Opções de perfil disparadas automaticamente por VPN

O Windows pode usar recursos diferentes para disparar automaticamente a VPN, evitando que os usuários se conectem manualmente quando a VPN é necessária para acessar os recursos necessários. Há três tipos diferentes de regras de disparo automático:

  • Gatilho do aplicativo
  • Disparo com base em nome
  • Sempre Ativo

Observação

As conexões VPN disparadas automaticamente não funcionarão se o Redirecionamento de Pastas para AppData estiver habilitado. O redirecionamento de pasta para AppData deve ser desabilitado ou o perfil VPN disparado automaticamente deve ser implantado no contexto SYSTEM, o que altera o caminho para onde o arquivo rasphone.pbk é armazenado.

Gatilho do aplicativo

Os perfis vpn podem ser configurados para se conectar automaticamente na execução de determinados aplicativos:

  • Você pode configurar aplicativos de área de trabalho ou Plataforma Universal do Windows (UWP) para disparar uma conexão VPN
  • Você pode configurar a VPN por aplicativo e especificar regras de tráfego para cada aplicativo

Observação

O identificador de aplicativo para um aplicativo da área de trabalho é um caminho de arquivo. O identificador de aplicativo para um aplicativo UWP é um nome da família de pacotes.

Encontrar o nome da família de pacotes (PFN) para a configuração de VPN por aplicativo

Para obter mais informações, consulte Filtros de tráfego.

Disparo com base em nome

Você pode configurar uma regra baseada em nome de domínio para que um nome de domínio específico dispare a conexão VPN.\ O gatilho automático baseado em nome pode ser configurado usando a VPNv2/<ProfileName>/DomainNameInformationList/dniRowId/AutoTrigger configuração no CSP (Provedor de Serviços de Configuração VPNv2).

Há quatro tipos de disparos com base em nome:

  • Nome curto: por exemplo, se o HRweb estiver configurado como um gatilho e a pilha vir uma solicitação de resolução DNS para HRweb, a VPN disparará
  • FQDN (nome de domínio totalmente qualificado): por exemplo, se HRweb.corp.contoso.com estiver configurado como um gatilho e a pilha vir uma solicitação de resolução DNS para HRweb.corp.contoso.com, a VPN disparará
  • Sufixo: por exemplo, se o .corp.contoso.com estiver configurado como um gatilho e a pilha vir uma solicitação de resolução DNS com um sufixo correspondente (como HRweb.corp.contoso.com), a VPN disparará. Para qualquer resolução de nome curto, os gatilhos VPN e os servidores DNS são consultados para o <ShortName.corp.contoso.com>
  • Tudo: se usado, toda a resolução DNS dispara VPN

Sempre Ativo

Always On é um recurso do Windows que permite que o perfil VPN ativo se conecte automaticamente nos seguintes gatilhos:

  • Logon do usuário
  • Alteração da rede
  • Tela do dispositivo ligada

Quando o disparo ocorre, a VPN tenta se conectar. Se ocorrer um erro ou qualquer entrada de usuário for necessária, o usuário verá uma notificação de brinde para obter mais interação.

Quando um dispositivo tem vários perfis com gatilhos Always On, o usuário pode especificar o perfil ativo em Configurações > rede & perfil> VPN ><da Internet > selecionando a caixa de seleção Permitir que os aplicativos usem automaticamente essa caixa de seleção de conexão VPN. Por padrão, o primeiro perfil configurado pelo MDM é marcado como Ativo. Dispositivos com vários usuários têm a mesma restrição: apenas um perfil e, portanto, apenas um usuário, é capaz de usar os gatilhos Always On.

Preservando a preferência de Always On de usuário

Outro recurso do Windows é preservar a preferência de Always On do usuário. Se um usuário desmarcar manualmente a caixa de seleção Conectar automaticamente , o Windows lembrará a preferência do usuário pelo nome do perfil adicionando o nome do perfil ao valor de registro AutoTriggerDisabledProfilesList.

Se uma ferramenta de gerenciamento remover ou adicionar o mesmo nome de perfil de volta e definir AlwaysOncomo true, o Windows não marcar a caixa se o nome do perfil existir no valor do registro a seguir, a fim de preservar a preferência do usuário.

Chave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
Valor:AutoTriggerDisabledProfilesList
Tipo:REG_MULTI_SZ

Detecção de rede confiável

O recurso de detecção de rede confiável configura a VPN para que a conexão não seja disparada quando um dispositivo está em uma rede confiável. Para configurar a detecção de rede confiável, você deve fornecer uma lista de sufixos DNS. A pilha de VPN verifica o nome de rede do perfil de conexão de interface física: se corresponder a qualquer um dos sufixos configurados na lista e a rede for privada ou provisionada pelo MDM, a VPN não disparará.

A detecção de rede confiável pode ser configurada usando a VPNv2/<ProfileName>/TrustedNetworkDetection configuração no CSP VPNv2.

Configurar a VPN disparada por aplicativo

Consulte Opções de perfil de VPN e CSP VPNv2 para saber a configuração XML.

A imagem a seguir mostra a associação de aplicativos a uma conexão VPN em uma política de configuração de perfil VPN usando Microsoft Intune.

Criação de perfil VPN em Intune: opções de associação de aplicativos.