Configurar rede privada virtual (VPN) por aplicação para dispositivos iOS/iPadOS em Intune

  • Artigo

Em Microsoft Intune, pode criar e utilizar redes privadas virtuais (VPNs) atribuídas a uma aplicação. Esta funcionalidade chama-se "por app VPN". Você escolhe as aplicações geridas que podem usar a sua VPN em dispositivos geridos pela Intune. Ao utilizar VPNs por aplicação, os utilizadores finais conectam-se automaticamente através da VPN e têm acesso a recursos organizacionais, como documentos.

Esta funcionalidade aplica-se a:

  • iOS 9 e mais recente
  • iPadOS 13.0 e mais recente

Consulte a documentação do seu fornecedor VPN para ver se a sua VPN suporta VPN por aplicação.

Este artigo mostra-lhe como criar um perfil VPN por aplicação e atribuir este perfil às suas apps. Use estes passos para criar uma experiência VPN por aplicação sem emenda para os seus utilizadores finais. Para a maioria das VPNs que suportam VPN por aplicação, o utilizador abre uma aplicação e liga-se automaticamente à VPN.

Algumas VPNs permitem o nome de utilizador e a autenticação de senha com VPN por aplicação. Ou seja, os utilizadores precisam introduzir um nome de utilizador e palavra-passe para se conectarem à VPN.

Importante

  • Há um problema conhecido no iOS/iPadOS 13. O problema impede que os perfis VPN por aplicação se conectem em ambientes de inscrição de utilizadores que utilizem a autenticação baseada em certificados. A Apple planeia corrigir isto num futuro lançamento do iOS.
  • No iOS/iPadOS, a VPN por aplicação não é suportada para perfis IKEv2 VPN.

VPN por aplicação com Túnel da Microsoft ou Zscaler

O Microsoft Tunnel e o Zscaler Private Access (ZPA) integram-se com Azure Ative Directory (Azure AD) para autenticação. Ao utilizar o Túnel ou zPA, não necessita do certificado fidedigno ou dos perfis de certificado SCEP ou PKCS (descritos neste artigo).

Se tiver um perfil VPN por aplicação configurado para zscaler, então abrir uma das aplicações associadas não se liga automaticamente ao ZPA. Em vez disso, o utilizador precisa de assinar na aplicação Zscaler. Em seguida, o acesso remoto é limitado às aplicações associadas.

Pré-requisitos para a VPN por aplicação

Importante

O seu fornecedor VPN pode ter outros requisitos para a VPN por aplicação, como hardware específico ou licenciamento. Certifique-se de que consulta a documentação do fornecedor e de que cumpre os pré-requisitos antes de configurar a VPN por aplicação no Intune.

Para provar a identidade, o servidor VPN apresenta o certificado que tem de ser aceite sem um pedido pelo dispositivo. Para confirmar a aprovação automática do certificado, crie um perfil de certificado de confiança. Este perfil de certificado fidedigno deve incluir o certificado de raiz do servidor VPN emitido pela Autoridade de Certificação (CA).

Exportar o certificado e adicionar o CA

  1. No seu servidor VPN, abra a consola de administração.

  2. Confirme que o seu servidor VPN utiliza autenticação baseada em certificados.

  3. Exporte o ficheiro de certificado de raiz fidedigno. Tem uma .cer extensão, e adiciona-se quando se cria um perfil de certificado de confiança.

  4. Adicione o nome da AC que emitiu o certificado para autenticação ao servidor VPN.

    Se a AC apresentada pelo dispositivo corresponder a um CA na lista de CA Fidedigna no servidor VPN, então o servidor VPN autentica com sucesso o dispositivo.

Criar um grupo para os utilizadores de VPN

Criar ou escolher um grupo existente em Azure Ative Directory (Azure AD). Este grupo deve incluir os utilizadores ou dispositivos que utilizarão VPN por aplicação. Para criar um novo grupo, consulte grupos Adicionais para organizar utilizadores e dispositivos.

Criar um perfil de certificado fidedigno

Importe o certificado de raiz do servidor VPN emitido pela AC para um perfil criado no Intune. O perfil de certificado fidedigno instrui o dispositivo iOS/iPadOS a confiar automaticamente no CA que o servidor VPN apresenta.

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione perfis > de configuração de dispositivos > Criar perfil.

  3. Introduza as seguintes propriedades:

    • Plataforma: Selecione iOS/iPadOS.
    • Perfil: Selecione Certificado de Confiança.

  4. Selecione Criar.

  5. No Básico, insira as seguintes propriedades:

    • Nome: Introduza um nome descritivo para o perfil. Atribua nomes aos perfis de forma que possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é perfil VPN de certificado fidedigno iOS/iPadOS para toda a empresa.
    • Descrição: Introduza uma descrição para o perfil. Esta definição é opcional, mas recomendada.

  6. Selecione Seguinte.

  7. Nas definições de Configuração, selecione o ícone da pasta e navegue no certificado VPN .cer (ficheiro) que exportou a partir da sua consola de administração VPN.

  8. Selecione Next, e continue a criar o seu perfil. Para obter mais informações, consulte Criar um perfil VPN.

    Crie um perfil de certificado de confiança para dispositivos iOS/iPadOS no centro de administração Microsoft Intune e Endpoint Manager.

Criar um perfil de certificado SCEP ou PKCS

O perfil de certificado de raiz fidedigno permite que o dispositivo confie automaticamente no Servidor VPN. O certificado SCEP ou PKCS fornece credenciais do cliente VPN iOS/iPadOS para o servidor VPN. O certificado permite que o dispositivo autenha silenciosamente sem solicitar um nome de utilizador e senha.

Para configurar e atribuir o certificado de autenticação do cliente, consulte um dos seguintes artigos:

Certifique-se de configurar o certificado para a autenticação do cliente. Pode definir a autenticação do cliente diretamente nos perfis de certificado SCEP (Lista de utilização de chaves alargada > autenticação do Cliente). Para pkcs, definir a autenticação do cliente no modelo de certificado na autoridade de certificados (CA).

Crie um perfil de certificado SCEP no centro de administração Microsoft Intune e Endpoint Manager. Inclua o formato do nome do sujeito, a utilização da chave, o uso prolongado da chave, e muito mais.

Criar um perfil de VPN por aplicação

Este perfil VPN inclui o certificado SCEP ou PKCS que tem as credenciais de cliente, as informações de ligação VPN e a bandeira VPN por aplicação que permite a VPN por aplicação utilizada pela aplicação iOS/iPadOS.

  1. No centro de administração Microsoft Endpoint Manager,selecione perfis de configuração de > dispositivos > Crie o perfil.

  2. Selecione perfis > de configuração de dispositivos > Criar perfil.

  3. Introduza as seguintes propriedades:

    • Plataforma: Selecione iOS/iPadOS.
    • Perfil: Selecione VPN.

  4. Selecione Criar.

  5. No Básico, insira as seguintes propriedades:

    • Nome: Introduza um nome descritivo para o perfil personalizado. Atribua nomes aos perfis de forma que possa identificá-los facilmente mais tarde. Por exemplo, um bom nome de perfil é o perfil VPN iOS/iPadOS por aplicação para o myApp.
    • Descrição: Introduza uma descrição para o perfil. Esta definição é opcional, mas recomendada.

  6. Nas definições de configuração, configure as seguintes definições:

    • Tipo de ligação: Selecione a sua aplicação de cliente VPN.

    • Base VPN: Configure as suas definições. As definições de VPN iOS/iPadOS descrevem todas as definições. Ao utilizar a VPN por aplicação, certifique-se de que configura as seguintes propriedades como listado:

      • Método de autenticação: Selecione Certificados.
      • Certificado de autenticação: Selecione um certificado SCEP ou PKCS existente > OK.
      • Túnel dividido: Selecione Desativar para forçar todo o tráfego a utilizar o túnel VPN quando a ligação VPN estiver ativa.

      Num perfil VPN por aplicação, introduza uma ligação, endereço IP ou FQDN, método de autenticação e túneis divididos em Microsoft Intune e Endpoint Manager centro de administração.

      Para obter informações sobre as outras definições, consulte as definições de VPN iOS/iPadOS.

    • VPN > automático Tipo de VPN > automático VPN por aplicação

      No Centro de Administração Intune e Endpoint Manager, defina a VPN Automática para VPN por aplicação em dispositivos iOS/iPadOS.

  7. Selecione Next, e continue a criar o seu perfil. Para obter mais informações, consulte Criar um perfil VPN.

Associar uma aplicação ao perfil VPN

Depois de adicionar o perfil VPN, associe a aplicação e o grupo do Azure AD ao perfil.

  1. No centro de administração Microsoft Endpoint Manager,selecione > Aplicações Todas as aplicações.

  2. Selecione uma aplicação da lista > Edição > de atribuições de propriedades. >

  3. Aceda à secção de dispositivos inscritos ou obrigatória.

  4. Selecione adicionar > Selecione o grupo que criou (neste artigo) > Select.

  5. Nas VPNs, selecione o perfil VPN por aplicação que criou (neste artigo).

    Atribua uma aplicação ao perfil VPN por aplicação no centro de administração Microsoft Intune e Endpoint Manager.

  6. Selecione OK > Save.

Quando existem todas as seguintes condições, uma associação entre uma aplicação e um perfil é removida durante o próximo check-in do dispositivo:

  • A aplicação foi alvo com a intenção de instalação necessária.
  • O perfil e a aplicação são atribuídos ao mesmo grupo.
  • Removeu a configuração da VPN por aplicação da atribuição de aplicações.

Quando existem todas as seguintes condições, uma associação entre uma app e um perfil permanece até que o utilizador solicite uma reinstalação a partir da aplicação Portal da Empresa:

  • A aplicação foi direcionada com a intenção de instalação disponível.
  • O perfil e a aplicação são atribuídos ao mesmo grupo.
  • O utilizador final solicitou a instalação da aplicação na aplicação Portal da Empresa. Este pedido resulta na instalação da app e do perfil no dispositivo.
  • Removeu ou alterou a configuração da VPN por aplicação da atribuição de aplicações.

Verifique a ligação no dispositivo iOS/iPadOS

Com a configuração de VPN por aplicação associada à sua aplicação, verifique se a ligação funciona a partir de um dispositivo.

Antes de tentar estabelecer ligação

  • Certifique-se de que implementa todas as políticas descritas neste artigo para o mesmo grupo. Caso contrário, a experiência VPN por aplicação não funcionará.
  • Se estiver a usar a aplicação Pulse Secure VPN ou uma aplicação personalizada para clientes VPN, então pode optar por utilizar o túnel de camada de aplicativo ou de camada de pacote. Para fazer túneis de camadas de aplicativos, deite o valor do ProviderType para app-proxy. Para fazer túneis de camada de pacote, deite o valor do FornecedorType no túnel do pacote. Consulte a documentação do seu fornecedor VPN para se certificar de que está a utilizar o valor correto.

Estabelecer ligação com a VPN por aplicação

Verifique a experiência sem contacto ao estabelecer ligação sem ter de selecionar a VPN ou escrever as suas credenciais. A experiência sem contacto significa que:

  • O dispositivo não lhe pede para confiar no servidor VPN. Ou seja, o utilizador não vê a caixa de diálogo Dynamic Trust.
  • O utilizador não tem de introduzir credenciais.
  • Quando o utilizador abre uma das aplicações associadas, o dispositivo do utilizador está ligado à VPN.

Passos seguintes