Opções de perfil disparadas automaticamente por VPN

O Windows pode utilizar funcionalidades diferentes para acionar automaticamente a VPN, evitando que os utilizadores se liguem manualmente quando a VPN é necessária para aceder aos recursos necessários. Há três tipos diferentes de regras de disparo automático:

  • Acionador de aplicação
  • Disparo com base em nome
  • Sempre Ativo

Observação

As ligações VPN acionadas automaticamente não funcionarão se o Redirecionamento de Pastas para AppData estiver ativado. O Redirecionamento de Pastas para AppData tem de ser desativado ou o perfil VPN acionado automaticamente tem de ser implementado no contexto SYSTEM, o que altera o caminho para onde o ficheiro rasphone.pbk está armazenado.

Acionador de aplicação

Os perfis VPN podem ser configurados para se ligarem automaticamente à execução de determinadas aplicações:

  • Pode configurar aplicações de ambiente de trabalho ou da Plataforma Universal do Windows (UWP) para acionar uma ligação VPN
  • Pode configurar a VPN por aplicação e especificar regras de tráfego para cada aplicação

Observação

O identificador de aplicativo para um aplicativo da área de trabalho é um caminho de arquivo. O identificador de aplicativo para um aplicativo UWP é um nome da família de pacotes.

Encontrar o nome da família de pacotes (PFN) para a configuração de VPN por aplicativo

Para obter mais informações, veja Filtros de tráfego.

Disparo com base em nome

Você pode configurar uma regra baseada em nome de domínio para que um nome de domínio específico dispare a conexão VPN.
O acionador automático baseado em nomes pode ser configurado com a VPNv2/<ProfileName>/DomainNameInformationList/dniRowId/AutoTrigger definição no Fornecedor de Serviços de Configuração (CSP) VPNv2.

Há quatro tipos de disparos com base em nome:

  • Nome abreviado: por exemplo, se o HRweb estiver configurado como um acionador e a pilha vir um pedido de resolução de DNS para HRweb, os acionadores de VPN
  • Nome de domínio completamente qualificado (FQDN): por exemplo, se HRweb.corp.contoso.com estiver configurado como um acionador e a pilha vir um pedido de resolução de DNS para HRweb.corp.contoso.com, os acionadores de VPN são acionados
  • Sufixo: por exemplo, se .corp.contoso.com estiver configurado como um acionador e a pilha vir um pedido de resolução DNS com um sufixo correspondente (como HRweb.corp.contoso.com), os acionadores de VPN. Para qualquer resolução de nome abreviado, os acionadores VPN e os servidores DNS são consultados para ShortName.corp.contoso.com<>
  • Tudo: se utilizado, toda a resolução DNS aciona a VPN

Sempre Ativo

O AlwaysOn é uma funcionalidade do Windows que permite que o perfil VPN ativo se ligue automaticamente nos seguintes acionadores:

  • Logon do usuário
  • Alteração da rede
  • Tela do dispositivo ligada

Quando o disparo ocorre, a VPN tenta se conectar. Se ocorrer um erro ou for necessária uma entrada de utilizador, o utilizador verá uma notificação de alerta para obter mais interação.

Quando um dispositivo tem múltiplos perfis com acionadores AlwaysOn, o utilizador pode especificar o perfil ativo em Definições > Rede & perfil> VPN de VPN ><da Internet > ao selecionar a caixa de verificação Permitir que as aplicações utilizem automaticamente esta ligação VPN. Por padrão, o primeiro perfil configurado pelo MDM é marcado como Ativo. Os dispositivos com múltiplos utilizadores têm a mesma restrição: apenas um perfil e, portanto, apenas um utilizador, consegue utilizar os acionadores AlwaysOn.

Preservação da preferência AlwaysOn do utilizador

Outra funcionalidade do Windows é preservar a preferência AlwaysOn de um utilizador. Se um utilizador desmarcar manualmente a caixa de verificação Ligar automaticamente , o Windows memoriza a preferência de utilizador do nome de perfil ao adicionar o nome do perfil ao valor de registo AutoTriggerDisabledProfilesList.

Se uma ferramenta de gestão remover ou adicionar novamente o mesmo nome de perfil e definir AlwaysOn como verdadeiro, o Windows não seleciona a caixa se o nome do perfil existir no seguinte valor de registo, de modo a preservar a preferência do utilizador.

Chave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
Valor:AutoTriggerDisabledProfilesList
Tipo:REG_MULTI_SZ

Detecção de rede confiável

A funcionalidade Deteção de rede fidedigna configura a VPN para que a ligação não seja acionada quando um dispositivo está numa rede fidedigna. Para configurar a deteção de rede Fidedigna, tem de fornecer uma lista de sufixos DNS. A pilha de VPN verifica o nome da rede do perfil de ligação da interface física: se corresponder a qualquer um dos sufixos configurados na lista e a rede for privada ou aprovisionada pela MDM, a VPN não é acionada.

A deteção de rede fidedigna pode ser configurada com a VPNv2/<ProfileName>/TrustedNetworkDetection definição no CSP VPNv2.

Configurar a VPN disparada por aplicativo

Consulte Opções de perfil de VPN e CSP VPNv2 para saber a configuração XML.

A imagem seguinte mostra a associação de aplicações a uma ligação VPN numa política de configuração do Perfil VPN com o Microsoft Intune.

Criação do perfil VPN no Intune: opções de associação de aplicações.