Workspace ONE UEM es compatible con la configuración de los ajustes de VPN del dispositivo para que los usuarios finales puedan acceder de forma remota y segura a la red interna de la organización. Conozca cómo el perfil VPN proporciona un control detallado sobre los ajustes de la VPN, incluidos los ajustes específicos del proveedor de la VPN y el acceso a la VPN por aplicación.

Importante: Antes de habilitar el Bloqueo de VPN, compruebe que la configuración de la VPN para el perfil de VPN funcione. Si la configuración de la VPN no es correcta, existe la posibilidad de que no pueda eliminar el perfil de VPN del dispositivo, porque no exista conexión a Internet.

Procedimiento

  1. Navegue a Recursos > Perfiles y líneas base > Perfiles > Agregar y seleccione Agregar perfil.
  2. Seleccione Windows y luego Escritorio de Windows.
  3. Seleccione Perfil del usuario o Perfil del dispositivo.
  4. Configure los ajustes de la sección General del perfil.
  5. Seleccione el perfil de VPN.
  6. Configure los ajustes de Información de la conexión:
    Ajustes Descripción
    Nombre de la conexión Introduzca el nombre de la conexión de VPN.
    Tipo de conexión

    Seleccione el tipo de conexión de VPN.

    Servidor Introduzca la dirección IP o el nombre de host del servidor VPN.
    Puerto Introduzca el puerto que utiliza el servidor VPN.
    Ajustes de conexión avanzados Habilítelos para configurar las reglas de enrutamiento avanzadas para la conexión a la VPN del dispositivo.
    Direcciones de enrutamiento

    Seleccione Agregar para introducir las direcciones IP y el tamaño del prefijo de la subred del servidor VPN.

    Puede agregar más direcciones de enrutamiento según proceda.

    Reglas de enrutamiento DNS

    Seleccione "Agregar" para introducir el Nombre de dominio que gobierna el uso de la VPN. Introduzca los servidores DNS y los servidores de proxy web que desea usar para cada dominio específico.

    Política de enrutamiento

    Elija Exigir que todo el tráfico pase por VPN o Permitir el acceso directo a los recursos externos.

    • Exigir que todo el tráfico pase por VPN (túnel forzado): en esta regla de tráfico, todo el tráfico de IP debe pasar exclusivamente a través de la interfaz de VPN.

    • Permitir el acceso directo a los recursos externos (túnel dividido): en esta regla de tráfico, solo el tráfico destinado a la interfaz de VPN (según determine la pila de red) pasa a través de la interfaz. El tráfico de Internet puede seguir pasando a través de otras interfaces.

    Proxy Seleccione Detección automática para detectar los servidores proxy que utiliza la VPN. Seleccione Manual para configurar el servidor proxy.
    Servidor

    Introduzca la dirección IP del servidor proxy.

    Aparece cuando Proxy se configura como Manual.

    URL de configuración del servidor proxy

    Introduzca la dirección URL para los ajustes de configuración del servidor proxy.

    Aparece cuando Proxy se configura como Manual.

    Desviar del proxy al local Habilite esta opción para omitir el servidor proxy cuando el dispositivo que lo detecte esté en la red local.
    Protocolo

    Seleccione el protocolo de autenticación para la VPN:

    • EAP – Permite diversos métodos de autenticación.
    • Certificado de máquina: detecta un certificado de cliente en el almacén de certificados de dispositivos con vistas a su uso para la autenticación.
    Tipo de EAP

    Seleccione el tipo de autenticación EAP.

    • EAP-TLS – Autenticación mediante tarjeta inteligente o certificado de cliente.
    • EAP-MSCHAPv2 – Nombre de usuario y contraseña
    • EAP-TTLS
    • PEAP
    • Configuración personalizada – Permite todas las configuraciones EAP.

    Solo se muestra si el Protocolo está ajustado a EAP.

    Tipo de credenciales

    Seleccione Utilizar certificado para utilizar un certificado de cliente. Seleccione Utilizar tarjeta inteligente con el fin de utilizar una tarjeta inteligente para autenticarse.

    Aparece cuando Tipo de EAP se ajusta en EAP-TLS.

    Selección de certificado simple

    Habilite esta opción para simplificar la lista de certificados desde la que elige el usuario. Los certificados se muestran según el certificado que se emitió hace menos tiempo para cada entidad.

    Aparece cuando Tipo de EAP se ajusta en EAP-TLS.

    Utilizar las credenciales de inicio de sesión de Windows

    Habilite esta opción para utilizar las mismas credenciales que el dispositivo Windows.

    Aparece cuando Tipo de EAP está ajustado en EAP-MSCHAPv2.

    Privacidad de la identidad

    Introduzca el valor que desea enviar a los servidores antes de que el cliente autentique la identidad del servidor.

    Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.

    Método de autenticación interna

    Seleccione el método de la autenticación para la autenticación de la identidad interna.

    Aparece cuando Tipo de EAP está ajustado en EAP-TTLS.

    Habilitar reconexión rápida

    Habilite esta opción para reducir el periodo de tiempo entre una solicitud de autenticación emitida por un cliente y la respuesta procedente del servidor.

    Aparece cuando Tipo de EAP está ajustado en PEAP.

    Habilitar la privacidad de identidad Habilite esta opción para proteger la identidad del usuario hasta que el cliente se autentique con el servidor.
    Reglas de VPN por aplicación Seleccione Agregar para agregar reglas de tráfico para aplicaciones heredadas y modernas específicas. Para obtener más información acerca de VPN por aplicación, consulte VPN por aplicación.
    ID de aplicación

    Seleccione primero si la aplicación es una aplicación de la tienda o una aplicación de escritorio. A continuación, introduzca la ruta del archivo de la aplicación para las aplicaciones de escritorio. También puede introducir el nombre de la familia del paquete para que las aplicaciones de la tienda especifiquen la aplicación a la que se aplican las reglas de tráfico.

    • Ejemplo de la ruta del archivo: %ProgramFiles%/Internet Explorer/iexplore.exe
    • Ejemplo del nombre de familia de paquete: AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4

    La consulta de nombre de familia de paquete le permite buscar el nombre de familia de paquete al seleccionar el icono Buscar. Aparece una ventana que le permite seleccionar la aplicación que desea gobernar con las reglas de VPN por aplicación. El nombre de familia de paquete se llena automáticamente.

    VPN a pedido Habilite esta opción para que la conexión VPN se conecte automáticamente al abrir la aplicación.
    Política de enrutamiento

    Seleccione la política de enrutamiento de la aplicación.

    • Permitir el acceso directo a los recursos externos permite el tráfico VPN y el tráfico a través de la conexión de red local.
    • Exigir que todo el tráfico pase por VPN obliga a que todo el tráfico pase a través de la VPN.
    Reglas de enrutamiento DNS

    Habilite esta opción para agregar reglas de enrutamiento de DNS para el tráfico de la aplicación.

    Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para las reglas de enrutamiento. Solo podrá enviarse a través de la VPN el tráfico de la aplicación especificada que coincida con las reglas.

    • Dirección IP: una lista de valores separados por comas que especifica los intervalos de las direcciones IP que se permiten.
    • Puertos: una lista de valores separados por comas que especifica los intervalos de los puertos remotos que se permiten. Por ejemplo, 100-120, 200, 300-320. Los puertos solo son válidos cuando el protocolo está establecido como TCP o UDP.
    • Protocolo de IP: valor numérico de 0 a 255 que representa el protocolo de IP que se permite. Por ejemplo, TCP = 6 y UDP = 17.

    Para más información acerca de cómo funcionan estos filtros y políticas y la lógica utilizada, consulte Cómo utilizar la VPN por aplicación.

    Reglas de VPN para todo el dispositivo

    Seleccione Agregar para agregar reglas de tráfico para todo el dispositivo.

    Seleccione Agregar para agregar el Tipo de filtro y el Valor de filtro para las reglas de enrutamiento. Solo se podrá enviar a través de la VPN el tráfico que coincida con estas reglas.

    • Dirección IP: una lista de valores separados por comas que especifica los intervalos de las direcciones IP que se permiten.
    • Puertos: una lista de valores separados por comas que especifica los intervalos de los puertos remotos que se permiten. Por ejemplo, 100-120, 200, 300-320. Los puertos solo son válidos cuando el protocolo está establecido como TCP o UDP.
    • Protocolo de IP: valor numérico de 0 a 255 que representa el protocolo de IP que se permite. Por ejemplo, TCP = 6 y UDP = 17. Para obtener una lista del valor numérico de todos los protocolos, consulte https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml.
    Recordar las credenciales Habilite esta opción para recordar las credenciales de inicio de sesión del usuario final.
    Siempre prendido Habilite esta opción para hacer que la conexión VPN siempre esté activada.
    Bloqueo de VPN

    Habilite esta opción para hacer que la VPN esté siempre activada y nunca se desconecte, deshabilitar el acceso a la red si la VPN no está conectada y evitar que otros perfiles de VPN se conecten al dispositivo.

    Si hay un perfil de VPN con el bloqueo de VPN habilitado, debe eliminarlo antes de insertar un nuevo perfil de VPN en el dispositivo.

    Esta función solo se muestra si el perfil está establecido en el contexto Dispositivo.

    Desviar al local Habilite esta opción para omitir la conexión VPN para el tráfico de intranet local.
    Detección de red de confianza Introduzca las direcciones de red de confianza separadas por comas. La VPN no se conecta cuando se detecta una conexión de red de confianza.
    Dominio

    Seleccione Añadir un nuevo dominio para agregar dominios para la resolución mediante el servidor VMware Tunnel.

    Cualquier dominio agregado se resuelve a través del servidor de VMware Tunnel con independencia de la aplicación que originase el tráfico. Por ejemplo, vmware.com se resolverá mediante el servidor VMware Tunnel si utiliza la versión de Chrome, que está en la lista de admitidos, o las aplicaciones Edge, que no están en dicha lista.

    Esta opción solo se muestra si crea el perfil de VPN como perfil de usuario.

  7. Seleccione Guardar y publicar cuando haya terminado para así insertar el perfil en los dispositivos.