Configure o Túnel da Microsoft para Intune

A configuração do gateway VPN do Túnel da Microsoft para Microsoft Intune é um processo em várias etapas. O processo inclui o uso do centro de administração Microsoft Endpoint Manager e a execução de um script para instalar o software do túnel num servidor Linux, que deve executar Docker. Enquanto este artigo o percorre através dos passos para configurar o Túnel da Microsoft para uso, a configuração de Linux e Docker está fora do âmbito deste conteúdo.

Ao instalar o Túnel da Microsoft, iniciará no centro de administração Microsoft Endpoint Manager para definir servidores e sites. Depois, executou o script de instalação do túnel num servidor Linux que tem o Docker instalado. O script instala contentores para suportar o servidor do túnel, retira informações do Intune sobre os sítios do túnel que definiu para o seu inquilino e, em seguida, instala o servidor do túnel. O servidor Linux pode funcionar no local ou na nuvem. Dependendo do seu ambiente e infraestrutura, configurações e software extra, como o Azure ExpressRoute, podem ser necessários.

Antes de continuar, certifique-se de completar as seguintes tarefas:

• Rever e configurar pré-requisitos para o Túnel da Microsoft.
• Executar a ferramenta de prontidão do Túnel microsoft para confirmar que o seu ambiente está pronto para suportar a utilização do túnel.

Depois de os seus pré-requisitos estarem prontos, volte a este artigo para iniciar a instalação e configuração do túnel.

Criar uma configuração do Servidor

A utilização de uma configuração do Servidor permite criar uma configuração uma única vez e ter essa configuração utilizada por vários servidores. A configuração inclui intervalos de endereços IP, servidores DNS e regras de túneis divididos. Mais tarde, atribuirá uma configuração do Servidor a um Site, que aplica automaticamente essa configuração a cada servidor que se junta a esse Site.

Para criar uma configuração do Servidor

1. Iniciar sessão para Microsoft Endpoint Manager administração do centro de > administração > O Microsoft Tunnel Gateway > seleciona o separador configurações do Servidor Criar > novo.

2. No separador Básicos, introduza um Nome e Descrição (opcional) e selecione Seguinte.

3. No separador Definições, configuure os seguintes itens:

   • Intervalo de endereços IP: Os endereços IP dentro desta gama são alugados a dispositivos quando se ligam ao Portal do Túnel. Por exemplo, 169.254.0.0/16.

   • Servidores DNS: Estes servidores são utilizados quando um pedido de DNS provém de um dispositivo que está ligado ao Portal do Túnel.

     Importante

     Para suportar o Android Enterprise no seu ambiente quando também satisfaz as seguintes condições, deve incluir o endereço IP de um servidor DNS acessível ao público, como 1.1.1.1.1, nas configurações do servidor Tunnel Gateway. As condições:

     • Utilize o Microsoft Defender para o Endpoint para a funcionalidade Defender para o Endpoint e para o Microsoft Tunnel.
     • Usa VPN por aplicação.

     Esta adição de um servidor DNS acessível ao público impede problemas de ligação ao Intune e para aplicações não ativadas para VPN por aplicação.

   • Pesquisa de sufixo DNS (opcional): Este domínio é fornecido aos clientes como domínio predefinido quando se ligam ao Portal do Túnel.

   • Túneis divididos (opcional): Incluir ou excluir endereços. Os endereços incluídos são encaminhados para o Portal do Túnel. Os endereços excluídos não são encaminhados para o Túnel Gateway. Por exemplo, pode configurar uma regra de inclusão para 255.255.0.0 ou 192.168.0.0/16.

     A divisão de túneis suporta um total de 500 regras entre incluir e excluir regras. Por exemplo, se configurar 300 regras, só pode ter 200 regras de exclusão.

   • Porta do servidor: Introduza a porta que o servidor ouve para obter ligações.

4. No separador 'Rever +' criar, rever a configuração e, em seguida, selecionar Criar para o guardar.

Criar um Site

Os sites são grupos lógicos de servidores que hospedam o Túnel da Microsoft. Irá atribuir uma configuração de Servidor a cada Site que criar. Esta configuração é aplicada a cada servidor que se junta ao Site.

Para criar uma configuração do Site

1. Inscreva-se para Microsoft Endpoint Manager centro de > administração Administração do centro de > administração Microsoft Tunnel Gateway > selecione o separador Sites > Criar.

2. No painel de criação de um local, especifique as seguintes propriedades:

   • Nome: Introduza um nome para este Site.

   • Descrição (opcional)

   • Endereço IP público ou FQDN: Especifique um endereço IP público ou FQDN, que é o ponto de ligação para dispositivos que utilizam o túnel. Este endereço IP ou FQDN pode identificar um servidor individual ou um servidor de equilíbrio de carga. O endereço IP ou FQDN deve ser resolúvel em DNS público e o endereço IP resolvido deve ser publicamente roteado.

   • Configuração do servidor: Utilize o drop-down para selecionar uma configuração do servidor para associar a este Site.

   • URL para verificação interna do acesso à rede: Especifique um URL HTTP ou HTTPS para uma localização na sua rede interna. A cada cinco minutos, cada servidor que for designado para este site tentará aceder ao URL para confirmar que pode aceder à sua rede interna. Os servidores reportam o estado desta verificação como acessibilidade interna da rede no separador de verificação de saúde dos servidores.

   • Atualizar automaticamente os servidores neste site: Se sim, os servidores atualizam automaticamente quando uma atualização está disponível. Se não, a atualização é manual e um administrador tem de aprovar uma atualização antes de poder iniciar.

     Para mais informações, consulte o Túnel da Microsoft.

   • Limitar as atualizações do servidor à janela de manutenção: Se sim, as atualizações do servidor para este site só podem começar entre a hora de início e o tempo de fim especificado. Deve haver pelo menos uma hora entre a hora de início e o fim. Quando definido para O, não há janela de manutenção e as atualizações começam o mais rapidamente possível, dependendo da configuração automática dos servidores neste site.

     Quando definido para Sim, configure as seguintes opções:

     • Fuso horário – O fuso horário selecionado determina quando a janela de manutenção começa e termina em todos os servidores do site, independentemente do fuso horário dos servidores individuais.
     • Hora de início – Especifique o horário mais antigo que o ciclo de atualização pode iniciar, com base no fuso horário selecionado.
     • Fim do tempo - Especifique a última hora em que o ciclo de atualização pode iniciar-se, com base no fuso horário selecionado. Os ciclos de atualização que começam antes deste tempo continuarão a funcionar e poderão ser concluídos após este tempo.

     Para mais informações, consulte o Túnel da Microsoft.

3. Selecione Criar para guardar o Site.

Instalar o Microsoft Tunnel Gateway

Antes de instalar o Microsoft Tunnel Gateway num servidor Linux, configuure o seu inquilino com pelo menos uma configuração do Servidore, em seguida, crie um Site. Mais tarde, irá especificar o Site a que um servidor se junta quando instalar o túnel nesse servidor.

Use o script para instalar o Túnel da Microsoft

1. Descarregue o script de instalação do Túnel da Microsoft utilizando um dos seguintes métodos:

   • Descarregue a ferramenta diretamente usando um navegador web. Vá https://aka.ms/microsofttunneldownload para descarregar o ficheiro mstunnel-setup.

   • Iniciar sessão para Microsoft Endpoint Manager administração do centro de > administração Do centro de administração > Microsoft Tunnel Gateway, selecione o separador Servidores, selecione Criar para abrir o painel de servidor e, em seguida, selecione Baixar o script.

     

   • Utilize um comando Linux para obter a ferramenta de preparação diretamente. Por exemplo, no servidor onde vai instalar o túnel, pode utilizar wget ou curl para abrir o link https://aka.ms/microsofttunneldownload .

     Por exemplo, para usar detalhes wget e log para configuração de mstunnel durante o download, executar wget --output-document=mstunnel-setup https://aka.ms/microsofttunneldownload

2. Para iniciar a instalação do servidor, execute o script como raiz. Por exemplo, pode utilizar a seguinte linha de comando: sudo chmod +x ./mstunnel-setup . O script instala sempre a versão mais recente do Microsoft Tunnel.

   Importante

   Para a nuvem do governo dos EUA, a linha de comando deve fazer referência ao ambiente de nuvens do governo. Para tal, executar os seguintes comands para adicionar intune_env=FXP à linha de comando:

   1. Executar sudo chmod +x ./mstunnel-setup
   2. Executar sudo intune_env=FXP ./mstunnel-setup

   Dica

   Se parar a instalação e o script, pode reiniciá-la executando novamente a linha de comando. A instalação continua de onde paraste.

   Quando inicia o script, descarrega imagens de contentores do Docker e cria pastas e ficheiros necessários no servidor.

   Durante a configuração, o script irá levá-lo a completar várias tarefas de administração.

3. Quando solicitado pelo script, aceite o contrato de licença (EULA).

4. Reveja e configuure variáveis nos seguintes ficheiros para apoiar o seu ambiente.

   • Arquivo ambiental: /etc/mstunnel/env.sh. Para obter mais informações sobre estas variáveis, consulte variáveis ambientais na referência para o artigo do Túnel da Microsoft.

5. Quando solicitado, copie toda a cadeia do seu ficheiro de certificado de segurança da camada de transporte (TLS) para o servidor Linux. O script apresenta a localização correta para utilizar no servidor Linux.

   O certificado TLS assegura a ligação entre os dispositivos que utilizam o túnel e o ponto final do Túnel Gateway. O certificado deve ter o endereço IPI ou FQDN do servidor Tunnel Gateway na sua SAN.

   A chave privada permanecerá disponível na máquina onde cria o pedido de assinatura de certificado para o certificado TLS. Este ficheiro deve ser exportado com o nome do site.key.

   Instale o certificado TLS e a chave privada. Utilize as seguintes orientações que correspondam ao seu formato de ficheiro:

   • PFX:

     • O nome do ficheiro de certificado deve ser site.pfx. Copie o ficheiro do certificado para /etc/mstunnel/private/site.pfx.

   • PEM:

     • A cadeia completa (raiz, intermediária, entidade final) deve estar num único ficheiro denominado site.crt. Se utilizar um certificado emitido por um fornecedor público como o Digicert, tem a opção de descarregar a cadeia completa como um único ficheiro .pem.

     • O nome do ficheiro do certificado deve ser *site.crt. Copie o certificado de corrente completo em /etc/mstunnel/certs/site.crt. Por exemplo: cp [full path to cert] /etc/mstunnel/certs/site.crt

       Em alternativa, crie um link para o certificado de cadeia completa em /etc/mstunnel/certs/site.crt. Por exemplo: ln -s [full path to cert] /etc/mstunnel/certs/site.crt

     • Copie o ficheiro de chave privada para /etc/mstunnel/private/site.key. Por exemplo: cp [full path to key] /etc/mstunnel/private/site.key

       Em alternativa, crie um link para o ficheiro chave privado em /etc/mstunnel/private/site.key. Por exemplo: ln -s [full path to key file] /etc/mstunnel/private/site.key Esta chave não deve ser encriptada com uma palavra-passe. O nome do ficheiro da chave privada deve ser o site.key.

6. Após a configuração instalar o certificado e criar os serviços Tunnel Gateway, é solicitado que faça sedutar e autenticar com o Intune. A conta de utilizador deve ter as funções de Administrador Intune ou Administrador Global atribuídas. A conta que utiliza para completar a autenticação deve ter uma licença Intune. As credenciais desta conta não são guardadas e são usadas apenas para o início de sinsução para Azure Ative Directory. Após a autenticação bem sucedida, os IDs/chaves secretas da aplicação Azure são utilizados para a autenticação entre o Gateway do Túnel e o Azure Ative Directory.

   Esta autenticação regista o Tunnel Gateway com Microsoft Endpoint Manager e o seu inquilino Intune.

   1. Abra um navegador web para https://Microsoft.com/devicelogin e introduza o código do dispositivo fornecido pelo script de instalação e, em seguida, inscreva-se com as suas credenciais de administração Intune.

   2. Depois de o Microsoft Tunnel Gateway se registar com o Intune, o script obtém informações sobre as configurações dos seus Sites e servidores a partir do Intune. Em seguida, o script pede-lhe para entrar no GUID do túnel Site que deseja que este servidor se junte. O script apresenta-lhe uma lista dos seus sites disponíveis.

   3. Depois de selecionar um Site, a configuração retira a configuração do Servidor para esse Site a partir do Intune e aplica-a ao seu novo servidor para completar a instalação do Túnel da Microsoft.

7. Após o fim do script de instalação, pode navegar no centro de administração Microsoft Endpoint Manager até ao separador Gateway do Túnel da Microsoft para visualizar o estado de alto nível do túnel. Também pode abrir o separador Estado de Saúde para confirmar que o servidor está online.

Implementar a aplicação de clientes do Microsoft Tunnel

Para utilizar o Túnel da Microsoft, os dispositivos precisam de acesso a uma aplicação de clientes do Microsoft Tunnel. Pode implementar a aplicação do cliente do túnel para dispositivos atribuindo-a aos utilizadores. Estão disponíveis as seguintes aplicações:

Android:

• Microsoft Defender for Endpoint - Descarregue o Microsoft Defender para endpoint para utilização como aplicação cliente do Microsoft Tunnel a partir da loja Google Play. Consulte as aplicações da loja Android para Microsoft Intune.

  Quando utilizar o Microsoft Defender para Endpoint como aplicação do cliente do túnel e como aplicação de defesa de ameaças móveis (MTD), consulte o Microsoft Defender para Endpoint para MTD e como a aplicação do cliente do Microsoft Tunnel para uma orientação de configuração importante.

iOS/iPadOS:

• Para iOS/iPadOS, descarregue a aplicação do cliente do Microsoft Tunnel a partir da Apple App Store. Consulte as aplicações da loja iOS para Microsoft Intune.

Para obter mais informações sobre a implementação de apps com o Intune, consulte adicionar aplicações para Microsoft Intune.

Criar um perfil da VPN

Depois de o Túnel da Microsoft instalar e os dispositivos instalarem a aplicação do cliente do Microsoft Tunnel, pode implementar perfis VPN para direcionar os dispositivos para utilizar o túnel. Para tal, irá criar perfis VPN com um dos seguintes tipos de ligação:

• Android: Túnel da Microsoft

  A plataforma Android suporta o encaminhamento de tráfego através de uma VPN por aplicação e regras de túneis divididas de forma independente, ou ao mesmo tempo.

  Nota

  Antes de apoiar a utilização do Microsoft Defender para Endpoint como app do cliente do túnel, uma aplicação de cliente de túnel autónomo estava disponível em pré-visualização e utilizou um tipo de ligação do Túnel microsoft (cliente autónomo). A partir de 14 de junho de 2021, tanto a app de túneis autónomos como o tipo de ligação autónoma ao cliente são depreciadas e retiradas do suporte após 26 de outubro de 2021.

• iOS/iPadOS: Túnel da Microsoft (cliente autónomo)

  A plataforma iOS suporta o tráfego de encaminhamento por uma VPN por aplicação ou por regras de túneis divididas, mas não ambas simultaneamente. Se ativar uma VPN por aplicação para iOS, as suas regras de túneis divididos são ignoradas.

Android

1. Iniciar sessão para Microsoft Endpoint Managerperfis de > configuração de dispositivos do centro > de administração Criar > perfil.

2. Para plataforma, selecione Android Enterprise. Para profile select VPN for Corporate-Owned Work Profile ou Personally-Owned Work Profile, e, em seguida, selecione Create.

   Nota

   Os dispositivos dedicados à Android Enterprise não são suportados pelo Túnel da Microsoft.

3. No separador Básicos, introduza um Nome e Descrição (opcional) e selecione Seguinte.

4. Para o tipo de ligação selecione o Túnel da Microsoft e, em seguida, configuure os seguintes detalhes:

   • VPN base:

     • Para o nome De Ligação, especifique um nome que irá apresentar aos utilizadores.
     • Para o Site do Túnel da Microsoft, selecione o site do túnel que este perfil VPN irá utilizar.

   • VPN por aplicação:

     • As aplicações que são atribuídas no perfil VPN por aplicação enviam tráfego de aplicações para o túnel.
     • No Android, o lançamento de uma aplicação não vai lançar a VPN por aplicação. No entanto, quando a VPN tiver VPN sempre ligado para ativar, a VPN já estará conectada e o tráfego de aplicações utilizará a VPN ativa. Se a VPN não estiver definida para ser sempre ligado, o utilizador deve iniciar manualmente a VPN antes de poder ser utilizada.
     • Para ativar uma VPN por aplicação, selecione Add e, em seguida, navegue para aplicações personalizadas ou públicas que importou para o Intune.

   • VPN always-on:

     • Para VPN always-on, selecione Ative para definir o cliente VPN para ligar e reconectar automaticamente à VPN. As ligações VPN sempre ligadas permanecem ligadas. Se a VPN por aplicação estiver definida para Ativar, apenas o tráfego de aplicações selecionadas passa pelo túnel.

   • Procuração:

     • Configure detalhes do servidor de procuração para o seu ambiente.

   Importante

   Não é possível utilizar a proteção web do Defender lado a lado com o Túnel se utilizar um representante interno com o Túnel, pois isso pode causar problemas de conectividade que impeçam o dispositivo de comunicar com o Intune. Desative a proteção web adicionando a definição antifamisa à secção de definições personalizadas no perfil VPN e definindo-a para 0.

   Para obter mais informações sobre as definições de VPN, consulte as definições do dispositivo Android Enterprise para configurar a VPN

   Importante

   Para dispositivos Android Enterprise que utilizem o Microsoft Defender para Endpoint como uma aplicação de cliente do Microsoft Tunnel e como uma aplicação MTD, deve utilizar as definições personalizadas para configurar o Microsoft Defender para Endpoint em vez de utilizar um perfil de configuração de aplicações separado. Se não pretender utilizar qualquer funcionalidade do Defender, incluindo proteção web, utilize definições personalizadas no perfil VPN e defina a definição de óculos de proteção para 0.

5. No separador Atribuições, configurar grupos que receberão este perfil.

6. No separador 'Rever +' criar, rever a configuração e, em seguida, selecionar Criar para o guardar.

iOS

1. Iniciar sessão no Microsoft Endpoint Manager configuração dodispositivo do centro > de > administração > Criar perfil.

2. Para plataforma, selecione iOS/iPadOS e, em seguida, para Profile select VPN, e, em seguida, Criar.

3. No separador Básicos, introduza um Nome e Descrição (opcional) e selecione Seguinte.

4. Para o tipo de ligação selecione o Túnel da Microsoft (cliente autónomo) e, em seguida, configuure os seguintes itens:

   • VPN base:

     • Para o nome De Ligação, especifique um nome que irá apresentar aos utilizadores.
     • Para o Site do Túnel da Microsoft, selecione o site do túnel que este perfil VPN irá utilizar.

   • VPN por aplicação:

     • Para ativar uma VPN por aplicação, selecione Enable. São necessários passos de configuração extra para VPNs por aplicação do iOS. Quando a VPN por aplicação está configurada, as suas regras de túneis divididos são ignoradas pelo iOS.

       Para obter mais informações, consulte a VPN Per-App para iOS/iPadOS.

   • Regras VPN a pedido:
     Defina regras a pedido que permitam a utilização da VPN quando estiverem reunidas as condições para endereços FQDNs ou IP específicos.

     Para mais informações, consulte as definições automáticas de VPN

   • Procuração:

     • Configure detalhes do servidor de procuração para o seu ambiente.

Utilize definições personalizadas para o Microsoft Defender para Endpoint

A Intune suporta o Microsoft Defender for Endpoint como uma aplicação MTD e como aplicação cliente do Microsoft Tunnel em dispositivos Android Enterprise. Se utilizar o Defender for Endpoint tanto para a aplicação do cliente do Microsoft Tunnel como como uma aplicação MTD, pode utilizar definições personalizadas no seu perfil VPN para o Microsoft Tunnel para simplificar as suas configurações. A utilização de definições personalizadas no perfil VPN substitui a necessidade de utilizar um perfil de configuração de aplicação separado.

Para dispositivos matriculados como perfil de trabalho pessoal do Android Enterprise que utilizam o Defender para ambos os fins, deve utilizar definições personalizadas em vez de um perfil de configuração de aplicações. Nestes dispositivos, o perfil de configuração da aplicação para Defender para Endpoint entra em conflito com o Túnel da Microsoft e pode impedir que o dispositivo se conecte ao Túnel da Microsoft.

Se utilizar o Microsoft Defender para o Ponto Final para MTD mas não para o Microsoft Tunnel, então continua a utilizar o perfil de configuração da aplicação para configurar o Microsoft Defender para o Endpoint.

Adicione suporte de configuração de aplicativos para Microsoft Defender para Endpoint a um perfil VPN para o Túnel da Microsoft

Utilize as seguintes informações para configurar as definições personalizadas num perfil VPN para configurar o Microsoft Defender for Endpoint em vez de um perfil de configuração de aplicações separados:

Chave de configuração	Tipo de valor	Valor de configuração	Informação sobre a configuração
VPN	Número inteiro	Opções: 1 – Ativar (predefinição) 0 – Desativar	Desaponte um para permitir que o Microsoft Defender para a capacidade anti-phishing endpoint utilize uma VPN local.
antifamisão	Número inteiro	Opções: 1 – Ativar (predefinição) 0 – Desativar	Configurar para ativar o Microsoft Defender para o anti-phishing endpoint. Quando desativado, a capacidade anti-phishing é desligada.
defendertoggle	Número inteiro	Opções: 1 – Ativar (predefinição) 0 – Desativar	Configurar para ativar a utilização do Microsoft Defender para Endpoint. Quando desativado, não existe nenhuma funcionalidade do Microsoft Defender para Endpoint.

Atualizar o túnel da Microsoft

Intune lança periodicamente atualizações para o servidor do Túnel microsoft. Para se manterem no suporte, os servidores dos túneis devem executar a versão mais recente, ou, no máximo, ser uma versão atrás.

Por predefinição, depois de uma nova atualização estar disponível, o Intune inicia automaticamente a atualização dos servidores dos túneis o mais rapidamente possível, em cada um dos seus sites de túneis. Para ajudá-lo a gerir upgrades, pode configurar opções que gerem o processo de upgrade:

• Pode permitir a atualização automática dos servidores num site ou requer aprovação de administração antes de serem atualizadas.
• Pode configurar uma janela de manutenção que limita quando as atualizações num local podem começar.

Para obter mais informações sobre atualizações para o Túnel da Microsoft, incluindo como visualizar o estado do túnel e configurar opotons de upgrade, consulte o Túnel da Microsoft.

Atualizar o certificado TLS no servidor Linux

Pode utilizar a ferramenta de linha de comando ./mst-cli para atualizar o certificado TLS no servidor:

1. Copie o novo certificado para /etc/mstunnel/certs/site.crt
2. Copie a chave privada para /etc/mstunnel/private/site.key
3. Corra: mst-cli import_cert

Para obter mais informações sobre mst-cli, consulte a referência para o Túnel da Microsoft.

Desinstalar o Túnel da Microsoft

Para desinstalar o produto, executar ./mst-cli desinstalar do servidor Linux como raiz.

Passos seguintes

Utilizar acesso condicional com o túnel da Microsoft
Monitorizar o Microsoft Tunnel