Definições de dispositivos Android Enterprise para configurar a VPN no Intune

Este artigo descreve as diferentes definições de ligação VPN que pode controlar em dispositivos Android Enterprise. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para criar uma ligação VPN, escolha a forma como a VPN se autentica, selecione um tipo de servidor VPN e muito mais.

Esse recurso aplica-se a:

• Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho (BYOD)
• Perfil de trabalho de propriedade corporativa do Android Enterprise (COPE)
• Dispositivos Android Enterprise totalmente gerenciados de propriedade corporativa (COBO)
• Dispositivos Android Enterprise dedicados de propriedade corporativa (COSU)

Como administrador do Intune, pode criar e atribuir definições de VPN a dispositivos Android Enterprise. Para saber mais sobre perfis VPN no Intune, veja Perfis de VPN.

Observação

Para configurar a VPN sempre ativada, tem de:

1. Crie um perfil VPN com as suas informações de ligação, conforme descrito neste artigo.
2. Crie um perfil de restrições de dispositivos com a definição de VPN Always-on configurada.
3. Atribua ambos os perfis aos seus grupos.

Antes de começar

• Criar um perfil de configuração de dispositivo VPN do Android Enterprise:

  • Perfil de trabalho totalmente gerido, dedicado e pertencente à empresa
  • Perfil de trabalho de propriedade pessoal

• Alguns serviços do Microsoft 365, como o Outlook, podem não ter um bom desempenho com VPNs de terceiros ou parceiros. Se estiver a utilizar uma VPN de terceiros ou parceiro e tiver um problema de latência ou desempenho, remova a VPN.

  Se remover a VPN resolver o comportamento, pode:

  • Trabalhe com a VPN de terceiros ou parceiro para obter possíveis resoluções. A Microsoft não fornece suporte técnico para VPNs de terceiros ou parceiros.
  • Não utilize uma VPN com tráfego do Outlook.
  • Se precisar de utilizar uma VPN, utilize uma VPN de túnel dividido. Além disso, permita que o tráfego do Outlook ignore a VPN.

  Para obter mais informações, confira:

  • Descrição geral: túnel dividido de VPN para o Microsoft 365
  • Utilizar dispositivos de rede de terceiros ou soluções com o Microsoft 365
  • Formas alternativas para profissionais de segurança e TI alcançarem controlos de segurança modernos no blogue de cenários de trabalho remoto exclusivos de hoje
  • Princípios de conectividade de rede do Microsoft 365

• Se precisar que estes dispositivos acedam aos recursos no local através da autenticação moderna e do Acesso Condicional, pode utilizar o Túnel Microsoft, que suporta a divisão de túneis.

Perfil de Trabalho Totalmente Gerido, Dedicado e Corporate-Owned

• Tipo de ligação: selecione o tipo de ligação VPN. Suas opções:

  • Cisco AnyConnect
  • SonicWall Mobile Connect
  • F5 Access
  • Pulse Secure
  • Microsoft Tunnel (Não suportado em dispositivos dedicados do Android Enterprise.)

As definições disponíveis dependem do cliente VPN que escolher. Algumas definições só estão disponíveis para clientes VPN específicos.

VPN base (perfil de trabalho totalmente gerido, dedicado e pertencente à empresa)

• Nome da ligação: introduza um nome para esta ligação. Os utilizadores finais veem este nome quando procuram as ligações VPN disponíveis no dispositivo. Por exemplo, digite Contoso VPN.

• Endereço do servidor VPN ou FQDN: introduza o endereço IP ou o nome de domínio completamente qualificado (FQDN) do servidor VPN que os dispositivos ligam. Por exemplo, introduza 192.168.1.1 ou vpn.contoso.com.

• Método de autenticação: escolha a forma como os dispositivos se autenticam no servidor VPN. Suas opções:

  • Certificados: selecione um perfil de certificado SCEP ou PKCS existente que autentique a ligação. Configurar certificados lista os passos para criar um perfil de certificado.

  • Nome de utilizador e palavra-passe: quando os utilizadores finais iniciam sessão no servidor VPN, é pedido aos utilizadores que introduzam o respetivo nome de utilizador e palavra-passe.

  • Credencial derivada: utilize um certificado derivado do smart card de um utilizador. Se não estiver configurado nenhum emissor de credenciais derivado, o Intune pede-lhe para adicionar um.

    Para obter mais informações, veja Utilizar credenciais derivadas no Intune.

• Introduza pares chave e valor para os atributos VPN do NetMotion Mobility: Adicione ou importe Chaves e Valores que personalizam a sua ligação VPN. Normalmente, estes valores são fornecidos pelo seu fornecedor de VPN.

• Site do Microsoft Tunnel (apenas Microsoft Tunnel): selecione um site existente. O cliente VPN liga-se ao endereço IP público ou FQDN deste site.

  Para obter mais informações, veja Microsoft Tunnel for Intune (Túnel microsoft para o Intune).

VPN por aplicação (perfil de trabalho totalmente gerido, dedicado e pertencente à empresa)

• Adicionar: selecione aplicações geridas na lista. Quando os utilizadores iniciam as aplicações que adiciona, o tráfego encaminha automaticamente através da ligação VPN.

Para obter mais informações, veja Utilizar uma VPN e uma política de VPN por aplicação em dispositivos Android Enterprise.

VPN sempre ativada (perfil de trabalho totalmente gerido, dedicado e pertencente à empresa)

• VPN sempre ativada: ative a VPN sempre ativada para que os clientes VPN se liguem e voltem a ligar automaticamente à VPN sempre que possível. Quando definido como Não configurado, o Intune não altera nem atualiza esta definição. Por predefinição, a VPN sempre ativada pode estar desativada para todos os clientes VPN.

  Apenas um cliente VPN pode ser configurado para VPN sempre ativada num dispositivo. Certifique-se de que não tem mais do que uma política de VPN sempre ativada implementada num único dispositivo.

Proxy (perfil de trabalho totalmente gerido, dedicado e pertencente à empresa)

• Script de configuração automática: utilize um ficheiro para configurar o servidor proxy. Introduza o URL do servidor proxy que inclui o ficheiro de configuração. Por exemplo, digite http://proxy.contoso.com/pac.
• Endereço: introduza o endereço IP ou o nome de anfitrião completamente qualificado do servidor proxy. Por exemplo, introduza 10.0.0.3 ou vpn.contoso.com.
• Número da porta: introduza o número de porta associado ao servidor proxy. Por exemplo, digite 8080.

Perfil de trabalho de propriedade pessoal

• Tipo de ligação: selecione o tipo de ligação VPN. Suas opções:

  • Check Point Capsule VPN

  • Cisco AnyConnect

    Observação

    Com o Cisco AnyConnect no perfil de trabalho pessoal, podem existir alguns passos adicionais para os utilizadores finais concluírem a ligação VPN. Para obter mais informações, aceda a Perfis VPN – o aspeto dos perfis VPN com êxito.

  • SonicWall Mobile Connect

  • F5 Access

  • Pulse Secure

  • NetMotion Mobility

  • Microsoft Tunnel

As definições disponíveis dependem do cliente VPN que escolher. Algumas definições só estão disponíveis para clientes VPN específicos.

VPN base (perfil de trabalho pessoal)

• Nome da ligação: introduza um nome para esta ligação. Os utilizadores finais veem este nome quando procuram as ligações VPN disponíveis no dispositivo. Por exemplo, digite Contoso VPN.

• Endereço do servidor VPN: introduza o endereço IP ou o nome de domínio completamente qualificado (FQDN) do servidor VPN que os dispositivos ligam. Por exemplo, introduza 192.168.1.1 ou vpn.contoso.com.

• Método de autenticação: escolha a forma como os dispositivos se autenticam no servidor VPN. Suas opções:

  • Certificados: selecione um perfil de certificado SCEP ou PKCS existente que autentique a ligação. Configurar certificados lista os passos para criar um perfil de certificado.

  • Nome de utilizador e palavra-passe: quando os utilizadores finais iniciam sessão no servidor VPN, é pedido aos utilizadores que introduzam o respetivo nome de utilizador e palavra-passe.

  • Credencial derivada: utilize um certificado derivado do smart card de um utilizador. Se não estiver configurado nenhum emissor de credenciais derivado, o Intune pede-lhe para adicionar um.

    Para obter mais informações, veja Utilizar credenciais derivadas no Intune.

• Impressão Digital (apenas VPN Check Point Capsule): introduza a cadeia de impressões digitais que lhe foi dada pelo fornecedor de VPN, como Contoso Fingerprint Code. Esta impressão digital verifica se o servidor VPN é fidedigno.

  Ao autenticar, é enviada uma impressão digital para o cliente para que o cliente confie em qualquer servidor que tenha a mesma impressão digital. Se o dispositivo não tiver a impressão digital, pede ao utilizador para confiar no servidor VPN enquanto mostra a impressão digital. O utilizador verifica manualmente a impressão digital e opta por confiar para se ligar.

• Introduza pares chave e valor para os atributos VPN do NetMotion Mobility: Adicione ou importe Chaves e Valores que personalizam a sua ligação VPN. Normalmente, estes valores são fornecidos pelo seu fornecedor de VPN.

• Site do Microsoft Tunnel (apenas Microsoft Tunnel): selecione um site existente. O cliente VPN liga-se ao endereço IP público ou FQDN deste site.

  Para obter mais informações, veja Microsoft Tunnel for Intune (Túnel microsoft para o Intune).

VPN por aplicação (perfil de trabalho pessoal)

• Adicionar: selecione aplicações geridas na lista. Quando os utilizadores iniciam as aplicações que adiciona, o tráfego encaminha automaticamente através da ligação VPN.

Para obter mais informações, veja Utilizar uma VPN e uma política de VPN por aplicação em dispositivos Android Enterprise.

VPN Sempre Ativada (perfil de trabalho pessoal)

• VPN sempre ativada: ative a VPN sempre ativada para que os clientes VPN se liguem e voltem a ligar automaticamente à VPN sempre que possível. Quando definido como Não configurado, o Intune não altera nem atualiza esta definição. Por predefinição, a VPN sempre ativada pode estar desativada para todos os clientes VPN.

  Apenas um cliente VPN pode ser configurado para VPN sempre ativada num dispositivo. Certifique-se de que não tem mais do que uma política de VPN sempre ativada implementada num único dispositivo.

Proxy (perfil de trabalho pessoal)

• Script de configuração automática: utilize um ficheiro para configurar o servidor proxy. Introduza o URL do servidor proxy que inclui o ficheiro de configuração. Por exemplo, digite http://proxy.contoso.com/pac.
• Endereço: introduza o endereço IP ou o nome de anfitrião completamente qualificado do servidor proxy. Por exemplo, introduza 10.0.0.3 ou vpn.contoso.com.
• Número da porta: introduza o número de porta associado ao servidor proxy. Por exemplo, digite 8080.

Artigos relacionados

• Atribuir o perfil e monitorar seu status.

• Crie perfis VPN para administrador de dispositivos Android, iOS/iPadOS, macOS e Windows 10 e posterior.

• Saiba como Resolver problemas de perfis VPN no Microsoft Intune.