在 Intune 中创建 VPN 配置文件以连接到 VPN 服务器

重要

2022 年 10 月 22 日,Microsoft Intune 终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术协助和自动更新不可用。

如果当前使用 Windows 8.1,请移动到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全和设备功能。

重要

Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

虚拟专用网络 (VPN) 可让用户安全远程访问你的组织网络。 设备使用 VPN 连接配置文件以启动与 VPN 服务器的连接。 Microsoft Intune 中的“VPN 配置文件”将 VPN 设置分配到你组织中的用户和设备。 使用这些设置,用户能够轻松安全连接到你的组织网络。

此功能适用于:

  • Android 设备管理员
  • Android Enterprise 个人拥有的工作配置文件设备
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11
  • Windows 8.1 及更高版本

例如,你想要使用所需的设置配置所有 iOS/iPadOS 设备以连接到组织网络上的文件共享。 创建包含这些设置的 VPN 配置文件。 将此配置文件分配到拥有 iOS/iPadOS 设备的所有用户。 用户可在可用网络列表中看到 VPN 连接,并可轻松连接。

本文列出了可以使用的 VPN 应用,演示了如何创建 VPN 配置文件,并提供了有关保护 VPN 配置文件的指南。 创建 VPN 配置文件之前,必须先部署 VPN 应用。 如果需要使用 Microsoft Intune 部署应用的帮助,请转到 什么是 intune Microsoft 中的应用管理?

准备工作

  • Windows 10/11 企业多会话远程桌面支持设备隧道的 VPN 配置文件。

  • 如果对 VPN 配置文件使用基于证书的身份验证,请将 VPN 配置文件、证书配置文件和受信任的根配置文件部署到同一组。 此步骤可确保每台设备都能识别证书颁发机构的合法性。 有关详细信息,请转到 如何使用 Microsoft Intune 配置证书

  • iOS/iPadOS 和 macOS 的用户注册仅支持每应用 VPN

  • 可以使用 Intune 自定义配置策略为以下平台创建 VPN 配置文件:

    • Android 4 及更高版本
    • 运行 Windows 8.1 和更高版本的已注册设备
    • 运行 Windows 10/11 的已注册设备
    • Windows Holographic for Business
  • 对于 Windows 11 设备, Windows 11 客户端与 Windows VPNv2 CSP 之间存在问题。

    当设备同时处理对设备的 VPN 配置文件的多个更改时,具有一个或多个 Intune VPN 配置文件的设备将失去其 VPN 连接。 当设备第二次签入 Intune 时,它会处理 VPN 配置文件更改,并恢复连接。

    以下更改可能会导致 VPN 功能丢失

    • 你更改或更新以前由 Windows 11 设备处理的现有 VPN 配置文件。 此操作将删除原始配置文件,并应用更新的配置文件。
    • 两个新的 VPN 配置文件同时应用于设备。
    • 在分配新 VPN 配置文件的同时删除活动 VPN 配置文件。

    此问题不适用,VPN 连接仍保留在以下方案中

    • Windows 11 设备未分配现有的 VPN 配置文件,并且设备接收一个 Intune VPN 配置文件。

    • Windows 11 设备分配有一个现有的 VPN 配置文件,并且分配了另一个 VPN 配置文件,没有其他配置文件更改。

    • Windows 10 设备升级到 Windows 11,并且该设备的 VPN 配置文件没有更改。 升级到 Windows 11 后,对设备 VPN 配置文件或添加新 VPN 配置文件的任何更改都将触发此问题。

    • Windows 11 要求:

      如果仅配置 IKE 安全关联参数子安全关联参数 设置之一,则 VPN 功能会丢失。

步骤 1 - 部署 VPN 应用

必须先安装 VPN 应用,然后才能使用分配给设备的 VPN 配置文件。 此 VPN 应用连接到 VPN 服务器。

可以使用不同的 VPN 应用。 在用户设备上,部署组织使用的 VPN 应用。 部署 VPN 应用后,创建并部署用于配置 VPN 服务器设置的 VPN 设备配置文件,包括 VPN 服务器名称 (或 FQDN) 和身份验证方法。

某些平台和 VPN 应用需要应用配置策略来预配置 VPN 应用,而不是 VPN 设备配置文件。 本部分还列出了必须使用应用配置策略的平台和 VPN 应用。

若要使用 Intune 分配应用,请转到 将应用添加到 Intune Microsoft

VPN 连接类型

可以使用以下 VPN 连接类型创建 VPN 配置文件:

  • 自动

    • windows 10/11
  • Check Point Capsule VPN

    • Android 设备管理员
    • Android Enterprise 个人拥有的工作配置文件设备
    • Android Enterprise 完全托管和公司拥有的工作配置文件:使用应用配置策略
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Cisco AnyConnect

    • Android 设备管理员
    • Android Enterprise 个人拥有的工作配置文件设备
    • Android Enterprise 完全托管和公司拥有的工作配置文件
    • iOS/iPadOS
    • macOS
    • windows 10/11
  • Cisco (IPSec)

    • iOS/iPadOS
  • Citrix SSO

    • Android 设备管理员
    • Android Enterprise 个人拥有的工作配置文件设备:使用应用配置策略
    • Android Enterprise 完全托管和公司拥有的工作配置文件:使用应用配置策略
    • iOS/iPadOS
    • Windows 10/11
  • 自定义 VPN

    • iOS/iPadOS
    • macOS

    要使用 URI 设置创建自定义 VPN 配置文件,请参阅创建具有自定义设置的配置文件

  • F5 Access

    • Android 设备管理员
    • Android Enterprise 个人拥有的工作配置文件设备
    • Android Enterprise 完全托管和公司拥有的工作配置文件
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10/11
  • L2TP

    • windows 10/11
  • Microsoft Tunnel

    • Android Enterprise 个人拥有的工作配置文件设备
    • Android Enterprise 完全托管和公司拥有的工作配置文件
    • iOS/iPadOS
  • NetMotion 移动性

    • Android Enterprise 个人拥有的工作配置文件设备
    • Android Enterprise 完全托管和公司拥有的工作配置文件
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks GlobalProtect

    • Android Enterprise 个人拥有的工作配置文件设备:使用应用配置策略
    • Android Enterprise 完全托管和公司拥有的工作配置文件:使用应用配置策略
    • iOS/iPadOS
    • Windows 10/11
  • PPTP

    • windows 10/11
  • 脉冲安全

    • Android 设备管理员
    • Android Enterprise 个人拥有的工作配置文件设备
    • Android Enterprise 完全托管和公司拥有的工作配置文件
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1
  • SonicWALL 移动连接

    • Android 设备管理员
    • Android Enterprise 个人拥有的工作配置文件设备
    • Android Enterprise 完全托管和公司拥有的工作配置文件
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Zscaler

    • Android Enterprise 个人拥有的工作配置文件设备:使用应用配置策略
    • Android Enterprise 完全托管和公司拥有的工作配置文件:使用应用配置策略
    • iOS/iPadOS

步骤 2 - 创建配置文件

将 VPN 应用分配给设备后,下一步将创建配置 VPN 连接的设备配置策略。 如果 VPN 应用连接类型使用应用配置策略来配置应用,请跳过此步骤。

  1. 登录到Microsoft Intune 管理中心

  2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

  3. 输入以下属性:

    • 平台:选择设备平台。 选项包括:
      • Android 设备管理员
      • Android Enterprise>完全托管、专用和公司拥有的工作配置文件
      • “Android Enterprise”>“个人拥有的工作配置文件”
      • iOS/iPadOS
      • macOS
      • Windows 10 及更高版本
      • Windows 8.1 及更高版本
    • 配置文件类型:选择 “VPN”。 或者,选择“模板”>“VPN”
  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松识别它们。 例如,配置文件名称最好是“整个公司的 VPN 配置文件”。
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
  6. 选择 下一步

  7. 在“配置设置”中,根据所选择的平台,可配置的设置有所不同。 选择平台,进行详细设置:

  8. 选择 下一步

  9. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请转到 使用分布式 IT 的 RBAC 和范围标记

    选择 下一步

  10. “分配”中,选择接收个人资料的用户或组。 有关分配配置文件的详细信息,请转到 分配用户和设备配置文件

    选择 下一步

  11. “查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 此策略也会显示在配置文件列表中。

保护 VPN 配置文件

VPN 配置文件可以使用来自不同制造商的多种不同的连接类型和协议。 这些连接通常通过以下方法进行保护。

证书

创建 VPN 配置文件时,选择之前已在 Intune 中创建的 SCEP 或 PKCS 证书配置文件。 此配置文件称为身份证书。 用于对你创建的受信任的身份证书配置文件(或根证书)进行身份验证,以允许用户的设备进行连接。 受信任的证书会分配到对 VPN 连接(通常是 VPN 服务器)进行身份验证的计算机。

如果对 VPN 配置文件使用基于证书的身份验证,请将 VPN 配置文件、证书配置文件和受信任的根配置文件部署到同一组。 此分配可确保每台设备都能识别证书颁发机构的合法性。

有关如何在 Intune 中创建和使用证书配置文件的详细信息,请转到 如何使用 Intune 配置证书Microsoft

注意

VPN 身份验证不支持使用“PKCS 导入的证书”配置文件添加的证书。 VPN 身份验证支持使用“PKCS 证书”配置文件添加的证书。

用户名和密码

用户通过提供用户名和密码或派生凭据向 VPN 服务器进行身份验证。

后续步骤