使用 Microsoft Intune 自定义配置文件为 Android 设备创建每应用 VPN 配置文件
重要
Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
可以为在 Intune 中注册的 Android 8.0 及更高版本设备创建每应用 VPN 配置文件。 首先,创建使用 Pulse Secure 或 Citrix 连接类型的 VPN 配置文件。 然后,创建将 VPN 配置文件与特定应用关联的自定义配置策略。
此功能适用于:
- 在 Intune 中注册的 android 设备管理员 (DA)
若要在 Android Enterprise 设备上使用每应用 VPN,请使用应用配置策略。 应用配置策略支持更多 VPN 客户端应用。 在 Android Enterprise 设备上,可以使用本文中的步骤。 但我们不建议这样做,并且仅限于 Pulse Secure 和 Citrix VPN 连接。
将策略分配给 Android DA 设备或用户组后,用户应启动 Pulse Secure 或 Citrix VPN 客户端。 然后,VPN 客户端将仅允许来自指定应用的流量使用打开的 VPN 连接。
注意
Android 设备管理员仅支持 Pulse Secure 和 Citrix 连接类型。 在 Android Enterprise 设备上,使用应用配置策略。
先决条件
- 若要创建策略,请至少使用具有策略和配置文件管理器内置角色的帐户登录到 Microsoft Intune 管理中心。 有关内置角色的详细信息,请转到Microsoft Intune的基于角色的访问控制。
- 设备必须由 Intune 注册并管理 MDM。 有关 Android 设备的注册选项的信息,请转到适用于Microsoft Intune的 Android 注册指南。
步骤 1 - 创建 VPN 配置文件
选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。
输入以下属性:
- 平台:选择“Android 设备管理员”。
- 配置文件类型:选择 “VPN”。
选择“创建”。
在“基本信息”中,输入以下属性:
- 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,配置文件名称最好是“整个公司的 Android DA 每应用 VPN 配置文件”。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
选择 下一步。
在“配置设置”中,配置想要包含在配置文件中的设置:
记录创建 VPN 配置文件时输入的“连接名称”值。 在下一步中会用到此名称。 在此示例中,连接名称为 MyAppVpnProfile。
选择“下一步”,然后继续创建配置文件。 有关详细信息,请转到 创建 VPN 配置文件。
步骤 2 - 创建自定义配置策略
选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。
输入以下属性:
- 平台:选择“Android 设备管理员”。
- 配置文件类型:选择“ 自定义”。
选择“创建”。
在“基本信息”中,输入以下属性:
- 名称:输入自定义配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,一个好的配置文件名称是 Android DA - OMA-URI VPN。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
选择 下一步。
在“配置设置”>“OMA-URI 设置”中,选择“添加”。 输入以下 OMA-URI 值:
- 名称:输入设置的名称。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行设置。
-
OMA-URI:输入
./Vendor/MSFT/VPN/Profile/*Name*/PackageList
,其中“Name”是在步骤 1 中记下的连接名称。 在此示例中,字符串是./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/PackageList
。 - 在“数据类型”中,输入“String”。
-
值:输入与配置文件相关联的包列表,其中此列表以分号进行分隔。 例如,如果你希望 Excel 和 Google Chrome 浏览器使用 VPN 连接,输入
com.microsoft.office.excel;com.android.chrome
。
设置如下所示:
选择“下一步”,然后继续创建配置文件。 有关详细信息,请转到 创建 VPN 配置文件。
设置阻止和允许的应用列表(可选)
使用 BLACKLIST 值输入无法使用 VPN 连接的应用列表。 所有其他应用将通过 VPN 连接。 或者,使用 WHITELIST 值输入可以使用 VPN 连接的应用列表。 不在列表中的应用不会通过 VPN 连接。
- 在“自定义 OMA-URI 设置”窗格上,选择“添加”。
- 输入设置名称。
- 在“OMA-URI”中,输入
./Vendor/MSFT/VPN/Profile/*Name*/Mode
,其中“Name”是在步骤 1 中记下的 VPN 配置文件名称。 在此示例中,字符串是./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/Mode
- 在“数据类型”中,输入“String”。
- 在值中,输入 BLACKLIST 或 WHITELIST。
步骤 3 - 分配这两个策略
向所需用户或设备分配两个设备配置文件。
资源
- 有关所有 Android 设备管理员 VPN 设置的列表,请转到 “Android 设备设置”以配置 VPN。
- 若要了解有关 VPN 设置和Intune的详细信息,请转到在 Microsoft Intune 中配置 VPN 设置。