Добавить настройки VPN на устройствах iOS и iPadOS в Microsoft Intune
Microsoft Intune включает множество параметров VPN, которые можно развернуть на устройствах iOS/iPadOS. Эти параметры используются для создания и настройки VPN-подключений к сети организации. В этой статье описаны эти параметры. Некоторые параметры доступны только для некоторых VPN-клиентов, таких как Citrix, Zscaler и т. д.
Данная функция применяется к:
- iOS/iPadOS
Подготовка к работе
-
Некоторые службы Microsoft 365, такие как Outlook, могут работать неправильно, используя сторонние или партнерские VPN. Если вы используете стороннюю или партнерскую VPN и испытываете задержку или проблему с производительностью, удалите VPN.
Если удаление VPN разрешает поведение, вы можете:
- Обратитесь к стороннему или партнерскому VPN-подключению для возможных решений. Корпорация Майкрософт не предоставляет техническую поддержку сторонним или партнерским VPN.
- Не используйте VPN с трафиком Outlook.
- Если вам нужно использовать VPN, используйте VPN с разделением туннеля. Кроме того, разрешите трафику Outlook обходить VPN.
Дополнительные сведения см. в статьях:
- Обзор: раздельное туннелирование VPN для Microsoft 365
- Использование сторонних сетевых устройств или решений с Microsoft 365
- Альтернативные способы для специалистов по безопасности и ИТ для достижения современных средств управления безопасностью в сегодняшнем уникальном блоге о сценариях удаленной работы
- Принципы сетевого подключения к Microsoft 365
Если эти устройства требуются для доступа к локальным ресурсам с помощью современной проверки подлинности и условного доступа, можно использовать Microsoft Tunnel, который поддерживает раздельное туннелирование.
Примечание.
Эти параметры доступны для всех типов регистрации, кроме регистрации пользователей. Регистрация пользователей ограничена VPN для каждого приложения. Дополнительные сведения о типах регистрации см. в разделе Регистрация iOS/iPadOS.
Доступные параметры зависят от выбранного VPN-клиента. Некоторые параметры доступны только для определенных VPN-клиентов.
Эти параметры используют полезные данные VPN Apple (открывается веб-сайт Apple).
Тип подключения
Выберите тип VPN-подключения из следующего списка поставщиков:
Check Point Capsule VPN
Cisco Legacy AnyConnect
Применяется к приложению Cisco Legacy AnyConnect версии 4.0.5x и более ранних версий.
Cisco AnyConnect
Применимо к приложению Cisco AnyConnect версии 4.0.7x и более поздних версий.
SonicWall Mobile Connect
F5 Access прежних версий
Применимо к приложению F5 Access версии 2.1 и более ранних версий.
F5 Access
Применимо к приложению F5 Access версии 3.0 и более поздних версий.
Palo Alto Networks GlobalProtect (устаревшая версия)
Применимо к приложению Palo Alto Networks GlobalProtect версии 4.1 и более ранних версий.
Palo Alto Networks GlobalProtect
Применимо к приложению Palo Alto Networks GlobalProtect версии 5.0 и более поздних версий.
Pulse Secure
Cisco (IPSec)
Citrix VPN
Citrix SSO
Zscaler
Чтобы использовать условный доступ или разрешить пользователям обходить экран входа Zscaler, необходимо интегрировать Zscaler Private Access (ZPA) с учетной записью Microsoft Entra. Подробные инструкции см. в документации по Zscaler.
NetMotion Mobility
IKEv2
Параметры IKEv2 (в этой статье) описывают свойства.
Microsoft Tunnel
Применяется к приложению Microsoft Defender для конечной точки, которое включает функции клиента Tunnel.
Пользовательская сеть VPN
Примечание.
Cisco, Citrix, F5 и Palo Alto объявили, что их устаревшие клиенты не работают в iOS 12 и более поздних версиях. Вы должны перейти на новые приложения как можно скорее. Дополнительные сведения см. в блоге группы поддержки Microsoft Intune.
Базовые параметры VPN
Имя подключения. Пользователи видят это имя, когда просматривают список доступных VPN-подключений на своем устройстве.
Имя личного домена (только Zscaler). Предварительно заполните поле входа приложения Zscaler доменом, к которому принадлежат пользователи. Например, если имя пользователя равно
Joe@contoso.net
, доменcontoso.net
статически отображается в поле при открытии приложения. Если не ввести доменное имя, используется доменная часть имени участника-пользователя в идентификаторе Microsoft Entra.Адрес VPN-сервера: IP-адрес или полное доменное имя VPN-сервера, с которым подключаются устройства. Например, введите
192.168.1.1
илиvpn.contoso.com
.Название облака организации (только Zscaler). Введите имя облака, в котором подготовлена ваша организация. URL-адрес, используемый для входа в Zscaler, имеет имя.
Метод проверки подлинности. Выберите способ проверки подлинности устройств на VPN-сервере.
Сертификаты. В разделе Сертификат проверки подлинности выберите существующий профиль сертификата SCEP или PKCS для проверки подлинности подключения. Настройка сертификатов содержит некоторые рекомендации по профилям сертификатов.
Имя пользователя и пароль. Для входа на VPN-сервер конечные пользователи должны ввести имя пользователя и пароль.
Примечание.
Если имя пользователя и пароль используются в качестве метода проверки подлинности для Cisco IPsec VPN, они должны доставить SharedSecret через пользовательский профиль Apple Configurator.
Производные учетные данные. Используйте сертификат, производный от смарт-карты пользователя. Если издатель производных учетных данных не настроен, Intune предложит добавить его. Дополнительные сведения см. в статье Использование производных учетных данных в Microsoft Intune.
Исключенные URL-адреса (только Zscaler). При подключении к Zscaler VPN перечисленные URL-адреса доступны за пределами облака Zscaler. Можно добавить до 50 URL-адресов.
Разделение туннелирования. Включите или отключите , чтобы разрешить устройствам решать, какое подключение следует использовать в зависимости от трафика. Например, пользователь в отеле использует VPN-подключение для доступа к рабочим файлам, но использует стандартную сеть отеля для регулярного просмотра веб-страниц.
Идентификатор VPN (custom VPN, Zscaler и Citrix): идентификатор используемого VPN-приложения, который предоставляется поставщиком VPN.
Введите пары "ключ-значение" для настраиваемых атрибутов VPN вашей организации (пользовательский VPN, Zscaler и Citrix): добавление или импорт ключей и значений , которые настраивают VPN-подключение. Помните, что эти значения обычно предоставляются поставщиком VPN.
Включить управление сетевым доступом (NAC) (Cisco AnyConnect, Citrix SSO, F5 Access). Если вы выберете "Я согласен", идентификатор устройства будет включен в профиль VPN. Этот идентификатор можно использовать для проверки подлинности VPN, чтобы разрешить или запретить доступ к сети.
При использовании Cisco AnyConnect с ISE убедитесь, что:
- Если вы еще этого не сделали, интегрируйте интегрированную интегрированную интерфейсную интерфейсную систему с Intune для NAC, как описано в разделе Настройка Microsoft Intune в качестве сервера MDM в руководстве администратора ядра служб идентификации Cisco.
- Включите NAC в профиле VPN.
Важно!
Служба управления доступом к сети (NAC) устарела и заменена последней службой NAC корпорации Майкрософт, которая является службой получения соответствия (CR Service). Для поддержки изменений в Cisco ISE Intune изменил формат идентификатора устройства. Таким образом, существующие профили с исходной службой NAC перестанут работать.
Чтобы использовать службу CR и предотвратить простой VPN-подключения, повторно разверните этот же профиль конфигурации VPN-устройства. Изменения профиля не требуются. Вам нужно только повторно развернуть. Когда устройство синхронизируется со службой Intune и получает профиль конфигурации VPN, изменения службы CR автоматически развертываются на устройстве. И VPN-подключения должны продолжать работать.
При использовании citrix SSO в Gateway обязательно выполните следующие действия:
- Убедитесь, что вы используете Шлюз Citrix 12.0.59 или более поздней версии.
- Убедитесь, что на устройствах пользователей установлен единый вход Citrix 1.1.6 или более поздней версии.
- Интеграция Citrix Gateway с Intune для NAC. См. руководство по интеграции Microsoft Intune/Enterprise Mobility Suite с NetScaler (сценарий LDAP+OTP) для развертывания Citrix.
- Включите NAC в профиле VPN.
При использовании F5 Access обязательно выполните следующее:
- Убедитесь, что вы используете F5 BIG-IP 13.1.1.5 или более поздней версии.
- Интеграция BIG-IP с Intune для NAC. См. руководство по настройке APM для проверок состояния устройств с помощью систем управления конечными точками F5.
- Включите NAC в профиле VPN.
Для VPN-партнеров, поддерживающих идентификатор устройства, VPN-клиент, например Citrix SSO, может получить идентификатор. Затем он может запросить Intune, чтобы убедиться, что устройство зарегистрировано, и если профиль VPN соответствует или не соответствует.
- Чтобы удалить этот параметр, повторно создайте профиль и не нажимайте кнопку Я принимаю. Затем переназначьте профиль.
Введите пары "ключ" и "значение" для атрибутов VPN NetMotion Mobility (только для NetMotion Mobility). Введите или импортируйте пары "ключ и значение". Эти значения могут быть предоставлены поставщиком VPN.
Сайт Microsoft Tunnel (только Microsoft Tunnel). Выберите существующий сайт. VPN-клиент подключается к общедоступному IP-адресу или полному доменному имени этого сайта.
Дополнительные сведения см. в статье Microsoft Tunnel для Intune.
Параметры IKEv2
Эти параметры применяются при выборе параметра Тип> подключенияIKEv2.
Always-on VPN: Enable задает VPN-клиент для автоматического подключения и повторного подключения к VPN. Постоянные VPN-подключения остаются на связи или немедленно подключаются при блокировке устройства, перезапуске устройства или изменении беспроводной сети. Если задано значение Отключить (по умолчанию), всегда включенная VPN для всех VPN-клиентов будет отключена. Если этот параметр включен, также настройте:
Сетевой интерфейс. Все параметры IKEv2 применяются только к выбранному сетевому интерфейсу. Доступны следующие параметры:
- Wi-Fi и сотовая связь (по умолчанию). Параметры IKEv2 применяются к интерфейсам Wi-Fi и сотовой связи на устройстве.
- Сотовая сеть. Параметры IKEv2 применяются только к сотовому интерфейсу на устройстве. Выберите этот параметр, если выполняется развертывание на устройствах с отключенным или удаленным интерфейсом Wi-Fi.
- Wi-Fi: параметры IKEv2 применяются только к интерфейсу Wi-Fi на устройстве.
Пользователь, чтобы отключить конфигурацию VPN: включить позволяет пользователям отключить постоянную VPN. Отключить (по умолчанию) запрещает пользователям отключать его. Значение по умолчанию для этого параметра является наиболее безопасным.
Голосовая почта. Выберите, что происходит с трафиком голосовой почты, если включен постоянный VPN. Доступны следующие параметры:
- Принудительное использование сетевого трафика через VPN (по умолчанию). Этот параметр является наиболее безопасным.
- Разрешить передачу сетевого трафика за пределы VPN
- Удаление сетевого трафика
AirPrint. Выберите, что происходит с трафиком AirPrint, если включен постоянный VPN. Доступны следующие параметры:
- Принудительное использование сетевого трафика через VPN (по умолчанию). Этот параметр является наиболее безопасным.
- Разрешить передачу сетевого трафика за пределы VPN
- Удаление сетевого трафика
Службы сотовой связи. В iOS 13.0 и более поздних версий выберите, что происходит с сотовым трафиком, если включен постоянный VPN. Доступны следующие параметры:
- Принудительное использование сетевого трафика через VPN (по умолчанию). Этот параметр является наиболее безопасным.
- Разрешить передачу сетевого трафика за пределы VPN
- Удаление сетевого трафика
Разрешите трафику из ненативных сетевых приложений передаваться за пределы VPN: неволимая сеть относится к Wi-Fi хот-спотам, которые обычно находятся в ресторанах и отелях. Доступны следующие параметры:
Нет. Принудительно выполняет весь трафик приложения Captive Networking (CN) через VPN-туннель.
Да, все приложения: позволяет всему трафику приложений CN обходить VPN.
Да, определенные приложения. Добавьте список приложений CN, трафик которых может обходить VPN. Введите идентификаторы пакетов приложения CN. Например, введите
com.contoso.app.id.package
.Чтобы получить идентификатор пакета приложения, добавленного в Intune, можно использовать Центр администрирования Intune.
Трафик из приложения Captive Websheet для передачи за пределы VPN: Captive WebSheet — это встроенный веб-браузер, который обрабатывает вход в captive. Включение позволяет трафику приложений браузера обходить VPN. Отключить (по умолчанию) заставляет трафик веб-таблицы использовать постоянную VPN. Значение по умолчанию является наиболее безопасным параметром.
Интервал сохранения преобразования сетевых адресов (NAT) (в секундах): чтобы оставаться подключенным к VPN, устройство отправляет сетевые пакеты, чтобы оставаться активными. Введите значение в секундах для частоты отправки этих пакетов с 20 до 1440. Например, введите значение
60
, чтобы отправлять сетевые пакеты в VPN каждые 60 секунд. По умолчанию это значение равно секундам110
.Разгрузка хранения NAT на оборудование, когда устройство находится в спячном режиме. Если устройство находится в спячном режиме, включите (по умолчанию) NAT непрерывно отправляет пакеты поддержания активности, чтобы устройство оставалось подключенным к VPN. Отключить эту функцию.
Удаленный идентификатор. Введите IP-адрес сети, полное доменное имя, UserFQDN или ASN1DN сервера IKEv2. Например, введите
10.0.0.3
илиvpn.contoso.com
. Как правило, вы вводите то же значение, что и имя подключения (в этой статье). Но это зависит от параметров сервера IKEv2.Локальный идентификатор. Введите полное доменное имя устройства или общее имя субъекта VPN-клиента IKEv2 на устройстве. Кроме того, это значение можно оставить пустым (по умолчанию). Как правило, локальный идентификатор должен соответствовать идентификатору пользователя или сертификата устройства. Серверу IKEv2 может потребоваться совпадение значений, чтобы он мог проверить удостоверение клиента.
Тип проверки подлинности клиента. Выберите способ проверки подлинности VPN-клиента в VPN. Доступны следующие параметры:
- Проверка подлинности пользователя (по умолчанию): учетные данные пользователя проходят проверку подлинности в VPN.
- Проверка подлинности компьютера. Учетные данные устройства проходят проверку подлинности в VPN.
Метод проверки подлинности. Выберите тип учетных данных клиента для отправки на сервер. Доступны следующие параметры:
Сертификаты. Использует существующий профиль сертификата для проверки подлинности в VPN. Убедитесь, что этот профиль сертификата уже назначен пользователю или устройству. В противном случае VPN-подключение завершается ошибкой.
-
Тип сертификата. Выберите тип шифрования, используемый сертификатом. Убедитесь, что VPN-сервер настроен для принятия этого типа сертификата. Доступны следующие параметры:
- RSA (по умолчанию)
- ECDSA256
- ECDSA384
- ECDSA521
-
Тип сертификата. Выберите тип шифрования, используемый сертификатом. Убедитесь, что VPN-сервер настроен для принятия этого типа сертификата. Доступны следующие параметры:
Общий секрет (только проверка подлинности компьютера). Позволяет ввести общий секрет для отправки на VPN-сервер.
- Общий секрет. Введите общий секрет, также известный как предварительно общий ключ (PSK). Убедитесь, что значение совпадает с общим секретом, настроенным на VPN-сервере.
Общее имя издателя сертификата сервера: позволяет VPN-серверу проходить проверку подлинности в VPN-клиенте. Введите общее имя издателя сертификата (CN) сертификата VPN-сервера, отправленного VPN-клиенту на устройстве. Убедитесь, что значение CN соответствует конфигурации НА VPN-сервере. В противном случае VPN-подключение завершается ошибкой.
Общее имя сертификата сервера. Введите cn для самого сертификата. Если оставить пустым, используется значение удаленного идентификатора.
Частота обнаружения мертвых одноранговых узлов. Укажите, как часто VPN-клиент проверяет, активен ли VPN-туннель. Доступны следующие параметры:
- Не настроено. Использует системное значение по умолчанию iOS/iPadOS, которое может совпадать с выбором среднего.
- Нет: отключает обнаружение неработающих одноранговых узлов.
- Низкий. Отправляет сообщение о сохранении каждые 30 минут.
- Средний (по умолчанию): отправляет сообщение keepalive каждые 10 минут.
- Высокий: отправляет сообщение с сохранением каждые 60 секунд.
Минимальный диапазон версий TLS. Введите минимальную версию TLS для использования. Введите
1.0
,1.1
или1.2
. Если оставить пустым, используется значение1.0
по умолчанию . При использовании проверки подлинности пользователей и сертификатов необходимо настроить этот параметр.Максимальный диапазон версий TLS. Введите максимальную версию TLS для использования. Введите
1.0
,1.1
или1.2
. Если оставить пустым, используется значение1.2
по умолчанию . При использовании проверки подлинности пользователей и сертификатов необходимо настроить этот параметр.Идеальная прямая секретность: выберите Включить , чтобы включить идеальную прямую секретность (PFS). PFS — это функция безопасности IP-адресов, которая снижает влияние при компрометации ключа сеанса. Отключить (по умолчанию) не использует PFS.
Проверка отзыва сертификата. Выберите Включить , чтобы убедиться, что сертификаты не отозваны, прежде чем разрешить VPN-подключение успешно. Эта проверка является наилучшей. Если время ожидания VPN-сервера истекает, прежде чем определить, отозван ли сертификат, доступ предоставляется. Отключить (по умолчанию) не проверяет наличие отозванных сертификатов.
Используйте атрибуты внутренней подсети IPv4/IPv6. Некоторые серверы IKEv2 используют
INTERNAL_IP4_SUBNET
атрибуты илиINTERNAL_IP6_SUBNET
. Включить принуждет VPN-подключение использовать эти атрибуты. Отключение (по умолчанию) не заставляет VPN-подключение использовать эти атрибуты подсети.Мобильность и многодомность (MOBIKE): MOBIKE позволяет VPN-клиентам изменять свой IP-адрес без повторной связи безопасности с VPN-сервером. Включить (по умолчанию) включает MOBIKE, что позволяет улучшить VPN-подключения при перемещении между сетями. Отключить отключает MOBIKE.
Перенаправление. Включение (по умолчанию) перенаправляет подключение IKEv2, если запрос на перенаправление получен от VPN-сервера. Отключить запрещает перенаправление подключения IKEv2, если запрос на перенаправление получен от VPN-сервера.
Максимальная единица передачи. Введите максимальную единицу передачи (MTU) в байтах от 1 до 65536. Если задано значение Не настроено или оставить пустым, Intune не изменяет или не обновляет этот параметр. По умолчанию Apple может задать для этого значения значение 1280.
Этот параметр применяется к:
- iOS/iPadOS 14 и более поздней версии
Параметры сопоставления безопасности. Введите параметры, которые следует использовать при создании связей безопасности с VPN-сервером:
Алгоритм шифрования. Выберите нужный алгоритм.
- DES
- 3DES
- AES-128
- AES-256 (по умолчанию)
- AES-128-GCM
- AES-256-GCM
Примечание.
Если для алгоритма шифрования задано значение
AES-128-GCM
илиAES-256-GCM
, используетсяAES-256
значение по умолчанию. Это известная проблема, которая будет исправлена в будущем выпуске. Нет ETA.Алгоритм целостности. Выберите нужный алгоритм:
- SHA1-96
- SHA1-160
- SHA2-256 (по умолчанию)
- SHA2-384
- SHA2-512
Группа Диффи-Хеллман: выберите нужную группу. По умолчанию используется группа
2
.Время существования (в минутах). Введите, как долго ассоциация безопасности остается активной до смены ключей. Введите целое значение между
10
и1440
(1440 минут — 24 часа). Значение по умолчанию:1440
.
Параметры сопоставления безопасности дочерних устройств: iOS/iPadOS позволяет настроить отдельные параметры для подключения IKE и любых дочерних подключений. Введите параметры, используемые при создании дочерних связей безопасности с VPN-сервером:
Алгоритм шифрования. Выберите нужный алгоритм.
- DES
- 3DES
- AES-128
- AES-256 (по умолчанию)
- AES-128-GCM
- AES-256-GCM
Примечание.
Если для алгоритма шифрования задано значение
AES-128-GCM
илиAES-256-GCM
, используетсяAES-256
значение по умолчанию. Это известная проблема, которая будет исправлена в будущем выпуске. Нет ETA.
Алгоритм целостности. Выберите нужный алгоритм:
- SHA1-96
- SHA1-160
- SHA2-256 (по умолчанию)
- SHA2-384
- SHA2-512
Также настройте:
-
Группа Диффи-Хеллман: выберите нужную группу. По умолчанию используется группа
2
. -
Время существования (в минутах). Введите, как долго ассоциация безопасности остается активной до смены ключей. Введите целое значение между
10
и1440
(1440 минут — 24 часа). Значение по умолчанию:1440
.
Автоматический VPN
Тип автоматического VPN. Выберите тип VPN, который требуется настроить: VPN по запросу или VPN для каждого приложения. Убедитесь, что используется только один вариант. Их одновременное использование приводит к проблемам с подключением.
Не настроено (по умолчанию). Intune не изменяет или не обновляет этот параметр.
VPN по запросу. VPN по запросу использует правила для автоматического подключения или отключения VPN-подключения. Когда устройства пытаются подключиться к VPN, они ищут совпадения в создаваемых параметрах и правилах, таких как соответствующее доменное имя. Если есть совпадение, то выбранное действие выполняется.
Например, можно создать условие, при котором VPN-подключение используется только в том случае, если устройство не подключено к корпоративной Wi-Fi сети. Или, если устройство не может получить доступ к домену поиска DNS, который вы вводите, VPN-подключение не запускается.
Правила >по запросуДобавить: выберите Добавить, чтобы добавить правило. Если VPN-подключение отсутствует, используйте эти параметры для создания правила по запросу. Если вы соответствуете вашему правилу, устройство выполняет выбранное действие.
Я хочу сделать следующее. Если между значением устройства и правилом по запросу есть совпадение, выберите действие, которое устройство будет выполнять. Доступны следующие параметры:
Установить VPN. Если между значением устройства и правилом по запросу совпадает, устройство подключается к VPN.
Отключить VPN. Если между значением устройства и правилом по запросу совпадает, VPN-подключение отключается.
Оценка каждой попытки подключения. Если между значением устройства и правилом по запросу есть совпадение, используйте параметр Выбрать, следует ли подключаться , чтобы решить, что происходит при каждой попытке VPN-подключения.
Подключение при необходимости. Если устройство находится во внутренней сети или если к внутренней сети уже установлено VPN-подключение, vpn-подключение по запросу не будет подключаться. Эти параметры не используются.
Если VPN-подключение отсутствует, при каждой попытке VPN-подключения решите, следует ли пользователям подключаться с использованием доменного имени DNS. Это правило применяется только к доменам в списке Когда пользователи пытаются получить доступ к этим доменам . Все остальные домены игнорируются.
Когда пользователи пытаются получить доступ к этим доменам: введите один или несколько доменов DNS, например
contoso.com
. Если пользователи пытаются подключиться к домену в этом списке, устройство использует DNS для разрешения указанных доменов. Если домен не разрешается, то есть у него нет доступа к внутренним ресурсам, он подключается к VPN по запросу. Если домен разрешает, то есть у него уже есть доступ к внутренним ресурсам, он не подключается к VPN.Примечание.
Если параметр Когда пользователи пытаются получить доступ к этим доменам , пуст, устройство использует DNS-серверы, настроенные в службе сетевого подключения (Wi-Fi/Ethernet), для разрешения домена. Идея заключается в том, что эти DNS-серверы являются общедоступными серверами.
Домены в списке Когда пользователи пытаются получить доступ к этим доменам , являются внутренними ресурсами. Внутренние ресурсы не на общедоступных DNS-серверах и не могут быть разрешены. Таким образом, устройство подключается к VPN. Теперь домен разрешается с помощью DNS-серверов VPN-подключения, и внутренний ресурс доступен.
Если устройство находится во внутренней сети, домен разрешается, а VPN-подключение не создается, так как внутренний домен уже доступен. Вы не хотите тратить ресурсы VPN на устройствах, уже размещенных во внутренней сети.
Если задан параметр Когда пользователи пытаются получить доступ к этим доменам , dns-серверы в этом списке используются для разрешения доменов в списке.
Идея противоположна первому маркеру (когда пользователи пытаются получить доступ к этим доменам , параметр пуст). Например, в списке Когда пользователи пытаются получить доступ к этим доменам , есть внутренние DNS-серверы. Устройство во внешней сети не может маршрутизировать на внутренние DNS-серверы. Время ожидания разрешения имен истекает, и устройство подключается к VPN по запросу. Теперь доступны внутренние ресурсы.
Помните, что эти сведения относятся только к доменам в списке Когда пользователи пытаются получить доступ к этим доменам . Все остальные домены разрешаются с помощью общедоступных DNS-серверов. Когда устройство подключено к внутренней сети, DNS-серверы в списке становятся доступными, и нет необходимости подключаться к VPN.
Используйте следующие DNS-серверы для разрешения этих доменов (необязательно): введите один или несколько IP-адресов DNS-сервера, например
10.0.0.22
. Указанные DNS-серверы используются для разрешения доменов в параметре Когда пользователи пытаются получить доступ к этим доменам .Если этот URL-адрес недоступен, принудительное подключение VPN: необязательно. Введите URL-адрес проверки HTTP или HTTPS, который правило использует в качестве теста. Например, введите
https://probe.Contoso.com
. Этот URL-адрес проверяется каждый раз, когда пользователь пытается получить доступ к домену в параметре Когда пользователи пытаются получить доступ к этим доменам . Пользователь не видит сайт пробы строки URL-адреса.Если проба завершается ошибкой из-за недоступности URL-адреса или не возвращает код состояния HTTP 200, устройство подключается к VPN.
Идея заключается в том, что URL-адрес доступен только во внутренней сети. Если доступ к URL-адресу можно получить, VPN-подключение не требуется. Если url-адрес недоступен, устройство находится во внешней сети и подключается к VPN по запросу. После установки VPN-подключения будут доступны внутренние ресурсы.
Никогда не подключайтесь. При каждой попытке VPN-подключения, когда пользователи пытаются получить доступ к вводимым доменам, устройство никогда не подключается к VPN.
-
Когда пользователи пытаются получить доступ к этим доменам: введите один или несколько доменов DNS, например
contoso.com
. Если пользователи пытаются подключиться к домену в этом списке, VPN-подключение не создается. Если они попытаются подключиться к домену, отсутствуют в этом списке, устройство подключается к VPN.
-
Когда пользователи пытаются получить доступ к этим доменам: введите один или несколько доменов DNS, например
Игнорировать. Если между значением устройства и правилом по запросу есть совпадение, VPN-подключение игнорируется.
Я хочу ограничиться следующими параметрами: В параметре Я хочу выполнить следующие действия, если вы выберете Установить VPN, Отключить VPN или Пропустить, а затем выберите условие, которому должно соответствовать правило. Доступны следующие параметры:
-
Конкретные идентификаторы SSID. Введите одно или несколько имен беспроводных сетей, к которым применяется правило. Это сетевое имя — идентификатор набора служб (SSID). Например, введите
Contoso VPN
. -
Конкретные домены поиска. Введите один или несколько доменов DNS, к которым применяется правило. Например, введите
contoso.com
. - Все домены. Выберите этот параметр, чтобы применить правило ко всем доменам в вашей организации.
-
Конкретные идентификаторы SSID. Введите одно или несколько имен беспроводных сетей, к которым применяется правило. Это сетевое имя — идентификатор набора служб (SSID). Например, введите
Но только в том случае, если проверка URL-адреса выполнена успешно: необязательно. Введите URL-адрес, который правило использует в качестве теста. Например, введите
https://probe.Contoso.com
. Если устройство обращается к этому URL-адресу без перенаправления, vpn-подключение запускается. Устройство подключается к целевому URL-адресу. Пользователь не видит сайт пробы строки URL-адреса.Например, URL-адрес проверяет возможность подключения VPN к сайту, прежде чем устройство подключится к целевому URL-адресу через VPN.
Запретить пользователям отключить автоматический VPN: ваши параметры:
- Не настроено — Intune не изменяет или не обновляет этот параметр.
- Да. Запрещает пользователям отключать автоматический VPN. Это заставляет пользователей поддерживать автоматическую работу VPN.
- Нет: позволяет пользователям отключать автоматический VPN.
Этот параметр применяется к:
- iOS 14 и более поздней версии
- iPadOS 14 и более поздней версии
VPN для каждого приложения. Включает VPN для каждого приложения, связывая это VPN-подключение с определенным приложением. При запуске приложения запускается VPN-подключение. Профиль VPN можно связать с приложением при назначении программного обеспечения или программы приложения. Дополнительные сведения см. в статье Назначение и мониторинг приложений.
VPN для каждого приложения не поддерживается в подключении IKEv2. Дополнительные сведения см. в статье Настройка VPN для каждого приложения для устройств iOS/iPadOS.
Тип поставщика: доступен только для Pulse Secure и настраиваемого VPN.
При использовании профилей VPN для каждого приложения с Pulse Secure или пользовательской VPN выберите туннелирование на уровне приложений (app-proxy) или туннелирование на уровне пакетов (packet-tunnel):
- app-proxy: выберите этот параметр для туннелирования уровня приложения.
- packet-tunnel: выберите этот параметр для туннелирования на уровне пакетов.
Если вы не знаете, какой вариант использовать, ознакомьтесь с документацией поставщика VPN.
URL-адреса Safari, которые активируют этот VPN: добавьте один или несколько URL-адресов веб-сайта. При посещении этих URL-адресов с помощью браузера Safari на устройстве VPN-подключение устанавливается автоматически. Например, введите
contoso.com
.Связанные домены. Введите связанные домены в профиле VPN для использования с этим VPN-подключением.
Дополнительные сведения см. в разделе Связанные домены.
Исключенные домены. Введите домены, которые могут обходить VPN-подключение при подключении VPN для каждого приложения. Например, введите
contoso.com
. Трафик к доменуcontoso.com
использует общедоступный Интернет, даже если vpn подключен.Запретить пользователям отключить автоматический VPN: ваши параметры:
- Не настроено — Intune не изменяет или не обновляет этот параметр.
- Да. Запрещает пользователям отключать переключатель Подключиться по запросу в параметрах профиля VPN. Он заставляет пользователей поддерживать включенные и запущенные правила VPN для каждого приложения или по запросу.
- Нет. Позволяет пользователям отключить переключатель Подключиться по запросу, который отключает правила VPN и по запросу для каждого приложения.
Этот параметр применяется к:
- iOS 14 и более поздней версии
- iPadOS 14 и более поздней версии
VPN для каждого приложения
Эти параметры применяются к следующим типам VPN-подключений:
- Microsoft Tunnel
Параметры:
VPN для каждого приложения. Включение связывания определенного приложения с этим VPN-подключением. При запуске приложения трафик автоматически направляется через VPN-подключение. Вы можете связать профиль VPN с приложением при назначении программного обеспечения. Дополнительные сведения см. в статье Назначение и мониторинг приложений.
Дополнительные сведения см. в статье Microsoft Tunnel для Intune.
URL-адреса Safari, которые активируют этот VPN: добавьте один или несколько URL-адресов веб-сайта. При посещении этих URL-адресов с помощью браузера Safari на устройстве VPN-подключение устанавливается автоматически. Например, введите
contoso.com
.Связанные домены. Введите связанные домены в профиле VPN для использования с этим VPN-подключением.
Дополнительные сведения см. в разделе Связанные домены.
Исключенные домены. Введите домены, которые могут обходить VPN-подключение при подключении VPN для каждого приложения. Например, введите
contoso.com
. Трафик к доменуcontoso.com
использует общедоступный Интернет, даже если vpn подключен.
Прокси-сервер
Если вы используете прокси-сервер, настройте следующие параметры.
-
Скрипт автоматической настройки. Используйте файл для настройки прокси-сервера. Введите URL-адрес прокси-сервера, содержащий файл конфигурации. Например, введите
http://proxy.contoso.com/pac
. -
Адрес. Введите IP-адрес или полное имя узла прокси-сервера. Например, введите
10.0.0.3
илиvpn.contoso.com
. -
Номер порта. Введите номер порта, связанный с прокси-сервером. Например, введите
8080
.
Дальнейшие действия
Профиль создан, но может еще ничего не делать. Не забудьте назначить профиль и отслеживать его состояние.
Настройка параметров VPN на устройствах Android, Android Enterprise, macOS и Windows .