Параметры устройства Android Enterprise для настройки VPN в Intune

В этой статье описываются различные параметры VPN-подключения, которые можно контролировать на устройствах Android Enterprise. В рамках решения для управления мобильными устройствами (MDM) используйте эти параметры, чтобы создать VPN-подключение, выбрать способ проверки подлинности VPN, выбрать тип VPN-сервера и многое другое.

Данная функция применяется к:

• Личные устройства Android Enterprise с рабочим профилем (BYOD)
• Android Enterprise — корпоративный рабочий профиль (COPE)
• Android Enterprise — полностью управляемые корпоративные устройства (COBO)
• Android Enterprise — выделенные корпоративные устройства (COSU)

Администратор Intune может создавать и назначать параметры VPN устройствам Android Enterprise. Дополнительные сведения о профилях VPN в Intune см. в статье Профили VPN.

Примечание.

Чтобы настроить постоянную vpn-сеть, необходимо:

1. Создайте профиль VPN со сведениями о подключении, как описано в этой статье.
2. Создайте профиль ограничений устройств с настроенным параметром Always-on VPN.
3. Назначьте группам оба профиля.

Подготовка к работе

• Создайте профиль конфигурации VPN-устройства Android Enterprise:

  • Полностью управляемый, выделенный и корпоративный рабочий профиль
  • личный рабочий профиль.

• Некоторые службы Microsoft 365, такие как Outlook, могут работать неправильно, используя сторонние или партнерские VPN. Если вы используете стороннюю или партнерскую VPN и испытываете задержку или проблему с производительностью, удалите VPN.

  Если удаление VPN разрешает поведение, вы можете:

  • Обратитесь к стороннему или партнерскому VPN-подключению для возможных решений. Корпорация Майкрософт не предоставляет техническую поддержку сторонним или партнерским VPN.
  • Не используйте VPN с трафиком Outlook.
  • Если вам нужно использовать VPN, используйте VPN с разделением туннеля. Кроме того, разрешите трафику Outlook обходить VPN.

  Дополнительные сведения см. в статьях:

  • Обзор: раздельное туннелирование VPN для Microsoft 365
  • Использование сторонних сетевых устройств или решений с Microsoft 365
  • Альтернативные способы для специалистов по безопасности и ИТ для достижения современных средств управления безопасностью в сегодняшнем уникальном блоге о сценариях удаленной работы
  • Принципы сетевого подключения к Microsoft 365

• Если эти устройства требуются для доступа к локальным ресурсам с помощью современной проверки подлинности и условного доступа, можно использовать Microsoft Tunnel, который поддерживает раздельное туннелирование.

Полностью управляемый, выделенный и Corporate-Owned рабочий профиль

• Тип подключения. Выберите тип VPN-подключения. Доступны следующие параметры:

  • Cisco AnyConnect
  • SonicWall Mobile Connect
  • F5 Access
  • Pulse Secure
  • Microsoft Tunnel (не поддерживается на выделенных устройствах Android Enterprise).)

Доступные параметры зависят от выбранного VPN-клиента. Некоторые параметры доступны только для определенных VPN-клиентов.

Базовый VPN(полностью управляемый, выделенный и корпоративный рабочий профиль)

• Имя подключения. Введите имя этого подключения. Конечные пользователи видят это имя при просмотре устройства доступных VPN-подключений. Например, введите Contoso VPN.

• Адрес VPN-сервера или полное доменное имя. Введите IP-адрес или полное доменное имя VPN-сервера, к которому подключаются устройства. Например, введите 192.168.1.1 или vpn.contoso.com.

• Метод проверки подлинности. Выберите способ проверки подлинности устройств на VPN-сервере. Доступны следующие параметры:

  • Сертификаты. Выберите существующий профиль сертификата SCEP или PKCS, который проверяет подлинность подключения. Настройка сертификатов содержит инструкции по созданию профиля сертификата.

  • Имя пользователя и пароль. Когда конечные пользователи входят на VPN-сервер, пользователям предлагается ввести свое имя пользователя и пароль.

  • Производные учетные данные. Используйте сертификат, производный от смарт-карты пользователя. Если издатель производных учетных данных не настроен, Intune предложит добавить его.

    Дополнительные сведения см. в разделе Использование производных учетных данных в Intune.

• Введите пары "ключ- значение" для атрибутов VPN NetMotion Mobility: добавление или импорт ключей и значений , которые настраивают VPN-подключение. Эти значения обычно предоставляются поставщиком VPN.

• Сайт Microsoft Tunnel (только Microsoft Tunnel). Выберите существующий сайт. VPN-клиент подключается к общедоступному IP-адресу или полному доменному имени этого сайта.

  Дополнительные сведения см. в статье Microsoft Tunnel для Intune.

VPN для каждого приложения (полностью управляемый, выделенный и корпоративный рабочий профиль)

• Добавить: выберите управляемые приложения в списке. Когда пользователи запускают добавляемые приложения, трафик автоматически направляется через VPN-подключение.

Дополнительные сведения см. в статье Использование политики VPN и VPN для каждого приложения на устройствах Android Enterprise.

Always-on VPN (полностью управляемый, выделенный и корпоративный рабочий профиль)

• Always-on VPN. Включить включает постоянную VPN, чтобы VPN-клиенты автоматически подключались и повторно подключались к VPN, когда это возможно. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр. По умолчанию функция always-on VPN может быть отключена для всех VPN-клиентов.

  Для постоянного ПОДКЛЮЧЕНИЯ VPN на устройстве можно настроить только один VPN-клиент. Убедитесь, что на одном устройстве развернуто не более одной постоянной политики VPN.

Прокси-сервер (полностью управляемый, выделенный и корпоративный рабочий профиль)

• Скрипт автоматической настройки. Используйте файл для настройки прокси-сервера. Введите URL-адрес прокси-сервера, содержащий файл конфигурации. Например, введите http://proxy.contoso.com/pac.
• Адрес. Введите IP-адрес или полное имя узла прокси-сервера. Например, введите 10.0.0.3 или vpn.contoso.com.
• Номер порта. Введите номер порта, связанный с прокси-сервером. Например, введите 8080.

личный рабочий профиль.

• Тип подключения. Выберите тип VPN-подключения. Доступны следующие параметры:

  • Check Point Capsule VPN

  • Cisco AnyConnect

    Примечание.

    Если Cisco AnyConnect в личном рабочем профиле, пользователи могут выполнить некоторые дополнительные действия для завершения VPN-подключения. Дополнительные сведения см. в разделе Профили VPN — как выглядят успешные профили VPN.

  • SonicWall Mobile Connect

  • F5 Access

  • Pulse Secure

  • NetMotion Mobility

  • Microsoft Tunnel

Доступные параметры зависят от выбранного VPN-клиента. Некоторые параметры доступны только для определенных VPN-клиентов.

Базовый VPN (личный рабочий профиль)

• Имя подключения. Введите имя этого подключения. Конечные пользователи видят это имя при просмотре устройства доступных VPN-подключений. Например, введите Contoso VPN.

• Адрес VPN-сервера. Введите IP-адрес или полное доменное имя VPN-сервера, к которому подключаются устройства. Например, введите 192.168.1.1 или vpn.contoso.com.

• Метод проверки подлинности. Выберите способ проверки подлинности устройств на VPN-сервере. Доступны следующие параметры:

  • Сертификаты. Выберите существующий профиль сертификата SCEP или PKCS, который проверяет подлинность подключения. Настройка сертификатов содержит инструкции по созданию профиля сертификата.

  • Имя пользователя и пароль. Когда конечные пользователи входят на VPN-сервер, пользователям предлагается ввести свое имя пользователя и пароль.

  • Производные учетные данные. Используйте сертификат, производный от смарт-карты пользователя. Если издатель производных учетных данных не настроен, Intune предложит добавить его.

    Дополнительные сведения см. в разделе Использование производных учетных данных в Intune.

• Отпечаток ( только для VPN-подключения Check Point Capsule). Введите строку отпечатков пальцев, предоставленную поставщиком VPN, например Contoso Fingerprint Code. Этот отпечаток подтверждает, что VPN-сервер может быть доверенным.

  При проверке подлинности клиенту отправляется отпечаток пальца, чтобы клиент знал, что он доверяет любому серверу с таким же отпечатком пальца. Если на устройстве нет отпечатка пальца, пользователю будет предложено доверять VPN-серверу при отображении отпечатка пальца. Пользователь вручную проверяет отпечаток пальца и выбирает доверие для подключения.

• Введите пары "ключ- значение" для атрибутов VPN NetMotion Mobility: добавление или импорт ключей и значений , которые настраивают VPN-подключение. Эти значения обычно предоставляются поставщиком VPN.

• Сайт Microsoft Tunnel (только Microsoft Tunnel). Выберите существующий сайт. VPN-клиент подключается к общедоступному IP-адресу или полному доменному имени этого сайта.

  Дополнительные сведения см. в статье Microsoft Tunnel для Intune.

VPN для каждого приложения (личный рабочий профиль)

• Добавить: выберите управляемые приложения в списке. Когда пользователи запускают добавляемые приложения, трафик автоматически направляется через VPN-подключение.

Дополнительные сведения см. в статье Использование политики VPN и VPN для каждого приложения на устройствах Android Enterprise.

Always-on VPN (личный рабочий профиль)

• Always-on VPN. Включить включает постоянную VPN, чтобы VPN-клиенты автоматически подключались и повторно подключались к VPN, когда это возможно. Если задано значение Не настроено, Intune не изменяет или не обновляет этот параметр. По умолчанию функция always-on VPN может быть отключена для всех VPN-клиентов.

  Для постоянного ПОДКЛЮЧЕНИЯ VPN на устройстве можно настроить только один VPN-клиент. Убедитесь, что на одном устройстве развернуто не более одной постоянной политики VPN.

Прокси-сервер (личный рабочий профиль)

• Скрипт автоматической настройки. Используйте файл для настройки прокси-сервера. Введите URL-адрес прокси-сервера, содержащий файл конфигурации. Например, введите http://proxy.contoso.com/pac.
• Адрес. Введите IP-адрес или полное имя узла прокси-сервера. Например, введите 10.0.0.3 или vpn.contoso.com.
• Номер порта. Введите номер порта, связанный с прокси-сервером. Например, введите 8080.

Статьи по теме

• Назначьте профиль и отслеживайте его состояние.

• Создание профилей VPN для администратора устройств Android, iOS/iPadOS, macOS и Windows.

• Узнайте, как устранять проблемы с профилем VPN в Microsoft Intune.