Dodawanie ustawień sieci VPN na urządzeniach z systemem macOS w Microsoft Intune

W tym artykule wymieniono i opisano ustawienia Intune, których można użyć do konfigurowania połączeń sieci VPN na urządzeniach z systemem macOS.

W zależności od wybranych ustawień nie wszystkie wartości na poniższej liście można skonfigurować.

Ta funkcja ma zastosowanie do:

• macOS

Przed rozpoczęciem

• Utwórz profil konfiguracji urządzenia sieci VPN z systemem macOS.

• Niektóre usługi platformy Microsoft 365, takie jak Outlook, mogą nie działać dobrze przy użyciu sieci VPN innych firm lub partnerów. Jeśli używasz sieci VPN innej firmy lub partnera i występuje problem z opóźnieniem lub wydajnością, usuń sieć VPN.

  Jeśli usunięcie sieci VPN rozwiąże to zachowanie, możesz wykonać następujące czynności:

  • Aby uzyskać możliwe rozwiązania, skontaktuj się z siecią VPN innej firmy lub partnera. Firma Microsoft nie zapewnia pomocy technicznej dla sieci VPN innych firm ani partnerów.
  • Nie używaj sieci VPN z ruchem w programie Outlook.
  • Jeśli musisz użyć sieci VPN, użyj sieci VPN z tunelem podzielonym. Zezwalaj również na pomijanie sieci VPN przez ruch programu Outlook.

  Aby uzyskać więcej informacji, zobacz:

  • Omówienie: tunelowanie podzielone sieci VPN dla platformy Microsoft 365
  • Korzystanie z urządzeń sieciowych innych firm lub rozwiązań w usłudze Microsoft 365
  • Alternatywne sposoby zapewniania przez specjalistów ds. zabezpieczeń i it nowoczesnych mechanizmów kontroli zabezpieczeń w dzisiejszym blogu poświęconym unikatowym scenariuszom pracy zdalnej
  • Zasady dotyczące łączności sieciowej na platformie Microsoft 365

• Te ustawienia są dostępne dla wszystkich typów rejestracji. Aby uzyskać więcej informacji na temat typów rejestracji, przejdź do pozycji rejestracja w systemie macOS.

Podstawowa sieć VPN

• Kanał wdrażania: wybierz sposób wdrażania profilu. To ustawienie określa również pęku kluczy, w którym są przechowywane certyfikaty uwierzytelniania, dlatego ważne jest, aby wybrać odpowiedni kanał. Nie można edytować kanału wdrażania po wdrożeniu profilu. Aby go zmienić, należy utworzyć nowy profil.

  Uwaga

  Zalecamy ponowne sprawdzenie ustawienia kanału wdrażania w istniejących profilach, gdy połączone certyfikaty uwierzytelniania są gotowe do odnowienia, aby upewnić się, że wybrany jest zamierzony kanał. Jeśli tak nie jest, utwórz nowy profil z prawidłowym kanałem wdrażania.

  Dostępne są dwie opcje:

  • Kanał użytkownika: zawsze wybieraj kanał wdrażania użytkownika w profilach z certyfikatami użytkownika. Ta opcja przechowuje certyfikaty w pęku kluczy użytkownika.
  • Kanał urządzenia: zawsze wybieraj kanał wdrażania urządzenia w profilach z certyfikatami urządzeń. Ta opcja przechowuje certyfikaty w pęku kluczy systemu.

• Nazwa połączenia: wprowadź nazwę tego połączenia. Użytkownicy końcowi widzą tę nazwę podczas przeglądania urządzenia w poszukiwaniu listy dostępnych połączeń sieci VPN.

• Adres serwera sieci VPN: wprowadź adres IP lub w pełni kwalifikowaną nazwę domeny serwera sieci VPN, z którym łączą się urządzenia. Na przykład wprowadź 192.168.1.1 wartość lub vpn.contoso.com.

• Metoda uwierzytelniania: wybierz sposób uwierzytelniania urządzeń na serwerze sieci VPN. Dostępne opcje:

  • Certyfikaty: w obszarze Certyfikat uwierzytelniania wybierz profil certyfikatu SCEP lub PKCS utworzony wcześniej w celu uwierzytelnienia połączenia. Aby uzyskać więcej informacji na temat profilów certyfikatów, przejdź do tematu Jak skonfigurować certyfikaty. Wybierz certyfikaty, które są zgodne z wyborem kanału wdrażania. W przypadku wybrania kanału użytkownika opcje certyfikatu są ograniczone do profilów certyfikatów użytkownika. W przypadku wybrania kanału urządzenia do wyboru są zarówno profile certyfikatów użytkowników, jak i urządzeń. Zalecamy jednak zawsze wybieranie typu certyfikatu, który jest zgodny z wybranym kanałem. Przechowywanie certyfikatów użytkowników w pęku kluczy systemowych zwiększa ryzyko bezpieczeństwa.
  • Nazwa użytkownika i hasło: użytkownicy końcowi muszą wprowadzić nazwę użytkownika i hasło, aby zalogować się na serwerze sieci VPN.

• Typ połączenia: wybierz typ połączenia sieci VPN z następującej listy dostawców:

  • Check Point Capsule VPN

  • Cisco AnyConnect

  • SonicWall Mobile Connect

  • F5 Access

  • NetMotion Mobility

  • Niestandardowa sieć VPN: wybierz tę opcję, jeśli dostawca sieci VPN nie znajduje się na liście. Skonfiguruj również:

    • Identyfikator sieci VPN: wprowadź identyfikator używanej aplikacji sieci VPN. Ten identyfikator jest dostarczany przez dostawcę sieci VPN.
    • Wprowadź pary kluczy i wartości dla niestandardowych atrybutów sieci VPN: Dodaj lub zaimportuj klucze i wartości , które dostosowują połączenie sieci VPN. Te wartości są zwykle dostarczane przez dostawcę sieci VPN.

• Tunelowanie podzielone: ustawienie Włącz pozwala urządzeniom decydować, którego połączenia używać w zależności od ruchu. Na przykład użytkownik w hotelu używa połączenia sieci VPN do uzyskiwania dostępu do plików służbowych, ale używa standardowej sieci hotelowej do regularnego przeglądania internetu. Ustawienie Wyłącz umożliwia cały ruchowi korzystanie z tunelu VPN, gdy połączenie sieci VPN jest aktywne.

Automatyczna sieć VPN

Wybierz żądany typ automatycznej sieci VPN . Dostępne opcje:

• Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.

• Sieć VPN na żądanie: sieć VPN na żądanie używa reguł do automatycznego łączenia lub rozłączania połączenia sieci VPN. Gdy urządzenia próbują nawiązać połączenie z siecią VPN, wyszukuj dopasowania w utworzonych parametrach i regułach, takich jak zgodny adres IP lub nazwa domeny. Jeśli istnieje dopasowanie, wybrana akcja zostanie uruchomiona.

  Na przykład utwórz warunek, w którym połączenie sieci VPN jest używane tylko wtedy, gdy urządzenie nie jest połączone z firmową siecią Wi-Fi. Jeśli też urządzenie nie może uzyskać dostępu do wprowadzonej domeny wyszukiwania DNS, połączenie sieci VPN nie zostanie uruchomione.

  • Dodaj: wybierz tę opcję i dodaj regułę.

  • Chcę wykonać następujące czynności: Jeśli istnieje dopasowanie między wartością urządzenia a regułą na żądanie, wybierz akcję. Dostępne opcje:

    • Łączenie sieci VPN
    • Odłącz sieć VPN
    • Ocena każdej próby połączenia
    • Ignorować

  • Chcę ograniczyć do: Wybierz warunek, który musi spełniać reguła. Dostępne opcje:

    • Określone identyfikatory SSID: wprowadź co najmniej jedną nazwę sieci bezprzewodowej, która ma zastosowanie do reguły. Ta nazwa sieci jest identyfikatorem zestawu usług (SSID). Na przykład wprowadź Contoso VPN.
    • Określone domeny wyszukiwania: wprowadź co najmniej jedną domenę DNS, która ma zastosowanie do reguły. Na przykład wprowadź contoso.com.
    • Wszystkie domeny: wybierz tę opcję, aby zastosować regułę do wszystkich domen w organizacji.

  • Ale tylko wtedy, gdy ta sonda adresu URL powiedzie się: Opcjonalnie. Wprowadź adres URL używany przez regułę jako test. Jeśli urządzenie uzyskuje dostęp do tego adresu URL bez przekierowania, zostanie uruchomione połączenie sieci VPN. Urządzenie łączy się z docelowym adresem URL. Użytkownik nie widzi witryny sondy ciągu adresu URL.

    Na przykład sonda ciągu adresu URL to adres URL serwera sieci Web inspekcji, który sprawdza zgodność urządzenia przed połączeniem z siecią VPN. Lub adres URL testuje możliwość połączenia sieci VPN z lokacją, zanim urządzenie nawiąże połączenie z docelowym adresem URL za pośrednictwem sieci VPN.

• Blokuj użytkownikom możliwość wyłączania automatycznej sieci VPN: Dostępne opcje:

  • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
  • Tak: uniemożliwia użytkownikom wyłączanie automatycznej sieci VPN. Wymusza to na użytkownikach utrzymywanie automatycznej sieci VPN włączonej i działającej.
  • Nie: umożliwia użytkownikom wyłączanie automatycznej sieci VPN.

  To ustawienie dotyczy:

  • macOS 11 i nowsze (Big Sur)

• Sieć VPN dla aplikacji: włącza sieć VPN dla aplikacji, kojarząc to połączenie sieci VPN z aplikacją systemu macOS. Po uruchomieniu aplikacji zostanie uruchomione połączenie sieci VPN. Profil sieci VPN można skojarzyć z aplikacją podczas przypisywania oprogramowania. Aby uzyskać więcej informacji, przejdź do tematu Jak przypisywać i monitorować aplikacje.

  • Adresy URL przeglądarki Safari, które będą wyzwalać tę sieć VPN: dodaj co najmniej jeden adres URL witryny internetowej. Gdy te adresy URL są odwiedzane przy użyciu przeglądarki Safari na urządzeniu, połączenie sieci VPN jest ustanawiane automatycznie.

  • Skojarzone domeny: wprowadź skojarzone domeny w profilu sieci VPN, które automatycznie uruchamiają połączenie sieci VPN. Na przykład wprowadź contoso.com. Urządzenia w domenie contoso.com automatycznie uruchamiają połączenie sieci VPN.

    Aby uzyskać więcej informacji, przejdź do skojarzonych domen.

  • Wykluczone domeny: wprowadź domeny, które mogą pominąć połączenie sieci VPN, gdy sieć VPN dla aplikacji jest połączona. Na przykład wprowadź contoso.com. Urządzenia w domenie contoso.com nie będą uruchamiane lub nie będą używać połączenia sieci VPN dla aplikacji. Urządzenia w domenie contoso.com korzystają z publicznego Internetu.

  • Uniemożliwiaj użytkownikom wyłączanie automatycznej sieci VPN: Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
    • Tak: uniemożliwia użytkownikom wyłączanie automatycznej sieci VPN. Wymusza to na użytkownikach utrzymywanie automatycznej sieci VPN włączonej i działającej.
    • Nie: umożliwia użytkownikom wyłączanie automatycznej sieci VPN.

    To ustawienie dotyczy:

    • macOS 11 i nowsze (Big Sur)

Proxy

• Skrypt konfiguracji automatycznej: użyj pliku, aby skonfigurować serwer proxy. Wprowadź adres URL serwera proxy, który zawiera plik konfiguracji. Na przykład wprowadź http://proxy.contoso.com/pac.
• Adres: wprowadź adres IP lub w pełni kwalifikowaną nazwę hosta serwera proxy. Na przykład wprowadź 10.0.0.3 wartość lub vpn.contoso.com.
• Numer portu: wprowadź numer portu skojarzony z serwerem proxy. Na przykład wprowadź 8080.

Artykuły pokrewne

• Przypisz profil i monitoruj jego stan.

• Konfigurowanie ustawień sieci VPN na urządzeniach z systemami Android, Android Enterprise, iOS/iPadOS i Windows .