Compartilhar via

Implantar o perfil vpn AlwaysOn no Windows 10 ou em clientes mais recentes com o Microsoft Intune

Neste artigo de instruções, mostramos como usar o Intune para criar e implantar perfis de VPN Always On.

No entanto, se você quiser criar um perfil vpn personalizadoXML, siga as diretrizes em Aplicar ProfileXML usando o Intune.

Pré-requisitos

O Intune usa grupos de usuários do Microsoft Entra, portanto, você precisa:

  • Verifique se você tem uma PKI (Infraestrutura de Chave Privada) capaz de emitir certificados de usuário e dispositivo para autenticação. Para obter mais informações sobre certificados para o Intune, consulte Usar certificados para autenticação no Microsoft Intune.

  • Crie um grupo de usuários do Microsoft Entra associado a usuários VPN e atribua novos usuários ao grupo conforme necessário.

  • Verifique se os usuários de VPN têm permissões de conexão do servidor VPN.

Criar o XML de configuração do Protocolo de Autenticação Extensível (EAP)

Nesta seção, você criará um XML de configuração do Protocolo de Autenticação Extensível (EAP).

  1. Copie a seguinte cadeia de caracteres XML para um editor de texto:

    Importante

    Qualquer outra combinação de maiúsculas ou minúsculas para 'true' nas tags a seguir resulta em uma configuração parcial do perfil VPN.

    <AlwaysOn>true</AlwaysOn>
    <RememberCredentials>true</RememberCredentials>

    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>

  2. Substitua o <ServerNames>NPS.contoso.com</ServerNames> no XML de exemplo pelo nome totalmente qualificado (FQDN) do NPS associado ao domínio em que a autenticação ocorre.

  3. Substitua <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> no exemplo pela impressão digital do certificado da autoridade de certificação raiz local em ambos os locais.

    Importante

    Não use a impressão digital de exemplo na seção <TrustedRootCA></TrustedRootCA> abaixo. O TrustedRootCA deve ser a impressão digital do certificado da autoridade de certificação raiz local que emitiu o certificado de autenticação de servidor para servidores RRAS e NPS. Esse não deve ser o certificado raiz de nuvem nem a impressão digital do Certificado de Autoridade de Certificação emissora intermediária.

  4. Salve o XML para uso na próxima seção.

Criar a política de configuração de VPN AlwaysOn

  1. Entre no Centro de administração do Microsoft Endpoint Manager.

  2. Vá para Dispositivos>Perfis de Configuração.

  3. Selecione + Criar perfil.

  4. Para Plataforma, selecione Windows 10 e posterior.

  5. Para o tipo de perfil, selecione Modelos.

  6. Para o nome do modelo, selecione VPN.

  7. Selecione Criar.

  8. Para a aba Noções básicas

    • Insira um nome para o perfil VPN e (opcionalmente) uma descrição.

  9. Para a guia Configurações :

    1. Para usar esse perfil VPN com um escopo de usuário/dispositivo, selecione Usuário.

    2. Para tipo de conexão:, selecione IKEv2.

    3. Para o nome da conexão: insira o nome da conexão VPN; por exemplo, Contoso AutoVPN.

    4. Para servidores:, adicione os endereços e descrições do servidor VPN. Para o servidor padrão, defina o servidor padrão como True.

    5. Para registrar endereços IP com DNS interno, selecione Desabilitar.

    6. Para Always On:, selecione Habilitar.

    7. Para lembrar credenciais em cada logon, selecione o valor apropriado para sua política de segurança.

    8. Para o Método de Autenticação, selecione EAP.

    9. Para EAP XML, selecione o XML salvo em Criar o XML de EAP.

    10. Para o Túnel do Dispositivo, selecione Desabilitar. Para saber mais sobre túneis de dispositivo, consulte Configurar túneis de dispositivo VPN no Windows 10.

    11. Em Parâmetros de associação de segurança IKE

      • Defina Túnel dividido como Habilitado.
      • Configurar a Detecção de Rede Confiável. Para localizar o sufixo DNS, você pode usar Get-NetConnectionProfile > Name em um sistema atualmente conectado à rede e que tenha o perfil de domínio aplicado (NetworkCategory:DomainAuthenticated).

    12. Deixe as configurações restantes como padrão, a menos que seu ambiente exija configurações adicionais. Para obter mais informações sobre as configurações de Perfil EAP do Intune, consulte as configurações do dispositivo Windows 10/11 e Windows Holographic para adicionar conexões VPN usando o Intune.

    13. Selecione Avançar.

  10. Para a guia Marcas de Escopo , deixe as configurações padrão e selecione Avançar.

  11. Para a aba Atribuições:

    1. Selecione Adicionar grupos e adicione seu grupo de usuários VPN.

    2. Selecione Avançar.

  12. Para a guia Regras de Aplicabilidade , deixe as configurações padrão e selecione Avançar.

  13. Para a guia Revisar + Criar , examine todas as configurações e selecione Criar.

Sincronizar a política de configuração de VPN AlwaysOn com o Intune

Para testar a política de configuração, entre em um computador cliente windows 10+ como um usuário VPN e, em seguida, sincronize com o Intune.

  1. No menu Iniciar, selecione Configurações.

  2. Em Configurações, selecione Contas e selecione Trabalho ou escola do Access.

  3. Selecione a conta para se conectar à sua ID do Microsoft Entra e selecione Informações.

  4. Siga adiante e selecione Sincronizar para forçar uma avaliação e recuperação de política do Intune.

  5. Quando a sincronização for concluída, feche As configurações. Após a sincronização, você deve ser capaz de se conectar ao servidor VPN da sua organização.

Próximas etapas

  • Last updated on