Partilhar via

Implantar o perfil VPN Always On no Windows 10 ou clientes mais recentes com o Microsoft Intune

Neste artigo de instruções, mostramos como usar o Intune para criar e implantar perfis VPN Always On.

No entanto, se você quiser criar um perfil VPN personalizadoXML, siga as orientações em Aplicar ProfileXML usando o Intune.

Prerequisites

O Intune usa grupos de usuários do Microsoft Entra, portanto, você precisa:

  • Certifique-se de ter uma PKI (Infraestrutura de Chave Privada) capaz de emitir certificados de usuário e dispositivo para autenticação. Para obter mais informações sobre certificados para o Intune, consulte Usar certificados para autenticação no Microsoft Intune.

  • Crie um grupo de usuários do Microsoft Entra associado a usuários de VPN e atribua novos usuários ao grupo conforme necessário.

  • Verifique se os usuários de VPN têm permissões de conexão de servidor VPN.

Criar o XML de configuração do protocolo EAP (Extensible Authentication Protocol)

Nesta seção, você criará um XML de configuração do EAP (Extensible Authentication Protocol).

  1. Copie a seguinte cadeia de caracteres XML para um editor de texto:

    Important

    Qualquer outra combinação de maiúsculas ou minúsculas para 'true' nas tags a seguir resulta em uma configuração parcial do perfil VPN:

    <AlwaysOn>verdadeiro</AlwaysOn>
    <RememberCredentials>true</RememberCredentials>

    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>

  2. Substitua <ServerNames>NPS.contoso.com</ServerNames> no XML de exemplo pelo FQDN do NPS associado ao domínio onde a autenticação ocorre.

  3. Substitua o <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> no exemplo pela impressão digital do seu certificado da autoridade de certificação raiz local em ambos os locais do exemplo.

    Important

    Não use a impressão digital de exemplo na <seção TrustedRootCA></TrustedRootCA> abaixo. A TrustedRootCA deve ser a impressão digital do certificado da autoridade de certificação raiz local que emitiu o certificado de autenticação de servidor para servidores RRAS e NPS. Este não deve ser o certificado raiz da nuvem, nem a impressão digital do certificado de CA de emissão intermediária.

  4. Salve o XML para uso na próxima seção.

Criar a política de configuração de VPN Always On

  1. Entre no centro de administração do Microsoft Endpoint Manager.

  2. Vá para Perfis de configuração de>.

  3. Selecione + Criar perfil.

  4. Em Plataforma, selecione Windows 10 e posterior.

  5. Em Tipo de perfil, selecione Modelos.

  6. Em Nome do modelo, selecione VPN.

  7. Selecione Criar.

  8. Para a guia Noções básicas :

    • Insira um Nome para o perfil VPN e (opcionalmente) uma descrição.

  9. Para a guia Definições de configuração :

    1. Para Usar este perfil VPN com um escopo de usuário/dispositivo, selecione Usuário.

    2. Para Tipo de conexão:, selecione IKEv2.

    3. Para Nome da conexão: digite o nome da conexão VPN; por exemplo, Contoso AutoVPN.

    4. Para Servidores:, adicione os endereços e descrições do servidor VPN. Para o servidor padrão, defina Servidor padrão como True.

    5. Em Registrar endereços IP com DNS interno, selecione Desabilitar.

    6. Para Always On:, selecione Ativar.

    7. Em Lembrar credenciais em cada logon, selecione o valor apropriado para sua política de segurança.

    8. Em Método de autenticação, selecione EAP.

    9. Para EAP XML, selecione o XML que você salvou em Criar o XML EAP.

    10. Em Túnel de dispositivo, selecione Desativar. Para saber mais sobre túneis de dispositivo, consulte Configurar túneis de dispositivo VPN no Windows 10.

    11. Para parâmetros de associação de segurança IKE

      • Defina Split tunneling como Enable.
      • Configure a Deteção de Rede Confiável. Para localizar o sufixo DNS, você pode usar Get-NetConnectionProfile > Name em um sistema que esteja atualmente conectado à rede e tenha o perfil de domínio aplicado (NetworkCategory:DomainAuthenticated).

    12. Deixe as configurações restantes como padrão, a menos que seu ambiente exija configuração adicional. Para obter mais informações sobre as configurações de Perfil EAP para Intune, consulte Configurações de dispositivo holográfico do Windows 10/11 e Windows para adicionar conexões VPN usando o Intune.

    13. Selecione Avançar.

  10. Na guia Tags de escopo, deixe as configurações padrão e selecione Avançar.

  11. Para o separador Atribuições:

    1. Selecione Adicionar grupos e adicione seu grupo de usuários VPN.

    2. Selecione Avançar.

  12. Para a guia Regras de Aplicabilidade , deixe as configurações padrão e selecione Avançar.

  13. No separador Rever + Criar , reveja todas as suas definições e selecione Criar.

Sincronizar a política de configuração de VPN Always On com o Intune

Para testar a política de configuração, inicie sessão num computador cliente Windows 10+ como utilizador VPN e, em seguida, sincronize com o Intune.

  1. No menu Iniciar, selecione Configurações.

  2. Em Configurações, selecione Contas e Acessar trabalho ou escola.

  3. Selecione a conta para se conectar ao seu ID do Microsoft Entra e selecione Informações.

  4. Mova para baixo e selecione Sincronizar para forçar uma avaliação e recuperação de política do Intune.

  5. Quando a sincronização estiver concluída, feche Configurações. Após a sincronização, você deve ser capaz de se conectar ao servidor VPN da sua organização.

Próximas Etapas

  • Last updated on