Configurar o Microsoft Tunnel para Intune

O Microsoft Tunnel Gateway é instalado em um contêiner em um servidor Linux que é executado localmente ou na nuvem. Dependendo do ambiente e da infraestrutura, podem ser necessárias configurações adicionais e software como o Azure ExpressRoute.

Antes de iniciar a instalação, certifique-se de concluir as seguintes tarefas:

• Examine e Configure os pré-requisitos do Microsoft Tunnel.
• Execute a ferramenta de preparação do Microsoft Tunnel para confirmar se o seu ambiente está pronto para dar suporte ao uso do túnel.

Depois que seus pré-requisitos estiverem prontos, retorne a este artigo para iniciar a instalação e a configuração do túnel.

Criar uma Configuração de servidor

O uso de uma Configuração de servidor permite que você crie uma configuração uma vez e use-a em vários servidores. A configuração inclui intervalos de endereços de IP, servidores DNS e regras de túnel dividido. Posteriormente, você atribuirá uma configuração do Servidor a um Site, que aplica automaticamente essa configuração de servidor a cada servidor que ingressa nesse Site.

Para criar uma Configuração de servidor

1. Entre no Microsoft Intune centro> deadministração> de administradoresO Microsoft Tunnel Gateway>selecione aguia>Configurações do servidorCreate novo.

2. Na guia Noções básicas, insira um Nome e Descrição(opcional) e selecione Avançar.

3. Na guia Configurações, defina os seguintes itens:

   • Intervalo dos endereços de IP: os endereços de IP nesse intervalo serão concedidos aos dispositivos quando eles se conectarem ao Gateway do Tunnel. O intervalo de endereços IP do Cliente do Tunnel especificado não deve estar em conflito com um intervalo de rede local.

     • Considere usar o intervalo de APIPA (Endereçamento IP Privado Automático) de 169.254.0.0/16, pois esse intervalo evita conflitos com outras redes corporativas.
     • Se o intervalo de endereços IP do cliente entrar em conflito com o destino, ele usará o endereço loopback e não se comunicará com a rede corporativa.
     • Você pode selecionar qualquer intervalo de endereços IP do cliente que deseja usar se ele não estiver em conflito com os intervalos de endereços IP da rede corporativa.

   • Porta do servidor: insira a porta que o servidor escuta nas conexões.

   • Servidores DNS: esses servidores são usados quando uma solicitação DNS vem de um dispositivo que se conecta ao Gateway de Túnel.

   • Pesquisa de sufixo DNS(opcional): esse domínio é fornecido aos clientes como o domínio padrão quando eles se conectam ao Gateway de Túnel.

   • Desabilitar o UDP Connections(opcional): quando selecionados, os clientes só se conectam ao servidor VPN usando conexões TCP. Como o cliente de túnel autônomo requer o uso do UDP, selecione a caixa de seleção para desabilitar conexões UDP somente depois de configurar seus dispositivos para usar Microsoft Defender para Ponto de Extremidade como o aplicativo cliente do túnel.

4. Também na guia Configurações, configure as regras de túnel dividido, que são opcionais.

   Você só pode excluir ou incluir palavras únicas. Os endereços incluídos são roteados ao Gateway do Tunnel. Os endereços excluídos não são roteados para o Gateway de Túnel. Por exemplo, você pode configurar uma regra de inclusão para 255.255.0.0 ou 192.168.0.0/16.

   Use as seguintes opções para incluir ou excluir endereços:

   • Intervalos de IP a serem incluídos
   • Intervalos de IP a serem excluídos

   Observação

   Não use um intervalo de IP que especifica 0.0.0.0 em nenhum dos endereços inclua ou exclua, o Gateway de Túnel não pode rotear o tráfego quando esse intervalo é usado.

5. Na guia Examinar + criar, examine a configuração e selecione Criar para salvá-la.

   Observação

   Por padrão, cada sessão vpn permanecerá ativa por apenas 3.600 segundos (uma hora) antes de se desconectar (uma nova sessão será estabelecida imediatamente caso o cliente esteja definido para usar Always On VPN). No entanto, você pode modificar o valor do tempo limite da sessão junto com outras configurações de configuração do servidor usando chamadas de grafo (microsoftTunnelConfiguration).

Criar um Site

Os sites são grupos lógicos de servidores que hospedam o Microsoft Tunnel. Você atribui uma configuração do Servidor a cada Site criado. Essa configuração é aplicada a cada servidor que ingressa no Site.

Para criar uma configuração do Site

1. Entre no Microsoft Intune centro de administração do centro de administração> deadministradores>Microsoft Tunnel Gateway>selecione aguia>SitesCreate.

2. No painel Criar um site, especifique as seguintes propriedades:

   • Nome: insira um nome para esse Site.

   • Descrição: opcionalmente, você pode especificar uma descrição amigável para o Site.

   • Endereço IP público ou FQDN: especifique um endereço IP público ou FQDN, que é o ponto de conexão para dispositivos que usam o túnel. Esse endereço IP ou FQDN pode identificar um servidor individual ou um servidor de balanceamento de carga. O endereço IP ou FQDN precisa ter a capacidade de resolver no DNS público e o endereço IP resolvido deve ser roteável publicamente.

   • Configuração do servidor: para selecionar uma configuração de servidor para associar a este Site, use a lista suspensa.

   • URL para verificação de acesso à rede interna: especifique uma URL HTTP ou HTTPS para um local em sua rede interna. A cada cinco minutos, cada servidor atribuído a este site tenta acessar a URL para confirmar se pode acessar sua rede interna. Os servidores relatam o status dessa verificação como Acessibilidade de rede interna na guia Verificação de integridade dos servidores.

   • Atualizar automaticamente os servidores no site: se Sim, os servidores serão atualizados automaticamente quando uma atualização estiver disponível. Se Não, a atualização é manual e um administrador deve aprovar uma atualização antes que ela possa ser iniciada.

     Para obter mais informações, confira Atualizar o Microsoft Tunnel.

   • Limitar atualizações do servidor à janela de manutenção: se Sim, as atualizações do servidor para o site só podem ser iniciadas entre a hora de início e a hora de término especificadas. Deve haver pelo menos uma hora entre a hora de início e a hora de término. Quando definido como Não, não há nenhuma janela de manutenção e as atualizações são iniciadas assim que possível, dependendo de como os Servidores atualizados automaticamente no site estão configurados.

     Quando definida como Sim, configure as seguintes opções:

     • Fuso horário – o fuso horário que você seleciona determina quando a janela de manutenção é iniciada e termina em todos os servidores do site, independentemente do fuso horário de servidores individuais.
     • Hora de início – especifique a hora mais cedo em que o ciclo de atualização pode iniciar, com base no fuso horário selecionado.
     • Hora de término – especifique o último horário em que o ciclo de atualização pode iniciar, com base no fuso horário selecionado. Os ciclos de atualização que começam antes dessa hora continuarão a ser executados e poderão ser concluídos após esse período.

     Para obter mais informações, confira Atualizar o Microsoft Tunnel.

3. Selecione Criar para salvar o Site.

Instalar o Gateway do Microsoft Tunnel

Antes de instalar o Gateway do Microsoft Tunnel em um servidor Linux, configure o seu locatário com pelo menos uma Configuração de servidor e, em seguida, crie um Site. Posteriormente, você especificará o Site que um servidor ingressa ao instalar o túnel nesse servidor.

Com uma configuração de servidor e um site, você pode usar o procedimento a seguir para instalar o Gateway do Microsoft Tunnel.

No entanto, se você planeja instalar o Microsoft Tunnel Gateway em um contêiner podman sem raiz, consulte Usar um contêiner podman sem raiz antes de começar a instalação. A seção vinculada detalha requisitos adicionais de pré-requisitos e uma linha de comando modificada para o script de instalação. Depois que os pré-requisitos extras forem configurados, você poderá retornar aqui para continuar com o procedimento de instalação a seguir.

Usar o script para instalar o Microsoft Tunnel

1. Baixe o script de instalação do Microsoft Tunnel usando um dos seguintes métodos:

   • Baixe a ferramenta diretamente usando um navegador da Web. Acesse https://aka.ms/microsofttunneldownload para baixar o arquivo mstunnel-setup.

   • Entre no Microsoft Intune centro> deadministração> de administradoresMicrosoft Tunnel Gateway, selecione a guia Servidores, selecione Create para abrir o Create um painel de servidor e selecione Baixar script.

     

   • Use um comando do Linux para baixar o software de túnel diretamente. Por exemplo, no servidor em que você instalará o túnel, você pode usar wget ou curl para abrir o link https://aka.ms/microsofttunneldownload.

     Por exemplo, para usar wget e registrar detalhes em mstunnel-setup durante o download, execute wget --output-document=mstunnel-setup https://aka.ms/microsofttunneldownload

2. Para iniciar a instalação do servidor, execute o script como raiz. Por exemplo, você poderia usar a seguinte linha de comando: sudo chmod +x ./mstunnel-setup. O script sempre instala a versão mais recente do Microsoft Tunnel.

   Importante

   Se você estiver instalando o Tunnel em um contêiner podman sem raiz, use a seguinte linha de comando modificada para iniciar o script: chmod mst_rootless_mode=1 ./mstunnel-setup

   Para ver a saída detalhada do console durante o processo de registro do agente de instalação e túnel:

   1. Execute export mst_verbose_log="true" antes de executar o script ./mstunnel-setup . Para confirmar se o log verboso está habilitado, execute export.

   2. Após a conclusão da instalação, edite o arquivo de ambiente /etc/mstunnel/env.sh para adicionar uma nova linha: mst_verbose_log="true". Depois de adicionar a linha, execute mst-cli server restart para reiniciar o servidor.

   Importante

   Quanto à nuvem governamental dos EUA, a linha de comando deve fazer referência ao ambiente de nuvem governamental. Para fazer isso, execute os seguintes comandos para adicionar intune_env=FXP à linha de comando:

   1. Execute sudo chmod +x ./mstunnel-setup
   2. Execute sudo intune_env=FXP ./mstunnel-setup

   Dica

   Se você interromper a instalação e o script, poderá reiniciá-los executando a linha de comando novamente. A instalação continua do local em que você parou.

   Quando você inicia o script, ele baixa imagens de contêiner das imagens de contêiner do Gateway do Microsoft Tunnel do serviço do Intune e cria pastas e arquivos necessários no servidor.

   Durante a configuração, o script solicita que você conclua várias tarefas de administrador.

3. Quando solicitado pelo script, aceite o contrato de licença (Termos de Licença para Software Microsoft).

4. Examine e configure as variáveis nos arquivos a seguir para dar suporte ao seu ambiente.

   • Arquivo de ambiente: /etc/mstunnel/env.sh. Para obter mais informações sobre essas variáveis, consulte Variáveis de ambiente na referência do artigo do Microsoft Tunnel.

5. Quando solicitado, copie a cadeia completa do seu arquivo de certificado TLS (Transport Layer Security) para o servidor Linux. O script exibe a localização correta a ser usada no servidor Linux.

   O Certificado TLS protege a conexão entre os dispositivos que usam o túnel e o ponto de extremidade do Gateway do Tunnel. O certificado deve ter o endereço IP ou FQDN do servidor do Gateway de Túnel em sua SAN.

   A chave privada permanece disponível no computador em que você cria a solicitação de assinatura de certificado para o certificado TLS. Esse arquivo precisa ser exportado com um nome de site.key.

   Instale o certificado TLS e a chave privada. Use as seguintes diretrizes que correspondem ao seu formato de arquivo:

   • PFX:

     • O nome do arquivo de certificado precisa ser site.pfx. Copie o arquivo de certificado para /etc/mstunnel/private/site.pfx.

   • PEM:

     • A cadeia completa (raiz, intermediário, entidade final) precisa estar em um arquivo chamado site.crt. Se você estiver usando um certificado emitido por um provedor público como o Digicert, terá a opção de baixar a cadeia completa como um arquivo .pem.

     • O nome do arquivo de certificado precisa ser *site.crt. Copie o certificado de cadeia completo em /etc/mstunnel/certs/site.crt. Por exemplo: cp [full path to cert] /etc/mstunnel/certs/site.crt

       Como alternativa, crie um link para o certificado da cadeia completa em /etc/mstunnel/certs/site.crt. Por exemplo: ln -s [full path to cert] /etc/mstunnel/certs/site.crt

     • Copie o arquivo de chave privada em /etc/mstunnel/private/site.key. Por exemplo: cp [full path to key] /etc/mstunnel/private/site.key

       Como alternativa, crie um link para o arquivo de chave privada em /etc/mstunnel/private/site.key. Por exemplo: ln -s [full path to key file] /etc/mstunnel/private/site.key essa chave não deve ser criptografada com uma senha. O nome do arquivo de chave privada precisa ser site.key.

6. Após a instalação instalar o certificado e criar os serviços do Gateway de Túnel, você será solicitado a entrar e autenticar com Intune. A conta de usuário precisa ter as funções Administrador do Intune ou Administrador Global atribuídas. A conta que você usa para concluir a autenticação deve ter uma licença do Intune. As credenciais dessa conta não são salvas e são usadas apenas para entrada inicial para Microsoft Entra ID. Após a autenticação bem-sucedida, as IDs/chaves secretas do aplicativo do Azure são usadas para autenticação entre o Gateway de Túnel e Microsoft Entra.

   Essa autenticação registra o Gateway de Túnel com Microsoft Intune e seu locatário Intune.

   1. Abra um navegador da Web para https://Microsoft.com/devicelogin inserir o código do dispositivo fornecido pelo script de instalação e entre com suas credenciais de administrador Intune.

   2. Depois que o Gateway do Microsoft Tunnel tiver sido registrado com o Intune, o script obterá informações sobre os seus Sites e Configurações de servidor no Intune. Em seguida, o script solicitará que você insira o GUID do Site do túnel ao qual deseja que este servidor ingresse. O script apresenta uma lista dos seus sites disponíveis.

   3. Depois de selecionar um Site, a configuração puxa a configuração do Servidor para esse Site de Intune e aplica-a ao seu novo servidor para concluir a instalação do Microsoft Tunnel.

7. Depois que o script de instalação for concluído, você poderá navegar no centro de administração Microsoft Intune até a guia Gateway do Microsoft Tunnel para exibir status de alto nível para o túnel. Você também pode abrir a guia Status de integridade para confirmar que o servidor está online.

8. Se você estiver usando o RHEL 8.4 ou posterior, reinicie o servidor do Gateway de Túnel inserindo mst-cli server restart antes de tentar conectar clientes a ele.

Adicionar certificados raiz confiáveis a contêineres de túnel

Certificados raiz confiáveis devem ser adicionados aos contêineres do Túnel quando:

• O tráfego do servidor de saída requer inspeção de proxy SSL.
• Os pontos de extremidade acessados pelos contêineres do Túnel não estão isentos da inspeção de proxy.

Passos:

1. Copie os certificados raiz confiáveis com a extensão .crt para /etc/mstunnel/ca-trust
2. Reiniciar contêineres do Túnel usando "reinicialização do servidor mst-cli" e "reinicialização do agente mst-cli"

Implantar o aplicativo cliente Microsoft Tunnel

Para usar o Microsoft Tunnel, os dispositivos precisam acessar um aplicativo cliente Microsoft Tunnel. O Microsoft Tunnel usa Microsoft Defender para Ponto de Extremidade como o aplicativo cliente tunnel:

• Android: baixe Microsoft Defender para Ponto de Extremidade para uso como o aplicativo cliente do Microsoft Tunnel da Google Play Store. Confira Adicionar aplicativos da loja do Android ao Microsoft Intune.

  Quando você usa o Microsoft Defender para Ponto de Extremidade como seu aplicativo cliente de túnel e como um aplicativo de MTD (defesa contra ameaças móveis), confira Usar o Microsoft Defender para Ponto de Extremidade para MTD e como o aplicativo cliente Microsoft Tunnel para obter diretrizes de configuração importantes.

• iOS/iPadOS: baixe Microsoft Defender para Ponto de Extremidade para uso como o aplicativo cliente do Microsoft Tunnel da Loja de Aplicativos da Apple. Confira Adicionar aplicativos da loja do iOS ao Microsoft Intune.

Para obter mais informações sobre como implantar aplicativos com o Intune, confira Adicionar aplicativos ao Microsoft Intune.

Criar um perfil VPN

Depois que o Microsoft Tunnel instala e os dispositivos instalam Microsoft Defender para Ponto de Extremidade, você pode implantar perfis VPN para direcionar dispositivos para usar o túnel. Para fazer isso, crie perfis VPN com um tipo de conexão do Microsoft Tunnel:

• Android: a plataforma Android dá suporte ao roteamento do tráfego por meio de uma VPN por aplicativo e regras de túnel divididas de forma independente ou ao mesmo tempo.

• iOS/iPadOS A plataforma iOS dá suporte ao tráfego de roteamento por uma VPN por aplicativo ou por regras de túnel divididas, mas não simultaneamente. Se você habilitar uma VPN por aplicativo para iOS, suas regras de túnel dividido serão ignoradas.

Android

1. Entre no Microsoft Intune centro> deadministração Configuração>de dispositivos> na guia Políticas, selecione Create.

2. Quanto à Plataforma, selecione Android Enterprise. Em Perfil, selecione VPN para Perfil de Trabalho de Propriedade Corporativa ou Perfil de Trabalho de Propriedade Pessoal e selecione Criar.

   Observação

   Os dispositivos Android Enterprise dedicados não possuem suporte do Microsoft Tunnel.

3. Na guia Noções básicas, insira um Nome e Descrição(opcional) e selecione Avançar.

4. Em Tipo de conexão selecione Microsoft Tunnel e, em seguida, configure os seguintes detalhes:

   • VPN base:

     • Em Nome da conexão, especifique um nome que será exibido aos usuários.
     • Para o Site do Microsoft Tunnel, selecione o site tunnel que esse perfil VPN usa.

   • VPN por aplicativo:

     • Os aplicativos atribuídos no perfil da VPN por aplicativo enviam o tráfego do aplicativo para o túnel.
     • No Android, o lançamento de um aplicativo não inicia a VPN por aplicativo. No entanto, quando a VPN tem VPN always-on definida como Habilitar, a VPN já está conectada e o tráfego do aplicativo usa a VPN ativa. Se a VPN não estiver configurada para ser Sempre ativada, o usuário precisará iniciá-la manualmente antes de ela puder ser usada.
     • Se você estiver usando o aplicativo Defender para Ponto de Extremidade para se conectar ao Tunnel, tenha a proteção da Web habilitada e esteja usando VPN por aplicativo, a proteção da Web só se aplica aos aplicativos na lista de VPN por aplicativo. Nos dispositivos com um perfil de trabalho, nesse cenário, recomendamos adicionar todos os navegadores da Web no perfil de trabalho à lista de VPN por aplicativo para garantir que todo o tráfego da Web de perfil de trabalho seja protegido.
     • Para habilitar uma VPN por aplicativo, selecione Adicionar e navegue até os aplicativos personalizados ou públicos que foram importados para Intune.

   • VPN sempre ativado:

     • Em VPN sempre ativada, selecione Habilitar para definir um cliente VPN para se conectar e se reconectar automaticamente à VPN. As conexões VPN Sempre ativado permanecem conectadas. Se a VPN por aplicativo estiver definida como Habilitar, somente o tráfego dos aplicativos que você selecionar passará pelo túnel.

   • Proxy:

     • Configure os detalhes do servidor proxy no seu ambiente.

       Observação

       Não há suporte para configurações de servidor proxy com versões do Android antes da versão 10. Para obter mais informações, consulte VpnService.Builder nessa documentação do desenvolvedor do Android.

   Para obter mais informações sobre as configurações de VPN, consulte Configurações do dispositivo Android Enterprise para configurar a VPN

   Importante

   Em dispositivos Android Enterprise que usam o Microsoft Defender para Ponto de Extremidade como um aplicativo cliente do Microsoft Tunnel e um aplicativo MTD, será preciso usar configurações personalizadas para configurar o Microsoft Defender para Ponto de Extremidade em vez de usar um perfil separado de configuração de aplicativos. Caso não pretenda usar uma funcionalidade do Defender para Ponto de Extremidade, incluindo a proteção da Web, use configurações personalizadas no perfil da VPN e defina a configuração defendertoggle como 0.

5. Na guia Atribuições, configure os grupos que receberão esse perfil.

6. Na guia Examinar + criar, examine a configuração e, em seguida, selecione Criar para salvá-la.

iOS

1. Entre no Microsoft Intune centro> deadministração Configuração>de dispositivos>Create.

2. Para Plataforma, selecione iOS/iPadOS e, em Perfil, selecione VPN e, em seguida, Criar.

3. Na guia Noções básicas, insira um Nome e Descrição(opcional) e selecione Avançar.

4. Para tipo de conexão, selecione Microsoft Tunnel e configure os seguintes itens:

   • VPN base:

     • Em Nome da conexão, especifique um nome que será exibido aos usuários.
     • Para o Site do Túnel da Microsoft, selecione o site do túnel que esse perfil VPN usa.

     Observação

     Ao usar a conexão VPN do Microsoft Tunnel e o Defender Web Protection no modo combinado em dispositivos iOS, é crucial configurar as regras 'Sob Demanda' para ativar efetivamente a configuração "Desconectar no sono". Não fazer isso resultará na desconexão da VPN do Túnel e do Defender VPN quando o dispositivo iOS entra no modo de sono, enquanto a VPN está ativada.

   • VPN por aplicativo:
     Para habilitar uma VPN por aplicativo, selecione Habilitar. São exigidas etapas de configuração extras para as VPNs por aplicativo iOS. Quando a VPN por aplicativo é configurada, o iOS ignora suas regras de túnel dividido.

     Para obter mais informações, consulte VPN por aplicativo para iOS/iPadOS.

   • Regras de VPN Sob Demanda:
     defina regras sob demanda que permitem o uso de VPN quando são atendidas as condições para FQDNs ou endereços IP específicos.

     Para obter mais informações, confira Configurações automáticas de VPN.

   • Proxy:
     Configure os detalhes do servidor proxy para o seu ambiente.

Observação

Ao usar a conexão VPN do Microsoft Tunnel e o Defender Web Protection no modo combinado em dispositivos iOS, é crucial configurar as regras 'Sob Demanda' para ativar a configuração "Desconectar no sono" efetivamente. Para configurar a regra sob demanda ao configurar o perfil VPN do Túnel:

1. Na página Configuração de configuração, expanda a seção Regras de VPN Sob Demanda .
2. Para regras sob demanda , selecione Adicionar para abrir o painel Adicionar Linha .
3. No painel Adicionar Linha , defina que quero fazer o seguinte para Conectar VPN e, em seguida, para que eu queira restringir a seleção de uma restrição, como Todos os domínios.
4. Opcionalmente, você pode adicionar uma URL ao campo Mas somente se essa investigação de URL for bem-sucedida .
5. Selecione Salvar.

Usar uma lista de exclusão de proxy para Android Enterprise

Ao usar um único servidor proxy direto em seu ambiente, você pode usar uma lista de exclusão de proxy em seus perfis VPN do Microsoft Tunnel para Android Enterprise. Há suporte para listas de exclusão de proxy para o Microsoft Tunnel e Microsoft Tunnel para MAM.

Importante

A lista de exclusão de proxy só tem suporte quando você usa um único servidor proxy direto de proxy. Eles não têm suporte em ambientes em que vários servidores proxy estão em uso.

A lista de exclusão de proxy no perfil VPN dá suporte à entrada de domínios específicos que são excluídos da configuração de proxy direto para dispositivos que recebem e usam o perfil.

Veja a seguir formatos com suporte para entradas de lista de exclusão:

• URLs completas com correspondência de subdomínio exato. Por exemplo, sub.contoso.com
• Um curinga líder em URLs. Por exemplo, usando o exemplo de URL completo, podemos substituir o sub domínio principal (sub) por um asterisco para expandir o suporte para incluir todos os subdomínios de contso.com: *.contoso.com
• Endereços IPv4 e IPv6

Formatos sem suporte incluem:

• Curingas internos. Por exemplo: con*oso.com, contos*.come contoso.*

Configurar a lista de exclusão de proxy

Você pode configurar a lista de exclusão ao editar ou criar um Perfil VPN do Microsoft Tunnel para a plataforma Android Enterprise.

Enquanto estiver na página Configuração de configurações depois de definir o tipo de conexão como Microsoft Tunnel:

1. Expanda Proxy e, em seguida, para lista de exclusão de proxy, selecione Gerenciar exclusões de proxy.

2. No painel lista de exclusão de proxy :

   • Na caixa de entrada de texto, especifique uma única URL ou endereço IP. Cada vez que você adiciona uma entrada, uma nova caixa de entrada de texto é fornecida para mais entradas.
   • Selecione Importar para abrir o painel Importar exclusões de proxy , em que você pode importar uma lista que está no formato de arquivo CSV.
   • Selecione Exportar para exportar a lista de exclusão atual desse perfil, no formato de arquivo CSV.

3. Selecione OK para salvar a configuração da lista de exclusão de proxy e continue editando o perfil VPN.

   

Usar configurações personalizadas para o Microsoft Defender para Ponto de Extremidade

O Intune dá suporte ao Microsoft Defender para Ponto de Extremidade como um aplicativo MTD e como o aplicativo cliente do Microsoft Tunnel em dispositivos do Android Enterprise. Se você usar o Microsoft Defender para Ponto de Extremidade para o aplicativo cliente do Microsoft Tunnel e como um aplicativo MTD, poderá usar configurações personalizadas em seu perfil de VPN para o Microsoft Tunnel para simplificar suas configurações. O uso de configurações personalizadas no perfil VPN substitui a necessidade de usar um perfil de configuração de aplicativo separado.

Para dispositivos registrados como perfil de trabalho de propriedade pessoal do Android Enterprise que usam o Defender para Ponto de Extremidade para ambas as finalidades, você deve usar configurações personalizadas em vez de um perfil de configuração de aplicativo. Nesses dispositivos, o perfil de configuração de aplicativo do Defender para Ponto de Extremidade entra em conflito com o Microsoft Tunnel e pode impedir que o dispositivo se conecte ao Microsoft Tunnel.

Se você usar Microsoft Defender para Ponto de Extremidade para o Microsoft Tunnel, mas não PARA MTD, continuará a usar o perfil de configuração do túnel de aplicativo para configurar Microsoft Defender para Ponto de Extremidade como um cliente de túnel.

Adicionar suporte de configuração de aplicativo para o Microsoft Defender para Ponto de Extremidade a um perfil VPN para Microsoft Tunnel

Use as informações a seguir para definir as configurações personalizadas em um perfil VPN para configurar o Microsoft Defender para Ponto de Extremidade no lugar de um perfil de configuração de aplicativo separado. As configurações disponíveis variam de acordo com a plataforma.

para dispositivos Android Enterprise:

Chave de configuração	Tipo do valor	Valor de configuração	Descrição
vpn	Inteiro	Opções: 1 – Habilitar (padrão) 0 – Desabilitar	Defina como Habilitar para permitir que a funcionalidade anti-phishing do Microsoft Defender para Ponto de Extremidade use uma VPN local.
anti-phishing	Inteiro	Opções: 1 – Habilitar (padrão) 0 – Desabilitar	Defina como Habilitar para ativar o anti-phishing do Microsoft Defender para Ponto de Extremidade. Quando desabilitado, o recurso anti-phishing é desativado.
defendertoggle	Inteiro	Opções: 1 – Habilitar (padrão) 0 – Desabilitar	Defina como Habilitar para usar o Microsoft Defender para Ponto de Extremidade. Quando desabilitado, nenhuma funcionalidade do Microsoft Defender para Ponto de Extremidade está disponível.

Para dispositivos iOS/iPad:

Chave de configuração	Valores	Descrição
TunnelOnly	True – Todas as funcionalidades do Defender para Ponto de Extremidade estão desabilitadas. Essa configuração deve ser usada se você estiver usando o aplicativo apenas para recursos do Tunnel. False(default) – A funcionalidade defender para ponto de extremidade está habilitada.	Determina se o aplicativo Defender está limitado apenas ao Microsoft Tunnel ou se o aplicativo também suporta o conjunto completo de recursos do Defender para Ponto de Extremidade.
WebProtection	True(default) – a Proteção Web está habilitada e os usuários podem ver a guia proteção da Web no aplicativo Defender para Ponto de Extremidade. False – a Proteção Web está desabilitada. Se um perfil VPN do Túnel for implantado, os usuários só poderão ver as guias Painel e Túnel no aplicativo Defender para Ponto de Extremidade.	Determina se a Proteção da Web do Defender para Ponto de Extremidade (funcionalidade anti-phishing) está habilitada para o aplicativo. Por padrão, essa funcionalidade está ativada.
AutoOnboard	True – Se a Proteção Web estiver habilitada, o aplicativo Defender para Ponto de Extremidade receberá automaticamente permissões para adicionar conexões VPN sem solicitar ao usuário. Uma regra sob demanda "Conectar VPN" é necessária. Para obter mais informações sobre regras sob demanda, consulte Configurações automáticas de VPN. False(default) – Se a Proteção Web estiver habilitada, o usuário será solicitado a permitir que o aplicativo Defender para Ponto de Extremidade adicione configurações de VPN.	Determina se o Defender para Proteção Web do Ponto de Extremidade está habilitado sem solicitar que o usuário adicione uma conexão VPN (porque uma VPN local é necessária para a funcionalidade de Proteção Web). Essa configuração só se aplicará se WebProtection estiver definido como True.

Configurar o modo TunnelOnly para cumprir o limite de dados da União Europeia

Até o final do ano civil de 2022, todos os dados pessoais, incluindo Conteúdo do Cliente (CC), EUII, EUPI e Dados de Suporte devem ser armazenados e processados na União Europeia (UE) para locatários da UE.

O recurso VPN do Microsoft Tunnel no Defender para Ponto de Extremidade é compatível com o EUDB (Limite de Dados da União Europeia). No entanto, embora os componentes de proteção contra ameaças do Defender para Ponto de Extremidade relacionados ao registro em log ainda não estejam em conformidade com o EUDB, o Defender para Ponto de Extremidade faz parte do DPA ( Adendo de Proteção de Dados ) e está em conformidade com o Regulamento Geral de Proteção de Dados (GDPR).

Enquanto isso, os clientes do Microsoft Tunnel com locatários da UE podem habilitar o modo TunnelOnly no aplicativo Cliente do Defender para Ponto de Extremidade. Para configurar isso, use as seguintes etapas:

1. Siga as etapas encontradas em Instalar e configurar a solução VPN do Microsoft Tunnel para Microsoft Intune | Microsoft Learn para criar uma política de configuração de aplicativo, que desabilita a funcionalidade do Defender para Ponto de Extremidade.

2. Create uma chave chamada TunnelOnly e defina o valor como True.

Ao configurar o modo TunnelOnly, todas as funcionalidades do Defender para Ponto de Extremidade são desabilitadas enquanto a funcionalidade tunnel permanece disponível para uso no aplicativo.

Contas de convidado e MSA (Contas da Microsoft) que não são específicas para o locatário da sua organização não têm suporte para acesso entre locatários usando a VPN do Microsoft Tunnel. Isso significa que esses tipos de contas não podem ser usados para acessar recursos internos com segurança por meio da VPN. É importante ter essa limitação em mente ao configurar o acesso seguro aos recursos internos usando a VPN do Microsoft Tunnel.

Para obter mais informações sobre o Limite de Dados da UE, consulte Limite de Dados da UE para a Nuvem da Microsoft | Perguntas frequentes sobre o blog de segurança e conformidade da Microsoft.

Atualização do Microsoft Tunnel

Periodicamente, o Intune lança atualizações no servidor do Microsoft Tunnel. Para manter o suporte, os servidores de encapsulamento devem executar a versão mais recente ou, no máximo, a última versão anterior.

Por padrão, depois que uma nova atualização estiver disponível, o Intune iniciará automaticamente a atualização de servidores de encapsulamento assim que possível, em cada um de seus sites de túnel. Para ajudar a gerenciar atualizações, você pode configurar opções que gerenciam o processo de atualização:

• Você pode permitir a atualização automática dos servidores em um site ou exigir a aprovação do administrador antes que as atualizações sejam feitas.
• Você pode configurar uma janela de manutenção que limita quando as atualizações em um site podem ser iniciadas.

Para obter mais informações sobre as atualizações do Microsoft Tunnel, incluindo como exibir o status do túnel e configurar as opções de atualização, consulte Atualizar o Microsoft Tunnel.

Atualizar o Certificado TLS no servidor Linux

Você pode usar a ferramenta de linha de comando ./mst-cli para atualizar o certificado TLS no servidor:

PFX:

1. Copie o arquivo de certificado para /etc/mstunnel/private/site.pfx
2. Execute mst-cli import_cert.
3. Execute mst-cli server restart.

PEM:

1. Copie o novo certificado para /etc/mstunnel/certs/site.crt
2. Copie a chave privada para /etc/mstunnel/private/site.key
3. Execute mst-cli import_cert.
4. Execute mst-cli server restart.

Observação

O comando "import-cert" com um parâmetro adicional chamado "delay". Esse parâmetro permite especificar o atraso em minutos antes que o certificado importado seja utilizado. Exemplo: mst-cli import_cert atraso 10080

Para obter mais informações sobre mst-cli, confira Referência do Microsoft Tunnel.

Usar um contêiner podman sem raiz

Ao usar o Red Hat Linux com contêineres do Podman para hospedar o Microsoft Tunnel, você pode configurar o contêiner como um contêiner sem raiz.

O uso de um contêiner sem raiz pode ajudar a limitar o impacto de uma fuga de contêiner, com todos os arquivos dentro e abaixo da pasta /etc/mstunnel no servidor que pertence a uma conta de serviço de usuário nãoprivilegiada. O nome da conta no servidor Linux que executa o Tunnel é inalterado em relação a uma instalação padrão, mas é criado sem permissões de usuário raiz.

Para usar com êxito um contêiner podman sem raiz, você deve:

• Configure pré-requisitos adicionais descritos na seção a seguir.
• Modifique a linha de comando de script ao iniciar a instalação do Microsoft Tunnel.

Com os pré-requisitos em vigor, você pode usar o procedimento de script de instalação para primeiro baixar o script de instalação e, em seguida, executar a instalação usando a linha de comando de script modificada.

Pré-requisitos adicionais para contêineres podman sem raiz

O uso de um contêiner podman sem raiz requer que seu ambiente atenda aos seguintes pré-requisitos, que são além dos pré-requisitos padrão do Microsoft Tunnel:

Plataforma com suporte:

• O servidor Linux deve executar o RHEL (Red Hat) 8.8 ou posterior.

• O contêiner deve executar o Podman 4.6.1 ou posterior. Não há suporte para contêineres sem raiz com o Docker.

• O contêiner sem raiz deve ser instalado na pasta /home .

• A pasta /home deve ter um mínimo de 10 GB de espaço livre.

Taxa de transferência

• A taxa de transferência de pico não deve exceder 230Mbps

Rede: as seguintes configurações de rede, que não estão disponíveis em um namespace sem raiz, devem ser definidas em /etc/sysctl.conf:

• net.core.somaxconn=8192
• net.netfilter.nf_conntrack_acct=1
• net.netfilter.nf_conntrack_timestamp=1

Além disso, se você associar o Gateway de Túnel sem raiz a uma porta menor que 1024, você também deverá adicionar a seguinte configuração em /etc/sysctl.conf e defini-la igual à porta que você usa:

• net.ipv4.ip_unprivileged_port_start

Por exemplo, para especificar a porta 443, use a seguinte entrada: net.ipv4.ip_unprivileged_port_start=443

Depois de editar sysctl.conf, você deve reiniciar o servidor Linux antes que as novas configurações entrem em vigor.

Proxy de saída para o usuário sem raiz: para dar suporte a um proxy de saída para o usuário sem raiz, edite /etc/profile.d/http_proxy.sh e adicione as duas linhas a seguir. Nas linhas a seguir, 10.10.10.1:3128 é um exemplo de endereço:entrada de porta . Ao adicionar essas linhas, substitua 10.10.10.1:3128 pelos valores do endereço IP do proxy e da porta:

• export http_proxy=http://10.10.10.1:3128
• export https_proxy=http://10.10.10.1:3128

Linha de comando de instalação modificada para contêineres podman sem raiz

Para instalar o Microsoft Tunnel em um contêiner podman sem raiz, use a linha de comando a seguir para iniciar o script de instalação. Essa linha de comando define mst_rootless_mode como uma variável de ambiente e substitui o uso da linha de comando de instalação padrão durante a etapa 2 do procedimento de instalação:

• mst_rootless_mode=1 ./mstunnel-setup

Desinstalar o Microsoft Tunnel

Para desinstalar o produto, execute a desinstalação mst-cli do servidor Linux como raiz.

Depois que o produto for desinstalado, exclua o registro de servidor correspondente no centro de administração Microsoft Intune em Administração> delocatários Microsoft Tunnel Gateway>Servers.

Próximas etapas

Usar o Acesso Condicional com o Microsoft Tunnel
Monitora o Microsoft Tunnel