XenMobile Server

Política de dispositivo de VPN

A política de dispositivo de VPN define as configurações de rede virtual privada (VPN) que permitem que os dispositivos do usuário se conectem com segurança a recursos corporativos. Você pode configurar a política de dispositivo de VPN para as seguintes plataformas. Cada plataforma exige um conjunto diferente de valores, que são descritos em detalhes neste artigo.

Para adicionar ou configurar essa política, acesse Configurar > Políticas de dispositivo. Para obter mais informações, consulte a Política de dispositivo de VPN.

Requisitos para VPNs por aplicativo

Você configura o recurso VPN por aplicativo para as seguintes plataformas por meio de políticas de VPN:

  • iOS
  • macOS
  • Android (DA legado)
  • Samsung SAFE
  • Samsung Knox

Para configurar VPNs para dispositivos Android Enterprise, crie uma política de dispositivo de Configurações gerenciadas para o aplicativo Citrix SSO. Consulte Configurar perfis VPN para Android Enterprise.

As opções de VPN por aplicativo estão disponíveis para determinados tipos de conexão. A tabela a seguir indica quando as opções VPN por aplicativo estão disponíveis.

Plataforma Tipo de conexão Observação
iOS Cisco Legacy AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA, Citrix SSO ou SSL personalizado.  
macOS Cisco AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA ou SSL personalizado.  
Android (DA legado) Citrix SSO  
Samsung SAFE IPSEC, SSL Tipo de VPN definido como Genérico
Samsung Knox IPSEC, SSL Tipo de VPN definido como Genérico

Para criar uma VPN por aplicativo para dispositivos iOS e Android (DA legado) usando o aplicativo Citrix SSO, você precisa executar etapas extras, além da configuração da política de VPN. Além disso, você deve verificar se os seguintes pré-requisitos foram atendidos:

  • Citrix Gateway no local
  • Os seguintes aplicativos estão instalados no dispositivo:
    • Citrix SSO
    • Citrix Secure Hub

Um fluxo de trabalho geral para configurar uma VPN por aplicativo para dispositivos iOS e Android usando o aplicativo Citrix SSO:

  1. Configure uma política de dispositivo de VPN como descrito neste artigo.

  2. Configure o Citrix ADC para aceitar o tráfego da VPN por aplicativo. Para obter detalhes, consulte Configuração completa de VPN no Citrix Gateway.

Configurações de iOS

Para se preparar para atualizações de dispositivos para o iOS 12:

o tipo de conexão Citrix VPN na política de dispositivo de VPN para iOS não suporta o iOS 12. Execute estas etapas para excluir sua política de dispositivo VPN existente e criar uma política de dispositivo de VPN com o tipo de conexão Citrix SSO:

  1. Exclua sua política de dispositivo de VPN para iOS.
  2. Adicione uma política de dispositivo de VPN para iOS. Configurações importantes:
    • Connection type = Citrix SSO
    • Enable per-app VPN = On
    • Provider type = Packet tunnel
  3. Adicione uma política de dispositivo de Atributos de Aplicativo para iOS. Para Identificador VPN por aplicativo, escolha iOS_VPN.

Tela de configuração de políticas de dispositivos

  • Nome da conexão: digite um nome para a conexão.
  • Tipo de conexão: na lista, selecione o protocolo a ser usado para esta conexão. O padrão é L2TP.
    • L2TP: Protocolo de Encapsulamento de Camada 2 com autenticação de chave pré-compartilhada.
    • PPTP: Encapsulamento Ponto a Ponto.
    • IPSec: sua conexão VPN corporativa.
    • Cisco Legacy AnyConnect: este tipo de conexão requer que o cliente VPN Cisco Legacy AnyConnect esteja instalado no dispositivo do usuário. A Cisco está desativando o cliente Cisco Legacy AnyConnect que foi baseado em uma estrutura VPN agora obsoleta. Para obter mais informações, consulte o artigo de suporte https://support.citrix.com/article/CTX227708.

      Para usar o cliente Cisco AnyConnect atual, use um Tipo de conexão de SSL personalizado. Para ver as configurações necessárias, consulte “Configurar o protocolo SSL personalizado” nesta seção.

    • Juniper SSL: cliente VPN Juniper Networks SSL.
    • F5 SSL: cliente VPN F5 Networks SSL.
    • SonicWALL Mobile Connect: cliente VPN unificado Dell para iOS.
    • Ariba VIA: cliente Ariba Networks Virtual Internet Access.
    • IKEv2 (somente iOS): Internet Key Exchange versão 2 somente para iOS.
    • AlwaysOn IKEv2: acesso sempre ativo usando IKEv2.
    • Configuração dupla de AlwaysOn IKEv2: acesso sempre ativo usando a configuração dupla IKEv2.
    • Citrix SSO: cliente Citrix SSO para iOS 12 e posterior.
    • SSL personalizado: protocolo SSL personalizado. Esse tipo de conexão é necessário para o cliente Cisco AnyConnect que possui um ID de pacote do com.cisco.anyconnect. Especifique um nome de conexão do Cisco AnyConnect. Você também pode implantar a política de VPN e habilitar um filtro de Controle de Acesso da Rede (NAC) para dispositivos iOS. O filtro bloqueia a conexão VPN a dispositivos que têm aplicativos não compatíveis instalados. A configuração requer configurações específicas para a política de VPN do iOS, conforme descrito na seção iOS a seguir. Para obter mais informações sobre outras configurações necessárias para habilitar o filtro NAC, consulte Controle de acesso da rede.

As seções a seguir listam as opções de configuração de cada um dos tipos de conexão anteriores.

Configurar o protocolo L2TP para iOS

  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Selecione Autenticação por senha ou Autenticação RSA SecurID.
  • Segredo compartilhado: digite a chave secreta compartilhada do IPsec.
  • Enviar todo o tráfego: selecione se todo o tráfego deve ser enviado sobre a VPN. O padrão é Desativado.

Configurar o protocolo PPTP para iOS

  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Selecione Autenticação por senha ou Autenticação RSA SecurID.
  • Nível de criptografia: na lista, selecione um nível de criptografia. O padrão é Nenhum.
    • Nenhum: não use criptografia.
    • Automático: use o nível de criptografia mais forte compatível com o servidor.
    • Máximo (128 bits): use sempre criptografia de 128 bits.
  • Enviar todo o tráfego: selecione se todo o tráfego deve ser enviado sobre a VPN. O padrão é Desativado.

Configurar o protocolo IPsec para iOS

  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Tipo de autenticação da conexão: na lista, selecione Segredo compartilhado ou Certificado para o tipo de autenticação dessa conexão. O padrão é Segredo Compartilhado.
  • Se você ativar a opção Segredo compartilhado, defina as seguintes configurações:
    • Nome do grupo: digite um nome de grupo opcional.
    • Segredo compartilhado: digite uma chave secreta compartilhada opcional.
    • Usar autenticação híbrida: selecione se a autenticação híbrida deve ser usada. Com a autenticação híbrida, o primeiro servidor autentica a si mesmo no cliente e, em seguida, o cliente autentica a si mesmo no servidor. O padrão é Desativado.
    • Solicitar senha: selecione se as senhas dos usuários devem ser solicitadas quando eles se conectarem à rede. O padrão é Desativado.
  • Se você ativar a opção Certificado, configure as seguintes definições:
    • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
    • Solicitar PIN ao conectar: selecione se os usuários serão obrigados a inserir o respectivo PIN quando se conectarem à rede. O padrão é Desativado.
    • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver On, consulte Definir as configurações de Ativar VPN sob demanda para iOS.
  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado.
  • Correspondência de aplicativo sob demanda ativada: selecione se as conexões VPN por aplicativo são acionadas automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede. O padrão é Desativado.
  • Domínios Safari: clique em Adicionar para adicionar um nome de domínio do Safari.

Configurar o protocolo AnyConnect Cisco legado para iOS

Para fazer a transição do cliente Cisco AnyConnect legado para o novo cliente Cisco AnyConnect, use o protocolo SSL personalizado.

  • Identificador de pacote de provedor: para o cliente Legacy AnyConnect, o ID do pacote é com.cisco.anyconnect.gui.
  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Grupo: digite um nome de grupo opcional.
  • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver On, consulte Definir as configurações de Ativar VPN sob demanda para iOS.
  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você ativar essa opção, defina estas configurações:
    • Correspondência de aplicativo sob demanda ativada: selecione se as conexões VPN por aplicativo são acionadas automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede. O padrão é Desativado.
    • Tipo de provedor: selecione se a VPN por aplicativo é fornecida como um Proxy de aplicativo ou como um Túnel de pacote. O padrão é Proxy de aplicativo.
    • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.

Configurar o protocolo Juniper SSL para iOS

  • Identificador de pacote de provedor: se o seu perfil VPN por aplicativo contiver o identificador de pacote de um aplicativo com vários provedores VPN do mesmo tipo, especifique o provedor a ser usado aqui.
  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Realm: digite um nome de realm opcional.
  • Função: digite um nome de função opcional.
  • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver On, consulte Definir as configurações de Ativar VPN sob demanda para iOS.
  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você ativar essa opção, defina estas configurações:
    • Correspondência de aplicativo sob demanda ativada: selecione se as conexões VPN por aplicativo são acionadas automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede. O padrão é Desativado.
    • Tipo de provedor: selecione se a VPN por aplicativo é fornecida como um Proxy de aplicativo ou como um Túnel de pacote. O padrão é Proxy de aplicativo.
    • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.

Configurar o protocolo F5 SSL para iOS

  • Identificador de pacote de provedor: se o seu perfil VPN por aplicativo contiver o identificador de pacote de um aplicativo com vários provedores VPN do mesmo tipo, especifique o provedor a ser usado aqui.
  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver On, consulte Definir as configurações de Ativar VPN sob demanda para iOS.
  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você ativar essa opção, defina estas configurações:
    • Correspondência de aplicativo sob demanda ativada: selecione se as conexões VPN por aplicativo são acionadas automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede.
    • Tipo de provedor: selecione se a VPN por aplicativo é fornecida como um Proxy de aplicativo ou como um Túnel de pacote. O padrão é Proxy de aplicativo.
    • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.

Configurar o protocolo SonicWALL para iOS

  • Identificador de pacote de provedor: se o seu perfil VPN por aplicativo contiver o identificador de pacote de um aplicativo com vários provedores VPN do mesmo tipo, especifique o provedor a ser usado aqui.
  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Grupo ou domínio de login: digite um grupo ou domínio de login opcional.
  • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver On, consulte Definir as configurações de Ativar VPN sob demanda para iOS.
  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você definir essa opção como I, defina estas configurações:
    • Correspondência de aplicativo sob demanda ativada: selecione se as conexões VPN por aplicativo são acionadas automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede.
    • Tipo de provedor: selecione se a VPN por aplicativo é fornecida como um Proxy de aplicativo ou como um Túnel de pacote. O padrão é Proxy de aplicativo.
    • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.

Configurar o protocolo Ariba VIA para iOS

  • Identificador de pacote de provedor: se o seu perfil VPN por aplicativo contiver o identificador de pacote de um aplicativo com vários provedores VPN do mesmo tipo, especifique o provedor a ser usado aqui.
  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver On, consulte Definir as configurações de Ativar VPN sob demanda para iOS.
  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você ativar essa opção, defina estas configurações:
    • Correspondência de aplicativo sob demanda ativada: selecione se as conexões VPN por aplicativo são acionadas automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede.
    • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.

Configurar protocolos IKEv2 para iOS

Essa seção inclui as configurações usadas para os protocolos IKEv2, AlwaysOn IKEv2 e AlwaysOn IKEv2 Dual Configuration. Para o protocolo Configuração dupla de AlwaysOn IKEv2, configure todas essas configurações para redes celulares e Wi-Fi.

  • Permitir que o usuário desative a conexão automática: para os protocolos AlwaysOn. Selecione se os usuários têm permissão para desativar a conexão automática com a rede em seus dispositivos. O padrão é Desativado.

  • Nome de host ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.

  • Identificador local: o FQDN ou o endereço IP do cliente IKEv2. Este campo é obrigatório.

  • Identificador remoto: o FQDN ou o endereço IP do servidor VPN. Este campo é obrigatório.

  • Autenticação do dispositivo: escolha Segredo compartilhado, Certificado ou Certificado do dispositivo baseado no identificador do dispositivo para o tipo de autenticação dessa conexão. O padrão é Segredo Compartilhado.

    • Se você escolher Segredo compartilhado, digite uma chave secreta compartilhada opcional.

    • Se você escolher Certificado, escolha uma Credencial de identidade a ser usada. O padrão é Nenhum.

    • Se você escolher Certificado do dispositivo baseado no identificador do dispositivo, escolha o Tipo de identidade do dispositivo a ser usado. O padrão é IMEI. Para usar essa opção, importe os certificados em massa usando a API REST. Consulte Carregar certificados para dispositivos iOS em massa com a API REST. Disponível somente quando você seleciona AlwaysOn IKEv2.

  • Autenticação estendida ativada: selecione se o Protocolo de autenticação estendido (EAP) deve ser ativado. Se você escolher I, digite a Conta de usuário e a Senha de autenticação.

  • Intervalo de DPD: escolha quantas vezes um dispositivo par é contactado, para garantir que ele permaneça acessível. O padrão é Nenhum. As opções são:

    • Nenhum: desative a detecção de par inativo.

    • Baixo: entra em contato com o par a cada 30 minutos.

    • Médio: entra em contato com o par a cada 10 minutos.

    • Alto: entra em contato com o par a cada 1 minuto.

  • Desativar mobilidade e multihoming: escolha se deseja desativar esse recurso.

  • Usar atributos de sub-rede interna IPv4/IPv6: escolha se deseja ativar esse recurso.

  • Desativar redirecionamentos: escolha se deseja desativar redirecionamentos.

  • Ativar keepalive NAT enquanto o dispositivo está no modo de suspensão: para os protocolos AlwaysOn. Pacotes de keepalive mantêm mapeamentos NAT para conexões IKEv2. O chip envia esses pacotes em intervalos regulares quando o dispositivo está ativo. Se esta configuração for I, o chip envia pacotes de keepalive mesmo enquanto o dispositivo estiver no modo de suspensão. O padrão é 20 segundos por Wi-Fi e 110 segundos via rede celular. Você pode alterar o intervalo usando o parâmetro Intervalo de NAT keepalive.

  • Intervalo de keepalive NAT (segundos): o padrão é 20 segundos.

  • Ativar o Perfect Forward Secrecy: escolha se deseja ativar este recurso.

  • Endereços IP do servidor DNS: opcional. Uma lista de configurações de endereços IP de servidores DNS. Esses endereços IP podem incluir uma mistura de endereços IPv4 e IPv6. Clique em Adicionar para digitar um endereço.

  • Nome de domínio: opcional. O domínio principal do túnel.

  • Domínios de pesquisa: opcional. Uma lista de domínios usada para qualificar totalmente nomes de host de rótulo único.

  • Acrescentar domínios correspondentes suplementares à lista do resolvedor: opcional. Determina se a lista de domínios correspondentes complementares será ou não adicionada à lista de domínios de pesquisa do resolvedor. O padrão é Ativado.

  • Domínios correspondentes suplementares: opcional. Uma lista de cadeias de domínios usada para determinar as consultas DNS que devem usar as configurações de resolvedor DNS contidas nos endereços de servidor DNS. Essa chave cria uma configuração de DNS dividido em que somente os hosts em determinados domínios resolvem usando o resolvedor DNS do túnel. Os hosts que não estejam em um dos domínios nessa são resolvidos por meio do resolvedor padrão do sistema.

Se esse parâmetro contiver uma cadeia vazia, esta será o domínio padrão. É assim que uma configuração de túnel dividido pode direcionar todas as consultas DNS para os servidores DNS da VPN antes dos servidores DNS primários. Se o túnel VPN for a rota padrão da rede, os servidores DNS listados serão o resolvedor padrão. Nesse caso, a lista de domínios correspondentes suplementares é ignorada.

  • Parâmetros IKE SA e Parâmetros SA filho. Defina estas configurações para cada opção de parâmetros de Associação de segurança (SA):

    • Algoritmo de criptografia: na lista, selecione o algoritmo de criptografia IKE a ser usado. O padrão é 3DES.

    • Algoritmo de integridade: na lista, selecione o algoritmo de integridade a ser usado. O padrão é SHA1-96.

    • Grupo Diffie Hellman: na lista, selecione o número do grupo Diffie Hellman. O padrão é 2.

    • Vida útil ike em minutos: digite um inteiro entre 10 e 1.440 que representa o tempo de vida SA (intervalo de rechaveamento). O padrão é 1440 minutos.

  • Exceções de serviço: para os protocolos AlwaysOn. Exceções de serviço são serviços do sistema isentos da VPN AlwaysOn. Defina estas configurações de exceções de serviço:

    • Correio de voz: na lista, selecione como lidar com a exceção de correio de voz. O padrão é Permitir tráfego através do túnel.

    • AirPrint: na lista, selecione como lidar com a exceção do AirPrint. O padrão é Permitir tráfego através do túnel.

    • Permitir o tráfego de folha web cativa fora do túnel VPN: selecione se deseja permitir que os usuários se conectem a pontos de acesso públicos fora do túnel da VPN. O padrão é Desativado.

    • Permitir o tráfego de todos os aplicativos de rede cativos fora do túnel VPN: selecione se deseja permitir todos os aplicativos de rede do ponto de acesso fora do túnel da VPN. O padrão é Desativado.

    • Identificadores de pacote de aplicativos de rede cativos: para cada identificador de pacote de aplicativos de rede hotspot que os usuários têm permissão para acessar, clique em Adicionar e digite o Identificador de pacote de aplicativos de rede hotspot. Clique em Salvar para salvar o identificador de pacote de aplicativos.

  • VPN por aplicativo. Definir estas configurações para tipos de conexão IKEv2.

    • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado.
    • Correspondência de aplicativo sob demanda ativada: selecione se as conexões VPN por aplicativo são acionadas automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede. O padrão é Desativado.
    • Domínios Safari: clique em Adicionar para adicionar um nome de domínio do Safari.
  • Configuração de proxy: escolha como a conexão VPN é direcionada por meio de um servidor proxy. O padrão é Nenhum.

Configurar o protocolo Citrix SSO para iOS

O cliente Citrix SSO está disponível na Apple Store em https://apps.apple.com/us/app/citrix-sso/id1333396910.

  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver On, consulte Definir as configurações de Ativar VPN sob demanda para iOS.
  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você definir essa opção como I, defina estas configurações:
    • Correspondência de aplicativo sob demanda ativada: selecione se as conexões VPN por aplicativo são acionadas automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede.
    • Tipo de provedor: selecione se a VPN por aplicativo é fornecida como um Proxy de aplicativo ou como um Túnel de pacote. O padrão é Proxy de aplicativo.
    • Tipo de provedor: defina como Túnel de pacote.
    • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.
  • XML personalizado: para cada parâmetro XML personalizado que você desejar adicionar, clique em Adicionar e especifique os pares de chave/valor. Os parâmetros disponíveis são:
    • disableL3: desativa a VPN de nível de sistema. Permite somente uma VPN por aplicativo. Nenhum valor é necessário.
    • useragent: associa a esta política de dispositivo todas as políticas do Citrix Gateway que são direcionadas a clientes de plug-in VPN. Para as solicitações iniciadas pelo plug-in, o valor dessa chave é anexado automaticamente ao plug-in VPN.

Configurar o protocolo SSL personalizado para iOS

Para fazer a transição do cliente Cisco Legacy AnyConnect para o cliente Cisco AnyConnect:

  1. Configure a política de dispositivo de VPN com o protocolo SSL personalizado. Implemente a política em dispositivos iOS.
  2. Faça o upload do cliente Cisco AnyConnect de https://apps.apple.com/us/app/cisco-anyconnect/id1135064690, adicione o aplicativo ao XenMobile e implemente o aplicativo em dispositivos iOS.
  3. Remova a política de dispositivo de VPN antiga de dispositivos iOS.

Configurações:

  • Identificador SSL personalizado (formato DNS inverso): defina o identificador de pacote. Para o cliente Cisco AnyConnect, use com.cisco.anyconnect.
  • Identificador de pacote de provedor: se o aplicativo especificado em Identificador SSL personalizado tiver vários provedores VPN do mesmo tipo (proxy de aplicativo ou túnel de pacote), especifique esse identificador de pacote. Para o cliente Cisco AnyConnect, use com.cisco.anyconnect.
  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver On, consulte Definir as configurações de Ativar VPN sob demanda para iOS.
  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você definir essa opção como I, defina estas configurações:
    • Correspondência de aplicativo sob demanda ativada: selecione se as conexões VPN por aplicativo são acionadas automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede.
    • Tipo de provedor: um tipo de provedor indica se o provedor é um serviço de VPN ou serviço de proxy. No caso de serviço de VPN, escolha Túnel de pacote. No caso de serviço de proxy, escolha Proxy de aplicativo. No caso de cliente Cisco AnyConnect, escolha Túnel de pacote.
    • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.
  • XML personalizado: para cada parâmetro XML personalizado que você desejar adicionar, clique em Adicionar e faça o seguinte:
    • Nome do parâmetro: digite o nome do parâmetro a ser adicionado.
    • Valor: digite o valor associado ao Nome do parâmetro.
    • Clique em Salvar para salvar o parâmetro ou clique em Cancelar para não salvar.

Configurar a política de dispositivo de VPN para suportar NAC

  1. O Tipo de conexão de SSL Personalizado é necessário para configurar o filtro NAC.
  2. Especifique um Nome de conexão de VPN .
  3. Para identificador SSL personalizado, digite com.citrix.NetScalerGateway.ios.app
  4. Para Identificador de pacote de provedor, digite com.citrix.NetScalerGateway.ios.app.vpnplugin

Os valores nas etapas 3 e 4 provêm da instalação necessária do Citrix SSO para a filtragem NAC. Você não configura uma senha de autenticação. Para obter mais informações sobre como usar a função NAC, consulte Controle de acesso à rede.

Configurar as opções de Ativar VPN sob demanda para iOS

  • Domínio On Demand: para cada domínio e ação associada a executar quando os usuários se conectam, clique em Adicionar e faça o seguinte:
  • Domínio: digite o domínio a ser adicionado.
  • Ação: na lista, selecione uma das ações possíveis:
    • Sempre estabelecer: o domínio sempre aciona uma conexão VPN.
    • Nunca estabelecer: o domínio nunca aciona uma conexão VPN.
    • Estabelecer, se necessário: o domínio dispara uma tentativa de conexão VPN se a resolução de nomes de domínio falhar. Uma falha ocorre quando o servidor DNS não pode resolver o domínio, redireciona para um servidor diferente ou atinge o tempo limite.
    • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.
  • Regras on demand
    • Ação: na lista, selecione a ação a ser tomada. O padrão é EvaluateConnection. As ações possíveis são:
      • Permitir: permitir que a VPN sob demanda se conecte quando acionada.
      • Conectar: inicie incondicionalmente uma conexão VPN.
      • Desconectar: remover a conexão VPN e não se reconectar sob demanda, desde que a regra seja correspondida.
      • EvaluateConnection: avaliar a matriz ActionParameters de cada conexão.
      • Ignorar: manter todas as conexões VPN existentes ativas, mas não se reconectar sob demanda, desde que a regra seja correspondida.
    • DNSDomainMatch: para cada domínio em relação ao qual a lista de domínios de pesquisa de um dispositivo pode corresponder que você desejar adicionar, clique em Adicionar e faça o seguinte:
      • Domínio DNS: digite o nome de domínio. Você pode usar o prefixo do caractere curinga “*” para correspondência de vários domínios. Por exemplo, *.exemplo.com corresponde a meudominio.exemplo.com, seudominio.exemplo.com e dominiodela.exemplo.com.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.
    • DNSServerAddressMatch: para cada endereço IP ao qual qualquer um dos servidores DNS especificados da rede pode corresponder que você desejar adicionar, clique em Adicionar e faça o seguinte:
      • Endereço de servidor DNS: digite o endereço de servidor DNS que você deseja adicionar. Você pode usar o sufixo do caractere curinga “*” para correspondência de servidores DNS. Por exemplo, 17.* corresponde a qualquer servidor DNS na sub-rede da classe A.
      • Clique em Salvar para salvar o endereço do servidor DNS ou clique em Cancelar para não salvar.
    • InterfaceTypeMatch: na lista, selecione o tipo de hardware primário de interface de rede em uso. O padrão é Não especificado. Os valores possíveis são:
      • Não especificad:o corresponde qualquer interface de rede de hardware. Esta opção é o padrão.
      • Ethernet: corresponde somente a hardware de interface de rede Ethernet.
      • WiFi: corresponde somente a hardware de interface de rede Wi-Fi.
      • Celular: corresponde somente a hardware de interface de rede Celular.
    • SSIDMatch: para cada SSID a ser correspondido em relação à rede atual que você desejar adicionar, clique em Adicionar e faça o seguinte.
      • SSID: digite o SSID a ser adicionado. Se a rede não for uma rede Wi-Fi ou se o SSID não for exibido, a correspondência falhará. Deixe essa lista vazia para corresponder a qualquer SSID.
      • Clique em Salvar para salvar o SSID ou clique em Cancelar para não salvar.
    • URLStringProbe: digite uma URL a ser obtida. Se essa URL for obtida com êxito sem redirecionamento, essa regra será correspondida.
    • ActionParameters : Domains: para cada domínio que EvaluateConnection verifica que você desejar adicionar, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.
    • ActionParameters : DomainAction: na lista, selecione o comportamento da VPN dos domínios ActionParameters : Domains especificados. O padrão é ConnectIfNeeded. As ações possíveis são:
      • ConnectIfNeeded: o domínio dispara uma tentativa de conexão VPN se a resolução de nomes de domínio falhar. Uma falha ocorre quando o servidor DNS não pode resolver o domínio, redireciona para um servidor diferente ou atinge o tempo limite.
      • NeverConnect: o domínio nunca aciona uma conexão VPN.
    • ActionParameters: RequiredDNSServers: para cada endereço IP do servidor DNS que deve ser usado para resolver os domínios especificados, clique em Adicionar e faça o seguinte:
      • Servidor DNS: válido somente quando ActionParameters : DomainAction = ConnectIfNeeded. Digite o servidor DNS a ser adicionado. Esse servidor não precisa fazer parte da configuração de rede atual do dispositivo. Se o servidor DNS não estiver acessível, uma conexão VPN será estabelecida na resposta. Esse servidor DNS deve ser um servidor DNS interno ou um servidor DNS externo confiável.
      • Clique em Salvar para salvar o servidor DNS ou clique em Cancelar para não salvar.
    • ActionParameters : RequiredURLStringProbe: opcionalmente, digite uma URL HTTP ou HTTPS (preferencial) a ser investigada usando uma solicitação GET. Se o nome do host da URL não puder ser resolvido, se o servidor estiver inacessível ou se o servidor não responder, uma conexão VPN será estabelecida. Válido somente quando ActionParameters : DomainAction = ConnectIfNeeded.
    • OnDemandRules : XML content: digite ou copie e cole as regras on demand da configuração XML.
      • Clique em Verificar dicionário para validar o código XML. Você verá XML válido em texto verde abaixo da caixa de texto Conteúdo XML se o XML for válido. Se não for válido, você verá uma mensagem de erro em texto laranja descrevendo o erro.
  • Proxy
    • Configuração de proxy: na lista, selecione como a conexão VPN é direcionada por meio de um servidor proxy. O padrão é Nenhum.
      • Se você ativar a opção Manual, defina as seguintes configurações:
        • Nome do host ou endereço IP do servidor proxy: digite o nome do host ou o endereço IP do servidor proxy. Este campo é obrigatório.
        • Porta do servidor proxy: digite o número da porta do servidor proxy. Este campo é obrigatório.
        • Nome de usuário: digite um nome de usuário opcional do servidor proxy.
        • Senha: digite uma senha opcional do servidor proxy.
      • Se você configurar Automático, defina esta configuração:
        • URL do servidor proxy: digite a URL do servidor proxy. Este campo é obrigatório.
  • Configurações de política
    • Em Configurações de política, ao lado de Remover política, selecione Selecionar data ou em Duração até remoção (em horas).
    • Se você selecionar Selecionar data, clique no calendário para selecionar a data específica para remoção.
    • Na lista Permitir que o usuário remova a política, selecione Sempre, Senha obrigatória ou Nunca.
    • Se você selecionar Senha obrigatória, ao lado de Senha de remoção, digite a senha necessária.

Configurar uma VPN por aplicativo

Opções de VPN por aplicativo para o iOS estão disponíveis para estes tipos de conexão: Cisco AnyConnect legado, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA, Citrix VPN, Citrix SSO e SSL personalizado.

Para configurar uma VPN por aplicativo:

  1. Em Configurar > Políticas de dispositivo, crie uma política de VPN. Por exemplo:

    Tela de configuração de políticas de dispositivos

    Tela de configuração de políticas de dispositivos

  2. Em Configurar > Políticas de dispositivo, crie uma política de atributos de aplicativo para associar um aplicativo à política de VPN por aplicativo. Para Identificador de VPN por aplicativo, escolha o nome da política de VPN criado na etapa 1. Para ID de pacote de aplicativos gerenciados, escolha a lista de aplicativos ou digite a ID do pacote de aplicativos. (Se você implantar um política de inventário de aplicativos iOS, a lista de aplicativos conterá aplicativos).

    Tela de configuração de políticas de dispositivos

  • Configurações de política
    • Remover política: escolha um método para agendar a remoção da política. As opções disponíveis são Selecionar data e Duração até remoção (em horas)
      • Selecionar data: clique no calendário para selecionar a data específica para remoção.
      • Duração até remoção (em horas): digite um número, em horas, até que a remoção da política ocorra. Disponível apenas para iOS 6.0 e posterior.

Configurações do macOS

Tela de configuração de políticas de dispositivos

  • Nome da conexão: digite um nome para a conexão.
  • Tipo de conexão: na lista, selecione o protocolo a ser usado para esta conexão. O padrão é L2TP.
    • L2TP: Protocolo de Encapsulamento de Camada 2 com autenticação de chave pré-compartilhada.
    • PPTP: Encapsulamento Ponto a Ponto.
    • IPSec: sua conexão VPN corporativa.
    • Cisco AnyConnect: cliente VPN Cisco AnyConnect.
    • Juniper SSL: cliente VPN Juniper Networks SSL.
    • F5 SSL: cliente VPN F5 Networks SSL.
    • SonicWALL Mobile Connect: cliente VPN unificado Dell para iOS.
    • Ariba VIA: cliente Ariba Networks Virtual Internet Access.
    • Citrix VPN: cliente Citrix VPN.
    • SSL personalizado: protocolo SSL personalizado.

As seções a seguir listam as opções de configuração de cada um dos tipos de conexão anteriores.

Configurar o protocolo L2TP para macOS

  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Selecione a Autenticação de senha, Autenticação RSA SecurID, Autenticação Kerberos ou Autenticação CryptoCard. O padrão é Autenticação de senha.
  • Segredo compartilhado: digite a chave secreta compartilhada do IPsec.
  • Enviar todo o tráfego: selecione se todo o tráfego deve ser enviado sobre a VPN. O padrão é Desativado.

Configurar o protocolo PPTP para macOS

  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Selecione a Autenticação de senha, Autenticação RSA SecurID, Autenticação Kerberos ou Autenticação CryptoCard. O padrão é Autenticação de senha.
  • Nível de criptografia: selecione o nível de criptografia desejado. O padrão é Nenhum.
    • Nenhum: não use criptografia.
    • Automático: use o nível de criptografia mais forte compatível com o servidor.
    • Máximo (128 bits): use sempre criptografia de 128 bits.
  • Enviar todo o tráfego: selecione se todo o tráfego deve ser enviado sobre a VPN. O padrão é Desativado.

Configurar o protocolo IPsec para macOS

  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Tipo de autenticação da conexão: na lista, selecione Segredo compartilhado ou Certificado para o tipo de autenticação dessa conexão. O padrão é Segredo Compartilhado.
    • Se você ativar a autenticação Segredo compartilhado, defina as seguintes configurações:
      • Nome do grupo: digite um nome de grupo opcional.
      • Segredo compartilhado: digite uma chave secreta compartilhada opcional.
      • Usar autenticação híbrida: selecione se a autenticação híbrida deve ser usada. Com a autenticação híbrida, o primeiro servidor autentica a si mesmo no cliente e, em seguida, o cliente autentica a si mesmo no servidor. O padrão é Desativado.
      • Solicitar senha: selecione se as senhas dos usuários devem ser solicitadas quando eles se conectarem à rede. O padrão é Desativado.
    • Se você ativar a autenticação de Certificado, defina estas configurações:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se os usuários serão obrigados a inserir o respectivo PIN quando se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver I, consulte Configurar as opções de Ativar VPN sob demanda.

Configurar o protocolo Cisco AnyConnect para macOS

  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Grupo: digite um nome de grupo opcional.
  • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver I, consulte Configurar as opções de Ativar VPN sob demanda.
    • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você ativar essa opção, defina estas configurações:
      • Correspondência de aplicativo sob demanda ativada: selecione se as conexões VPN por aplicativo são acionadas automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede. O padrão é Desativado.
      • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
        • Domínio: digite o domínio a ser adicionado.
        • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.

Configurar o protocolo SSL do Juniper para macOS

  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Realm: digite um nome de realm opcional.
  • Função: digite um nome de função opcional.
  • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver I, consulte Definir as configurações de Ativar VPN sob demanda.
  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você ativar essa opção, defina estas configurações:
    • Correspondência de aplicativo sob demanda ativada: selecione se uma conexão VPN por aplicativo é acionada automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede. O padrão é Desativado.
    • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.

Configurar o protocolo F5 SSL para macOS

  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver I, consulte Definir as configurações de Ativar VPN sob demanda.
  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você ativar essa opção, defina estas configurações:
    • Correspondência de aplicativo sob demanda ativada: selecione se as conexões VPN por aplicativo são acionadas automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede. O padrão é Desativado.
    • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.

Configurar o protocolo SonicWALL Mobile Connect para macOS

  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Grupo ou domínio de login: digite um grupo ou domínio de login opcional.
  • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver I, consulte Definir as configurações de Ativar VPN sob demanda.
  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você ativar essa opção, defina estas configurações:
    • Correspondência de aplicativo sob demanda ativada: selecione se uma conexão VPN por aplicativo é acionada automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede. O padrão é Desativado.
    • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.

Configurar o protocolo Ariba VIA para macOS

  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN.
  • Conta de usuário: digite uma conta de usuário opcional.
  • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver I, consulte Definir as configurações de Ativar VPN sob demanda.
  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você ativar essa opção, defina estas configurações:
    • Correspondência de aplicativo sob demanda ativada: selecione se uma conexão VPN por aplicativo é acionada automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede. O padrão é Desativado.
    • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.

Configurar o protocolo SSL personalizado para macOS

  • Identificador SSL personalizado (formato DNS inverso): digite o identificador SSL no formato de DNS inverso. Este campo é obrigatório.
  • Nome ou endereço IP do servidor: digite o nome do servidor ou o endereço IP do servidor VPN. Este campo é obrigatório.
  • Conta de usuário: digite uma conta de usuário opcional.
    • Tipo de autenticação da conexão: na lista, selecione Senha ou Certificado para o tipo de autenticação dessa conexão. O padrão é Senha.
    • Se você ativar Senha, digite uma senha de autenticação opcional no campo Senha de autenticação.
    • Se você ativar a opção Certificado, configure as seguintes definições:
      • Credencial de identidade: na lista, selecione a credencial de identidade a ser usada. O padrão é Nenhum.
      • Solicitar PIN ao conectar: selecione se o PIN dos usuários será solicitado quando eles se conectarem à rede. O padrão é Desativado.
      • Ativar VPN sob demanda: selecione se deve ser ativado o acionamento de uma conexão VPN quando os usuários se conectarem à rede. O padrão é Desativado. Para obter informações sobre como definir as configurações quando a opção Ativar VPN sob demanda estiver I, consulte Definir as configurações de Ativar VPN sob demanda.
    • VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. O padrão é Desativado. Se você ativar essa opção, defina estas configurações:
      • Correspondência de aplicativo sob demanda ativada: selecione se as conexões VPN por aplicativo são acionadas automaticamente quando os aplicativos vinculados ao serviço do VPN por aplicativo iniciam a comunicação de rede.
      • Domínios do Safari: para cada domínio do Safari que pode acionar uma conexão VPN por aplicativo que você desejar incluir, clique em Adicionar e faça o seguinte:
        • Domínio: digite o domínio a ser adicionado.
        • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.
  • XML personalizado: para cada parâmetro XML personalizado que você desejar adicionar, clique em Adicionar e faça o seguinte:
    • Nome do parâmetro: digite o nome do parâmetro a ser adicionado.
    • Valor: digite o valor associado ao Nome do parâmetro.
    • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.

Configurar as opções de Ativar VPN sob demanda

  • Domínio On Demand: para cada domínio e ação associada a ser tomada quando os usuários se conectarem a eles que você desejar adicionar, clique em Adicionar e faça o seguinte:
    • Domínio: digite o domínio a ser adicionado.
    • Ação: na lista, selecione uma das ações possíveis:
      • Sempre estabelecer: o domínio sempre aciona uma conexão VPN.
      • Nunca estabelecer: o domínio nunca aciona uma conexão VPN.
      • Estabelecer, se necessário: o domínio dispara uma tentativa de conexão VPN se a resolução de nomes de domínio falhar. Uma falha ocorre quando o servidor DNS não pode resolver o domínio, redireciona para um servidor diferente ou atinge o tempo limite.
    • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.
  • Regras on demand
    • Ação: na lista, selecione a ação a ser tomada. O padrão é EvaluateConnection. As ações possíveis são:
      • Permitir: permitir que a VPN sob demanda se conecte quando acionada.
      • Conectar: iniciar incondicionalmente uma conexão VPN.
      • Desconectar: remover a conexão VPN e não se reconectar sob demanda, desde que a regra seja correspondida.
      • EvaluateConnection: avaliar a matriz ActionParameters de cada conexão.
      • Ignorar: manter todas as conexões VPN existentes ativas, mas não se reconectar sob demanda, desde que a regra seja correspondida.
    • DNSDomainMatch: para cada domínio em relação ao qual a lista de domínios de pesquisa de um dispositivo do usuário pode corresponder que você desejar adicionar, clique em Adicionar e faça o seguinte:
      • Domínio DNS: digite o nome de domínio. Você pode usar o prefixo do caractere curinga “*” para correspondência de vários domínios. Por exemplo, *.exemplo.com corresponde a meudominio.exemplo.com, seudominio.exemplo.com e dominiodela.exemplo.com.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.
    • DNSServerAddressMatch: para cada endereço IP ao qual qualquer um dos servidores DNS especificados da rede pode corresponder que você desejar adicionar, clique em Adicionar e faça o seguinte:
      • Endereço de servidor DNS: digite o endereço de servidor DNS que você deseja adicionar. Você pode usar o sufixo do caractere curinga “*” para correspondência de servidores DNS. Por exemplo, 17.* corresponde a qualquer servidor DNS na sub-rede da classe A.
      • Clique em Salvar para salvar o endereço do servidor DNS ou clique em Cancelar para não salvar.
    • InterfaceTypeMatch: na lista, clique no tipo de hardware primário de interface de rede em uso. O padrão é Não especificado. Os valores possíveis são:
      • Não especificad:o corresponde qualquer interface de rede de hardware. Esta opção é o padrão.
      • Ethernet: corresponde somente a hardware de interface de rede Ethernet.
      • WiFi: corresponde somente a hardware de interface de rede Wi-Fi.
      • Celular: corresponde somente a hardware de interface de rede Celular.
    • SSIDMatch: para cada SSID a ser correspondido em relação à rede atual que você desejar adicionar, clique em Adicionar e faça o seguinte.
      • SSID: digite o SSID a ser adicionado. Se a rede não for uma rede Wi-Fi ou se o SSID não for exibido, a correspondência falhará. Deixe essa lista vazia para corresponder a qualquer SSID.
      • Clique em Salvar para salvar o SSID ou clique em Cancelar para não salvar.
    • URLStringProbe: digite uma URL a ser obtida. Se essa URL for obtida com êxito sem redirecionamento, essa regra será correspondida.
    • ActionParameters : Domains: para cada domínio que EvaluateConnection verifica que você desejar adicionar, clique em Adicionar e faça o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.
    • ActionParameters : DomainAction: na lista, selecione o comportamento da VPN dos domínios ActionParameters : Domains especificados. O padrão é ConnectIfNeeded. As ações possíveis são:
      • ConnectIfNeeded: o domínio dispara uma tentativa de conexão VPN se a resolução de nomes de domínio falhar. Uma falha ocorre quando o servidor DNS não pode resolver o domínio, redireciona para um servidor diferente ou atinge o tempo limite.
      • NeverConnect: o domínio nunca aciona uma conexão VPN.
    • ActionParameters: RequiredDNSServers: para cada endereço IP do servidor DNS que deve ser usado para resolver os domínios especificados, clique em Adicionar e faça o seguinte:
      • Servidor DNS: válido somente quando ActionParameters : DomainAction = ConnectIfNeeded. Digite o servidor DNS a ser adicionado. Esse servidor não precisa fazer parte da configuração de rede atual do dispositivo. Se o servidor DNS não estiver acessível, uma conexão VPN será estabelecida na resposta. Esse servidor DNS deve ser um servidor DNS interno ou um servidor DNS externo confiável.
      • Clique em Salvar para salvar o servidor DNS ou clique em Cancelar para não salvar.
    • ActionParameters : RequiredURLStringProbe: opcionalmente, digite uma URL HTTP ou HTTPS (preferencial) a ser investigada usando uma solicitação GET. Se o nome do host da URL não puder ser resolvido, se o servidor estiver inacessível ou se o servidor não responder, uma conexão VPN será estabelecida. Válido somente quando ActionParameters : DomainAction = ConnectIfNeeded.
    • OnDemandRules : XML content: digite ou copie e cole as regras on demand da configuração XML.
      • Clique em Verificar dicionário para validar o código XML. Você verá XML válido em texto verde abaixo da caixa de texto Conteúdo XML se o XML for válido. Se não for válido, você verá uma mensagem de erro em texto laranja descrevendo o erro.
  • Proxy
    • Configuração de proxy: na lista, selecione como a conexão VPN é direcionada por meio de um servidor proxy. O padrão é Nenhum.
      • Se você ativar a opção Manual, defina as seguintes configurações:
        • Nome do host ou endereço IP do servidor proxy: digite o nome do host ou o endereço IP do servidor proxy. Este campo é obrigatório.
        • Porta do servidor proxy: digite o número da porta do servidor proxy. Este campo é obrigatório.
        • Nome de usuário: digite um nome de usuário opcional do servidor proxy.
        • Senha: digite uma senha opcional do servidor proxy.
      • Se você configurar Automático, defina esta configuração:
        • URL do servidor proxy: digite a URL do servidor proxy. Este campo é obrigatório.

Configurações do Android

Tela de configuração de políticas de dispositivos

Configurar o protocolo Cisco AnyConnect VPN para Android

  • Nome da conexão: digite um nome para a conexão VPN do Cisco AnyConnect. Este campo é obrigatório.
  • Nome do host ou endereço IP: digite o nome ou endereço IP do servidor de VPN. Este campo é obrigatório.
  • Credencial de identidade: na lista, selecione uma credencial de identidade.
  • Servidor VPN de backup: digite as informações do servidor VPN de backup.
  • Grupo de usuários: digite as informações do grupo de usuários.
  • Redes Confiáveis
    • Política VPN automática: ative ou desative essa opção para definir a forma como o VPN reage a redes confiáveis e não confiáveis. Se essa opção estiver ativada, defina as seguintes configurações:
      • Política de rede confiável: na lista, selecione a política desejada. O padrão é Desconectar. As opções possíveis são:
        • Desconectar: o cliente encerra a conexão VPN na rede confiável. Essa configuração é a padrão.
        • Conectar: o cliente inicia uma conexão VPN na rede confiável.
        • Não fazer nada: o cliente não toma nenhuma ação.
        • Pausar: quando um usuário estabelece uma sessão VPN fora da rede confiável e, em seguida, entra em uma rede configurada como confiável, a sessão VPN é suspensa. Quando o usuário deixa a rede confiável novamente, a sessão é retomada. Essa configuração elimina a necessidade de estabelecer uma nova sessão VPN após a saída de uma rede confiável.
      • Política de rede não confiável: na lista, selecione a política desejada. O padrão é Conectar. As opções possíveis são:
        • Conectar: o cliente inicia uma conexão VPN na rede não confiável.
        • Não fazer nada: o cliente inicia uma conexão VPN na rede não confiável. Esta opção desativa a VPN sempre conectada.
    • Domínios confiáveis: para cada sufixo de domínio que a interface de rede tem quando o cliente está na rede confiável, clique em Adicionar para fazer o seguinte:
      • Domínio: digite o domínio a ser adicionado.
      • Clique em Salvar para salvar o domínio ou clique em Cancelar para não salvar.
    • Servidores confiáveis: para cada endereço de servidor que uma interface de rede tem quando o cliente está na rede confiável, clique em Adicionar e faça o seguinte:
      • Servidores: digite o servidor a ser adicionado.
      • Clique em Salvar para salvar o servidor ou clique em Cancelar para não salvar.

Configurar o protocolo Citrix SSO para Android

  • Nome da conexão: digite um nome para a conexão VPN. Este campo é obrigatório.

  • Nome ou endereço IP do servidor: digite o FQDN ou endereço IP do Citrix Gateway.

  • Tipo de autenticação da conexão: escolha um tipo de autenticação e preencha qualquer um dos campos que são exibidos para o tipo:

    • Nome de usuário e Senha: digite suas credenciais VPN para os Tipos de autenticação de Senha ou Senha e certificado. Opcional. Se você não fornecer as credenciais VPN, o aplicativo Citrix VPN solicitará um nome de usuário e senha.

    • Credencial de identidade: é exibida para os Tipos de autenticação de Certificado ou Senha e certificado. Na lista, selecione uma credencial de identidade.

  • Ativar VPN por aplicativo: selecione se a VPN por aplicativo deve ser ativada. Se você não ativar VPN por aplicativo, todo o tráfego passa pelo do túnel do Citrix VPN. Se você ativar VPN por aplicativo, especifique as configurações a seguir. O padrão é Desativado.

    • Lista branca ou lista negra: se Lista branca, todos os aplicativos permitidos passam pelo túnel através dessa VPN. Se Lista negra, todos os aplicativos, exceto os aplicativos que estão na lista de bloqueio, passam pelo túnel através dessa VPN.

      Nota:

      O console XenMobile Server inclui os termos “lista negra” e “lista branca”. Estamos alterando esses termos em uma próxima versão para “lista de bloqueio” e “lista de permissão”.

    • Lista de aplicativos: especifique os aplicativos permitidos ou bloqueados. Clique em Adicionar e, em seguida, digite uma lista separada por vírgulas de nomes de pacote de aplicativo.

  • XML personalizado: clique em Adicionar e, em seguida, digite parâmetros personalizados. O XenMobile é compatível com estes parâmetros para Citrix VPN:

    • DisableUserProfiles: Opcional. Para ativar esse parâmetro, digite Sim para o Valor. Se ativado, o XenMobile não exibirá conexões de VPN adicionadas pelo usuário, e o usuário não poderá adicionar uma conexão. Essa configuração é uma restrição global e se aplica a todos os perfis de VPN.
    • userAgent: um valor de cadeia de caracteres. Você pode especificar uma cadeia de caracteres de Agente do Usuário personalizada para enviar em cada solicitação HTTP. A cadeia de caracteres do agente de usuário especificado é acrescentada ao agente de usuário existente do Citrix VPN.

Configurar VPNs para oferecer suporte a NAC

  1. Use o Tipo de conexão de SSL Personalizado para configurar o filtro NAC.
  2. Especifique um Nome de conexão de VPN .
  3. Em XML personalizado, clique em Adicionar e faça o seguinte:
    • Nome do parâmetro: digite XenMobileDeviceId. Esse campo é o ID do dispositivo a ser usado para a verificação NAC com base no registro do dispositivo no XenMobile. Se o XenMobile registrar e gerenciar o dispositivo, a conexão VPN será permitida. Caso contrário, a autenticação será negada no momento do estabelecimento da VPN.
    • Valor: digite DeviceID_${device.id}, que é o valor do parâmetro XenMobileDeviceId.
    • Clique em Salvar para salvar o parâmetro.

Configurar VPNs para Android Enterprise

Para configurar VPNs para dispositivos Android Enterprise, crie uma política de dispositivo de Configuração gerenciada para o aplicativo Citrix SSO. Consulte Configurar perfis VPN para Android Enterprise.

Configurações do Android Enterprise

Tela de configuração de políticas de dispositivos

  • Ativar VPN sempre conectada: selecione se a conexão VPN está sempre conectada. O padrão é Desativado. Quando essa opção está ativada, a conexão VPN permanece ativa até que o usuário se desconecte manualmente.
  • Pacote de VPN: digite o nome do pacote para o uso dos dispositivos do aplicativo de VPN.
  • Ativar bloqueio: se desativado, nenhum aplicativo poderá acessar a rede se não houver uma conexão VPN. Se ativado, os aplicativos que você define na configuração a seguir podem acessar a rede, mesmo que não exista uma conexão VPN. Disponível para dispositivos Android 10 e versões posteriores.
  • Aplicativos excluídos do bloqueio: clique em Adicionar para digitar os nomes dos pacotes dos aplicativos que você deseja ignorar na configuração de bloqueio.

Configurações do Windows Desktop/Tablet

Tela de configuração de políticas de dispositivos

  • Nome da conexão: insira um nome para a conexão. Este campo é obrigatório.
  • Tipo de perfil: na lista, selecione Nativo ou Plug-in. O padrão é Nativo.
  • Configurar tipo de perfil nativo: essas configurações se aplicam à VPN interna nos dispositivos Windows dos usuários.
    • Endereço de servidor: digite o FQDN ou o endereço IP do servidor VPN. Este campo é obrigatório.
    • Lembrar credencial: selecione se as credenciais devem ser armazenadas em cache. O padrão é Desativado. Quando essa opção está ativada, as credenciais são armazenadas sempre que possível.
    • Sufixo DNS: digite o sufixo DNS.
    • Tipo de túnel: na lista, selecione o tipo de túnel VPN a ser usado. O padrão é L2TP. As opções possíveis são:
      • L2TP: Protocolo de Encapsulamento de Camada 2 com autenticação de chave pré-compartilhada.
      • PPTP: Encapsulamento Ponto a Ponto.
      • IKEv2: Internet Key Exchange versão 2.
    • Método de autenticação: na lista, selecione o método de autenticação a ser usado. O padrão é EAP. As opções possíveis são:
      • EAP: Extended Authentication Protocol.
      • MSChapV2: use a autenticação de handshake de desafio da Microsoft para autenticação mútua. Esta opção não está disponível quando você seleciona IKEv2 para o tipo de túnel.
    • Método EAP: na lista, selecione o método EAP a ser usado. O padrão é o TLS. Esse campo não está disponível quando a autenticação MSChapV2 está ativada. As opções possíveis são:
      • TLS: Transport Layer Security
      • PEAP: Protected Extensible Authentication Protocol
    • Redes confiáveis: digite uma lista de redes separadas por vírgula que não exigem uma conexão VPN para acesso. Por exemplo, quando os usuários estiverem na rede sem fio da sua empresa, eles poderão acessar recursos protegidos diretamente.
    • Exigir um certificado de cartão inteligente: determine se deve ser exigido um certificado de cartão inteligente. O padrão é Desativado.
    • Selecionar o certificado cliente automaticamente: selecione se o certificado cliente a ser usado para autenticação deve ser escolhido automaticamente. O padrão é Desativado. Essa opção não está disponível quando você ativa Exigir um certificado de cartão inteligente.
    • VPN sempre conectada: selecione se a conexão VPN está sempre conectada. O padrão é Desativado. Quando essa opção está ativada, a conexão VPN permanece ativa até que o usuário se desconecte manualmente.
    • Ignorar para local: digite o endereço e o número de porta para permitir que os recursos locais ignorem o servidor proxy.
  • Configure Plugin profile type: essas configurações se aplicam a plug-ins de VPN obtidos da Windows Store e instalados nos dispositivos dos usuários.
    • Endereço de servidor: digite o FQDN ou o endereço IP do servidor VPN. Este campo é obrigatório.
    • Lembrar credencial: selecione se as credenciais devem ser armazenadas em cache. O padrão é Desativado. Quando essa opção está ativada, as credenciais são armazenadas sempre que possível.
    • Sufixo DNS: digite o sufixo DNS.
    • ID de aplicativo cliente: digite o nome de família do pacote do plug-in de VPN.
    • XML de Perfil de Plug-in: selecione o perfil de plug-in de VPN personalizado para ser usado clicando em Procurar e navegando até a localização do arquivo. Entre em contato com o provedor do plug-in para obter o formato e os detalhes.
    • Redes confiáveis: digite uma lista de redes separadas por vírgula que não exigem uma conexão VPN para acesso. Por exemplo, quando os usuários estiverem na rede sem fio da sua empresa, eles poderão acessar recursos protegidos diretamente.
    • VPN sempre conectada: selecione se a conexão VPN está sempre conectada. O padrão é Desativado. Quando essa opção está ativada, a conexão VPN permanece ativa até que o usuário se desconecte manualmente.
    • Ignorar para local: digite o endereço e o número de porta para permitir que os recursos locais ignorem o servidor proxy.
Política de dispositivo de VPN