Criar perfis VPN para se conectar a servidores VPN no Microsoft Intune

Importante

Em 22 de outubro de 2022, o Microsoft Intune encerrou o suporte para dispositivos que executam o Windows 8.1. A assistência técnica e as atualizações automáticas para esses dispositivos não estão disponíveis.

Se utilizar atualmente o Windows 8.1, mude para dispositivos Windows 10/11. O Microsoft Intune tem recursos internos de segurança e dispositivos que gerenciam dispositivos clientes Windows 10/11.

Importante

O Microsoft Intune vai terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.

As VPNs proporcionam para os usuários um acesso remoto seguro à rede da empresa. Os dispositivos usam um perfil de conexão VPN para iniciar uma conexão com o servidor VPN. Os perfis de VPN no Microsoft Intune atribuem configurações de VPN a usuários e dispositivos na sua organização. Use essas configurações para que os usuários possam se conectar com facilidade e segurança à sua rede organizacional.

Esse recurso aplica-se a:

• Administrador de dispositivo Android
• Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
• iOS/iPadOS
• macOS
• Windows 10
• Windows 11
• Windows 8.1 e mais recente

Por exemplo, se você quiser definir todos os dispositivos iOS/iPadOS com as configurações necessárias para se conectar a um compartilhamento de arquivo na rede da empresa. Crie um perfil VPN que inclui essas configurações. Atribua esse perfil a todos os usuários que têm dispositivos iOS/iPadOS. Os usuários veem a conexão VPN na lista de redes disponíveis e podem se conectar com esforço mínimo.

Este artigo lista os aplicativos VPN que você pode usar, mostra como criar um perfil VPN e inclui orientação sobre como protegê-lo. Você deve implantar o aplicativo VPN antes de criar seu perfil. Se precisar de ajuda para implementar aplicações com o Microsoft Intune, aceda a O que é a gestão de aplicações no Microsoft Intune?.

Antes de começar

• Os perfis VPN para um túnel de dispositivo são compatíveis em Áreas de trabalho remotas multissessão do Windows 10/11 Enterprise.

• Se você usar a autenticação baseada em certificado para o perfil de VPN, implante o perfil de VPN, o perfil de certificado e o perfil raiz confiável nos mesmos grupos. Essa etapa garante que cada dispositivo possa reconhecer a legitimidade da sua autoridade de certificação. Para obter mais informações, aceda a Como configurar certificados com o Microsoft Intune.

• O registro do usuário para iOS/iPadOS e macOS dá suporte apenas a VPN por aplicativo.

• Você pode usar políticas de configuração personalizadas do Microsoft Intune para criar perfis VPN para as seguintes plataformas:

  • Android 4 e posterior
  • Dispositivos registrados que executam o Windows 8.1 e versões posteriores
  • Dispositivos registrados que executam o Windows 10/11
  • Windows Holographic for Business

• Para dispositivos Windows 11, existe um problema entre o cliente windows 11 e o CSP VPNv2 do Windows.

  Um dispositivo com um ou mais perfis VPN do Intune perde sua conectividade VPN quando o dispositivo processa várias alterações em perfis VPN para o dispositivo simultaneamente. Quando o dispositivo faz check-in no Intune pela segunda vez, ele processa as alterações de perfil VPN e a conectividade é restaurada.

  As seguintes alterações podem causar uma perda de funcionalidade de VPN:

  • Altere ou atualize um perfil VPN existente que tenha sido processado anteriormente pelo dispositivo Windows 11. Essa ação exclui o perfil original e aplica o perfil atualizado.
  • Dois novos perfis VPN se aplicam ao dispositivo ao mesmo tempo.
  • Um perfil VPN ativo é removido ao mesmo tempo em que um novo perfil VPN é atribuído.

  Este problema não se aplica e a conectividade VPN permanece nos seguintes cenários:

  • Um dispositivo Windows 11 não tem um perfil VPN existente atribuído e os dispositivos recebem um perfil VPN do Intune.

  • Os dispositivos Windows 11 têm um perfil VPN existente atribuído e é-lhe atribuído outro perfil VPN sem outras alterações de perfil.

  • Um dispositivo Windows 10 é atualizado para o Windows 11 e não existem alterações aos perfis VPN desse dispositivo. Após a atualização para o Windows 11, qualquer alteração nos perfis VPN dos dispositivos ou a adição de novos perfis VPN disparará o problema.

  • O Windows 11 requer que:

    • Todas as definições de Parâmetros de Associação de Segurança IKE e Parâmetros de Associação de Segurança Subordinada estão configuradas

      OU

    • Nenhuma das definições parâmetros de associação de segurança IKE e parâmetros de associação de segurança subordinada estão configuradas

    Se configurar apenas uma das definições de Parâmetros de Associação de Segurança IKE ou Parâmetros de Associação de Segurança Subordinada, significa que existe uma perda de funcionalidade de VPN.

Passo 1 – Implementar a sua aplicação VPN

Antes de poder utilizar perfis VPN atribuídos a um dispositivo, tem de instalar a aplicação VPN. Esta aplicação VPN liga-se ao servidor VPN.

Existem diferentes aplicações VPN disponíveis. Em dispositivos de utilizador, implementa a aplicação VPN que a sua organização utiliza. Após a implementação da aplicação VPN, cria e implementa um perfil de configuração de dispositivo VPN que configura as definições do servidor VPN, incluindo o nome do servidor VPN (ou FQDN) e o método de autenticação.

Algumas plataformas e aplicações VPN requerem uma política de configuração de aplicações para pré-configurar a aplicação VPN, em vez de um perfil de configuração de dispositivo VPN. Esta secção também lista as plataformas e as aplicações VPN que têm de utilizar uma política de configuração de aplicações.

Para o ajudar a atribuir a aplicação com o Intune, aceda a Adicionar aplicações ao Microsoft Intune.

Tipos de conexão VPN

Pode criar perfis VPN com os seguintes tipos de ligação VPN:

• Automático

  • Windows 10/11

• Check Point Capsule VPN

  • Administrador de dispositivo Android
  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
  • No perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• Cisco AnyConnect

  • Administrador de dispositivo Android
  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
  • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11

• Cisco (IPSec)

  • iOS/iPadOS

• SSO da Citrix

  • Administrador de dispositivo Android
  • Em dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho, use a política de configuração do aplicativo
  • Em perfis de trabalho totalmente gerenciados e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
  • iOS/iPadOS
  • Windows 10/11

• VPN personalizado

  • iOS/iPadOS
  • macOS

  Crie perfis de VPN personalizados usando configurações de URI em Criar um perfil com configurações personalizadas.

• F5 Access

  • Administrador de dispositivo Android
  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
  • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• IKEv2

  • iOS/iPadOS
  • Windows 10/11

• L2TP

  • Windows 10/11

• Microsoft Tunnel

  • Dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho
  • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
  • iOS/iPadOS

• NetMotion Mobility

  • Dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho
  • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
  • iOS/iPadOS
  • macOS

• Palo Alto Networks GlobalProtect

  • Em dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho, use a política de configuração do aplicativo
  • No perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
  • iOS/iPadOS
  • Windows 10/11

• PPTP

  • Windows 10/11

• Pulse Secure

  • Administrador de dispositivo Android
  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
  • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
  • iOS/iPadOS
  • Windows 10/11
  • Windows 8.1

• SonicWall Mobile Connect

  • Administrador de dispositivo Android
  • Dispositivos Android Enterprise de propriedade pessoal com um perfil de trabalho
  • Perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• Zscaler

  • Em dispositivos de propriedade pessoal do Android Enterprise com um perfil de trabalho, use a política de configuração do aplicativo
  • No perfil de trabalho totalmente gerenciado e de propriedade corporativa do Android Enterprise, use a política de configuração do aplicativo
  • iOS/iPadOS

Passo 2 – Criar o perfil

Depois de a aplicação VPN ser atribuída ao dispositivo, este passo seguinte cria a política de configuração do dispositivo que configura a ligação VPN. Se o tipo de ligação da aplicação VPN utilizar uma política de configuração de aplicação para configurar a aplicação, ignore este passo.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Dispositivos>Dispositivos gerenciados>Configuração>Criar>Nova política.

3. Insira as seguintes propriedades:

   • Plataforma: escolha a plataforma dos dispositivos. Suas opções:
     • Administrador de dispositivo Android
     • Perfil de Trabalho Totalmente Gerenciado, Dedicado e de Propriedade Corporativa> do Android Enterprise
     • Android Enterprise>Perfil de trabalho de propriedade pessoal
     • iOS/iPadOS
     • macOS
     • Windows 10 e posterior
     • Windows 8.1 e posterior
   • Tipo de perfil: selecione VPN. Ou selecione Modelos>VPN.

4. Selecionar Criar.

5. Em Noções básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para o perfil. Nomeie seus perfis para que você possa identificá-los facilmente mais tarde. Por exemplo, um nome ideal de perfil é Perfil VPN para toda a empresa.
   • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

6. Selecione Avançar.

7. Em Definições de configuração, dependendo da plataforma escolhida, as configurações que podem ser definidas são diferentes. Selecione sua plataforma para obter as configurações detalhadas:

   • Administrador de dispositivo Android
   • Android Enterprise
   • iOS/iPadOS
   • macOS
   • Windows 10 (incluindo o Windows Holographic for Business)
   • Windows 8.1

8. Selecione Avançar.

9. Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre etiquetas de âmbito, aceda a Utilizar RBAC e etiquetas de âmbito para TI distribuídas.

   Selecione Avançar.

10. Em Atribuições, selecione o utilizador ou grupos que recebem o seu perfil. Para obter mais informações sobre a atribuição de perfis, aceda a Atribuir perfis de utilizador e de dispositivo.

    Selecione Avançar.

11. Em Examinar + criar, examine as configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Proteger perfis VPN

Perfis VPN podem usar vários tipos de conexão e protocolos diferentes, de fabricantes diferentes. Essas conexões geralmente são protegidas por meio dos métodos a seguir.

Certificados

Ao criar o perfil VPN, escolha um perfil de certificado SCEP ou PKCS criado anteriormente no Intune. Esse perfil é conhecido como certificado de identidade. Ele é usado para autenticar um perfil de certificado confiável (ou certificado raiz) que você criou para permitir que o dispositivo do usuário consiga se conectar. O certificado confiável é atribuído ao computador que autentica a conexão VPN, em geral, o servidor VPN.

Se você usar a autenticação baseada em certificado para o perfil de VPN, implante o perfil de VPN, o perfil de certificado e o perfil raiz confiável nos mesmos grupos. Essa atribuição garante que cada dispositivo reconheça a legitimidade de sua autoridade de certificação.

Para obter mais informações sobre como criar e utilizar perfis de certificado no Intune, aceda a Como configurar certificados com o Microsoft Intune.

Observação

Os certificados adicionados usando o perfil Certificado importado PKCS não têm suporte para autenticação de VPN. Os certificados adicionados usando o perfil Certificados PKCS têm suporte para autenticação de VPN.

Nome e senha do usuário

O usuário se autentica no servidor VPN fornecendo o nome de usuário e a senha ou credenciais derivadas.

Próximas etapas

• Atribuir o perfil e monitorar seu status.
• Você também pode criar e usar VPNs por aplicativo em dispositivos Administrador do dispositivo Android/Android Enterprise e iOS/iPadOS.