Workspace ONE UEM prend en charge la configuration des paramètres VPN de terminal afin que les utilisateurs puissent accéder à distance et en toute sécurité au réseau interne de votre organisation. Découvrez comment le profil VPN contrôle les paramètres VPN détaillés, y compris les paramètres de fournisseur VPN spécifiques et l'accès VPN par application.

Important : Avant d'activer le Verrouillage du VPN, vérifiez que la configuration du VPN pour le profil VPN fonctionne. Si la configuration du VPN est incorrecte, il est possible que vous ne parveniez pas à supprimer le profil VPN du terminal, car il n'y a pas de connexion Internet.

Procédure

  1. Accédez à Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez Ajouter un profil.
  2. Sélectionnez Windows, puis Windows Desktop.
  3. Sélectionnez Profil d'utilisateur ou Profil du terminal.
  4. Configurez les paramètres généraux du profil.
  5. Sélectionnez le profil VPN.
  6. Configurez les paramètres Informations de connexion :
    Paramètres Descriptions
    Nom de la connexion Saisissez le nom de la connexion VPN.
    Type de connexion

    Sélectionnez le type de connexion VPN :

    Serveur Saisissez le nom d'hôte ou l'adresse IP du serveur VPN.
    Port Saisissez le port utilisé par le serveur VPN.
    Paramètres de connexion avancés Autorisez la configuration de règles avancées de routage pour les connexions VPN du terminal.
    Adresses de routage

    Sélectionnez Ajouter pour saisir les adresses IP et la taille du préfixe de sous-réseau du serveur VPN.

    Vous pouvez ajouter d'autres adresses de routage, en fonction de vos besoins.

    Règles de routage DNS

    Sélectionnez Ajouter pour saisir le Nom de domaine qui décide quand utiliser le VPN. Saisissez les Serveurs DNS et Serveurs de proxy Web à utiliser pour chaque domaine spécifique.

    Politique de routage

    Choisissez Forcer tout le trafic via le VPN ou Autoriser l'accès direct aux ressources externes.

    • Forcer tout le trafic via le VPN (Force Tunnel) : pour cette règle de trafic, tout le trafic IP doit passer par l'interface VPN uniquement.

    • Autoriser l'accès direct aux ressources externes (Split Tunnel) : pour cette règle de filtrage de trafic, seul le trafic réservé à l'interface VPN (déterminé par la pile réseau) passe par l'interface. Le trafic Internet peut passer par les autres interfaces.

    Proxy Sélectionnez Détection automatique pour détecter tous les serveurs proxy utilisés par le VPN. Sélectionnez Manuel pour configurer le serveur de proxy.
    Serveur

    Saisissez l'adresse IP du serveur de proxy.

    Apparaît lorsque le proxy est défini sur Manuel.

    URL de configuration du serveur proxy

    Saisissez l'URL pour les paramètres de configuration du serveur proxy.

    Apparaît lorsque le proxy est défini sur Manuel.

    Contournement local du proxy Activez le contournement du serveur proxy lorsque le terminal détecte qu'il est sur le réseau local.
    Protocole

    Sélectionnez le protocole d'authentification à utiliser avec le VPN :

    • EAP – Autorise différentes méthodes d'authentification
    • Certificat de la machine – Détecte le certificat client dans le magasin de certificats du terminal à utiliser lors de l'authentification.
    Type EAP

    Sélectionnez le type d'authentification EAP :

    • EAP-TLS – Authentification par carte à puce ou certificat client
    • EAP-MSCHAPv2 – Nom d'utilisateur et mot de passe
    • EAP-TTLS
    • PEAP
    • Configuration personnalisée – Autorise toutes les configurations EAP

    Apparaît uniquement si le protocole est définir sur EAP.

    Type d'identifiants

    Cliquez sur Utiliser le certificat pour utiliser un certificat client. Sélectionnez Utiliser une carte à puce afin d'utiliser une carte à puce pour l'authentification.

    Apparaît lorsque Type EAP est défini sur EAP-TLS.

    Sélection de certificat simple

    Activez ce paramètre pour simplifier la liste de certificats dans laquelle l'utilisateur choisit. Les certificats s'affichent, les derniers émis pour chaque entité apparaissent en premier.

    Apparaît lorsque Type EAP est défini sur EAP-TLS.

    Utiliser les identifiants de connexion Windows

    Activez ce paramètre pour utiliser les mêmes identifiants que ce du terminal Windows.

    Apparaît lorsque Type EAP est défini sur EAP-MSCHAPv2.

    Confidentialité d'identité

    Saisissez la valeur à envoyer aux serveurs avant que le client n'authentifie l'identité du serveur.

    Apparaît lorsque Type EAP est défini sur EAP-TTLS.

    Méthode d'authentification interne

    Sélectionnez la méthode d'authentification pour l'authentification d'identité interne.

    Apparaît lorsque Type EAP est défini sur EAP-TTLS.

    Activer la reconnexion rapide

    Activez ce paramètre pour réduire le délai entre une demande d'authentification par un client et la réponse du serveur.

    Apparaît lorsque Type EAP est défini sur PEAP.

    Activer la protection de la confidentialité Activez ce paramètre pour protéger l'identité du client jusqu'à ce que le client soit authentifié avec le serveur.
    Règles du VPN par application Sélectionnez Ajouter pour ajouter des règles de trafic pour les applications héritées et modernes. Pour en savoir plus sur le VPN par application, voir Utilisation du VPN par application.
    ID d'application

    Sélectionnez tout d'abord si l'application est une application de magasin ou de bureau. Entrez ensuite le chemin d'accès au fichier d'application pour les applications de poste de travail. Vous pouvez également entrer le nom de la famille de packages pour les applications du store pour spécifier l'application à laquelle s'appliquent les règles de trafic.

    • Exemple de chemin d'accès au fichier : %ProgramFiles%/ Internet Explorer/iexplore.exe
    • Nom de pack, par exemple : AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4

    La recherche PFN vous permet de rechercher le PFN d'une application en sélectionnant l'icône Rechercher. Une fenêtre d'affichage apparaît vous permettant de sélectionner l'application que vous souhaitez configurer selon les règles VPN par application. Le PFN est ensuite rempli automatiquement.

    VPN à la demande Activez ce paramètre pour vous connecter automatiquement à la connexion VPN dès le lancement de l'application.
    Politique de routage

    Sélectionnez la politique de routage pour l'application.

    • Autoriser l'accès direct aux ressources externes autorise le trafic VPN et le trafic via la connexion au réseau local.
    • Forcer tout le trafic via le VPN force tout le trafic via le VPN.
    Règles de routage DNS

    Activez ce paramètre pour ajouter des règles de routage DNS pour le trafic d'application.

    Sélectionnez Ajouter pour ajouter des Types de filtre et des Valeurs de filtre pour les règles de routage. Seul le trafic de l'application spécifiée correspondant à ces règles peut être envoyé par VPN.

    • Adresse IP : liste de valeurs séparées par des virgules spécifiant la plage d'adresses IP distantes à autoriser.
    • Ports : liste de valeurs séparées par des virgules spécifiant la plage de ports distants à autoriser. Par exemple : 100–120, 200, 300–320. Les ports ne sont pas valides lorsque le protocole est défini sur TCP ou UDP.
    • Protocole IP : valeur numérique entre 0 et 255 indiquant le protocole IP à autoriser. Par exemple, TCP = 6 et UDP = 17.

    Pour en savoir plus sur le fonctionnement de ces filtres et politiques, ainsi que la logique utilisée, consultez la section Utilisation du VPN par application.

    Règles du VPN au niveau des terminaux

    Cliquez sur Ajouter pour ajouter des règles de trafic à tout le terminal.

    Sélectionnez Ajouter pour ajouter des Types de filtre et des Valeurs de filtre pour les règles de routage. Seul le trafic correspondant à ces règles peut être envoyé par VPN.

    • Adresse IP : liste de valeurs séparées par des virgules spécifiant la plage d'adresses IP distantes à autoriser.
    • Ports : liste de valeurs séparées par des virgules spécifiant la plage de ports distants à autoriser. Par exemple : 100–120, 200, 300–320. Les ports ne sont pas valides lorsque le protocole est défini sur TCP ou UDP.
    • Protocole IP : valeur numérique de 0-255 indiquant le protocole IP à autoriser. Par exemple, TCP = 6 et UDP = 17. Pour obtenir la liste des valeurs numériques de tous les protocoles, reportez-vous à https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml.
    Mémoriser mes identifiants Activez ce paramètre pour mémoriser les identifiants de connexion.
    Toujours actif Activez ce paramètre pour forcer la connexion VPN à rester toujours active.
    Verrouillage du VPN

    Activez ce paramètre pour forcer le VPN à rester actif, jamais déconnecté, pour désactiver tout accès réseau si le VPN n'est pas connecté et, enfin, pour empêcher les autres profils VPN de se connecter sur le terminal.

    Un profil VPN avec option Verrouillage du VPN activé doit être supprimé pour que vous puissiez envoyer un nouveau profil VPN au terminal.

    Cette fonctionnalité s'affiche uniquement si le profil est défini sur Contexte de terminal.

    Contournement local Activez ce paramètre pour contourner la connexion VPN pour le trafic intranet local.
    Détection de réseaux approuvés Saisissez les adresses réseau approuvées, séparées par des virgules. Il n'y a pas de connexion au VPN lorsqu'une connexion réseau approuvée est détectée.
    Domaine

    Sélectionnez Ajouter un nouveau domaine pour ajouter des domaines de résolution via le serveur VMware Tunnel.

    Tous les domaines ajoutés seront résolus par le biais du serveur VMware Tunnel, quelle que soit l'application à l'origine du trafic. Par exemple, vmware.com est résolu via le serveur VMware Tunnel si vous utilisez les applications Chrome (sur liste blanche) ou Edge (pas sur liste blanche).

    Cette option s'affiche uniquement lorsque vous créez le profil VPN en tant que profil utilisateur.

  7. Sélectionnez Enregistrer et publier lorsque vous avez terminé d'envoyer le profil aux terminaux.