Implantar perfil da VPN Always On em clientes Windows 10 ou mais recentes com o Microsoft Intune

Neste artigo de instruções, mostramos como usar o Intune para criar e implantar perfis da VPN Always On.

No entanto, se desejar criar um ProfileXML da VPN personalizado, siga as diretrizes em Aplicar ProfileXML usando o Intune.

Pré-requisitos

Como o Intune usa grupos de usuários do Microsoft Entra, você precisa:

  • Verificar se você tem uma PKI (Infraestrutura de chave privada) capaz de emitir certificados de usuário e dispositivo para autenticação. Para obter mais informações sobre os certificados para Intune, consulte Usar certificados para autenticação no Microsoft Intune.

  • Criar um grupo de usuários do Microsoft Entra associado a usuários de VPN e atribuir novos usuários a esse grupo conforme necessário.

  • Verifique se os usuários de VPN têm permissões de conexão de servidor VPN.

Criar o XML de configuração do Protocolo EAP (Extensible Authentication Protocol)

Nesta seção, você criará um XML de configuração do Protocolo EAP.

  1. Copie a seguinte cadeia de caracteres XML para um editor de texto:

    Importante

    Qualquer outra combinação de maiúsculas ou minúsculas para 'true' nas seguintes marcas resulta em uma configuração parcial do perfil da VPN:

    <AlwaysOn>true</AlwaysOn>
    <RememberCredentials>true</RememberCredentials>

    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>

  2. Substitua <ServerNames>NPS.contoso.com</ServerNames> no XML de exemplo pelo FQDN do NPS adicionado ao domínio em que a autenticação ocorre.

  3. Substitua <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> no exemplo pela impressão digital do certificado da autoridade de certificação raiz local em ambos os locais.

    Importante

    Não use a impressão digital de exemplo na seção <TrustedRootCA></TrustedRootCA> abaixo. O TrustedRootCA deve ser a impressão digital do certificado da autoridade de certificação raiz local que emitiu o certificado de autenticação de servidor para servidores RRAS e NPS. Esse não deve ser o certificado raiz de nuvem nem a impressão digital do Certificado de Autoridade de Certificação emissora intermediária.

  4. Salve o XML para usar na próxima seção.

Criar a política de configuração de VPN Always On

  1. Entre no Centro de administração do Microsoft Endpoint Manager.

  2. Acesse Dispositivos>Perfis de configuração.

  3. Selecione + Criar Perfil.

  4. Em Plataforma, selecione Windows 10 e posteriores.

  5. Em Tipo de perfil, selecione Modelos.

  6. Em Nome do modelo, selecione VPN.

  7. Selecione Criar.

  8. Na guia Básico:

    • Insira um Nome para o perfil da VPN e (opcionalmente) uma descrição.

  9. Na guia Definições de configuração:

    1. Em Usar este perfil da VPN com um escopo de usuário/dispositivo, selecione Usuário.

    2. Em Tipo de conexão:, selecione IKEv2.

    3. Em Nome da conexão: insira o nome da conexão de VPN; por exemplo, Contoso AutoVPN.

    4. Em Servidores:, adicione os endereços e descrições do servidor VPN. No servidor padrão, defina Servidor padrão como True.

    5. Em Registrar endereços IP com DNS interno, selecione Desabilitar.

    6. Em Always On:, selecione Habilitar.

    7. Em Lembrar credenciais em cada logon, selecione o valor apropriado para sua política de segurança.

    8. Em Método de autenticação, selecione EAP.

    9. Em XML do EAP, selecione o XML que você salvou em Criar o XML do EAP.

    10. Em Túnel do dispositivo, selecione Desabilitar. Para saber mais sobre túneis de dispositivo, consulte Configurar túneis de dispositivo da VPN no Windows 10.

    11. Em Parâmetros de associação de segurança IKE

      • Definir Túnel dividido como Habilitar.
      • Configurar a Detecção de rede confiável. Para localizar o sufixo DNS, você pode usar Get-NetConnectionProfile > Name em um sistema atualmente conectado à rede e que tenha o perfil de domínio aplicado (NetworkCategory:DomainAuthenticated).

    12. Deixe as configurações restantes como padrão, a menos que seu ambiente necessite de configuração adicional. Para obter mais informações sobre as configurações de Perfil de EAP para o Intune, consulte Configurações de dispositivo do Windows 10/11 e Windows Holographic para adicionar conexões VPN usando o Intune.

    13. Selecione Avançar.

  10. Na guia Marcas de escopo, mantenha as configurações padrão e selecione Avançar.

  11. Na guia Atribuições:

    1. Selecione Adicionar grupos e adicione seu grupo de usuários de VPN.

    2. Selecione Avançar.

  12. Na guia Regras de aplicabilidade, mantenha as configurações padrão e selecione Avançar.

  13. Na guia Revisar + Criar, revise todas as configurações e selecione Criar.

Sincronizar a política de configuração de VPN Always On com o Intune

Para testar a política de configuração, entre em um computador cliente do Windows 10+ como um usuário de VPN e, em seguida, sincronize com o Intune.

  1. No menu Iniciar, selecione Configurações.

  2. Em Configurações, selecione Contas e selecione Acessar trabalho ou escola.

  3. Selecione a conta para se conectar ao Microsoft Entra ID e selecione Informações.

  4. Siga adiante e selecione Sincronizar para forçar uma avaliação e recuperação de política do Intune.

  5. Quando a sincronização for concluída, feche Configurações. Após a sincronização, você poderá se conectar ao servidor VPN da sua organização.

Próximas etapas