Добавить настройки VPN на устройствах macOS в Microsoft Intune

В этой статье перечислены и описаны параметры Intune, которые можно использовать для настройки VPN-подключений на устройствах под управлением macOS.

В зависимости от выбранного параметра не все значения в следующем списке можно настроить.

Данная функция применяется к:

• macOS

Подготовка к работе

• Создайте профиль конфигурации VPN-устройства macOS.

• Некоторые службы Microsoft 365, такие как Outlook, могут работать неправильно, используя сторонние или партнерские VPN. Если вы используете стороннюю или партнерскую VPN и испытываете задержку или проблему с производительностью, удалите VPN.

  Если удаление VPN разрешает поведение, вы можете:

  • Обратитесь к стороннему или партнерскому VPN-подключению для возможных решений. Корпорация Майкрософт не предоставляет техническую поддержку сторонним или партнерским VPN.
  • Не используйте VPN с трафиком Outlook.
  • Если вам нужно использовать VPN, используйте VPN с разделением туннеля. Кроме того, разрешите трафику Outlook обходить VPN.

  Дополнительные сведения см. в статьях:

  • Обзор: раздельное туннелирование VPN для Microsoft 365
  • Использование сторонних сетевых устройств или решений с Microsoft 365
  • Альтернативные способы для специалистов по безопасности и ИТ для достижения современных средств управления безопасностью в сегодняшнем уникальном блоге о сценариях удаленной работы
  • Принципы сетевого подключения к Microsoft 365

• Эти параметры доступны для всех типов регистрации. Дополнительные сведения о типах регистрации см. в статье Регистрация macOS.

Базовая VPN

• Канал развертывания. Выберите способ развертывания профиля. Этот параметр также определяет связка ключей, где хранятся сертификаты проверки подлинности, поэтому важно выбрать правильный канал. Изменить канал развертывания после развертывания профиля невозможно. Чтобы изменить его, необходимо создать новый профиль.

  Примечание.

  Мы рекомендуем повторно проверить параметр канала развертывания в существующих профилях, когда связанные сертификаты проверки подлинности будут продлены, чтобы убедиться, что выбранный канал выбран. Если это не так, создайте новый профиль с правильным каналом развертывания.

  У вас есть два варианта:

  • Канал пользователя. Всегда выбирайте канал развертывания пользователя в профилях с сертификатами пользователей. Этот параметр сохраняет сертификаты в пользовательском связка ключей.
  • Канал устройства. Всегда выбирайте канал развертывания устройств в профилях с сертификатами устройств. Этот параметр сохраняет сертификаты в системных связка ключей.

• Имя подключения. Введите имя этого подключения. Пользователи видят это имя, когда просматривают на своем устройстве список доступных VPN-подключений.

• Адрес VPN-сервера. Введите IP-адрес или полное доменное имя VPN-сервера, к которому подключаются устройства. Например, введите 192.168.1.1 или vpn.contoso.com.

• Метод проверки подлинности. Выберите способ проверки подлинности устройств на VPN-сервере. Доступны следующие параметры:

  • Сертификаты. В разделе Сертификат проверки подлинности выберите профиль сертификата SCEP или PKCS, созданный ранее для проверки подлинности подключения. Дополнительные сведения о профилях сертификатов см. в статье Настройка сертификатов. Выберите сертификаты, которые соответствуют выбранному каналу развертывания. Если выбран канал пользователя, параметры сертификата ограничены профилями сертификатов пользователей. Если вы выбрали канал устройства, у вас есть профили сертификатов пользователей и устройств. Однако рекомендуется всегда выбирать тип сертификата, который соответствует выбранному каналу. Хранение сертификатов пользователей в системной связка ключей повышает риски безопасности.
  • Имя пользователя и пароль. Конечные пользователи должны ввести имя пользователя и пароль для входа на VPN-сервер.

• Тип подключения. Выберите тип VPN-подключения из следующего списка поставщиков:

  • Check Point Capsule VPN

  • Cisco AnyConnect

  • SonicWall Mobile Connect

  • F5 Access

  • NetMotion Mobility

  • Настраиваемый VPN: выберите этот параметр, если поставщик VPN отсутствует в списке. Также настройте:

    • Идентификатор VPN. Введите идентификатор vpn-приложения, которое вы используете. Этот идентификатор предоставляется поставщиком VPN.
    • Введите пары "ключ - значение" для настраиваемых атрибутов VPN: добавление или импорт ключей и значений , которые настраивают VPN-подключение. Эти значения обычно предоставляются поставщиком VPN.

• Разделение туннелирования. Включение позволяет устройствам решать, какое подключение следует использовать в зависимости от трафика. Например, пользователь в отеле использует VPN-подключение для доступа к рабочим файлам, а стандартную сеть отеля — для регулярного просмотра веб-страниц. Отключить позволяет всему трафику использовать VPN-туннель, когда VPN-подключение активно.

Автоматический VPN

Выберите нужный тип автоматического VPN- подключения . Доступны следующие параметры:

• Не настроено: Intune не изменяет или не обновляет этот параметр.

• VPN по запросу. VPN по запросу использует правила для автоматического подключения или отключения VPN-подключения. Когда устройства пытаются подключиться к VPN, они ищут совпадения в создаваемых параметрах и правилах, таких как соответствующий IP-адрес или доменное имя. Если есть совпадение, то выбранное действие выполняется.

  Например, создайте условие, при котором VPN-подключение используется только в том случае, если устройство не подключено к корпоративной сети Wi-Fi сети. Или, если устройство не может получить доступ к домену поиска DNS, который вы вводите, VPN-подключение не запускается.

  • Добавить: выберите этот параметр и добавьте правило.

  • Я хочу сделать следующее. Если между значением устройства и правилом по запросу есть совпадение, выберите действие. Доступны следующие параметры:

    • Подключение VPN
    • Отключение VPN
    • Оценка каждой попытки подключения
    • Игнорировать

  • Я хочу ограничиться: выберите условие, которому должно соответствовать правило. Доступны следующие параметры:

    • Конкретные идентификаторы SSID. Введите одно или несколько имен беспроводных сетей, которые применяет правило. Это сетевое имя — идентификатор набора служб (SSID). Например, введите Contoso VPN.
    • Конкретные домены поиска. Введите один или несколько доменов DNS, которые применяет правило. Например, введите contoso.com.
    • Все домены. Выберите этот параметр, чтобы применить правило ко всем доменам в вашей организации.

  • Но только в том случае, если проверка URL-адреса выполнена успешно: необязательно. Введите URL-адрес, который правило использует в качестве теста. Если устройство обращается к этому URL-адресу без перенаправления, vpn-подключение запускается. Устройство подключается к целевому URL-адресу. Пользователь не видит сайт пробы строки URL-адреса.

    Например, проба строки URL-адреса — это URL-адрес веб-сервера аудита, который проверяет соответствие устройства требованиям перед подключением к VPN. Или URL-адрес проверяет возможность подключения VPN к сайту, прежде чем устройство подключится к целевому URL-адресу через VPN.

• Запретить пользователям отключить автоматический VPN: ваши параметры:

  • Не настроено — Intune не изменяет или не обновляет этот параметр.
  • Да. Запрещает пользователям отключать автоматический VPN. Это заставляет пользователей поддерживать автоматическую работу VPN.
  • Нет: позволяет пользователям отключать автоматический VPN.

  Этот параметр применяется к:

  • macOS 11 и более поздней версии (Big Sur)

• VPN для каждого приложения. Включает VPN для каждого приложения, связав это VPN-подключение с приложением macOS. При запуске приложения запускается VPN-подключение. Вы можете связать профиль VPN с приложением при назначении программного обеспечения. Дополнительные сведения см. в статье Назначение и мониторинг приложений.

  • URL-адреса Safari, которые активируют этот VPN: добавьте один или несколько URL-адресов веб-сайта. При посещении этих URL-адресов с помощью браузера Safari на устройстве VPN-подключение устанавливается автоматически.

  • Связанные домены. Введите связанные домены в профиле VPN, которые автоматически запускают VPN-подключение. Например, введите contoso.com. Устройства в домене contoso.com автоматически запускают VPN-подключение.

    Дополнительные сведения см. в разделе Связанные домены.

  • Исключенные домены. Введите домены, которые могут обходить VPN-подключение при подключении VPN для каждого приложения. Например, введите contoso.com. Устройства в домене contoso.com не будут запускаться или не будут использовать VPN-подключение для каждого приложения. Устройства в домене contoso.com используют общедоступный Интернет.

  • Запретить пользователям отключить автоматический VPN: ваши параметры:

    • Не настроено — Intune не изменяет или не обновляет этот параметр.
    • Да. Запрещает пользователям отключать автоматический VPN. Это заставляет пользователей поддерживать автоматическую работу VPN.
    • Нет: позволяет пользователям отключать автоматический VPN.

    Этот параметр применяется к:

    • macOS 11 и более поздней версии (Big Sur)

Прокси-сервер

• Скрипт автоматической настройки. Используйте файл для настройки прокси-сервера. Введите URL-адрес прокси-сервера, содержащий файл конфигурации. Например, введите http://proxy.contoso.com/pac.
• Адрес. Введите IP-адрес или полное имя узла прокси-сервера. Например, введите 10.0.0.3 или vpn.contoso.com.
• Номер порта. Введите номер порта, связанный с прокси-сервером. Например, введите 8080.

Статьи по теме

• Назначьте профиль и отслеживайте его состояние.

• Настройка параметров VPN на устройствах Android, Android Enterprise, iOS/iPadOS и Windows .