Compartir a través de

Implementación del perfil de VPN AlwaysOn en clientes de Windows 10 o versiones más recientes con Microsoft Intune

En este artículo de procedimientos se muestra cómo usar Intune para crear e implementar perfiles de VPN AlwaysOn.

Sin embargo, si desea crear un perfil de VPN personalizadoXML, siga las instrucciones de Aplicar ProfileXML mediante Intune.

Prerrequisitos

Intune usa grupos de usuarios de Microsoft Entra, por lo que debe hacer lo siguiente:

  • Asegúrese de que tiene una infraestructura de clave privada (PKI) capaz de emitir certificados de usuario y dispositivo para la autenticación. Para obtener más información sobre los certificados para Intune, consulte Uso de certificados para la autenticación en Microsoft Intune.

  • Cree un grupo de usuarios de Microsoft Entra asociado a los usuarios de VPN y asigne nuevos usuarios al grupo según sea necesario.

  • Asegúrese de que los usuarios vpn tienen permisos de conexión de servidor VPN.

Creación del XML de configuración del Protocolo de autenticación extensible (EAP)

En esta sección, creará un XML de configuración del Protocolo de autenticación extensible (EAP).

  1. Copie la siguiente cadena XML en un editor de texto:

    Importante

    Cualquier otra combinación de mayúsculas o minúsculas para "true" en las etiquetas siguientes da como resultado una configuración parcial del perfil de VPN:

    <AlwaysOn>true</AlwaysOn>
    <RememberCredentials>true</RememberCredentials>

    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>

  2. Reemplace <ServerNames>NPS.contoso.com</ServerNames> en el XML de ejemplo por el FQDN del NPS unido al dominio donde tiene lugar la autenticación.

  3. Reemplace <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> en el ejemplo por la huella digital del certificado de la entidad de certificación raíz local en ambos lugares.

    Importante

    No use la huella digital de ejemplo en la sección <TrustedRootCA></TrustedRootCA> que aparece a continuación. TrustedRootCA debe ser la huella digital del certificado de la entidad de certificación raíz local que emitió el certificado de autenticación de servidor para los servidores RRAS y NPS. Este no debe ser el certificado raíz de la nube, ni la huella digital del certificado intermedio de la Autoridad de Certificación emisora.

  4. Guarde el XML para su uso en la sección siguiente.

Creación de la directiva de configuración de VPN AlwaysOn

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.

  2. Vaya a Dispositivos>Perfiles de configuración.

  3. Seleccione + Crear perfil.

  4. En Plataforma, seleccione Windows 10 y versiones posteriores.

  5. En Tipo de perfil, seleccione Plantillas.

  6. En Nombre de plantilla, seleccione VPN.

  7. Seleccione Crear.

  8. Para la pestaña Aspectos básicos :

    • Escriba un nombre para el perfil de VPN y, opcionalmente, una descripción.

  9. Para la pestaña Configuración :

    1. Para Usar este perfil de VPN con un ámbito de usuario o dispositivo, seleccione Usuario.

    2. En Tipo de conexión: seleccione IKEv2.

    3. En Nombre de conexión: escriba el nombre de la conexión VPN; por ejemplo, Contoso AutoVPN.

    4. En Servidores: agregue las descripciones y las direcciones del servidor VPN. Para el servidor predeterminado, establezca Servidor predeterminado en True.

    5. En Registrar direcciones IP con DNS interno, seleccione Deshabilitar.

    6. En AlwaysOn:, seleccione Habilitar.

    7. En Recordar credenciales en cada inicio de sesión, seleccione el valor adecuado para la directiva de seguridad.

    8. En Método de autenticación, seleccione EAP.

    9. En XML de EAP, seleccione el XML que guardó en Crear el XML de EAP.

    10. En Túnel de dispositivo, seleccione Deshabilitar. Para obtener más información sobre los túneles de dispositivo, consulte Configuración de túneles de dispositivos VPN en Windows 10.

    11. Para Parámetros de asociación de seguridad IKE

      • Establezca Tunelización dividida en Habilitar.
      • Configure laDetección de redes de confianza. Para buscar el sufijo DNS, puede usar Get-NetConnectionProfile > Name en un sistema que esté conectado actualmente a la red y que tenga aplicado el perfil de dominio (NetworkCategory:DomainAuthenticated).

    12. Deje la configuración restante como predeterminada, a menos que el entorno requiera más configuración. Para obtener más información sobre la configuración del perfil de EAP para Intune, consulte Configuración de dispositivos Windows 10/11 y Windows Holographic para agregar conexiones VPN mediante Intune.

    13. Seleccione Siguiente.

  10. En la pestaña Etiquetas de ámbito , deje la configuración predeterminada y seleccione Siguiente.

  11. Para la pestaña Asignaciones :

    1. Seleccione Agregar grupos y agregue el grupo de usuarios vpn.

    2. Seleccione Siguiente.

  12. En la pestaña Reglas de aplicabilidad , deje la configuración predeterminada y seleccione Siguiente.

  13. En la pestaña Revisar y crear , revise toda la configuración y seleccione Crear.

Sincronización de la directiva de configuración de VPN AlwaysOn con Intune

Para probar la directiva de configuración, inicie sesión en un equipo cliente con Windows 10+ como usuario vpn y, a continuación, sincronice con Intune.

  1. En el menú Inicio, seleccione Configuración.

  2. En Configuración, seleccione Cuentas y seleccione Access work or school (Acceder a trabajo o escuela).

  3. Seleccione la cuenta para conectarse a su identificador de Entra de Microsoft y seleccione Información.

  4. Desplácese hacia abajo y seleccione Sincronizar para forzar la evaluación y recuperación de una directiva de Intune.

  5. Una vez completada la sincronización, cierre Configuración. Después de la sincronización, debe poder conectarse al servidor VPN de la organización.

Pasos siguientes

  • Last updated on