使用 Microsoft Intune 自定义配置文件为 Android 设备创建每应用 VPN 配置文件

重要

Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持， (GMS) 。 在此日期之后，设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理，建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息，请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。

可以为在 Intune 中注册的 Android 8.0 及更高版本设备创建每应用 VPN 配置文件。 首先，创建使用 Pulse Secure 或 Citrix 连接类型的 VPN 配置文件。 然后，创建将 VPN 配置文件与特定应用关联的自定义配置策略。

此功能适用于：

• 在 Intune 中注册的 android 设备管理员 (DA)

若要在 Android Enterprise 设备上使用每应用 VPN，请使用应用配置策略。 应用配置策略支持更多 VPN 客户端应用。 在 Android Enterprise 设备上，可以使用本文中的步骤。 但我们不建议这样做，并且仅限于 Pulse Secure 和 Citrix VPN 连接。

将策略分配给 Android DA 设备或用户组后，用户应启动 Pulse Secure 或 Citrix VPN 客户端。 然后，VPN 客户端将仅允许来自指定应用的流量使用打开的 VPN 连接。

注意

Android 设备管理员仅支持 Pulse Secure 和 Citrix 连接类型。 在 Android Enterprise 设备上，使用应用配置策略。

先决条件

• 若要创建策略，请至少使用具有策略和配置文件管理器内置角色的帐户登录到 Microsoft Intune 管理中心。 有关内置角色的详细信息，请转到 Microsoft Intune 的基于角色的访问控制。
• 设备必须注册，并由 Intune 管理 MDM。 有关 Android 设备的注册选项的信息，请转到 Microsoft Intune 的 Android 注册指南。

步骤 1 - 创建 VPN 配置文件

1. 登录到Microsoft Intune 管理中心。

2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

3. 输入以下属性：

   • 平台：选择“Android 设备管理员”。
   • 配置文件类型：选择 “VPN”。

4. 选择“创建”。

5. 在“基本信息”中，输入以下属性：

   • 名称：输入配置文件的描述性名称。 为配置文件命名，以便稍后可以轻松地识别它们。 例如，配置文件名称最好是“整个公司的 Android DA 每应用 VPN 配置文件”。
   • 说明：输入配置文件的说明。 此设置是可选的，但建议进行。

6. 选择 下一步。

7. 在“配置设置”中，配置想要包含在配置文件中的设置：

   • 适用于 Android 设备管理员设备的 VPN 设置。

   记录创建 VPN 配置文件时输入的“连接名称”值。 在下一步中会用到此名称。 在此示例中，连接名称为 MyAppVpnProfile。

8. 选择“下一步”，然后继续创建配置文件。 有关详细信息，请转到 创建 VPN 配置文件。

步骤 2 - 创建自定义配置策略

1. 登录到Microsoft Intune 管理中心。

2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

3. 输入以下属性：

   • 平台：选择“Android 设备管理员”。
   • 配置文件类型：选择“ 自定义”。

4. 选择“创建”。

5. 在“基本信息”中，输入以下属性：

   • 名称：输入自定义配置文件的描述性名称。 为配置文件命名，以便稍后可以轻松地识别它们。 例如，一个好的配置文件名称是 Android DA - OMA-URI VPN。
   • 说明：输入配置文件的说明。 此设置是可选的，但建议进行。

6. 选择 下一步。

7. 在“配置设置”>“OMA-URI 设置”中，选择“添加”。 输入以下 OMA-URI 值：

   • 名称：输入设置的名称。
   • 说明：输入配置文件的说明。 此设置是可选的，但建议进行设置。
   • OMA-URI：输入 ./Vendor/MSFT/VPN/Profile/*Name*/PackageList，其中“Name”是在步骤 1 中记下的连接名称。 在此示例中，字符串是 ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/PackageList。
   • 在“数据类型”中，输入“String”。
   • 值：输入与配置文件相关联的包列表，其中此列表以分号进行分隔。 例如，如果你希望 Excel 和 Google Chrome 浏览器使用 VPN 连接，输入 com.microsoft.office.excel;com.android.chrome。

   设置如下所示：

   

8. 选择“下一步”，然后继续创建配置文件。 有关详细信息，请转到 创建 VPN 配置文件。

设置阻止和允许的应用列表（可选）

使用 BLACKLIST 值输入无法使用 VPN 连接的应用列表。 所有其他应用将通过 VPN 连接。 或者，使用 WHITELIST 值输入可以使用 VPN 连接的应用列表。 不在列表中的应用不会通过 VPN 连接。

1. 在“自定义 OMA-URI 设置”窗格上，选择“添加”。
2. 输入设置名称。
3. 在“OMA-URI”中，输入 ./Vendor/MSFT/VPN/Profile/*Name*/Mode，其中“Name”是在步骤 1 中记下的 VPN 配置文件名称。 在此示例中，字符串是 ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/Mode
4. 在“数据类型”中，输入“String”。
5. 在值中，输入 BLACKLIST 或 WHITELIST。

步骤 3 - 分配这两个策略

向所需用户或设备分配两个设备配置文件。

资源

• 有关所有 Android 设备管理员 VPN 设置的列表，请转到 “Android 设备设置”以配置 VPN。
• 若要了解有关 VPN 设置和 Intune 的详细信息，请转到 在 Microsoft Intune 中配置 VPN 设置。