Opções de perfil disparadas automaticamente por VPN

Em Windows 10 e Windows 11, vários recursos foram adicionados à VPN de gatilho automático para que os usuários não precisem se conectar manualmente quando VPN for necessária para acessar os recursos necessários. Há três tipos diferentes de regras de disparo automático:

  • Disparo por aplicativo
  • Disparo com base em nome
  • Sempre Ativo

Observação

As conexões VPN disparadas automaticamente não funcionarão se o Redirecionamento de Pastas para AppData estiver habilitado. O redirecionamento de pasta para AppData deve ser desabilitado ou o perfil VPN disparado automaticamente deve ser implantado no contexto do sistema, o que altera o caminho para onde o arquivo rasphone.pbk é armazenado.

Disparo por aplicativo

Perfis vpn em Windows 10 ou Windows 11 podem ser configurados para se conectar automaticamente no lançamento de um conjunto especificado de aplicativos. Você pode configurar aplicativos da área de trabalho ou da Plataforma Universal do Windows (UWP) para disparar uma conexão VPN. Você também pode configurar a VPN por aplicativo e especificar regras de tráfego para cada aplicativo. Consulte Filtros de tráfego para obter mais detalhes.

O identificador de aplicativo para um aplicativo da área de trabalho é um caminho de arquivo. O identificador de aplicativo para um aplicativo UWP é um nome da família de pacotes.

Encontrar o nome da família de pacotes (PFN) para a configuração de VPN por aplicativo

Disparo com base em nome

Você pode configurar uma regra baseada em nome de domínio para que um nome de domínio específico dispare a conexão VPN.

O disparo automático baseado em nome pode ser configurado usando a configuração VPNv2/ProfileName/DomainNameInformationList/dniRowId/AutoTrigger do Provedor de Serviços de Configuração (CSP) VPNv2.

Há quatro tipos de disparos com base em nome:

  • Nome curto: por exemplo, se HRweb for configurado como um gatilho e a pilha vir uma solicitação de resolução DNS para HRweb, a VPN será disparada.
  • Nome de domínio totalmente qualificado (FQDN): por exemplo, se HRweb.corp.contoso.com for configurado como um gatilho e a pilha vir uma solicitação de resolução DNS para HRweb.corp.contoso.com, a VPN será disparada.
  • Sufixo: por exemplo, se .corp.contoso.com for configurado como um gatilho e a pilha vir uma solicitação de resolução DNS com um sufixo correspondente (como HRweb.corp.contoso.com), a VPN será disparada. Para qualquer resolução de nome curto, a VPN será disparada e o servidor DNS será consultado para ShortName.corp.contoso.com.
  • Tudo: se usado, toda a resolução de DNS deverá disparar o VPN.

Sempre Ativo

Always On é um recurso em Windows 10 e Windows 11 que permite que o perfil VPN ativo se conecte automaticamente nos seguintes gatilhos:

  • Logon do usuário
  • Alteração da rede
  • Tela do dispositivo ligada

Quando o disparo ocorre, a VPN tenta se conectar. Se ocorrer um erro ou for necessária uma intervenção do usuário, o usuário verá uma notificação do sistema para interação adicional.

Quando um dispositivo tem vários perfis com gatilhos Always On, o usuário pode especificar o perfil ativo em Configurações>Perfil VPNda Internet de Rede &selecionando a caixa de seleção Permitir que os aplicativos usem automaticamente essa caixa de seleção de conexão VPN.>> Por padrão, o primeiro perfil configurado pelo MDM é marcado como Ativo. Dispositivos com vários usuários têm a mesma restrição: apenas um perfil e, portanto, apenas um usuário poderá usar os gatilhos Always On.

Preservando a preferência de Always On de usuário

O Windows tem um recurso para preservar a preferência AlwaysOn de um usuário. No caso de um usuário desmarcar manualmente a caixa de seleção "Conectar automaticamente", o Windows lembrará dessa preferência de usuário por esse nome de perfil adicionando o nome do perfil ao valor AutoTriggerDisabledProfilesList.

Caso uma ferramenta de gerenciamento remova ou adicione o mesmo nome de perfil de volta e defina AlwaysOn como true, o Windows não verificará a caixa se o nome do perfil existir no valor do registro a seguir para preservar a preferência do usuário.

Chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
Valor: AutoTriggerDisabledProfilesList
Tipo: REG_MULTI_SZ

Detecção de rede confiável

Esse recurso configura a VPN de forma que ela não seja disparada caso o usuário esteja em uma rede corporativa confiável. O valor dessa configuração é uma lista de sufixos DNS. A pilha de VPN examinará o nome de rede do perfil de conexão de interface física e, se corresponder a qualquer na lista configurada e a rede for privada ou provisionada pelo MDM, a VPN não será disparada.

A detecção de rede confiável pode ser configurada usando a configuração VPNv2/ProfileName/TrustedNetworkDetection no CSP VPNv2.

Configurar a VPN disparada por aplicativo

Consulte Opções de perfil de VPN e CSP VPNv2 para saber a configuração XML.

A imagem a seguir mostra como associar um aplicativo a uma conexão VPN em uma política de configuração de Perfil de VPN usando o Microsoft Intune.

Adicione um aplicativo para a conexão VPN.

Depois de adicionar um aplicativo associado, se você marcar a caixa de seleção Somente estes aplicativos podem usar esta conexão VPN (VPN por aplicativo), o aplicativo se tornará disponível nos Limites Corporativos, onde você poderá configurar as regras para o aplicativo. Consulte Filtros de tráfego para obter mais detalhes.

Configure regras para o aplicativo.