Como criar perfis VPN no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

  1. Na consola do Gestor de configuração, clique em Ativos e Compatibilidade.

  2. Na área de trabalho Ativos e Compatibilidade da consola do Gestor de configuração, expanda Definições de Compatibilidade, expanda Acesso a Recursos da Empresa e clique em Perfis VPN.

  3. No separador Home Page, no grupo Criar, clique em Criar Perfil VPN.

  1. Na página Geral do Assistente para Criar Perfil VPN, especifique as seguintes informações:

    • Nome - introduza um nome exclusivo para o perfil VPN (até 256 carateres).

      System_CAPS_importantImportante

      Não utilize os carateres \/:*?<>|, nem o caráter de espaço em branco no nome do perfil VPN, dado que este carateres não são suportados pelo perfil VPN do Windows Server.

    • Descrição - introduza uma descrição para o ajudar a localizar o perfil na consola do Gestor de configuração (até 256 carateres).

    • Importar um perfil VPN existente de um ficheiro – Selecione esta opção para apresentar a página Importar Perfil VPN. Nesta página, pode importar informações do perfil VPN que tenham sido exportadas anteriormente para um ficheiro XML (apenas nos sistemas operativos Windows 8.1 e Windows RT).

  1. Na página Ligação do assistente, especifique as seguintes informações:

    • Tipo de ligação: Na lista pendente, selecione o tipo de ligação para a ligação VPN. Pode selecionar os tipos de ligação que mostram as plataformas suportadas na seguinte tabela.

      System_CAPS_importantImportante

      Antes de poder utilizar perfis VPN implementados para um dispositivo, tem de se certificar de que qualquer aplicação VPN de terceiros de que precisa está instalada. Pode utilizar as informações no tópico Como Criar Aplicações no Configuration Manager, que o ajudam a implementar a aplicação através do Gestor de configuração.

      Tipo de ligação

      iOS

      Android

      Windows 8,1

      Windows RT

      Windows RT 8.1

      Windows Phone 8.1

      Cisco AnyConnect

      Sim

      Sim

      Não

      Não

      Não

      Não

      Pulse Secure

      Sim

      Sim

      Sim

      Não

      Sim

      Sim

      F5 Edge Client

      Sim

      Sim

      Sim

      Não

      Sim

      Sim

      Dell SonicWALL Mobile Connect

      Sim

      Sim

      Sim

      Não

      Sim

      Sim

      VPN Móvel do Ponto de Verificação

      Sim

      Sim

      Sim

      Não

      Sim

      Sim

      Microsoft SSL (SSTP)

      Não

      Não

      Sim

      Sim

      Sim

      Não

      Microsoft Automatic

      Não

      Não

      Sim

      Sim

      Sim

      Não

      IKEv2

      Não

      Não

      Sim

      Sim

      Sim

      Sim

      PPTP

      Sim

      Não

      Sim

      Sim

      Sim

      Não

      L2TP

      Sim

      Não

      Sim

      Sim

      Sim

      Não

      System_CAPS_noteNota

      Para suportar o Windows Phone 8.1, tem de instalar a extensão opcional do Windows Phone 8.1. Para obter informações sobre como instalar a extensão, consulte Planear a Utilização de Extensões no Configuration Manager.Começar com o System Center 2012 Configuration Manager SP2 esta extensão está incorporada no Gestor de configuração.

    • Lista de servidores: Clique em Adicionar para adicionar um novo servidor para utilizar na ligação VPN. Dependendo do tipo de ligação, pode adicionar um ou mais servidores VPN e também especificar que servidor deve ser o servidor predefinido.

      System_CAPS_noteNota

      Os dispositivos com o iOS não suportam a utilização de vários servidores VPN. Se configurar vários servidores VPN e, em seguida, implementar o perfil VPN num dispositivo iOS, só é utilizado o servidor predefinido.

    As opções adicionais da tabela seguinte podem ser apresentadas consoante o tipo de ligação selecionado. Consulte a documentação do servidor VPN para obter mais informações.

    Opção

    Mais informações

    Tipo de ligação

    Realm

    Especifique o nome do realm de autenticação que pretende utilizar. Um realm de autenticação é um agrupamento de recursos de autenticação que é utilizado pelo tipo de ligação Pulse Secure.

    • Pulse Secure

    Função

    Especifique o nome da função de utilizador que tem acesso a esta ligação.

    • Pulse Secure

    Grupo ou domínio de início de sessão

    Especifique o nome do grupo ou domínio de início de sessão ao qual pretende ligar-se.

    • Dell SonicWALL Mobile Connect

    Identificação digital

    Especifique uma cadeia de carateres, por exemplo "Código de Identificação Digital da Contoso", que será utilizada para verificar a fidedignidade do servidor VPN.

    Uma identificação digital pode ser:

    • Enviada para o cliente para que confie em qualquer servidor que apresente a mesma identificação digital ao ligar.

    • Se o dispositivo ainda não incluir a identificação digital, pedirá ao utilizador para confiar no servidor VPN ao qual está a ligar e mostrar a identificação digital (o utilizador verifica manualmente a mesma e clica em confiar para estabelecer a ligação).

    VPN Móvel do Ponto de Verificação

    Enviar todo o tráfego de rede através da ligação VPN

    Se esta opção não estiver selecionada, pode especificar rotas adicionais para a ligação (para os tipos de ligação Microsoft SSL (SSTP), Microsoft Automatic, IKEv2, PPTP e L2TP), o que é conhecido como túnel dividido ou VPN.

    Apenas as ligações à rede da empresa são enviadas através de um túnel VPN. Os túneis VPN não são utilizados ao ligar-se a recursos na Internet.

    • Todas

    Sufixo DNS específico da ligação

    Opcionalmente, especifique o sufixo do Sistema de Nomes de Domínio (DNS) específico da ligação para a ligação.

    • Microsoft SSL (SSTP)

    • Microsoft Automatic

    • IKEv2

    • PPTP

    • L2TP

    Ignorar a VPN quando ligado à rede Wi-Fi da empresa

    Especifica que a ligação VPN não será utilizada quando o dispositivo estiver ligado à rede Wi-Fi da empresa.

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • VPN Móvel do Ponto de Verificação

    • Microsoft SSL (SSTP)

    • Microsoft Automatic

    • IKEv2

    • L2TP

    Ignorar a VPN quando ligado à rede Wi-Fi doméstica

    Especifica que a ligação VPN não será utilizada quando o dispositivo estiver ligado à rede Wi-Fi doméstica.

    • Todas

    VPN Por Aplicação (iOS 7 e posterior, Mac OS X 10.9 e posterior)

    Selecione esta opção se pretende associar esta ligação VPN a uma aplicação iOS, para que a ligação seja aberta quando a aplicação é executada. Pode associar o perfil VPN a uma aplicação ao implementá-lo.

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • VPN Móvel do Ponto de Verificação

    XML Personalizado (opcional)

    Permite-lhe especificar comandos XML personalizados que configuram a ligação VPN.

    Exemplos:

    • Para o Pulse Secure:

      <pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

    • Para CheckPoint Mobile VPN:

      <CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

    • Para Dell SonicWALL Mobile Connect:

      <MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

    • Para F5 Edge Client:

      <f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

    Consulte a documentação de cada fabricante relativa à VPN para mais informações sobre como escrever comandos XML personalizados.

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • VPN Móvel do Ponto de Verificação

  1. Na página Método de Autenticação do assistente, especifique as seguintes informações:

    • Método de autenticação: Na lista pendente, selecione o método de autenticação que será utilizado pela ligação VPN. Os itens da lista pendente podem variar consoante o tipo de ligação selecionado anteriormente. Os métodos de autenticação disponíveis e os tipos de ligação suportados estão listados na seguinte tabela.

      Método de autenticação

      Tipos de ligação suportados

      Certificados

      System_CAPS_tipSugestão

      Se o certificado de cliente for utilizado para autenticação num servidor RADIUS, como um Servidor de Políticas de Rede, tem de definir o Nome Alternativo do Requerente do certificado como Nome Principal de Utilizador.

      • Cisco AnyConnect

      • Pulse Secure

      • F5 Edge Client

      • Dell SonicWALL Mobile Connect

      • VPN Móvel do Ponto de Verificação

      Nome de Utilizador e Palavra-passe

      • Pulse Secure

      • F5 Edge Client

      • Dell SonicWALL Mobile Connect

      • VPN Móvel do Ponto de Verificação

      EAP-TTLS Microsoft

      • Microsoft SSL (SSTP)

      • Microsoft Automatic

      • IKEv2

      • PPTP

      • L2TP

      EAP protegido da Microsoft (PEAP)

      • Microsoft SSL (SSTP)

      • Microsoft Automatic

      • IKEv2

      • PPTP

      • L2TP

      Palavra-passe com segurança Microsoft (EAP-MSCHAP v2)

      • Microsoft SSL (SSTP)

      • Microsoft Automatic

      • IKEv2

      • PPTP

      • L2TP

      Smart Card ou outro certificado

      • Microsoft SSL (SSTP)

      • Microsoft Automatic

      • IKEv2

      • PPTP

      • L2TP

      MSCHAP v2

      • Microsoft SSL (SSTP)

      • Microsoft Automatic

      • IKEv2

      • PPTP

      • L2TP

      RSA SecurID (apenas para iOS)

      • Microsoft SSL (SSTP)

      • Microsoft Automatic

      • PPTP

      • L2TP

      Utilizar certificados do computador

      • IKEv2

      Consoante as opções que selecionar, poder-lhe-á ser pedido para especificar ainda mais informações adicionais, tais como:

      • Lembrar as credenciais de utilizador em cada início de sessão: Selecione este opção para garantir que as credenciais do utilizador são memorizadas, para que o mesmo não tenha de introduzi-las sempre que for efetuada uma ligação.

      • Selecionar um certificado de cliente para autenticação de cliente - selecione o certificado de cliente SCEP que criou previamente para autenticar a ligação VPN. Para mais informações sobre como utilizar perfis de certificado no Gestor de configuração, consulte o artigo Perfis de certificado no Configuration Manager.

        System_CAPS_noteNota

        Para dispositivos iOS, o perfil SCEP que selecionar será incorporado no perfil VPN. Para outras plataformas, é adicionada uma regra de aplicabilidade para assegurar que o perfil VPN não é instalado se não estiver presente ou não for compatível.

        Se o certificado SCEP que especificar não for compatível ou não tiver sido implementado, então o perfil VPN não será instalado no dispositivo.

      • Para alguns métodos de autenticação, pode clicar em Configurar para abrir a caixa de diálogo de propriedades do Windows (se a versão do Windows em que estiver a executar a consola do Gestor de configuração suportar este método de autenticação), onde pode configurar as propriedades do método de autenticação.

      System_CAPS_noteNota

      Os dispositivos com o iOS suportam apenas RSA SecurID e MSCHAP v2 para o método de autenticação quando o tipo de ligação é PPTP. Para evitar erros de relatório, implemente um perfil VPN PPTP separado para dispositivos com iOS.

Para configurar definições de proxy do perfil VPN

  1. Na página Definições de Proxy do Assistente para Criar Perfil VPN, selecione a caixa de verificação Configurar definições de proxy para este perfil VPN se a ligação VPN utilizar um servidor proxy.

  2. Especifique os detalhes do servidor proxy e as respetivas definições. Para obter mais informações, consulte a documentação do Windows Server.

Na página Configurar ligação VPN Automática do assistente, pode configurar as seguintes definições:

  • Ativar VPN a pedido - selecione esta opção se quiser configurar definições DNS adicionais nesta página do assistente para dispositivos Windows Phone 8.1.

  • Lista de Sufixos DNS (apenas para dispositivos Windows Phone 8.1) - configura domínios que estabelecerão uma ligação VPN. Para cada domínio que especificar, adicione o sufixo DNS, o endereço de servidor DNS e uma das seguintes ações a pedido:

    • Nunca estabelecer - nunca abrir uma ligação VPN

    • Estabelecer se necessário - apenas abrir uma ligação VPN se o dispositivo precisar de estar ligado a recursos

    • Estabelecer sempre - abrir sempre a ligação VPN

  • Intercalar - copia qualquer sufixo DNS que configurou para a Lista de redes fidedignas.

  • Lista de redes fidedignas (apenas para dispositivos Windows Phone 8.1) - especifique um sufixo DNS em cada linha. Se o dispositivo estiver numa rede fidedigna, a ligação VPN não será aberta.

  • Lista de pesquisa de sufixos (apenas para dispositivos Windows Phone 8.1) - especifique um sufixo DNS em cada linha. Cada sufixo DNS especificado será procurado ao ligar-se a um site com um nome abreviado.

    Por exemplo, pode especificar os sufixos DNS dominio1.contoso.com e dominio2.contoso.com e, em seguida, visitar o URL http://omeusite. Serão procurados os seguintes endereços:

    • http://omeusite.dominio1.contoso.com

    • http://omeusite.dominio2.contoso.com

System_CAPS_noteNota

Apenas para dispositivos Windows Phone 8.1

Se a opção Enviar todo o tráfego de rede através da ligação VPN estiver selecionada e a ligação VPN estiver a utilizar túneis completos, a ligação VPN será aberta automaticamente para o primeiro perfil aprovisionado no dispositivo. Se quiser que um perfil diferente abra automaticamente uma ligação, tem de torná-lo no perfil predefinido no dispositivo.

Se a opção Enviar todo o tráfego de rede através da ligação VPN não estiver selecionada e a ligação VPN estiver a utilizar túneis divididos, uma ligação VPN pode ser aberta automaticamente se configurar rotas ou um sufixo DNS específico de ligação.

Utilize o procedimento seguinte para especificar as plataformas suportadas do perfil VPN.

As plataformas suportadas são os sistemas operativos em que o perfil VPN será instalado.

Para especificar as plataformas suportadas do perfil VPN

  1. Na página Plataformas Suportadas do Assistente para Criar Perfil VPN, selecione os sistemas operativos em que o perfil VPN será instalado ou clique em Selecionar tudo para instalar o perfil VPN em sistemas operativos disponíveis.

Na página Resumo do assistente, reveja as ações a executar e conclua o assistente. O novo perfil VPN remota é apresentado no nó Perfis VPN da área de trabalho Ativos e Compatibilidade.

Para obter informações sobre como implementar o perfil VPN, consulte Como implementar perfis VPN no Configuration Manager.

Mostrar: