如何在 Configuration Manager 中创建 VPN 配置文件

适用于: Configuration Manager(current branch)

重要

从版本 2203 开始,不再支持此公司资源访问功能。 有关详细信息,请参阅 有关弃用资源访问的常见问题

Configuration Manager支持多种 VPN 连接类型。 有关可用于不同设备平台的连接类型的详细信息,请参阅 VPN 配置文件

对于第三方 VPN 连接,请在部署 VPN 配置文件之前分发 VPN 应用。 如果不部署应用,系统会提示用户在尝试连接到 VPN 时执行此操作。 有关详细信息,请参阅 部署应用程序

创建 VPN 配置文件

  1. 在Configuration Manager控制台中,转到“资产和符合性”工作区,依次展开“符合性设置”、“公司资源访问”,然后选择“VPN 配置文件”节点。

  2. 在功能区的“ 主页 ”选项卡上的“ 创建 ”组中,选择“ 创建 VPN 配置文件”。

  3. 在“创建 VPN 配置文件向导”的“ 常规 ”页上,指定以下信息:

    • 名称:输入唯一名称以标识控制台中的 VPN 配置文件。

      注意

      不要在 VPN 配置文件名称中使用以下字符: \/:*?<>|; 。 Windows VPN 配置文件不支持这些特殊字符。

    • 说明:(可选)输入说明,以提供有关 VPN 配置文件的详细信息。

    • VPN 配置文件类型:选择适当的平台。

      如果选择Windows 8.1平台,还可以从文件导入。 此操作从 XML 文件导入 VPN 配置文件信息。 如果选择此选项,向导的其余部分将简化为以下页面: 支持的平台导入 VPN 配置文件

  4. “支持的平台 ”页上,选择此 VPN 配置文件支持的 OS 版本。

  5. 在“ 连接 ”页上,指定以下信息:

    • 连接类型:选择 VPN 连接类型。 有关支持的类型的详细信息,请参阅 VPN 配置文件

    • 服务器列表:添加用于 VPN 连接的新服务器。 根据连接类型,可以添加一个或多个 VPN 服务器,并指定默认服务器。

    • 连接到公司网络时绕过 VPN:将客户端配置为在内部网络上时不使用 VPN。 如有必要,请指定特定于连接的 DNS 名称。

  6. 在向导的 “身份验证方法 ”页上,选择连接类型支持的方法。 此页上的设置和可用选项因所选连接类型而异。 有关详细信息,请参阅 身份验证方法参考

  7. “代理设置” 页上,如果 VPN 使用代理服务器,请根据环境选择一个选项。 然后提供代理的配置信息。

  8. 应用程序”页仅适用于Windows 10配置文件。 添加自动连接到此 VPN 的桌面应用和通用应用。 应用类型确定应用标识符:

    • 对于 桌面应用,请提供应用的文件路径。

    • 对于 通用应用,请提供包系列名称 (PFN) 。 若要了解如何查找应用的 PFN,请参阅 查找每个应用 VPN 的包系列名称

    还可以配置选项,以便 只有列出的应用才能使用此 VPN

    重要

    保护你为配置每应用 VPN 而编译的所有关联应用列表。 如果未经授权的用户更改了你的列表,并且你将其导入到每应用 VPN 应用列表,则你可能会授权 VPN 访问不应具有访问权限的应用。

  9. 边界”页仅适用于配置 VPN 边界Windows 10配置文件。 可以添加以下选项:

    • 网络流量规则:设置要启用 VPN 连接的协议、本地端口、远程端口和地址范围。

      注意

      如果未创建网络流量规则,则会启用所有协议、端口和地址范围。 创建规则后,VPN 连接只会使用该规则或其他规则中指定的协议、端口和地址范围。

    • DNS 名称和服务器:设备建立连接后 VPN 连接使用的 DNS 服务器。

    • 路由:使用 VPN 连接的网络路由。 创建超过 60 个路由可能会导致策略失败。

  10. 完成该向导。

新的 VPN 配置文件显示在“资产和符合性”工作区的“VPN 配置文件”节点中。

身份验证方法参考

可用的 VPN 身份验证方法取决于连接类型:

证书

如果客户端证书向 RADIUS 服务器(如网络策略服务器)进行身份验证,请将证书中的“使用者可选名称”设置为“用户主体名称”。

支持的连接类型:

  • 脉冲安全
  • F5 Edge 客户端
  • Dell SonicWALL Mobile Connect
  • Check Point移动 VPN

用户名和密码

支持的连接类型:

  • 脉冲安全
  • F5 Edge 客户端
  • Dell SonicWALL Mobile Connect
  • Check Point移动 VPN

Microsoft EAP-TTLS

支持的连接类型:

  • Microsoft SSL (SSTP)
  • Microsoft自动
  • PPTP
  • IKEv2
  • L2TP

Microsoft受保护的 EAP (PEAP

支持的连接类型:

  • Microsoft SSL (SSTP)
  • Microsoft自动
  • IKEv2
  • PPTP
  • L2TP

Microsoft安全密码 (EAP-MSCHAP v2)

支持的连接类型:

  • Microsoft SSL (SSTP)
  • Microsoft自动
  • IKEv2
  • PPTP
  • L2TP

智能卡或其他证书

支持的连接类型:

  • Microsoft SSL (SSTP)
  • Microsoft自动
  • IKEv2
  • PPTP
  • L2TP

MSCHAP v2

支持的连接类型:

  • Microsoft SSL (SSTP)
  • Microsoft自动
  • IKEv2
  • PPTP
  • L2TP

使用计算机证书

支持的连接类型:

  • IKEv2

其他身份验证选项

当 Windows 客户端版本支持它时,“ 配置 身份验证方法”选项可用。 此选项将打开 Windows 属性窗口以配置身份验证方法。

根据所选选项,系统可能会要求你指定详细信息,例如:

  • 在每次登录时记住用户凭据:记住用户凭据,以便用户不必在每次连接时都输入凭据。

  • 选择用于客户端身份验证的客户端证书:选择以前创建的客户端 SCEP 证书配置文件,对 VPN 连接进行身份验证。 有关详细信息,请参阅 创建 PFX 证书配置文件

后续步骤

  • 对于第三方 VPN 连接,请在部署 VPN 配置文件之前分发 VPN 应用。 如果不部署应用,系统会提示用户在尝试连接到 VPN 时执行此操作。 有关详细信息,请参阅 部署应用程序

  • 部署 VPN 配置文件。 有关详细信息,请参阅 如何部署配置文件