Aggiungere impostazioni VPN sui dispositivi macOS in Microsoft Intune
Questo articolo elenca e descrive le impostazioni Intune che è possibile usare per configurare le connessioni VPN nei dispositivi che eseguono macOS.
A seconda delle impostazioni selezionate, non tutti i valori nell'elenco seguente sono configurabili.
Questa funzionalità si applica a:
- macOS
Prima di iniziare
Creare un profilo di configurazione del dispositivo VPN macOS.
-
Alcuni servizi di Microsoft 365, ad esempio Outlook, potrebbero non funzionare correttamente usando VPN di terze parti o partner. Se si usa una VPN di terze parti o partner e si verifica un problema di latenza o prestazioni, rimuovere la VPN.
Se la rimozione della VPN risolve il comportamento, è possibile:
- Collaborare con la VPN di terze parti o partner per possibili risoluzioni. Microsoft non fornisce supporto tecnico per vpn di terze parti o partner.
- Non usare una VPN con il traffico di Outlook.
- Se è necessario usare una VPN, usare una VPN con split tunnel. E consentire al traffico di Outlook di ignorare la VPN.
Per altre informazioni, vedere:
- Panoramica: split tunneling VPN per Microsoft 365
- Uso di dispositivi o soluzioni di rete di terze parti con Microsoft 365
- Alternative ways for security professionals and IT to achieve modern security controls in today's unique remote work scenarios blog
- Principi della connettività di rete di Microsoft 365
Queste impostazioni sono disponibili per tutti i tipi di registrazione. Per altre informazioni sui tipi di registrazione, passare alla registrazione macOS.
Base VPN
Canale di distribuzione: selezionare la modalità di distribuzione del profilo. Questa impostazione determina anche il keychain in cui sono archiviati i certificati di autenticazione, quindi è importante selezionare il canale appropriato. Non è possibile modificare il canale di distribuzione dopo aver distribuito il profilo. Per modificarlo, è necessario creare un nuovo profilo.
Nota
È consigliabile ricontrollare l'impostazione del canale di distribuzione nei profili esistenti quando i certificati di autenticazione collegati sono pronti per il rinnovo per assicurarsi che sia selezionato il canale previsto. In caso contrario, creare un nuovo profilo con il canale di distribuzione corretto.
Sono disponibili due opzioni:
- Canale utente: selezionare sempre il canale di distribuzione utente nei profili con certificati utente. Questa opzione archivia i certificati nel keychain utente.
- Canale del dispositivo: selezionare sempre il canale di distribuzione del dispositivo nei profili con certificati del dispositivo. Questa opzione archivia i certificati nel keychain di sistema.
Nome connessione: immettere un nome per questa connessione. Gli utenti finali visualizzano questo nome quando esplorano il dispositivo per l'elenco delle connessioni VPN disponibili.
Indirizzo server VPN: immettere l'indirizzo IP o il nome di dominio completo del server VPN a cui si connettono i dispositivi. Ad esempio, immettere
192.168.1.1
ovpn.contoso.com
.Metodo di autenticazione: scegliere il modo in cui i dispositivi eseguono l'autenticazione al server VPN. Le opzioni disponibili sono:
- Certificati: in Certificato di autenticazione selezionare un profilo certificato SCEP o PKCS creato in precedenza per autenticare la connessione. Per altre informazioni sui profili certificato, vedere Come configurare i certificati. Scegliere i certificati allineati alla selezione del canale di distribuzione. Se è stato selezionato il canale utente, le opzioni del certificato sono limitate ai profili certificato utente. Se è stato selezionato il canale del dispositivo, è possibile scegliere tra profili certificato utente e dispositivo. Tuttavia, è consigliabile selezionare sempre il tipo di certificato allineato al canale selezionato. L'archiviazione dei certificati utente nel keychain di sistema aumenta i rischi per la sicurezza.
- Nome utente e password: gli utenti finali devono immettere un nome utente e una password per accedere al server VPN.
Tipo di connessione: selezionare il tipo di connessione VPN nell'elenco di fornitori seguente:
VPN capsule Check Point
Cisco AnyConnect
SonicWall Mobile Connect
F5 Access
NetMotion Mobility
VPN personalizzata: selezionare questa opzione se il fornitore di VPN non è elencato. Configurare anche:
- Identificatore VPN: immettere un identificatore per l'app VPN in uso. Questo identificatore viene fornito dal provider VPN.
- Immettere coppie chiave-valore per gli attributi VPN personalizzati: Aggiungere o importare chiavi e valori che personalizzano la connessione VPN. Questi valori vengono in genere forniti dal provider VPN.
Split tunneling: abilita consente ai dispositivi di decidere quale connessione usare a seconda del traffico. Ad esempio, un utente in un hotel usa la connessione VPN per accedere ai file di lavoro, ma usa la rete standard dell'hotel per l'esplorazione Web regolare. Disabilita consente a tutto il traffico di usare il tunnel VPN quando la connessione VPN è attiva.
VPN automatica
Selezionare il tipo di VPN automatica desiderata. Le opzioni disponibili sono:
Non configurato: Intune non modifica o aggiorna questa impostazione.
VPN su richiesta: la VPN su richiesta usa regole per connettersi o disconnettere automaticamente la connessione VPN. Quando i dispositivi tentano di connettersi alla VPN, cerca le corrispondenze nei parametri e nelle regole create, ad esempio un indirizzo IP o un nome di dominio corrispondente. Se è presente una corrispondenza, l'azione scelta viene eseguita.
Ad esempio, creare una condizione in cui la connessione VPN viene usata solo quando un dispositivo non è connesso a una rete Wi-Fi aziendale. In alternativa, se un dispositivo non può accedere a un dominio di ricerca DNS immesso, la connessione VPN non viene avviata.
Aggiungi: selezionare questa opzione e aggiungere una regola.
Se si verifica una corrispondenza tra il valore del dispositivo e la regola su richiesta, selezionare l'azione. Le opzioni disponibili sono:
- Connessione VPN
- Disconnetti VPN
- Valutare ogni tentativo di connessione
- Ignore
Si vuole limitare a: selezionare la condizione che la regola deve soddisfare. Le opzioni disponibili sono:
-
SSID specifici: immettere uno o più nomi di rete wireless applicati alla regola. Questo nome di rete è l'identificatore del set di servizi (SSID). Immettere ad esempio
Contoso VPN
. -
Domini di ricerca specifici: immettere uno o più domini DNS applicati alla regola. Immettere ad esempio
contoso.com
. - Tutti i domini: selezionare questa opzione per applicare la regola a tutti i domini dell'organizzazione.
-
SSID specifici: immettere uno o più nomi di rete wireless applicati alla regola. Questo nome di rete è l'identificatore del set di servizi (SSID). Immettere ad esempio
Ma solo se il probe URL ha esito positivo: Facoltativo. Immettere un URL usato dalla regola come test. Se il dispositivo accede a questo URL senza reindirizzamento, viene avviata la connessione VPN. Inoltre, il dispositivo si connette all'URL di destinazione. L'utente non visualizza il sito probe della stringa URL.
Ad esempio, un probe stringa URL è un URL del server Web di controllo che controlla la conformità del dispositivo prima di connettere la VPN. In alternativa, l'URL verifica la capacità della VPN di connettersi a un sito prima che il dispositivo si connetta all'URL di destinazione tramite la VPN.
Impedire agli utenti di disabilitare la VPN automatica: opzioni:
- Non configurato: Intune non modifica o aggiorna questa impostazione.
- Sì: impedisce agli utenti di disattivare la VPN automatica. Impone agli utenti di mantenere abilitata e in esecuzione la VPN automatica.
- No: consente agli utenti di disattivare la VPN automatica.
Questa impostazione si applica a:
- macOS 11 e versioni successive (Big Sur)
VPN per app: abilita la VPN per app associando questa connessione VPN a un'app macOS. Quando l'app viene eseguita, viene avviata la connessione VPN. È possibile associare il profilo VPN a un'app quando si assegna il software. Per altre informazioni, vedere Come assegnare e monitorare le app.
URL di Safari che attiveranno questa VPN: aggiungere uno o più URL del sito Web. Quando questi URL vengono visitati usando il browser Safari nel dispositivo, la connessione VPN viene stabilita automaticamente.
Domini associati: immettere i domini associati nel profilo VPN che avviano automaticamente la connessione VPN. Immettere ad esempio
contoso.com
. I dispositivi nelcontoso.com
dominio avviano automaticamente la connessione VPN.Per altre informazioni, passare ai domini associati.
Domini esclusi: immettere domini che possono ignorare la connessione VPN quando la VPN per app è connessa. Immettere ad esempio
contoso.com
. I dispositivi nelcontoso.com
dominio non verranno avviati o non useranno la connessione VPN per app. I dispositivi nelcontoso.com
dominio usano Internet pubblico.Impedisci agli utenti di disabilitare la VPN automatica: opzioni:
- Non configurato: Intune non modifica o aggiorna questa impostazione.
- Sì: impedisce agli utenti di disattivare la VPN automatica. Impone agli utenti di mantenere abilitata e in esecuzione la VPN automatica.
- No: consente agli utenti di disattivare la VPN automatica.
Questa impostazione si applica a:
- macOS 11 e versioni successive (Big Sur)
Proxy
-
Script di configurazione automatica: usare un file per configurare il server proxy. Immettere l'URL del server proxy che include il file di configurazione. Immettere ad esempio
http://proxy.contoso.com/pac
. -
Indirizzo: immettere l'indirizzo IP o il nome host completo del server proxy. Ad esempio, immettere
10.0.0.3
ovpn.contoso.com
. -
Numero di porta: immettere il numero di porta associato al server proxy. Immettere ad esempio
8080
.
Articoli correlati
Configurare le impostazioni VPN nei dispositivi Android, Android Enterprise, iOS/iPadOS e Windows .