使用 Microsoft Intune 自定义配置文件为 Android 设备创建每应用 VPN 配置文件

重要

Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

可以为在 Intune 中注册的 Android 8.0 及更高版本设备创建每应用 VPN 配置文件。 首先,创建使用 Pulse Secure 或 Citrix 连接类型的 VPN 配置文件。 然后,创建将 VPN 配置文件与特定应用关联的自定义配置策略。

此功能适用于:

  • 在 Intune 中注册的 android 设备管理员 (DA)

若要在 Android Enterprise 设备上使用每应用 VPN,请使用应用配置策略。 应用配置策略支持更多 VPN 客户端应用。 在 Android Enterprise 设备上,可以使用本文中的步骤。 但我们不建议这样做,并且仅限于 Pulse Secure 和 Citrix VPN 连接。

将策略分配给 Android DA 设备或用户组后,用户应启动 Pulse Secure 或 Citrix VPN 客户端。 然后,VPN 客户端将仅允许来自指定应用的流量使用打开的 VPN 连接。

注意

Android 设备管理员仅支持 Pulse Secure 和 Citrix 连接类型。 在 Android Enterprise 设备上,使用应用配置策略

先决条件

步骤 1 - 创建 VPN 配置文件

  1. 登录到Microsoft Intune 管理中心

  2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

  3. 输入以下属性:

    • 平台:选择“Android 设备管理员”。
    • 配置文件类型:选择 “VPN”。
  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,配置文件名称最好是“整个公司的 Android DA 每应用 VPN 配置文件”
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
  6. 选择 下一步

  7. 在“配置设置”中,配置想要包含在配置文件中的设置:

    记录创建 VPN 配置文件时输入的“连接名称”值。 在下一步中会用到此名称。 在此示例中,连接名称为 MyAppVpnProfile

  8. 选择“下一步”,然后继续创建配置文件。 有关详细信息,请转到 创建 VPN 配置文件

步骤 2 - 创建自定义配置策略

  1. 登录到Microsoft Intune 管理中心

  2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

  3. 输入以下属性:

    • 平台:选择“Android 设备管理员”。
    • 配置文件类型:选择“ 自定义”。
  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入自定义配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,一个好的配置文件名称是 Android DA - OMA-URI VPN
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
  6. 选择 下一步

  7. 在“配置设置”>“OMA-URI 设置”中,选择“添加”。 输入以下 OMA-URI 值:

    • 名称:输入设置的名称。
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行设置。
    • OMA-URI:输入 ./Vendor/MSFT/VPN/Profile/*Name*/PackageList,其中“Name”是在步骤 1 中记下的连接名称。 在此示例中,字符串是 ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/PackageList
    • 在“数据类型”中,输入“String”。
    • :输入与配置文件相关联的包列表,其中此列表以分号进行分隔。 例如,如果你希望 Excel 和 Google Chrome 浏览器使用 VPN 连接,输入 com.microsoft.office.excel;com.android.chrome

    设置如下所示:

    显示Microsoft Intune中的 Android 设备管理员每应用 VPN 自定义策略的屏幕截图。

  8. 选择“下一步”,然后继续创建配置文件。 有关详细信息,请转到 创建 VPN 配置文件

设置阻止和允许的应用列表(可选)

使用 BLACKLIST 值输入无法使用 VPN 连接的应用列表。 所有其他应用将通过 VPN 连接。 或者,使用 WHITELIST 值输入可以使用 VPN 连接的应用列表。 不在列表中的应用不会通过 VPN 连接。

  1. 在“自定义 OMA-URI 设置”窗格上,选择“添加”。
  2. 输入设置名称。
  3. 在“OMA-URI”中,输入 ./Vendor/MSFT/VPN/Profile/*Name*/Mode,其中“Name”是在步骤 1 中记下的 VPN 配置文件名称。 在此示例中,字符串是 ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/Mode
  4. 在“数据类型”中,输入“String”
  5. 中,输入 BLACKLISTWHITELIST

步骤 3 - 分配这两个策略

向所需用户或设备分配两个设备配置文件

资源