Создание профилей VPN для подключения к VPN-серверам в Intune
Важно!
22 октября 2022 г. Microsoft Intune прекратила поддержку устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.
Если в настоящее время вы используете Windows 8.1, перейдите на устройства Windows 10/11. В Microsoft Intune есть встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.
Важно!
Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.
Виртуальная частная сеть (VPN) предоставляет пользователям безопасный удаленный доступ к сети организации. Устройства используют профиль VPN-подключения для установления подключения к VPN-серверу. Профили VPN в Microsoft Intune назначают параметры VPN для пользователей и устройств в организации. Используйте эти параметры, чтобы пользователи могли легко и безопасно подключаться к сети вашей организации.
Данная функция применяется к:
- Администратор устройств Android
- Личные устройства Android Enterprise с рабочим профилем
- iOS/iPadOS
- macOS
- Windows 10
- Windows 11
- Windows 8.1 и более поздние версии
Например, представим, что вам нужно настроить параметры для подключения к общей папке в сети организации на всех устройствах с iOS/iPadOS. Вы создаете профиль VPN, включающий эти параметры. Этот профиль назначается всем пользователям с устройствами iOS/iPadOS. VPN-подключение появится в списке доступных сетей, и пользователи смогут с легкостью использовать его.
В этой статье перечислены приложения VPN, которые можно использовать, показано, как создать профиль VPN, и приведены рекомендации по защите профилей VPN. Перед созданием профиля VPN необходимо развернуть VPN-приложение. Если вам нужна помощь с развертыванием приложений с помощью Microsoft Intune, перейдите в раздел Что такое управление приложениями в Microsoft Intune?.
Прежде чем начать
VPN-профили для туннеля устройств поддерживаются для удаленных рабочих столов под управлением Windows 10/11 Корпоративная с поддержкой многосеансового режима.
Если для профиля VPN используется проверка подлинности на основе сертификата, разверните профиль VPN, профиль сертификата и доверенный корневой профиль в тех же группах. Это действие гарантирует, что каждое устройство сможет распознать подлинность вашего центра сертификации. Дополнительные сведения см. в статье Настройка сертификатов с помощью Microsoft Intune.
Регистрация пользователей для iOS/iPadOS и macOS поддерживает только VPN на уровне приложения.
С помощью настраиваемых политик конфигураций Intune можно создать профили VPN для следующих платформ:
- Android 4 и более поздние версии
- Зарегистрированные устройства под управлением Windows 8.1 и более поздней версии.
- Зарегистрированные устройства под управлением Windows 10/11
- Windows Holographic for Business
Для Windows 11 устройств существует проблема между клиентом Windows 11 и поставщиком служб CSP Windows VPNv2.
Устройство с одним или несколькими VPN-профилями Intune теряет подключение к VPN, когда устройство одновременно обрабатывает несколько изменений в профилях VPN для устройства. При повторной проверке в Intune оно обрабатывает изменения профиля VPN и восстанавливает подключение.
Следующие изменения могут привести к потере функциональности VPN:
- Вы изменяете или обновляете существующий профиль VPN, который ранее был обработан Windows 11 устройством. Это действие удаляет исходный профиль и применяет обновленный профиль.
- К устройству одновременно применяются два новых профиля VPN.
- Активный VPN-профиль удаляется одновременно с назначением нового VPN-профиля.
Эта проблема не применяется, и VPN-подключение остается в следующих сценариях:
Windows 11 устройству не назначен существующий профиль VPN, и устройства получают один Intune профиль VPN.
Windows 11 устройствам назначен существующий профиль VPN, и им назначается другой профиль VPN без других изменений профиля.
Windows 10 устройство обновляется до Windows 11, и в профилях VPN этого устройства нет изменений. После обновления до Windows 11 любые изменения профилей VPN устройств или добавление новых профилей VPN вызовут проблему.
Windows 11 требуется следующее:
Настроены все параметры сопоставления безопасности IKE и параметры дочерних параметров сопоставления безопасности .
ИЛИ
Параметры ассоциации безопасности IKE и параметры дочерних параметров сопоставления безопасности не настроены.
Если вы настроите только один из параметров сопоставления безопасности IKE или параметры дочерних параметров сопоставления безопасности , то функция VPN будет потеряна.
Шаг 1. Развертывание VPN-приложения
Прежде чем использовать профили VPN, назначенные устройству, необходимо установить VPN-приложение. Это VPN-приложение подключается к VPN-серверу.
Существуют различные vpn-приложения. На пользовательских устройствах вы развернете VPN-приложение, которое использует ваша организация. После развертывания VPN-приложения создайте и разверните профиль конфигурации VPN-устройства, который настраивает параметры VPN-сервера, включая имя VPN-сервера (или полное доменное имя) и метод проверки подлинности.
Для некоторых платформ и VPN-приложений требуется политика конфигурации приложений для предварительной настройки VPN-приложения, а не профиля конфигурации VPN-устройства. В этом разделе также перечислены платформы и VPN-приложения, которые должны использовать политику конфигурации приложений.
Чтобы назначить приложение с помощью Intune, перейдите в раздел Добавление приложений в Microsoft Intune.
Типы VPN-подключений
Профили VPN можно создать с помощью следующих типов VPN-подключений:
Автоматически
- Windows 10/11
Check Point Capsule VPN
- Администратор устройств Android
- Личные устройства Android Enterprise с рабочим профилем
- Полностью управляемый и корпоративный рабочий профиль Android Enterprise: использование политики конфигурации приложения
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Cisco AnyConnect
- Администратор устройств Android
- Личные устройства Android Enterprise с рабочим профилем
- Полностью управляемый и корпоративный рабочий профиль Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10/11
Cisco (IPSec)
- iOS/iPadOS
Citrix SSO
- Администратор устройств Android
- Личные устройства Android Enterprise с рабочим профилем: используйте политику конфигурации приложений
- Полностью управляемые и корпоративные рабочие профили Android Enterprise: использование политики конфигурации приложения
- iOS/iPadOS
- Windows 10/11
Пользовательская сеть VPN
- iOS/iPadOS
- macOS
Сведения о том, как создать настраиваемые профили VPN с помощью параметров URI, см. в этой статье.
F5 Access
- Администратор устройств Android
- Личные устройства Android Enterprise с рабочим профилем
- Полностью управляемый и корпоративный рабочий профиль Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
IKEv2
- iOS/iPadOS
- Windows 10/11
L2TP
- Windows 10/11
Microsoft Tunnel
- Личные устройства Android Enterprise с рабочим профилем
- Полностью управляемый и корпоративный рабочий профиль Android Enterprise
- iOS/iPadOS
NetMotion Mobility
- Личные устройства Android Enterprise с рабочим профилем
- Полностью управляемый и корпоративный рабочий профиль Android Enterprise
- iOS/iPadOS
- macOS
Palo Alto Networks GlobalProtect
- Личные устройства Android Enterprise с рабочим профилем: используйте политику конфигурации приложений
- Полностью управляемый и корпоративный рабочий профиль Android Enterprise: использование политики конфигурации приложения
- iOS/iPadOS
- Windows 10/11
PPTP
- Windows 10/11
Pulse Secure
- Администратор устройств Android
- Личные устройства Android Enterprise с рабочим профилем
- Полностью управляемый и корпоративный рабочий профиль Android Enterprise
- iOS/iPadOS
- Windows 10/11
- Windows 8.1
SonicWall Mobile Connect
- Администратор устройств Android
- Личные устройства Android Enterprise с рабочим профилем
- Полностью управляемый и корпоративный рабочий профиль Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Zscaler
- Личные устройства Android Enterprise с рабочим профилем: используйте политику конфигурации приложений
- Полностью управляемый и корпоративный рабочий профиль Android Enterprise: использование политики конфигурации приложения
- iOS/iPadOS
Шаг 2. Создание профиля
После назначения VPN-приложения устройству на следующем шаге создается политика конфигурации устройства, которая настраивает VPN-подключение. Если тип подключения VPN использует политику конфигурации приложения для настройки приложения, пропустите этот шаг.
Войдите в Центр администрирования Microsoft Intune.
Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.
Укажите следующие свойства:
-
Платформа: выберите платформу устройств. Доступны следующие параметры:
- Администратор устройств Android
- Android Enterprise>Полностью управляемый, выделенный и корпоративный рабочий профиль
- Android Enterprise>Личный рабочий профиль
- iOS/iPadOS
- macOS
- Windows 10 и более поздние версии
- Windows 8.1 и более поздние версии
- Тип профиля: выберите VPN. Либо выберите элементы Шаблоны>VPN.
-
Платформа: выберите платформу устройств. Доступны следующие параметры:
Нажмите Создать.
В разделе Основные укажите следующие свойства.
- Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля — Профиль VPN для всей компании.
- Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
Нажмите кнопку Далее.
В разделе Параметры конфигурации доступные для настройки параметры будут отличаться в зависимости от выбранной платформы. Выберите платформу для настройки дополнительных параметров:
- Администратор устройств Android
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10 (включая Windows Holographic for Business)
- Windows 8.1
Нажмите кнопку Далее.
В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например
US-NC IT Team
илиJohnGlenn_ITDepartment
. Дополнительные сведения о тегах область см. в статье Использование тегов RBAC и область для распределенной ИТ-службы.Нажмите кнопку Далее.
В разделе Назначения выберите пользователя или группы, которые получают ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.
Нажмите кнопку Далее.
Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.
Защита профилей VPN
Профили VPN могут использовать множество разных типов и протоколов подключения от разных поставщиков. Эти подключения обычно защищаются с помощью следующих методов.
Сертификаты
При создании профиля VPN вы выбираете профиль сертификата SCEP или PKCS, созданный ранее в Intune. Этот профиль называется сертификатом удостоверения. Он используется для проверки подлинности по профилю доверенного сертификата (или корневого сертификата), созданного, чтобы разрешить подключение устройства пользователя. Доверенный сертификат назначается компьютеру, выполняющему проверку подлинности VPN-подключения, как правило VPN-сервера.
Если для профиля VPN используется проверка подлинности на основе сертификата, разверните профиль VPN, профиль сертификата и доверенный корневой профиль в тех же группах. Это назначение гарантирует, что каждое устройство сможет распознать подлинность вашего центра сертификации.
Дополнительные сведения о создании и использовании профилей сертификатов в Intune см. в статье Настройка сертификатов с помощью Microsoft Intune.
Примечание.
Сертификаты, добавленные с помощью профиля Импортированный сертификат PKCS, не поддерживаются для аутентификации VPN. Сертификаты, добавленные с помощью профиля Сертификаты PKCS, поддерживаются для аутентификации VPN.
Имя пользователя и пароль.
Пользователь проходит проверку на VPN-сервере, предоставляя свои имя пользователя и пароль или производные учетные данные.
Дальнейшие действия
- Назначьте профиль и отслеживайте его состояние.
- Кроме того, вы можете создавать и использовать VPN для каждого приложения на устройствах администраторов Android или Android для бизнеса и iOS/iPadOS.