Windows 10/11 e configurações de dispositivo Holográfico do Windows para adicionar conexões VPN usando Intune

Observação

Intune pode dar suporte a mais configurações do que as configurações listadas neste artigo. Nem todas as configurações estão documentadas e não serão documentadas. Para ver as configurações que você pode configurar, crie um perfil de configuração de dispositivo e selecione Catálogo de Configurações. Para obter mais informações, consulte Catálogo de configurações.

Você pode adicionar e configurar conexões VPN para dispositivos usando Microsoft Intune. Este artigo descreve algumas das configurações e recursos que você pode configurar ao criar VPNs (redes virtuais privadas). Essas configurações de VPN são usadas em perfis de configuração de dispositivo e, em seguida, enviadas por push ou implantadas em dispositivos.

Como parte da solução MDM (gerenciamento de dispositivo móvel), use essas configurações para permitir ou desabilitar recursos, incluindo usar um fornecedor de VPN específico, habilitar sempre, usar DNS, adicionar um proxy e muito mais.

Essas configurações se aplicam a dispositivos em execução:

  • Windows 10/11
  • Windows Holographic for Business

Antes de começar

Escopo do usuário ou escopo do dispositivo

  • Use este perfil VPN com um escopo de usuário/dispositivo: Aplique o perfil ao escopo do usuário ou ao escopo do dispositivo:

    • Escopo do usuário: o perfil VPN está instalado na conta do usuário no dispositivo, como user@contoso.com. Se outro usuário entrar no dispositivo, o perfil VPN não estará disponível.
    • Escopo do dispositivo: o perfil VPN é instalado no contexto do dispositivo e se aplica a todos os usuários do dispositivo. Dispositivos Holográficos do Windows só dão suporte ao escopo do dispositivo.

Os perfis VPN existentes se aplicam ao escopo existente. Por padrão, novos perfis VPN são instalados no escopo do usuário , exceto para os perfis com o túnel do dispositivo habilitado. Perfis vpn com túnel de dispositivo habilitado usam o escopo do dispositivo.

Tipo de conexão

  • Tipo de conexão: selecione o tipo de conexão VPN na seguinte lista de fornecedores:

    • Check Point Capsule VPN
    • Cisco AnyConnect
    • Citrix
    • F5 Access
    • Palo Alto Networks GlobalProtect
    • Pulse Secure
    • SonicWall Mobile Connect
    • Automático (tipo nativo)
    • IKEv2 (tipo nativo)
    • L2TP (tipo nativo)
    • PPTP (tipo nativo)

Base VPN

As configurações a seguir são mostradas dependendo do tipo de conexão selecionado. Nem todas as configurações estão disponíveis para todos os tipos de conexão.

  • Nome da conexão: insira um nome para essa conexão. Os usuários finais veem esse nome quando navegam pelo dispositivo para obter a lista de conexões VPN disponíveis. Por exemplo, digite Contoso VPN.

  • Servidores: adicione um ou mais servidores VPN aos quais os dispositivos se conectam. Ao adicionar um servidor, insira as seguintes informações:

    • Importação: navegue até um arquivo separado por vírgulas que inclui uma lista de servidores no formato: descrição, endereço IP ou FQDN, servidor padrão. Escolha OK para importar esses servidores para a lista Servidores .
    • Exportação: exporta a lista existente de servidores para um arquivo csv (valores separados por vírgulas).
    • Descrição: insira um nome descritivo para o servidor, como o servidor VPN Contoso.
    • Endereço do servidor VPN: insira o endereço IP ou o FQDN (nome de domínio totalmente qualificado) do servidor VPN ao qual os dispositivos se conectam, como 192.168.1.1 ou vpn.contoso.com.
    • Servidor padrão: True habilita esse servidor como o servidor padrão que os dispositivos usam para estabelecer a conexão. Defina apenas um servidor como o padrão. False (padrão) não usa esse servidor VPN como o servidor padrão.
  • Registrar endereços IP com DNS interno: selecione Habilitar para configurar o perfil VPN para registrar dinamicamente os endereços IP atribuídos à interface VPN com o DNS interno. Selecione Desabilitar para não registrar dinamicamente os endereços IP.

  • Always On: habilitar se conecta automaticamente à conexão VPN quando os seguintes eventos acontecem:

    • Os usuários entram em seus dispositivos.
    • A rede no dispositivo é alterada.
    • A tela do dispositivo volta a ativar depois de ser desativada.

    Para usar conexões de túnel de dispositivo, como IKEv2, habilite essa configuração.

    Desabilitar não ativa automaticamente a conexão VPN. Os usuários podem ter que ativar a VPN manualmente.

  • Método de autenticação: selecione como você deseja que os usuários se autentiquem no servidor VPN. Suas opções:

    • Certificados: selecione um perfil de certificado de cliente de usuário existente para autenticar o usuário. Essa opção fornece recursos aprimorados, como experiência de toque zero, VPN sob demanda e VPN por aplicativo.

      Para criar perfis de certificado no Intune, consulte Usar certificados para autenticação.

    • Nome de usuário e senha: exija que os usuários insiram seu nome de usuário e senha de domínio para autenticar, como user@contoso.com, ou contoso\user.

    • Credencial derivada: use um certificado derivado do cartão inteligente de um usuário. Se nenhum emissor de credencial derivado estiver configurado, Intune solicitará que você adicione um. Para obter mais informações, consulte Usar credenciais derivadas em Intune.

      Observação

      Atualmente, as credenciais derivadas como um método de autenticação para perfis VPN não estão funcionando conforme o esperado em dispositivos Windows. Esse comportamento afeta apenas perfis VPN em dispositivos Windows e será corrigido em uma versão futura (sem ETA).

    • EAP (somente IKEv2): selecione um perfil de certificado de cliente EAP (Protocolo de Autenticação Extensível) existente para autenticar. Insira os parâmetros de autenticação na configuração XML do EAP .

      Para obter mais informações sobre autenticação EAP, consulte Protocolo de Autenticação Extensível (EAP) para acesso à rede e configuração de EAP.

    • Certificados de máquina (somente IKEv2): selecione um perfil de certificado de cliente de dispositivo existente para autenticar o dispositivo.

      Se você usar conexões de túnel de dispositivo, deverá selecionar certificados de máquina.

      Para criar perfis de certificado no Intune, consulte Usar certificados para autenticação.

  • Lembre-se de credenciais em cada logon: habilite os caches das credenciais de autenticação. Quando definido como Não configurado, Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode não armazenar em cache as credenciais de autenticação.

  • XML personalizado: insira todos os comandos XML personalizados que configurem a conexão VPN.

  • EAP XML: insira todos os comandos XML do EAP que configurem a conexão VPN.

    Para obter mais informações, incluindo a criação de XML EAP personalizado, consulte Configuração do EAP.

  • Túnel do dispositivo (somente IKEv2): Habilitar conecta o dispositivo à VPN automaticamente sem qualquer interação do usuário ou entrada. Essa configuração se aplica aos dispositivos ingressados no Azure Active Directory (AD).

    Para usar esse recurso, você deve configurar as seguintes configurações:

    • Tipo de conexão: definido como IKEv2.
    • Always On: defina como Habilitar.
    • Método de autenticação: definir como certificados de máquina.

    Atribua apenas um perfil por dispositivo com o Túnel do Dispositivo habilitado.

Parâmetros de associação de segurança IKE (somente IKEv2)

Essas configurações de criptografia são usadas durante negociações de associação de segurança IKE (também conhecidas como main mode ou phase 1) para conexões IKEv2. Essas configurações devem corresponder às configurações do servidor VPN. Se as configurações não corresponderem, o perfil VPN não se conectará.

  • Algoritmo de criptografia: selecione o algoritmo de criptografia usado no servidor VPN. Por exemplo, se o servidor VPN usar o AES de 128 bits, selecione AES-128 na lista.

    Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

  • Algoritmo de verificação de integridade: selecione o algoritmo de integridade usado no servidor VPN. Por exemplo, se o servidor VPN usar SHA1-96, selecione SHA1-96 na lista.

    Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

  • Grupo Diffie-Hellman: selecione o grupo de computação Diffie-Hellman usado no servidor VPN. Por exemplo, se o servidor VPN usar o Group2 (1024 bits), selecione 2 na lista.

    Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

Parâmetros de associação de segurança infantil (somente IKEv2)

Essas configurações de criptografia são usadas durante negociações de associação de segurança filho (também conhecidas como quick mode ou phase 2) para conexões IKEv2. Essas configurações devem corresponder às configurações do servidor VPN. Se as configurações não corresponderem, o perfil VPN não se conectará.

  • Algoritmo de transformação de cifra: selecione o algoritmo usado no servidor VPN. Por exemplo, se o servidor VPN usar o bit AES-CBC 128, selecione CBC-AES-128 na lista.

    Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

  • Algoritmo de transformação de autenticação: selecione o algoritmo usado no servidor VPN. Por exemplo, se o servidor VPN usar o AES-GCM de 128 bits, selecione GCM-AES-128 na lista.

    Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

  • Grupo PFS (segredo de encaminhamento perfeito): selecione o grupo de computação Diffie-Hellman usado para o PFS (segredo de encaminhamento perfeito) no servidor VPN. Por exemplo, se o servidor VPN usar o Group2 (1024 bits), selecione 2 na lista.

    Quando definido como Não configurado, Intune não altera nem atualiza essa configuração.

Exemplo do Pulse Secure

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

Exemplo do Cliente do F5 Edge

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

Exemplo do SonicWALL Mobile Connect

Grupo de logon ou domínio: essa propriedade não pode ser definida no perfil VPN. Em vez disso, o Mobile Connect analisa esse valor quando o nome de usuário e o domínio são inseridos nos username@domain formatos ou DOMAIN\username .

Exemplo:

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

Exemplo de VPN do CheckPoint Mobile

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

Dica

Para obter mais informações sobre como escrever comandos XML personalizados, consulte a documentação vpn do fabricante.

Regras de tráfego e aplicativos

  • Associe WIP ou aplicativos a esta VPN: habilite essa configuração se você quiser apenas que alguns aplicativos usem a conexão VPN. Suas opções:

    • Não configurado (padrão): Intune não altera nem atualiza essa configuração.
    • Associe um WIP a essa conexão: todos os aplicativos no domínio proteção de identidade do Windows usam automaticamente a conexão VPN.
      • Domínio WIP para essa conexão: insira um domínio wip (Proteção de Identidade do Windows). Por exemplo, digite contoso.com.
    • Associar aplicativos a essa conexão: os aplicativos inseridos usam automaticamente a conexão VPN.
      • Restringir a conexão VPN a esses aplicativos: Desabilitar (padrão) permite que todos os aplicativos usem a conexão VPN. Habilitar restringe a conexão VPN aos aplicativos inseridos (VPN por aplicativo). As regras de tráfego para os aplicativos que você adiciona são adicionadas automaticamente às regras de tráfego de rede para essa configuração de conexão VPN .

        Quando você seleciona Habilitar, a lista de identificadores de aplicativo se torna somente leitura. Antes de habilitar essa configuração, adicione seus aplicativos associados.

      • Aplicativos associados: selecione Importar para importar um .csv arquivo com sua lista de aplicativos. Sua .csv aparência é semelhante ao seguinte arquivo:

        %windir%\system32\notepad.exe,desktop
        Microsoft.Office.OneNote_8wekyb3d8bbwe,universal
        

        O tipo de aplicativo determina o identificador do aplicativo. Para um aplicativo universal, insira o nome da família de pacotes, como Microsoft.Office.OneNote_8wekyb3d8bbwe. Para um aplicativo de área de trabalho, insira o caminho do arquivo do aplicativo, como %windir%\system32\notepad.exe.

        Para obter o nome da família de pacotes, você pode usar o Get-AppxPackage cmdlet Windows PowerShell. Por exemplo, para obter o nome da família de pacotes do OneNote, abra Windows PowerShell e insira Get-AppxPackage *OneNote. Para obter mais informações, consulte Localizar um PFN para um aplicativo instalado em um computador cliente windows e cmdlet Get-AppxPackage.

    Importante

    Recomendamos proteger todas as listas de aplicativos criadas para VPNs por aplicativo. Se um usuário não autorizado alterar essa lista e você importá-la para a lista de aplicativos VPN por aplicativo, você poderá autorizar o acesso VPN a aplicativos que não devem ter acesso. Uma maneira de proteger listas de aplicativos é usando uma ACL (lista de controle de acesso).

  • Regras de tráfego de rede para essa conexão VPN: selecione os protocolos e os intervalos de endereços e portas remotas locais & estão habilitados para a conexão VPN. Se você não criar uma regra de tráfego de rede, todos os protocolos, portas e intervalos de endereços estarão habilitados. Depois de criar uma regra, a conexão VPN usa apenas os protocolos, portas e intervalos de endereços que você insere nessa regra.

Acesso Condicional

  • Acesso condicional para essa conexão VPN: habilita o fluxo de conformidade do dispositivo do cliente. Quando habilitado, o cliente VPN se comunica com o Azure Active Directory (AD) para obter um certificado a ser usado para autenticação. A VPN deve ser configurada para usar a autenticação de certificado e o servidor VPN deve confiar no servidor retornado por Azure AD.

  • SSO (logon único) com certificado alternativo: para conformidade com o dispositivo, use um certificado diferente do certificado de autenticação VPN para autenticação Kerberos. Insira o certificado com as seguintes configurações:

    • Nome: nome para uso de chave estendida (EKU)
    • Identificador de objeto: identificador de objeto para EKU
    • Hash do emissor: impressão digital para certificado SSO

Configurações DNS

  • Lista de pesquisa de sufixo DNS: em sufixos DNS, insira um sufixo DNS e Adicione. Você pode adicionar muitos sufixos.

    Ao usar sufixos DNS, você pode pesquisar um recurso de rede usando seu nome curto, em vez do FQDN (nome de domínio totalmente qualificado). Quando você pesquisa usando o nome curto, o sufixo é determinado automaticamente pelo servidor DNS. Por exemplo, utah.contoso.com está na lista de sufixos DNS. Você ping DEV-comp. Nesse cenário, ele resolve para DEV-comp.utah.contoso.com.

    Os sufixos DNS são resolvidos na ordem listada e a ordem pode ser alterada. Por exemplo, colorado.contoso.com e utah.contoso.com estão na lista de sufixos DNS e ambos têm um recurso chamado DEV-comp. Como colorado.contoso.com é o primeiro da lista, ele é resolvido como DEV-comp.colorado.contoso.com.

    Para alterar a ordem, selecione os ponto à esquerda do sufixo DNS e arraste o sufixo para a parte superior:

    Selecione os três pontos e clique e arraste para mover o sufixo dns

  • Regras da NRPT (Tabela de Política de Resolução de Nomes): as regras da NRPT (Tabela de Política de Resolução de Nomes) definem como o DNS resolve nomes quando conectado à VPN. Depois que a conexão VPN for estabelecida, você escolherá quais servidores DNS a conexão VPN usa.

    Você pode adicionar regras que incluem o domínio, o servidor DNS, o proxy e outros detalhes. Essas regras resolvem o domínio inserido. A conexão VPN usa essas regras quando os usuários se conectam aos domínios que você insere.

    Selecione Adicionar para adicionar uma nova regra. Para cada servidor, insira:

    • Domínio: insira o FQDN (nome de domínio totalmente qualificado) ou um sufixo DNS para aplicar a regra. Você também pode inserir um período (.) no início para um sufixo DNS. Por exemplo, insira contoso.com ou .allcontososubdomains.com.
    • Servidores DNS: insira o endereço IP ou o servidor DNS que resolve o domínio. Por exemplo, insira 10.0.0.3 ou vpn.contoso.com.
    • Proxy: insira o servidor de proxy Web que resolve o domínio. Por exemplo, digite http://proxy.com.
    • Conecte-se automaticamente: quando habilitado, o dispositivo se conecta automaticamente à VPN quando um dispositivo se conecta a um domínio que você insere, como contoso.com. Quando não está configurado (padrão), o dispositivo não se conecta automaticamente à VPN
    • Persistente: quando definida como Habilitada, a regra permanece na tabela Política de Resolução de Nomes (NRPT) até que a regra seja removida manualmente do dispositivo, mesmo após a desconexão da VPN. Quando definido como Não configurado (padrão), as regras NRPT no perfil VPN são removidas do dispositivo quando a VPN se desconecta.

Proxy

  • Script de configuração automática: use um arquivo para configurar o servidor proxy. Insira a URL do servidor proxy que inclui o arquivo de configuração. Por exemplo, digite http://proxy.contoso.com/pac.
  • Endereço: insira o endereço IP ou o nome do host totalmente qualificado do servidor proxy. Por exemplo, insira 10.0.0.3 ou vpn.contoso.com.
  • Número da porta: insira o número da porta usado pelo servidor proxy. Por exemplo, digite 8080.
  • Ignorar proxy para endereços locais: essa configuração se aplica se o servidor VPN exigir um servidor proxy para a conexão. Se você não quiser usar um servidor proxy para endereços locais, escolha Habilitar.

Túnel dividido

  • Túnel dividido: habilitar ou desabilitar para permitir que os dispositivos decidam qual conexão usar dependendo do tráfego. Por exemplo, um usuário em um hotel usa a conexão VPN para acessar arquivos de trabalho, mas usa a rede padrão do hotel para navegação regular na Web.
  • Rotas de túnel divididas para essa conexão VPN: adicione rotas opcionais para provedores de VPN de terceiros. Insira um prefixo de destino e um tamanho de prefixo para cada conexão.

Detecção de rede confiável

Sufixos DNS de rede confiáveis: quando os usuários já estão conectados a uma rede confiável, você pode impedir que os dispositivos se conectem automaticamente a outras conexões VPN.

Em sufixos DNS, insira um sufixo DNS em que você deseja confiar, como contoso.com, e selecione Adicionar. Você pode adicionar quantos sufixos desejar.

Se um usuário estiver conectado a um sufixo DNS na lista, o usuário não se conectará automaticamente a outra conexão VPN. O usuário continua a usar a lista confiável de sufixos DNS inseridos. A rede confiável ainda é usada, mesmo que os autotriggers sejam definidos.

Por exemplo, se o usuário já estiver conectado a um sufixo DNS confiável, os seguintes autotriggers serão ignorados. Especificamente, os sufixos DNS na lista cancelam todos os outros autotriggers de conexão, incluindo:

  • Always on
  • Gatilho baseado em aplicativo
  • Autotrigger DNS

Próximas etapas

O perfil foi criado, mas pode não estar fazendo nada ainda. Atribua o perfil e monitore seu status.

Configure as configurações de VPN em dispositivos Android, iOS/iPadOS e macOS .