Agregar la configuración de VPN en los dispositivos macOS en Microsoft Intune
En este artículo se enumeran y describen los valores de Intune que puede usar para configurar conexiones VPN en dispositivos que ejecutan macOS.
En función de la configuración que elija, no todos los valores de la lista siguiente son configurables.
Esta característica se aplica a:
- macOS
Antes de empezar
Cree un perfil de configuración de dispositivo VPN de macOS.
-
Es posible que algunos servicios de Microsoft 365, como Outlook, no funcionen bien con VPN de terceros o asociados. Si usa una VPN de terceros o asociados y experimenta un problema de latencia o rendimiento, quite la VPN.
Si al quitar la VPN se resuelve el comportamiento, puede hacer lo siguiente:
- Trabaje con la VPN de terceros o asociados para posibles resoluciones. Microsoft no proporciona soporte técnico para VPN de terceros o asociados.
- No use una VPN con tráfico de Outlook.
- Si necesita usar una VPN, use una VPN de túnel dividido. Además, permita que el tráfico de Outlook omita la VPN.
Para obtener más información, vaya a:
- Información general: Túnel dividido de VPN para Microsoft 365
- Uso de soluciones o dispositivos de red de terceros con Microsoft 365
- Formas alternativas para que los profesionales de seguridad y TI logren controles de seguridad modernos en el blog de escenarios de trabajo remoto únicos de hoy en día
- Principios de conectividad de red de Microsoft 365
Esta configuración está disponible para todos los tipos de inscripción. Para obtener más información sobre los tipos de inscripción, vaya a inscripción de macOS.
Base VPN
Canal de implementación: seleccione cómo desea implementar el perfil. Esta configuración también determina la cadena de claves donde se almacenan los certificados de autenticación, por lo que es importante seleccionar el canal adecuado. No es posible editar el canal de implementación después de implementar el perfil. Para cambiarlo, debe crear un nuevo perfil.
Nota:
Se recomienda volver a comprobar la configuración del canal de implementación en los perfiles existentes cuando los certificados de autenticación vinculados estén activados para su renovación para asegurarse de que se selecciona el canal deseado. Si no es así, cree un nuevo perfil con el canal de implementación correcto.
Tiene dos opciones:
- Canal de usuario: seleccione siempre el canal de implementación de usuario en perfiles con certificados de usuario. Esta opción almacena certificados en la cadena de claves de usuario.
- Canal de dispositivo: seleccione siempre el canal de implementación de dispositivos en perfiles con certificados de dispositivo. Esta opción almacena certificados en la cadena de claves del sistema.
Nombre de conexión: escriba un nombre para esta conexión. Los usuarios finales ven este nombre cuando examinan su dispositivo para obtener la lista de conexiones VPN disponibles.
Dirección del servidor VPN: escriba la dirección IP o el nombre de dominio completo del servidor VPN al que se conectan los dispositivos. Por ejemplo, escriba
192.168.1.1
ovpn.contoso.com
.Método de autenticación: elija cómo se autentican los dispositivos en el servidor VPN. Las opciones son:
- Certificados: en Certificado de autenticación, seleccione un perfil de certificado SCEP o PKCS que creó anteriormente para autenticar la conexión. Para obtener más información sobre los perfiles de certificado, vaya a Configuración de certificados. Elija los certificados que se alinean con la selección del canal de implementación. Si seleccionó el canal de usuario, las opciones de certificado se limitan a los perfiles de certificado de usuario. Si seleccionó el canal de dispositivo, tiene perfiles de certificado de usuario y dispositivo entre los que elegir. Sin embargo, se recomienda seleccionar siempre el tipo de certificado que se alinea con el canal seleccionado. El almacenamiento de certificados de usuario en la cadena de claves del sistema aumenta los riesgos de seguridad.
- Nombre de usuario y contraseña: los usuarios finales deben escribir un nombre de usuario y una contraseña para iniciar sesión en el servidor VPN.
Tipo de conexión: seleccione el tipo de conexión VPN de la lista siguiente de proveedores:
Check Point Capsule VPN
Cisco AnyConnect
SonicWall Mobile Connect
F5 Access
NetMotion Mobility
VPN personalizada: seleccione esta opción si el proveedor de VPN no aparece en la lista. Configure también:
- Identificador de VPN: escriba un identificador para la aplicación VPN que está usando. El proveedor de VPN proporciona este identificador.
- Escriba pares de clave y valor para los atributos vpn personalizados: agregue o importe claves y valores que personalicen la conexión VPN. Normalmente, el proveedor de VPN proporciona estos valores.
Tunelización dividida: Habilitar permite que los dispositivos decidan qué conexión usar en función del tráfico. Por ejemplo, un usuario de un hotel usa la conexión VPN para acceder a los archivos de trabajo, pero usa la red estándar del hotel para la exploración web regular. Deshabilitar permite que todo el tráfico use el túnel VPN cuando la conexión VPN está activa.
VPN automática
Seleccione el tipo de VPN automática que desee. Sus opciones son:
Sin configurar: Intune no cambia ni actualiza esta configuración.
VPN a petición: VPN a petición usa reglas para conectar o desconectar automáticamente la conexión VPN. Cuando los dispositivos intentan conectarse a la VPN, busca coincidencias en los parámetros y reglas que cree, como una dirección IP o un nombre de dominio coincidentes. Si hay una coincidencia, la acción que elija se ejecuta.
Por ejemplo, cree una condición en la que la conexión VPN solo se use cuando un dispositivo no esté conectado a una empresa Wi-Fi red. O bien, si un dispositivo no puede acceder a un dominio de búsqueda DNS que escriba, no se iniciará la conexión VPN.
Agregar: seleccione esta opción y agregue una regla.
Quiero hacer lo siguiente: Si hay una coincidencia entre el valor del dispositivo y la regla a petición, seleccione la acción. Las opciones son:
- Conexión de VPN
- Desconexión de VPN
- Evaluación de cada intento de conexión
- Ignore
Quiero restringir a: seleccione la condición que debe cumplir la regla. Las opciones son:
-
SSID específicos: escriba uno o varios nombres de red inalámbrica que se aplican a la regla. Este nombre de red es el identificador del conjunto de servicios (SSID). Por ejemplo, escriba
Contoso VPN
. -
Dominios de búsqueda específicos: escriba uno o varios dominios DNS a los que se aplica la regla. Por ejemplo, escriba
contoso.com
. - Todos los dominios: seleccione esta opción para aplicar la regla a todos los dominios de la organización.
-
SSID específicos: escriba uno o varios nombres de red inalámbrica que se aplican a la regla. Este nombre de red es el identificador del conjunto de servicios (SSID). Por ejemplo, escriba
Pero solo si este sondeo de dirección URL se realiza correctamente: opcional. Escriba una dirección URL que la regla usa como prueba. Si el dispositivo accede a esta dirección URL sin redireccionamiento, se inicia la conexión VPN. Además, el dispositivo se conecta a la dirección URL de destino. El usuario no ve el sitio de sondeo de cadena de dirección URL.
Por ejemplo, un sondeo de cadena de dirección URL es una dirección URL del servidor web de auditoría que comprueba el cumplimiento del dispositivo antes de conectar la VPN. O bien, la dirección URL prueba la capacidad de la VPN para conectarse a un sitio antes de que el dispositivo se conecte a la dirección URL de destino a través de la VPN.
Impedir que los usuarios deshabiliten la VPN automática: sus opciones:
- Sin configurar: Intune no cambia ni actualiza esta configuración.
- Sí: impide que los usuarios desactiven la VPN automática. Obliga a los usuarios a mantener la VPN automática habilitada y en ejecución.
- No: permite a los usuarios desactivar la VPN automática.
Esta configuración se aplica a:
- macOS 11 y versiones posteriores (Big Sur)
VPN por aplicación: habilita la VPN por aplicación mediante la asociación de esta conexión VPN con una aplicación de macOS. Cuando se ejecuta la aplicación, se inicia la conexión VPN. Puede asociar el perfil de VPN a una aplicación al asignar el software. Para obtener más información, vaya a Asignación y supervisión de aplicaciones.
Direcciones URL de Safari que desencadenarán esta VPN: agregue una o varias direcciones URL de sitio web. Cuando estas direcciones URL se visitan mediante el explorador Safari en el dispositivo, la conexión VPN se establece automáticamente.
Dominios asociados: escriba los dominios asociados en el perfil de VPN que inician automáticamente la conexión VPN. Por ejemplo, escriba
contoso.com
. Los dispositivos delcontoso.com
dominio inician automáticamente la conexión VPN.Para obtener más información, vaya a dominios asociados.
Dominios excluidos: escriba dominios que puedan omitir la conexión VPN cuando la VPN por aplicación esté conectada. Por ejemplo, escriba
contoso.com
. Los dispositivos delcontoso.com
dominio no se iniciarán o no usarán la conexión VPN por aplicación. Los dispositivos delcontoso.com
dominio usan la Red Pública de Internet.Impedir que los usuarios deshabiliten la VPN automática: sus opciones:
- Sin configurar: Intune no cambia ni actualiza esta configuración.
- Sí: impide que los usuarios desactiven la VPN automática. Obliga a los usuarios a mantener la VPN automática habilitada y en ejecución.
- No: permite a los usuarios desactivar la VPN automática.
Esta configuración se aplica a:
- macOS 11 y versiones posteriores (Big Sur)
Proxy
-
Script de configuración automática: use un archivo para configurar el servidor proxy. Escriba la dirección URL del servidor proxy que incluye el archivo de configuración. Por ejemplo, escriba
http://proxy.contoso.com/pac
. -
Dirección: escriba la dirección IP o el nombre de host completo del servidor proxy. Por ejemplo, escriba
10.0.0.3
ovpn.contoso.com
. -
Número de puerto: escriba el número de puerto asociado al servidor proxy. Por ejemplo, escriba
8080
.
Artículos relacionados
Configure las opciones de VPN en dispositivos Android, Android Enterprise, iOS/iPadOS y Windows .