede através de VPN (predefinição): esta definição é a opção mais segura.
    • Permitir que o tráfego de rede passe fora da VPN
    • Remover tráfego de rede

  • Serviços via rede móvel: no iOS 13.0+, escolha o que acontece com o tráfego de rede móvel quando a VPN sempre ativada está ativada. Suas opções:

    • Forçar o tráfego de rede através de VPN (predefinição): esta definição é a opção mais segura.
    • Permitir que o tráfego de rede passe fora da VPN
    • Remover tráfego de rede

  • Permitir que o tráfego de aplicações de rede cativas não nativas passe fora da VPN: uma rede cativa refere-se a hotspots Wi-Fi normalmente encontrados em restaurantes e hotéis. Suas opções:

    • Não: força todo o tráfego da aplicação Cativa (CN) através do túnel VPN.

    • Sim, todas as aplicações: permite que todo o tráfego da aplicação CN ignore a VPN.

    • Sim, aplicações específicas: adicione uma lista de aplicações CN cujo tráfego pode ignorar a VPN. Introduza os identificadores do pacote da aplicação CN. Por exemplo, digite com.contoso.app.id.package.

      Para obter o ID do pacote de uma aplicação adicionada ao Intune, pode utilizar o centro de administração do Intune.

  • Tráfego da aplicação Folha Web Cativa para passar para fora da VPN: a Folha Web Cativa é um browser incorporado que processa o início de sessão cativo. Ativar permite que o tráfego da aplicação do browser ignore a VPN. Desativar (predefinição) força o tráfego da Folha Web a utilizar a VPN sempre ativada. O valor predefinido é a opção mais segura.

  • Intervalo keepalive da tradução de endereços de rede (NAT) (segundos): para se manter ligado à VPN, o dispositivo envia pacotes de rede para permanecer ativo. Introduza um valor em segundos sobre a frequência com que estes pacotes são enviados, de 20 a 1440. Por exemplo, introduza um valor de para enviar os pacotes de 60 rede para a VPN a cada 60 segundos. Por predefinição, este valor está definido como 110 segundos.

  • Descarregar o nat keepalive para hardware quando o dispositivo está em modo de sono: quando um dispositivo está em modo de sono, Ativar (predefinição ) tem NAT a enviar continuamente pacotes keep-alive para que o dispositivo permaneça ligado à VPN. Desativar desativa esta funcionalidade.

• Identificador remoto: introduza o endereço IP de rede, FQDN, UserFQDN ou ASN1DN do servidor IKEv2. Por exemplo, introduza 10.0.0.3 ou vpn.contoso.com. Normalmente, introduz o mesmo valor que o Nome da ligação (neste artigo). No entanto, depende das definições do servidor IKEv2.

• Identificador local: introduza o FQDN do dispositivo ou o nome comum do requerente do cliente VPN IKEv2 no dispositivo. Em alternativa, pode deixar este valor vazio (predefinição). Normalmente, o identificador local deve corresponder à identidade do certificado do utilizador ou do dispositivo. O servidor IKEv2 pode exigir que os valores correspondam para que possa validar a identidade do cliente.

• Tipo de Autenticação de Cliente: escolha a forma como o cliente VPN se autentica na VPN. Suas opções:

  • Autenticação do utilizador (predefinição): as credenciais do utilizador autenticam-se na VPN.
  • Autenticação do computador: as credenciais do dispositivo são autenticadas na VPN.

• Método de autenticação: escolha o tipo de credenciais de cliente a enviar para o servidor. Suas opções:

  • Certificados: utiliza um perfil de certificado existente para autenticar na VPN. Certifique-se de que este perfil de certificado já está atribuído ao utilizador ou dispositivo. Caso contrário, a ligação VPN falha.

    • Tipo de certificado: selecione o tipo de encriptação utilizado pelo certificado. Certifique-se de que o servidor VPN está configurado para aceitar este tipo de certificado. Suas opções:
      • RSA (predefinição)
      • ECDSA256
      • ECDSA384
      • ECDSA521

  • Segredo partilhado (apenas autenticação automática): permite-lhe introduzir um segredo partilhado para enviar para o servidor VPN.

    • Segredo partilhado: introduza o segredo partilhado, também conhecido como a chave pré-partilhada (PSK). Certifique-se de que o valor corresponde ao segredo partilhado configurado no servidor VPN.

• Nome comum do emissor de certificados de servidor: permite que o servidor VPN se autentique no cliente VPN. Introduza o nome comum (CN) do emissor de certificados do certificado de servidor VPN que é enviado para o cliente VPN no dispositivo. Certifique-se de que o valor CN corresponde à configuração no servidor VPN. Caso contrário, a ligação VPN falha.

• Nome comum do certificado de servidor: introduza o CN para o próprio certificado. Se for deixado em branco, é utilizado o valor do identificador remoto.

• Taxa de deteção de ponto inativo: escolha a frequência com que o cliente VPN verifica se o túnel VPN está ativo. Suas opções:

  • Não configurado: utiliza a predefinição do sistema iOS/iPadOS, que pode ser a mesma que escolher Médio.
  • Nenhum: desativa a deteção de elementos da rede inativos.
  • Baixa: envia uma mensagem keepalive a cada 30 minutos.
  • Médio (predefinição): envia uma mensagem keepalive a cada 10 minutos.
  • Alta: envia uma mensagem keepalive a cada 60 segundos.

• Intervalo de versões do TLS mínimo: introduza a versão mínima do TLS a utilizar. Introduza 1.0, 1.1ou 1.2. Se for deixado em branco, é utilizado o valor predefinido de 1.0 . Ao utilizar certificados e autenticação de utilizador, tem de configurar esta definição.

• Intervalo de versões TLS máximo: introduza a versão máxima do TLS a utilizar. Introduza 1.0, 1.1ou 1.2. Se for deixado em branco, é utilizado o valor predefinido de 1.2 . Ao utilizar certificados e autenticação de utilizador, tem de configurar esta definição.

• Segredo perfeito para a frente: selecione Ativar para ativar o sigilo perfeito para a frente (PFS). O PFS é uma funcionalidade de segurança de IP que reduz o impacto se uma chave de sessão estiver comprometida. Desativar (predefinição) não utiliza PFS.

• Verificação de revogação de certificados: selecione Ativar para se certificar de que os certificados não são revogados antes de permitir que a ligação VPN tenha êxito. Esta verificação é o melhor esforço. Se o servidor VPN exceder o limite de tempo antes de determinar se o certificado foi revogado, é concedido acesso. Desativar (predefinição) não verifica a existência de certificados revogados.

• Utilizar atributos de sub-rede internos IPv4/IPv6: alguns servidores IKEv2 utilizam os INTERNAL_IP4_SUBNET atributos ou INTERNAL_IP6_SUBNET . Ativar força a ligação VPN a utilizar estes atributos. Desativar (predefinição) não força a ligação VPN a utilizar estes atributos de sub-rede.

• Mobilidade e multihoming (MOBIKE): a MOBIKE permite que os clientes VPN alterem o respetivo endereço IP sem recriar uma associação de segurança com o servidor VPN. Ativar (predefinição) ativa o MOBIKE, o que pode melhorar as ligações VPN ao viajar entre redes. Desativar desativa a MOBIKE.

• Redirecionamento: Ativar (predefinição) redireciona a ligação IKEv2 se for recebido um pedido de redirecionamento do servidor VPN. Desativar impede que a ligação IKEv2 seja redirecionada se for recebido um pedido de redirecionamento do servidor VPN.

• Unidade de transmissão máxima: introduza a unidade de transmissão máxima (MTU) em bytes, de 1 a 65536. Quando definido como Não configurado ou deixado em branco, o Intune não altera nem atualiza esta definição. Por predefinição, a Apple pode definir este valor como 1280.

  Esta definição aplica-se a:

  • iOS/iPadOS 14 e mais recente

• Parâmetros de associação de segurança: introduza os parâmetros a utilizar ao criar associações de segurança com o servidor VPN:

  • Algoritmo de encriptação: selecione o algoritmo que pretende:

    • DES
    • 3DES
    • AES-128
    • AES-256 (predefinição)
    • AES-128-GCM
    • AES-256-GCM

    Observação

    Se definir o algoritmo de encriptação como AES-128-GCM ou AES-256-GCM, será utilizada a AES-256 predefinição. Este é um problema conhecido e será corrigido numa versão futura. Não existe nenhum ETA.

  • Algoritmo de integridade: selecione o algoritmo que pretende:

    • SHA1-96
    • SHA1-160
    • SHA2-256 (predefinição)
    • SHA2-384
    • SHA2-512

  • Grupo Diffie-Hellman: selecione o grupo que pretende. A predefinição é o grupo 2.

  • Duração (minutos): introduza durante quanto tempo a associação de segurança permanece ativa até as chaves serem rodadas. Introduza um valor inteiro entre 10 e 1440 (1440 minutos são 24 horas). O padrão é 1440.

• Parâmetros de associação de segurança subordinado: o iOS/iPadOS permite-lhe configurar parâmetros separados para a ligação IKE e quaisquer ligações subordinadas. Introduza os parâmetros utilizados ao criar associações de segurança subordinada com o servidor VPN:

  • Algoritmo de encriptação: selecione o algoritmo que pretende:

    • DES
    • 3DES
    • AES-128
    • AES-256 (predefinição)
    • AES-128-GCM
    • AES-256-GCM

    Observação

    Se definir o algoritmo de encriptação como AES-128-GCM ou AES-256-GCM, será utilizada a AES-256 predefinição. Este é um problema conhecido e será corrigido numa versão futura. Não existe nenhum ETA.

• Algoritmo de integridade: selecione o algoritmo que pretende:

  • SHA1-96
  • SHA1-160
  • SHA2-256 (predefinição)
  • SHA2-384
  • SHA2-512

  Configure também:

  • Grupo Diffie-Hellman: selecione o grupo que pretende. A predefinição é o grupo 2.
  • Duração (minutos): introduza durante quanto tempo a associação de segurança permanece ativa até as chaves serem rodadas. Introduza um valor inteiro entre 10 e 1440 (1440 minutos são 24 horas). O padrão é 1440.

VPN Automática

• Tipo de VPN automática: selecione o tipo de VPN que pretende configurar – VPN a pedido ou VPN por aplicação. Certifique-se de que utiliza apenas uma opção. A utilização de ambos provoca problemas de ligação em simultâneo.

  • Não configurado (predefinição): o Intune não altera nem atualiza esta definição.

  • VPN a pedido: a VPN a pedido utiliza regras para ligar ou desligar automaticamente a ligação VPN. Quando os seus dispositivos tentam ligar à VPN, procura correspondências nos parâmetros e regras que criar, como um nome de domínio correspondente. Se existir uma correspondência, a ação que escolher é executada.

    Por exemplo, pode criar uma condição em que a ligação VPN só é utilizada quando um dispositivo não está ligado a uma empresa Wi-Fi rede. Em alternativa, se um dispositivo não conseguir aceder a um domínio de pesquisa DNS introduzido, a ligação VPN não será iniciada.

    • Regras a pedido>Adicionar: selecione Adicionar para adicionar uma regra. Se não existir uma ligação VPN, utilize estas definições para criar uma regra a pedido. Se existir uma correspondência com a regra, o dispositivo efetua a ação que selecionar.

      • Quero fazer o seguinte: se existir uma correspondência entre o valor do dispositivo e a regra a pedido, selecione a ação que pretende que o dispositivo faça. Suas opções:

        • Estabelecer VPN: se existir uma correspondência entre o valor do dispositivo e a regra a pedido, o dispositivo liga-se à VPN.

        • Desligar VPN: se existir uma correspondência entre o valor do dispositivo e a regra a pedido, a ligação VPN será desligada.

        • Avaliar cada tentativa de ligação: se existir uma correspondência entre o valor do dispositivo e a regra a pedido, utilize a definição Escolher se pretende ligar para decidir o que acontece para cada tentativa de ligação VPN:

          • Ligar se necessário: se o dispositivo estiver numa rede interna ou se já existir uma ligação VPN estabelecida à rede interna, a VPN a pedido não se ligará. Estas definições não são utilizadas.

            Se não existir uma ligação VPN, para cada tentativa de ligação VPN, decida se os utilizadores devem ligar-se com um nome de domínio DNS. Esta regra aplica-se apenas a domínios na lista Quando os utilizadores tentam aceder a estes domínios . Todos os outros domínios são ignorados.

            • Quando os utilizadores tentarem aceder a estes domínios: introduza um ou mais domínios DNS, como contoso.com. Se os utilizadores tentarem ligar a um domínio nesta lista, o dispositivo utilizará o DNS para resolver os domínios introduzidos. Se o domínio não resolver, o que significa que não tem acesso a recursos internos, liga-se à VPN a pedido. Se o domínio resolver, o que significa que já tem acesso a recursos internos, não liga à VPN.

              Observação

              • Se a definição Quando os utilizadores tentarem aceder a estes domínios estiver vazia, o dispositivo utilizará os servidores DNS configurados no serviço de ligação de rede (Wi-Fi/ethernet) para resolver o domínio. A ideia é que estes servidores DNS sejam servidores públicos.

                Os domínios na lista Quando os utilizadores tentam aceder a estes domínios são recursos internos . Os recursos internos não estão em servidores DNS públicos e não podem ser resolvidos. Assim, o dispositivo liga-se à VPN. Agora, o domínio é resolvido com os servidores DNS da ligação VPN e o recurso interno está disponível.

                Se o dispositivo estiver na rede interna, o domínio é resolvido e não é criada uma ligação VPN porque o domínio interno já está disponível. Não quer desperdiçar recursos de VPN em dispositivos já existentes na rede interna.

              • Se a definição Quando os utilizadores tentam aceder a estes domínios estiver preenchida, os servidores DNS nesta lista são utilizados para resolver os domínios na lista.

                A ideia é o oposto da primeira marca de lista (quando os utilizadores tentam aceder a estes domínios , a definição está vazia). Por exemplo, a lista Quando os utilizadores tentam aceder a estes domínios tem servidores DNS internos. Um dispositivo numa rede externa não consegue encaminhar para os servidores DNS internos. A resolução de nomes excede o limite de tempo e o dispositivo liga-se à VPN a pedido. Agora, os recursos internos estão disponíveis.

                Lembre-se de que estas informações só se aplicam a domínios na lista Quando os utilizadores tentam aceder a estes domínios . Todos os outros domínios são resolvidos com servidores DNS públicos. Quando o dispositivo está ligado à rede interna, os servidores DNS na lista são acessíveis e não é necessário ligar à VPN.

            • Utilize os seguintes servidores DNS para resolver estes domínios (opcional): introduza um ou mais endereços IP do servidor DNS, como 10.0.0.22. Os servidores DNS introduzidos são utilizados para resolver os domínios na definição Quando os utilizadores tentam aceder a estes domínios .

            • Quando este URL estiver inacessível, force a ligação à VPN: Opcional. Introduza um URL de pesquisa HTTP ou HTTPS que a regra utilize como um teste. Por exemplo, digite https://probe.Contoso.com. Este URL é sondado sempre que um utilizador tenta aceder a um domínio na definição Quando os utilizadores tentam aceder a estes domínios . O utilizador não vê o site de pesquisa de cadeias de URL.

              Se a sonda falhar porque o URL está inacessível ou não devolve um código de estado HTTP 200, o dispositivo liga-se à VPN.

              A ideia é que o URL só esteja acessível na rede interna. Se for possível aceder ao URL, não é necessária uma ligação VPN. Se não for possível aceder ao URL, significa que o dispositivo está numa rede externa e liga-se à VPN a pedido. Assim que a ligação VPN for estabelecida, os recursos internos estão disponíveis.

          • Nunca ligar: para cada tentativa de ligação VPN, quando os utilizadores tentam aceder aos domínios introduzidos, o dispositivo nunca se liga à VPN.

            • Quando os utilizadores tentarem aceder a estes domínios: introduza um ou mais domínios DNS, como contoso.com. Se os utilizadores tentarem ligar a um domínio nesta lista, não será criada uma ligação VPN. Se tentarem ligar a um domínio que não esteja nesta lista, o dispositivo liga-se à VPN.

        • Ignorar: se existir uma correspondência entre o valor do dispositivo e a regra a pedido, uma ligação VPN será ignorada.

      • Pretendo restringir a: na definição Pretendo efetuar a seguinte definição, se selecionar Estabelecer VPN, Desligar VPN ou Ignorar, selecione a condição que a regra tem de cumprir. Suas opções:

        • SSIDs específicos: introduza um ou mais nomes de rede sem fios aos quais a regra se aplique. Este nome de rede é o Identificador do Conjunto de Serviços (SSID). Por exemplo, digite Contoso VPN.
        • Domínios de pesquisa específicos: introduza um ou mais domínios DNS aos quais a regra se aplica. Por exemplo, digite contoso.com.
        • Todos os domínios: selecione esta opção para aplicar a regra a todos os domínios na sua organização.

      • Mas apenas se esta sonda de URL for bem-sucedida: Opcional. Introduza um URL que a regra utilize como um teste. Por exemplo, digite https://probe.Contoso.com. Se o dispositivo aceder a este URL sem redirecionamento, a ligação VPN será iniciada. Além disso, o dispositivo liga-se ao URL de destino. O utilizador não vê o site de pesquisa de cadeias de URL.

        Por exemplo, o URL testa a capacidade da VPN de se ligar a um site antes de o dispositivo se ligar ao URL de destino através da VPN.

    • Impedir que os utilizadores desativem a VPN automática: as suas opções:

      • Não configurado: o Intune não altera nem atualiza essa configuração.
      • Sim: impede os utilizadores de desativar a VPN automática. Força os utilizadores a manter a VPN automática ativada e em execução.
      • Não: permite que os utilizadores desativem a VPN automática.

      Esta definição aplica-se a:

      • iOS 14 e mais recente
      • iPadOS 14 e mais recente

  • VPN por aplicação: ativa a VPN por aplicação ao associar esta ligação VPN a uma aplicação específica. Quando a aplicação é executada, a ligação VPN é iniciada. Pode associar o perfil VPN a uma aplicação quando atribui o software ou programa da aplicação. Para obter mais informações, veja Como atribuir e monitorizar aplicações.

    A VPN por aplicação não é suportada numa ligação IKEv2. Para obter mais informações, consulte Configurar a VPN por aplicação para dispositivos iOS/iPadOS.

    • Tipo de Fornecedor: apenas disponível para Pulse Secure e VPN Personalizada.

      Ao utilizar perfis VPN por aplicação com o Pulse Secure ou uma VPN Personalizada, escolha túnel de camada de aplicação (app-proxy) ou túnel ao nível do pacote (pacote-túnel):

      • app-proxy: selecione esta opção para túnel de camada de aplicação.
      • packet-tunnel: selecione esta opção para túnel de camada de pacote.

      Se não tiver a certeza de qual a opção a utilizar, verifique a documentação do seu fornecedor de VPN.

    • URLs do Safari que irão acionar esta VPN: Adicione um ou mais URLs de web site. Quando estes URLs são visitados através do browser Safari no dispositivo, a ligação VPN é estabelecida automaticamente. Por exemplo, digite contoso.com.

    • Domínios Associados: introduza os domínios associados no perfil VPN a utilizar com esta ligação VPN.

      Para obter mais informações, veja domínios associados.

    • Domínios Excluídos: introduza domínios que possam ignorar a ligação VPN quando a VPN por aplicação estiver ligada. Por exemplo, digite contoso.com. O tráfego para o contoso.com domínio utiliza a Internet pública mesmo que a VPN esteja ligada.

    • Impedir que os utilizadores desativem a VPN automática: as suas opções:

      • Não configurado: o Intune não altera nem atualiza essa configuração.
      • Sim: impede os utilizadores de desativar o seletor Ligar a Pedido nas definições do perfil VPN. Força os utilizadores a manter a VPN por aplicação ou as regras a pedido ativadas e em execução.
      • Não: permite que os utilizadores desativem o botão ligar a pedido, o que desativa a VPN por aplicação e as regras a pedido.

      Esta definição aplica-se a:

      • iOS 14 e mais recente
      • iPadOS 14 e mais recente

VPN por aplicação

Estas definições aplicam-se aos seguintes tipos de ligação VPN:

• Microsoft Tunnel

Definições:

• VPN por aplicação: ative associa uma aplicação específica a esta ligação VPN. Quando a aplicação é executada, o tráfego encaminha automaticamente através da ligação VPN. Pode associar o perfil VPN a uma aplicação quando atribuir o software. Para obter mais informações, veja Como atribuir e monitorizar aplicações.

  Para obter mais informações, veja Microsoft Tunnel for Intune (Túnel microsoft para o Intune).

• URLs do Safari que irão acionar esta VPN: Adicione um ou mais URLs de web site. Quando estes URLs são visitados através do browser Safari no dispositivo, a ligação VPN é estabelecida automaticamente. Por exemplo, digite contoso.com.

• Domínios Associados: introduza os domínios associados no perfil VPN a utilizar com esta ligação VPN.

  Para obter mais informações, veja domínios associados.

• Domínios Excluídos: introduza domínios que possam ignorar a ligação VPN quando a VPN por aplicação estiver ligada. Por exemplo, digite contoso.com. O tráfego para o contoso.com domínio utiliza a Internet pública mesmo que a VPN esteja ligada.

Proxy

Se utilizar um proxy, configure as seguintes definições.

• Script de configuração automática: utilize um ficheiro para configurar o servidor proxy. Introduza o URL do servidor proxy que inclui o ficheiro de configuração. Por exemplo, digite http://proxy.contoso.com/pac.
• Endereço: introduza o endereço IP ou o nome de anfitrião completamente qualificado do servidor proxy. Por exemplo, introduza 10.0.0.3 ou vpn.contoso.com.
• Número da porta: introduza o número de porta associado ao servidor proxy. Por exemplo, digite 8080.

Próximas etapas

O perfil é criado, mas pode ainda não estar a fazer nada. Atribua o perfil e monitore seu status.

Configure as definições de VPN em dispositivos Android, Android Enterprise, macOS e Windows .