Ajouter des paramètres VPN sur les appareils macOS dans Microsoft Intune
Cet article répertorie et décrit les paramètres Intune que vous pouvez utiliser pour configurer les connexions VPN sur les appareils exécutant macOS.
Selon les paramètres que vous choisissez, toutes les valeurs de la liste suivante ne sont pas configurables.
Cette fonctionnalité s’applique à :
- macOS
Avant de commencer
-
Certains services Microsoft 365, tels qu’Outlook, peuvent ne pas fonctionner correctement en utilisant des VPN tiers ou partenaires. Si vous utilisez un VPN tiers ou partenaire et que vous rencontrez un problème de latence ou de performances, supprimez le VPN.
Si la suppression du VPN résout le comportement, vous pouvez :
- Collaborez avec le VPN tiers ou partenaire pour les solutions possibles. Microsoft ne fournit pas de support technique pour les VPN tiers ou partenaires.
- N’utilisez pas de VPN avec le trafic Outlook.
- Si vous avez besoin d’utiliser un VPN, utilisez un VPN à tunnel partagé. Et autorisez le trafic Outlook à contourner le VPN.
Pour plus d’informations, voir :
- Vue d’ensemble : tunneling fractionné VPN pour Microsoft 365
- Utilisation de solutions ou d’appareils réseau tiers avec Microsoft 365
- Autres moyens pour les professionnels de la sécurité et l’informatique d’obtenir des contrôles de sécurité modernes dans les scénarios de travail à distance uniques d’aujourd’hui
- Principes de connectivité réseau Microsoft 365
Ces paramètres sont disponibles pour tous les types d’inscription. Pour plus d’informations sur les types d’inscription, accédez à Inscription macOS.
Base VPN
Canal de déploiement : sélectionnez la façon dont vous souhaitez déployer le profil. Ce paramètre détermine également le keychain où les certificats d’authentification sont stockés. Il est donc important de sélectionner le canal approprié. Il n’est pas possible de modifier le canal de déploiement après avoir déployé le profil. Pour le modifier, vous devez créer un profil.
Remarque
Nous vous recommandons de revérifier le paramètre de canal de déploiement dans les profils existants lorsque les certificats d’authentification liés sont à renouveler pour vous assurer que le canal prévu est sélectionné. Si ce n’est pas le cas, créez un profil avec le canal de déploiement approprié.
Vous disposez de deux options :
- Canal utilisateur : sélectionnez toujours le canal de déploiement utilisateur dans les profils avec des certificats utilisateur. Cette option stocke les certificats dans le keychain utilisateur.
- Canal d’appareil : sélectionnez toujours le canal de déploiement d’appareil dans les profils avec des certificats d’appareil. Cette option stocke les certificats dans le système keychain.
Nom de la connexion : entrez un nom pour cette connexion. Les utilisateurs finaux voient ce nom lorsqu’ils parcourent leur appareil pour obtenir la liste des connexions VPN disponibles.
Adresse du serveur VPN : entrez l’adresse IP ou le nom de domaine complet du serveur VPN auquel les appareils se connectent. Par exemple, entrez
192.168.1.1
ouvpn.contoso.com
.Méthode d’authentification : choisissez la façon dont les appareils s’authentifient auprès du serveur VPN. Les options disponibles sont les suivantes :
- Certificats : sous Certificat d’authentification, sélectionnez un profil de certificat SCEP ou PKCS que vous avez créé précédemment pour authentifier la connexion. Pour plus d’informations sur les profils de certificat, consultez Guide pratique pour configurer des certificats. Choisissez les certificats qui s’alignent sur votre sélection de canal de déploiement. Si vous avez sélectionné le canal utilisateur, vos options de certificat sont limitées aux profils de certificat utilisateur. Si vous avez sélectionné le canal d’appareil, vous avez le choix entre les profils de certificat d’utilisateur et d’appareil. Toutefois, nous vous recommandons de toujours sélectionner le type de certificat qui s’aligne sur le canal sélectionné. Le stockage des certificats utilisateur dans le système keychain augmente les risques de sécurité.
- Nom d’utilisateur et mot de passe : les utilisateurs finaux doivent entrer un nom d’utilisateur et un mot de passe pour se connecter au serveur VPN.
Type de connexion : sélectionnez le type de connexion VPN dans la liste suivante de fournisseurs :
Check Point Capsule VPN
Cisco AnyConnect
SonicWall Mobile Connect
Accès F5
Mobilité NetMotion
VPN personnalisé : sélectionnez cette option si votre fournisseur VPN n’est pas répertorié. Configurez également :
- Identificateur VPN : entrez un identificateur pour l’application VPN que vous utilisez. Cet identificateur est fourni par votre fournisseur VPN.
- Entrez des paires clé/valeur pour les attributs VPN personnalisés : ajoutez ou importez des clés et des valeurs qui personnalisent votre connexion VPN. Ces valeurs sont généralement fournies par votre fournisseur VPN.
Tunneling fractionné : Activer permet aux appareils de choisir la connexion à utiliser en fonction du trafic. Par exemple, un utilisateur d’un hôtel utilise la connexion VPN pour accéder aux fichiers professionnels, mais utilise le réseau standard de l’hôtel pour la navigation web régulière. Désactiver permet à tout le trafic d’utiliser le tunnel VPN lorsque la connexion VPN est active.
VPN automatique
Sélectionnez le type de VPN automatique souhaité. Les options disponibles sont les suivantes :
Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
VPN à la demande : le VPN à la demande utilise des règles pour se connecter ou déconnecter automatiquement la connexion VPN. Lorsque vos appareils tentent de se connecter au VPN, il recherche des correspondances dans les paramètres et les règles que vous créez, comme une adresse IP ou un nom de domaine correspondant. S’il existe une correspondance, l’action que vous choisissez s’exécute.
Par exemple, créez une condition dans laquelle la connexion VPN est utilisée uniquement lorsqu’un appareil n’est pas connecté à un réseau d’entreprise Wi-Fi. Ou, si un appareil ne peut pas accéder à un domaine de recherche DNS que vous entrez, la connexion VPN n’est pas démarrée.
Ajouter : sélectionnez cette option et ajoutez une règle.
Je souhaite effectuer les opérations suivantes : s’il existe une correspondance entre la valeur de l’appareil et votre règle à la demande, sélectionnez l’action. Les options disponibles sont les suivantes :
- Connecter un VPN
- Déconnecter le VPN
- Évaluer chaque tentative de connexion
- Ignorer
Je veux limiter à : Sélectionnez la condition que la règle doit respecter. Les options disponibles sont les suivantes :
-
SSID spécifiques : entrez un ou plusieurs noms de réseau sans fil auxquels la règle s’applique. Ce nom de réseau est l’identificateur de jeu de services (SSID). Par exemple, entrez
Contoso VPN
. -
Domaines de recherche spécifiques : entrez un ou plusieurs domaines DNS auxquels la règle s’applique. Par exemple, entrez
contoso.com
. - Tous les domaines : sélectionnez cette option pour appliquer votre règle à tous les domaines de votre organization.
-
SSID spécifiques : entrez un ou plusieurs noms de réseau sans fil auxquels la règle s’applique. Ce nom de réseau est l’identificateur de jeu de services (SSID). Par exemple, entrez
Mais uniquement si cette sonde d’URL réussit : Facultatif. Entrez une URL que la règle utilise comme test. Si l’appareil accède à cette URL sans redirection, la connexion VPN est démarrée. Et l’appareil se connecte à l’URL cible. L’utilisateur ne voit pas le site de sonde de chaîne d’URL.
Par exemple, une sonde de chaîne d’URL est une URL de serveur web d’audit qui vérifie la conformité de l’appareil avant de connecter le VPN. Ou bien, l’URL teste la capacité du VPN à se connecter à un site avant que l’appareil ne se connecte à l’URL cible via le VPN.
Empêcher les utilisateurs de désactiver le VPN automatique : Vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Oui : empêche les utilisateurs de désactiver le VPN automatique. Il force les utilisateurs à maintenir le VPN automatique activé et en cours d’exécution.
- Non : permet aux utilisateurs de désactiver le VPN automatique.
Ce paramètre s’applique à :
- macOS 11 et versions ultérieures (Big Sur)
VPN par application : active le VPN par application en associant cette connexion VPN à une application macOS. Lorsque l’application s’exécute, la connexion VPN démarre. Vous pouvez associer le profil VPN à une application lorsque vous attribuez le logiciel. Pour plus d’informations, consultez Comment attribuer et surveiller des applications.
URL Safari qui déclenchent ce VPN : ajoutez une ou plusieurs URL de site web. Lorsque ces URL sont visitées à l’aide du navigateur Safari sur l’appareil, la connexion VPN est automatiquement établie.
Domaines associés : entrez les domaines associés dans le profil VPN qui démarrent automatiquement la connexion VPN. Par exemple, entrez
contoso.com
. Les appareils ducontoso.com
domaine démarrent automatiquement la connexion VPN.Pour plus d’informations, accédez aux domaines associés.
Domaines exclus : entrez les domaines qui peuvent contourner la connexion VPN lorsque le VPN par application est connecté. Par exemple, entrez
contoso.com
. Les appareils ducontoso.com
domaine ne démarrent pas ou n’utilisent pas la connexion VPN par application. Les appareils ducontoso.com
domaine utilisent l’Internet public.Empêcher les utilisateurs de désactiver le VPN automatique : Vos options :
- Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
- Oui : empêche les utilisateurs de désactiver le VPN automatique. Il force les utilisateurs à maintenir le VPN automatique activé et en cours d’exécution.
- Non : permet aux utilisateurs de désactiver le VPN automatique.
Ce paramètre s’applique à :
- macOS 11 et versions ultérieures (Big Sur)
Proxy
-
Script de configuration automatique : utilisez un fichier pour configurer le serveur proxy. Entrez l’URL du serveur proxy qui inclut le fichier de configuration. Par exemple, entrez
http://proxy.contoso.com/pac
. -
Adresse : entrez l’adresse IP ou le nom d’hôte complet du serveur proxy. Par exemple, entrez
10.0.0.3
ouvpn.contoso.com
. -
Numéro de port : entrez le numéro de port associé au serveur proxy. Par exemple, entrez
8080
.
Articles connexes
Configurez les paramètres VPN sur les appareils Android, Android Entreprise, iOS/iPadOS et Windows .