Compartir a través de

Creación de perfiles de VPN para conectarse a servidores VPN en Intune

Importante

La administración del administrador de dispositivos Android (DA) está en desuso y ya no está disponible para los dispositivos con acceso a Google Mobile Services (GMS). Si actualmente usa la administración de DA, se recomienda cambiar a otra opción de administración de Android. La documentación de soporte técnico y ayuda sigue estando disponible para algunos dispositivos Android 15 y anteriores sin GMS. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

Las redes privadas virtuales (VPN) ofrecen a los usuarios acceso remoto seguro a la red de la empresa. Los dispositivos usan un perfil de conexión VPN para iniciar una conexión con el servidor VPN. Los perfiles de VPN en Microsoft Intune asignan la configuración de VPN en los usuarios y los dispositivos de la organización. Use esta configuración para que los usuarios puedan conectarse de forma fácil y segura a la red de la organización.

Esta característica se aplica a:

  • Administrador de dispositivos Android
  • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
  • iOS/iPadOS
  • macOS
  • Windows

Por ejemplo, quiere configurar todos los dispositivos iOS/iPadOS con las opciones de configuración necesarias para conectarse a un recurso compartido de archivos de la red de la empresa. Cree un perfil de VPN que incluya estas opciones de configuración. Asigne este perfil a todos los usuarios que tengan dispositivos iOS/iPadOS. Los usuarios verán la conexión VPN en la lista de redes disponibles y podrán conectarse con un esfuerzo mínimo.

En este artículo se enumeran las aplicaciones de VPN que puede usar, se muestra cómo crear un perfil de VPN y se incluyen instrucciones para proteger los perfiles de VPN. Debe implementar la aplicación de VPN antes de crear el perfil de VPN. Si necesita ayuda para implementar aplicaciones mediante Microsoft Intune, vaya a ¿Qué es la administración de aplicaciones en Microsoft Intune?.

Antes de empezar

  • Los perfiles de VPN para un túnel de dispositivo son compatibles con escritorios remotos de varias sesiones de Windows Enterprise.

  • Si usa la autenticación basada en certificados para el perfil de VPN, implemente el perfil de VPN, el de certificado y el perfil raíz de confianza en los mismos grupos. Este paso garantiza que cada dispositivo pueda reconocer la legitimidad de la entidad de certificación. Para obtener más información, vaya a Configuración de certificados con Microsoft Intune.

  • La inscripción de usuarios para iOS/iPadOS y macOS solo admite VPN por aplicación.

  • Puede usar directivas de configuración personalizadas de Intune para crear perfiles de VPN para las siguientes plataformas:

    • Android 4 y versiones posteriores
    • Dispositivos inscritos que ejecutan Windows 8.1 y versiones posteriores
    • Dispositivos inscritos que ejecutan Windows
    • Windows Holographic for Business

  • En Windows 11 dispositivos, hay un problema entre el cliente Windows 11 y el CSP de VPNv2 de Windows.

    Un dispositivo con uno o varios perfiles de VPN de Intune pierde su conectividad VPN cuando el dispositivo procesa varios cambios en los perfiles de VPN del dispositivo simultáneamente. Cuando el dispositivo se registra con Intune por segunda vez, procesa los cambios del perfil de VPN y se restaura la conectividad.

    Los siguientes cambios pueden provocar una pérdida de funcionalidad de VPN:

    • Puede cambiar o actualizar un perfil de VPN existente que el dispositivo Windows 11 procesó anteriormente. Esta acción elimina el perfil original y aplica el perfil actualizado.
    • Dos nuevos perfiles VPN se aplican al dispositivo al mismo tiempo.
    • Se quita un perfil de VPN activo al mismo tiempo que se asigna un nuevo perfil de VPN.

    Este problema no se aplica y la conectividad VPN permanece en los siguientes escenarios:

    • Un dispositivo Windows 11 no tiene asignado un perfil de VPN existente y los dispositivos reciben un perfil de VPN de Intune.

    • Windows 11 dispositivos tienen asignado un perfil de VPN existente y se les asigna otro perfil de VPN sin ningún otro cambio de perfil.

    • Un dispositivo Windows 10 se actualiza a Windows 11 y no hay cambios en los perfiles de VPN de ese dispositivo. Después de la actualización a Windows 11, cualquier cambio en los perfiles de VPN de los dispositivos o la adición de nuevos perfiles de VPN desencadenará el problema.

    • Windows 11 requiere lo siguiente:

      Si solo configura uno de los parámetros de asociación de seguridad de IKE o parámetros de asociación de seguridad secundaria , se pierde la funcionalidad de VPN.

    Importante

    El 14 de octubre de 2025, Windows 10 llegó al final del soporte técnico y no recibirá actualizaciones de calidad y características. Windows 10 es una versión permitida en Intune. Los dispositivos que ejecutan esta versión todavía pueden inscribirse en Intune y usar características aptas, pero la funcionalidad no se garantizará y puede variar.

Paso 1: Implementación de la aplicación VPN

Para poder usar perfiles de VPN asignados a un dispositivo, debe instalar la aplicación VPN. Esta aplicación VPN se conecta al servidor VPN.

Hay diferentes aplicaciones VPN disponibles. En los dispositivos de usuario, implementará la aplicación VPN que usa su organización. Una vez implementada la aplicación VPN, cree e implemente un perfil de configuración de dispositivo VPN que configure la configuración del servidor VPN, incluido el nombre del servidor VPN (o FQDN) y el método de autenticación.

Algunas plataformas y aplicaciones VPN requieren una directiva de configuración de aplicaciones para preconfigurar la aplicación VPN, en lugar de un perfil de configuración de dispositivo VPN. En esta sección también se enumeran las plataformas y las aplicaciones VPN que deben usar una directiva de configuración de aplicaciones.

Para ayudarle a asignar la aplicación mediante Intune, vaya a Agregar aplicaciones a Microsoft Intune.

Tipos de conexión VPN

Puede crear perfiles de VPN mediante los siguientes tipos de conexión VPN:

  • Automático

    • Windows

  • Check Point Capsule VPN

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise: use la directiva de configuración de aplicaciones
    • iOS/iPadOS
    • macOS
    • Windows

  • Cisco AnyConnect

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows

  • Cisco (IPsec)

    • iOS/iPadOS

  • SSO de Citrix

  • VPN personalizada

    • iOS/iPadOS
    • macOS

    Cree perfiles de VPN personalizados usando la configuración de URI de Crear un perfil con una configuración personalizada.

  • F5 Access

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows

  • IKEv2

    • iOS/iPadOS
    • Windows

  • L2TP

    • Windows

  • Microsoft Tunnel

    • Dispositivos de propiedad personal de Android Enterprise con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS

  • NetMotion Mobility

    • Dispositivos de propiedad personal de Android Enterprise con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • macOS

  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows

  • Pulse Secure

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • Windows

  • SonicWall Mobile Connect

    • Administrador de dispositivos Android
    • Dispositivos Android Enterprise de propiedad personal con un perfil de trabajo
    • Perfil de trabajo de propiedad corporativa y totalmente administrado de Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows

  • Zscaler

Paso 2: Creación del perfil

Una vez asignada la aplicación VPN al dispositivo, este paso siguiente crea la directiva de configuración del dispositivo que configura la conexión VPN. Si el tipo de conexión de la aplicación VPN usa una directiva de configuración de aplicaciones para configurar la aplicación, omita este paso.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>Administrar dispositivos>Configuración>Crear>Nueva directiva.

  3. Escriba las propiedades siguientes:

    • Plataforma: seleccione la plataforma de los dispositivos. Las opciones son:
      • Administrador de dispositivos Android
      • Android Enterprise>Perfil de trabajo de propiedad corporativa, dedicado y totalmente administrado
      • Android Enterprise>Perfil de trabajo de propiedad personal
      • iOS/iPadOS
      • macOS
      • Windows 10 y versiones posteriores
      • Windows 8.1 y versiones posteriores
    • Tipo de perfil: seleccione VPN. O bien, seleccione Plantillas>VPN.

  4. Seleccione Crear.

  5. En Básico, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el perfil. Asígneles un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante. Por ejemplo, un buen nombre de perfil sería Perfil de VPN para toda la empresa.
    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.

  6. Seleccione Siguiente.

  7. En Opciones de configuración, las opciones que puede configurar serán diferentes, según la plataforma que haya elegido. Seleccione la plataforma en la configuración detallada:

  8. Seleccione Siguiente.

  9. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vaya a Uso de RBAC y etiquetas de ámbito para TI distribuida.

    Seleccione Siguiente.

  10. En Asignaciones, seleccione el usuario o los grupos que reciben el perfil. Para obtener más información sobre la asignación de perfiles, vaya a Asignación de perfiles de usuario y dispositivo.

    Seleccione Siguiente.

  11. En Revisar y crear, revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

Protección de los perfiles de VPN

Los perfiles de VPN pueden usar muchos tipos distintos de conexiones y protocolos de diferentes fabricantes. Estas conexiones suelen protegerse con los siguientes métodos.

Certificados

Al crear el perfil de VPN, elija un perfil de certificado SCEP o PKCS que haya creado previamente en Intune. Este perfil se conoce como el certificado de identidad. Se usa para autenticar con un perfil de certificado de confianza (o un certificado raíz) que se crea para que el dispositivo del usuario pueda conectarse. El certificado de confianza se asigna al equipo que autentica la conexión VPN, por lo general, el servidor de VPN.

Si usa la autenticación basada en certificados para el perfil de VPN, implemente el perfil de VPN, el de certificado y el perfil raíz de confianza en los mismos grupos. Esta asignación garantiza que cada dispositivo pueda reconocer la legitimidad de la entidad de certificación.

Para obtener más información sobre cómo crear y usar perfiles de certificado en Intune, vaya a Configuración de certificados con Microsoft Intune.

Nota:

No se admiten los certificados agregados con el perfil del certificado PKCS importado para la autenticación de VPN. Se admiten los certificados agregados mediante el perfil de los certificados PKCS para la autenticación de VPN.

Nombre de usuario y contraseña

El usuario se autentica en el servidor de VPN proporcionando el nombre de usuario y la contraseña, o bien las credenciales derivadas.

Siguientes pasos

  • Last updated on