在 Microsoft Intune 中添加 iOS 和 iPadOS 设备 VPN 设置
Microsoft Intune 包括许多可部署到 iOS/iPadOS 设备的 VPN 设置。 这些设置用于创建和配置与组织网络的 VPN 连接。 本文介绍这些设置。 某些设置仅适用于某些 VPN 客户端,例如 Citrix、Zscaler 等。
此功能适用于:
- iOS/iPadOS
开始之前
-
某些Microsoft 365 服务(如 Outlook)可能无法很好地使用第三方或合作伙伴 VPN。 如果你使用的是第三方或合作伙伴 VPN,并且遇到延迟或性能问题,请删除 VPN。
如果删除 VPN 可解决该行为,则可以:
- 使用第三方或合作伙伴 VPN 获取可能的解决方案。 Microsoft不提供第三方或合作伙伴 VPN 的技术支持。
- 不要将 VPN 与 Outlook 流量配合使用。
- 如果需要使用 VPN,请使用拆分隧道 VPN。 并且,允许 Outlook 流量绕过 VPN。
有关详细信息,请转到:
如果需要这些设备使用新式身份验证和条件访问访问本地资源,则可以使用 支持拆分隧道的 Microsoft 隧道。
注意
这些设置可用于除用户注册以外的所有注册类型。 用户注册仅限于 每应用 VPN。 有关注册类型的详细信息,请参阅 iOS/iPadOS 注册。
可用设置取决于所选的 VPN 客户端。 某些设置仅适用于特定的 VPN 客户端。
这些设置使用 Apple VPN 有效负载 (打开 Apple 网站) 。
连接类型
从以下供应商列表中选择 VPN 连接类型:
Check Point Capsule VPN
Cisco 旧版 AnyConnect
适用于 Cisco 旧版 AnyConnect 应用版本 4.0.5x 及更早版本。
Cisco AnyConnect
适用于 Cisco AnyConnect 应用版本 4.0.7x 及更高版本。
SonicWALL 移动连接
F5 Access Legacy
适用于 F5 Access 应用版本 2.1 及更早版本。
F5 Access
适用于 F5 Access 应用版本 3.0 及更高版本。
Palo Alto Networks GlobalProtect (旧版)
适用于 Palo Alto Networks GlobalProtect 应用版本 4.1 及更早版本。
Palo Alto Networks GlobalProtect
适用于 Palo Alto Networks GlobalProtect 应用版本 5.0 及更高版本。
脉冲安全
Cisco (IPSec)
Citrix VPN
Citrix SSO
Zscaler
若要使用条件访问或允许用户绕过 Zscaler 登录屏幕,必须将 Zscaler Private Access (ZPA) 与 Microsoft Entra 帐户集成。 有关详细步骤,请参阅 Zscaler 文档。
NetMotion 移动性
IKEv2
本文中的 IKEv2 设置 () 介绍了这些属性。
Microsoft Tunnel
适用于包含 Tunnel 客户端功能的 Microsoft Defender for Endpoint 应用。
自定义 VPN
注意
Cisco、Citrix、F5 和 Palo Alto 已宣布其旧版客户端不适用于 iOS 12 及更高版本。 应尽快迁移到新应用。 有关详细信息,请参阅 Microsoft Intune 支持团队博客。
基本 VPN 设置
连接名称:最终用户在浏览其设备以获取可用 VPN 连接列表时会看到此名称。
自定义域名 (Zscaler 仅) :使用用户所属的域预填充 Zscaler 应用的登录字段。 例如,如果用户名为
Joe@contoso.net
,则contoso.net
当应用打开时,域会静态显示在 字段中。 如果未输入域名,则使用 Microsoft Entra ID 中 UPN 的域部分。VPN 服务器地址:设备连接的 VPN 服务器的 IP 地址或完全限定的域名 (FQDN) 。 例如,输入
192.168.1.1
或vpn.contoso.com
。组织的云名称 (Zscaler 仅) :输入预配组织的云名称。 用于登录到 Zscaler 的 URL 具有 名称。
身份验证方法:选择设备向 VPN 服务器进行身份验证的方式。
证书:在 “身份验证证书”下,选择现有的 SCEP 或 PKCS 证书配置文件对连接进行身份验证。 配置证书 提供有关证书配置文件的一些指导。
用户名和密码:最终用户必须输入用户名和密码才能登录到 VPN 服务器。
注意
如果将用户名和密码用作 Cisco IPsec VPN 的身份验证方法,它们必须通过自定义 Apple Configurator 配置文件传递 SharedSecret。
派生凭据:使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者,Intune 会提示你添加一个。 有关详细信息,请参阅 在 Microsoft Intune 中使用派生凭据。
排除的 URL (Zscaler 仅) :连接到 Zscaler VPN 时,可以在 Zscaler 云外部访问列出的 URL。 最多可以添加 50 个 URL。
拆分隧道:启用或禁用以允许设备根据流量决定使用哪个连接。 例如,酒店中的用户使用 VPN 连接访问工作文件,但使用酒店的标准网络进行常规 Web 浏览。
VPN 标识符 (自定义 VPN、Zscaler 和 Citrix) :你正在使用的 VPN 应用的标识符,由 VPN 提供商提供。
输入组织的自定义 VPN 属性的键/值对 , (自定义 VPN、Zscaler 和 Citrix) :添加或导入自定义 VPN 连接的 密钥 和 值 。 请记住,这些值通常由 VPN 提供商提供。
(NAC) (Cisco AnyConnect、Citrix SSO、F5 Access) 启用网络访问控制:如果选择 “我同意”,则 VPN 配置文件中包含设备 ID。 此 ID 可用于对 VPN 进行身份验证,以允许或阻止网络访问。
将 Cisco AnyConnect 与 ISE 配合使用时,请务必:
- 如果尚未将 ISE 与 Intune for NAC 集成,请参阅 Cisco Identity Services 引擎管理员指南中的将 Microsoft intune 配置为 MDM 服务器。
- 在 VPN 配置文件中启用 NAC。
重要
网络访问控制 (NAC) 服务已弃用,并替换为Microsoft的最新 NAC 服务,即合规性检索服务 (CR 服务) 。 为了支持 Cisco ISE 中的更改,Intune 更改了设备 ID 格式。 因此,使用原始 NAC 服务的现有配置文件将停止工作。
若要使用 CR 服务并防止 VPN 连接停机,请重新部署此相同的 VPN 设备配置文件。 无需对配置文件进行更改。 只需重新部署。 当设备与 Intune 服务同步并接收 VPN 配置文件时,CR 服务更改会自动部署到设备。 而且,VPN 连接应继续工作。
将 Citrix SSO 与网关配合使用时,请务必:
- 确认使用的是 Citrix Gateway 12.0.59 或更高版本。
- 确认用户在其设备上安装了 Citrix SSO 1.1.6 或更高版本。
- 将 Citrix Gateway 与 Intune for NAC 集成。 请参阅 将 Microsoft Intune/Enterprise Mobility Suite 与 NetScaler (LDAP+OTP 方案) Citrix 部署指南。
- 在 VPN 配置文件中启用 NAC。
使用 F5 Access 时,请确保:
- 确认使用的是 F5 BIG-IP 13.1.1.5 或更高版本。
- 将 BIG-IP 与 Intune for NAC 集成。 请参阅 概述:使用终结点管理系统 F5 为设备状态检查配置 APM 指南。
- 在 VPN 配置文件中启用 NAC。
对于支持设备 ID 的 VPN 合作伙伴,VPN 客户端(例如 Citrix SSO)可以获取 ID。 然后,它可以查询 Intune 以确认设备已注册,以及 VPN 配置文件是否合规。
- 若要删除此设置,请重新创建配置文件,但不要选择“ 我同意”。 然后,重新分配配置文件。
输入 NetMotion Mobility VPN 属性的键值对 , (NetMotion Mobility 仅) :输入或导入键值对。 这些值可能由 VPN 提供商提供。
Microsoft隧道站点 (Microsoft 隧道仅) :选择现有站点。 VPN 客户端连接到此站点的公共 IP 地址或 FQDN。
有关详细信息,请参阅 Microsoft Tunnel for Intune。
IKEv2 设置
选择 “连接类型>IKEv2”时,这些设置适用。
Always-On VPN: “启用” 将 VPN 客户端设置为自动连接并重新连接到 VPN。 当用户锁定设备、设备重启或无线网络更改时,始终启用 VPN 连接保持连接或立即连接。 设置为 “禁用 (默认) ”时,将禁用所有 VPN 客户端的始终启用 VPN。 启用后,还要配置:
网络接口:所有 IKEv2 设置仅适用于所选网络接口。 选项包括:
- Wi-Fi 和手机网络 (默认) :IKEv2 设置适用于设备上的 Wi-Fi 和手机网络接口。
- 手机网络:IKEv2 设置仅适用于设备上的手机网络接口。 如果要部署到禁用或删除 Wi-Fi 接口的设备,请选择此选项。
- Wi-Fi:IKEv2 设置仅适用于设备上的 Wi-Fi 接口。
用户禁用 VPN 配置: 启用 可让用户关闭始终启用 VPN。 禁用 (默认) 可防止用户将其关闭。此设置的默认值是最安全的选项。
语音邮件:选择启用 Always-On VPN 时语音邮件流量发生的情况。 选项包括:
- 强制网络流量通过 VPN (默认) :此设置是最安全的选项。
- 允许网络流量在 VPN 外部传递
- 删除网络流量
AirPrint:选择启用 Always-On VPN 时 AirPrint 流量发生的情况。 选项包括:
- 强制网络流量通过 VPN (默认) :此设置是最安全的选项。
- 允许网络流量在 VPN 外部传递
- 删除网络流量
手机网络服务:在 iOS 13.0+ 上,选择启用 Always-On VPN 时手机网络流量发生的情况。 选项包括:
- 强制网络流量通过 VPN (默认) :此设置是最安全的选项。
- 允许网络流量在 VPN 外部传递
- 删除网络流量
允许来自非本机强制网络应用的流量通过 VPN 外部:强制网络是指通常在餐馆和酒店中找到的 Wi-Fi 热点。 选项包括:
否:强制所有强制网络 (CN) 应用流量通过 VPN 隧道。
是,所有应用:允许所有 CN 应用流量绕过 VPN。
是,特定应用: 添加 流量可绕过 VPN 的 CN 应用列表。 输入 CN 应用的捆绑标识符。 例如,输入
com.contoso.app.id.package
。若要获取添加到 Intune 的应用的捆绑 ID, 可以使用 Intune 管理中心。
从 Captive Websheet 应用流向外部 VPN 的流量:Captive WebSheet 是处理强制登录的内置 Web 浏览器。 启用 允许浏览器应用流量绕过 VPN。 禁用 (默认) 强制 WebSheet 流量使用始终启用 VPN。 默认值是最安全的选项。
网络地址转换 (NAT) 保持间隔 (秒) :为了保持与 VPN 的连接,设备发送网络数据包以保持活动状态。 输入一个值(以秒为单位),说明这些数据包的发送频率(从 20 到 1440)。 例如,输入 一个 值
60
,每隔 60 秒将网络数据包发送到 VPN。 默认情况下,此值设置为110
秒。当设备处于睡眠状态时,将 NAT 保持负载卸载到硬件:当设备处于睡眠状态时, 启用 (默认) NAT 持续发送保持连接数据包,以便设备保持与 VPN 的连接。 “禁用” 会关闭此功能。
远程标识符:输入 IKEv2 服务器的网络 IP 地址、FQDN、UserFQDN 或 ASN1DN。 例如,输入
10.0.0.3
或vpn.contoso.com
。 通常,输入与本文) 中的 “连接名称 ” (相同的值。 但是,这确实取决于 IKEv2 服务器设置。本地标识符:输入设备上 IKEv2 VPN 客户端的设备 FQDN 或使用者公用名。 或者,可以将此值保留为空, (默认) 。 通常,本地标识符应与用户或设备证书的标识匹配。 IKEv2 服务器可能需要匹配值,以便验证客户端的标识。
客户端身份验证类型:选择 VPN 客户端向 VPN 进行身份验证的方式。 选项包括:
- 用户身份验证 (默认) :用户凭据向 VPN 进行身份验证。
- 计算机身份验证:设备凭据向 VPN 进行身份验证。
身份验证方法:选择要发送到服务器的客户端凭据的类型。 选项包括:
证书:使用现有证书配置文件向 VPN 进行身份验证。 请确保此证书配置文件已分配给用户或设备。 否则,VPN 连接将失败。
-
证书类型:选择证书使用的加密类型。 请确保 VPN 服务器配置为接受此类型的证书。 选项包括:
- RSA (默认)
- ECDSA256
- ECDSA384
- ECDSA521
-
证书类型:选择证书使用的加密类型。 请确保 VPN 服务器配置为接受此类型的证书。 选项包括:
共享机密 (计算机身份验证仅) :允许输入要发送到 VPN 服务器的共享机密。
- 共享机密:输入共享机密,也称为预共享密钥 (PSK) 。 请确保该值与 VPN 服务器上配置的共享机密匹配。
服务器证书颁发者公用名:允许 VPN 服务器向 VPN 客户端进行身份验证。 输入发送到设备上 VPN 客户端的 VPN 服务器证书 (CN) 证书颁发者公用名。 确保 CN 值与 VPN 服务器上的配置匹配。 否则,VPN 连接将失败。
服务器证书公用名:输入证书本身的 CN。 如果留空,则使用远程标识符值。
死对等检测率:选择 VPN 客户端检查 VPN 隧道是否处于活动状态的频率。 选项包括:
- 未配置:使用 iOS/iPadOS 系统默认值,这可能与选择“ 中等”相同。
- 无:禁用死对等检测。
- 低:每 30 分钟发送一条保留消息。
- 中等 (默认) :每 10 分钟发送一条 keepalive 消息。
- 高:每 60 秒发送一条保留消息。
TLS 版本范围最小值:输入要使用的最低 TLS 版本。 输入
1.0
、1.1
或1.2
。 如果留空,则使用 的默认值1.0
。 使用用户身份验证和证书时,必须配置此设置。TLS 版本范围上限:输入要使用的最大 TLS 版本。 输入
1.0
、1.1
或1.2
。 如果留空,则使用 的默认值1.2
。 使用用户身份验证和证书时,必须配置此设置。完全向前保密:选择“ 启用” 以打开 (PFS) 完全向前保密。 PFS 是一项 IP 安全功能,在会话密钥泄露时可减少影响。 禁用 (默认) 不使用 PFS。
证书吊销检查:选择“ 启用” ,确保在允许 VPN 连接成功之前不会吊销证书。 此检查是尽力而为。 如果 VPN 服务器在确定是否吊销证书之前超时,则会授予访问权限。 禁用 (默认) 不会检查吊销的证书。
使用 IPv4/IPv6 内部子网属性:某些 IKEv2 服务器使用
INTERNAL_IP4_SUBNET
或INTERNAL_IP6_SUBNET
属性。 启用 会强制 VPN 连接使用这些属性。 禁用 (默认) 不会强制 VPN 连接使用这些子网属性。移动性和多宿主 (MOBIKE) :MOBIKE 允许 VPN 客户端更改其 IP 地址,而无需重新创建与 VPN 服务器的安全关联。 启用 (默认) 会打开 MOBIKE,这可以在网络之间移动时改善 VPN 连接。 禁用 关闭 MOBIKE。
重定向: 启用 (默认) 从 VPN 服务器收到重定向请求时重定向 IKEv2 连接。如果从 VPN 服务器收到重定向请求, “禁用” 可阻止 IKEv2 连接重定向。
最大传输单位:输入最大传输单位 (MTU) ,从 1 到 65536。 设置为 “未配置 ”或留空时,Intune 不会更改或更新此设置。 默认情况下,Apple 可能会将此值设置为 1280。
此设置适用于:
- iOS/iPadOS 14 及更新版
安全关联参数:输入创建与 VPN 服务器的安全关联时要使用的参数:
加密算法:选择所需的算法:
- DES
- 3DES
- AES-128
- AES-256 (默认)
- AES-128-GCM
- AES-256-GCM
注意
如果将加密算法设置为
AES-128-GCM
或AES-256-GCM
,则AES-256
使用默认值。 这是一个已知问题,将在将来的版本中修复。 没有 ETA。完整性算法:选择所需的算法:
- SHA1-96
- SHA1-160
- SHA2-256 (默认)
- SHA2-384
- SHA2-512
Diffie-Hellman 组:选择所需的组。 默认值为组
2
。生存期 (分钟) :输入安全关联在密钥轮换前保持活动状态的时间。 输入介于 和
1440
之间的10
整个值, (1440 分钟是 24 小时) 。 默认值为“1440
”。
子安全关联参数:iOS/iPadOS 允许为 IKE 连接和任何子连接配置单独的参数。 输入与 VPN 服务器创建 子 安全关联时使用的参数:
加密算法:选择所需的算法:
- DES
- 3DES
- AES-128
- AES-256 (默认)
- AES-128-GCM
- AES-256-GCM
注意
如果将加密算法设置为
AES-128-GCM
或AES-256-GCM
,则AES-256
使用默认值。 这是一个已知问题,将在将来的版本中修复。 没有 ETA。
完整性算法:选择所需的算法:
- SHA1-96
- SHA1-160
- SHA2-256 (默认)
- SHA2-384
- SHA2-512
还要配置:
-
Diffie-Hellman 组:选择所需的组。 默认值为组
2
。 -
生存期 (分钟) :输入安全关联在密钥轮换前保持活动状态的时间。 输入介于 和
1440
之间的10
整个值, (1440 分钟是 24 小时) 。 默认值为“1440
”。
自动 VPN
自动 VPN 类型:选择要配置的 VPN 类型 - 按需 VPN 或按应用 VPN。 请确保只使用一个选项。 同时使用它们会导致连接问题。
未 配置 (默认) :Intune 不会更改或更新此设置。
按需 VPN:按需 VPN 使用规则自动连接或断开 VPN 连接。 当设备尝试连接到 VPN 时,它会在你创建的参数和规则中查找匹配项,例如匹配的域名。 如果有匹配项,则你选择的操作将运行。
例如,可以创建仅在设备未连接到公司 Wi-Fi 网络时才使用 VPN 连接的条件。 或者,如果设备无法访问你输入的 DNS 搜索域,则不会启动 VPN 连接。
按需规则>添加:选择“ 添加” 以添加规则。 如果没有现有的 VPN 连接,请使用这些设置创建按需规则。 如果与规则匹配,则设备将执行你选择的操作。
我想执行以下操作:如果设备值与按需规则之间存在匹配,请选择希望设备执行的操作。 选项包括:
建立 VPN:如果设备值与按需规则之间存在匹配,则设备将连接到 VPN。
断开 VPN 连接:如果设备值与按需规则之间存在匹配,则 VPN 连接将断开连接。
评估每个连接尝试:如果设备值与按需规则之间存在匹配,请使用 “选择是否连接” 设置来决定 每次 VPN 连接尝试发生的情况:
根据需要进行连接:如果设备位于内部网络上,或者已建立与内部网络的 VPN 连接,则按需 VPN 不会连接。 不使用这些设置。
如果没有现有的 VPN 连接,则对于 每次 VPN 连接尝试,请决定是否应使用 DNS 域名进行连接。 此规则仅适用于 用户尝试访问这些域时列表中的域 。 将忽略所有其他域。
当用户尝试访问这些域时:输入一个或多个 DNS 域,例如
contoso.com
。 如果用户尝试连接到此列表中的域,则设备将使用 DNS 来解析你输入的域。 如果域未解析,这意味着它无权访问内部资源,则它会按需连接到 VPN。 如果域已解析,这意味着它已有权访问内部资源,则不会连接到 VPN。注意
如果 “当用户尝试访问这些域时 ”设置为空,则设备将使用在网络连接服务上配置的 DNS 服务器 (Wi-Fi/以太网) 解析域。 其思路是,这些 DNS 服务器是公共服务器。
当用户尝试访问这些域时列表中的域是内部资源。 内部资源不在公共 DNS 服务器上,无法解析。 因此,设备连接到 VPN。 现在,使用 VPN 连接的 DNS 服务器解析域,并且内部资源可用。
如果设备位于内部网络上,则域会解析,并且不会创建 VPN 连接,因为内部域已可用。 你不希望在已位于内部网络上的设备上浪费 VPN 资源。
如果填充了 “当用户尝试访问这些域时 ”设置,则此列表中的 DNS 服务器用于解析列表中的域。
此想法与第一个项目符号 (当用户尝试访问这些域时 设置为空) 相反。 例如, 当用户尝试访问这些域时 列表具有内部 DNS 服务器。 外部网络上的设备无法路由到内部 DNS 服务器。 名称解析超时,设备按需连接到 VPN。 现在,内部资源可用。
请记住,此信息仅适用于 用户尝试访问这些域时列表中的域 。 使用公共 DNS 服务器解析所有其他域。 当设备连接到内部网络时,可以访问列表中的 DNS 服务器,并且无需连接到 VPN。
使用以下 DNS 服务器 (可选) 解析这些域 :输入一个或多个 DNS 服务器 IP 地址,例如
10.0.0.22
。 输入的 DNS 服务器用于解析 用户尝试访问这些域 设置中的域。当无法访问此 URL 时,强制连接 VPN:可选。 输入规则用作测试的 HTTP 或 HTTPS 探测 URL。 例如,输入
https://probe.Contoso.com
。 每次用户在“ 尝试访问这些域时 ”设置中尝试访问域时,都会探测此 URL。 用户看不到 URL 字符串探测站点。如果探测因 URL 无法访问或未返回 200 HTTP 状态代码而失败,则设备将连接到 VPN。
其思路是,该 URL 只能在内部网络上访问。 如果可以访问该 URL,则不需要 VPN 连接。 如果无法访问 URL,则设备位于外部网络上,并按需连接到 VPN。 建立 VPN 连接后,内部资源可用。
从不连接:对于每次 VPN 连接尝试,当用户尝试访问你输入的域时,设备永远不会连接到 VPN。
-
当用户尝试访问这些域时:输入一个或多个 DNS 域,例如
contoso.com
。 如果用户尝试连接到此列表中的域,则不会创建 VPN 连接。 如果他们尝试连接到不在此列表中的域,则设备将连接到 VPN。
-
当用户尝试访问这些域时:输入一个或多个 DNS 域,例如
忽略:如果设备值与按需规则之间存在匹配,则忽略 VPN 连接。
我想限制为:在“我想执行以下设置”中,如果选择“建立 VPN”、“断开 VPN 连接”或“忽略”,请选择规则必须满足的条件。 选项包括:
-
特定 SSD:输入规则适用的一个或多个无线网络名称。 此网络名称是 SSID) (服务集标识符。 例如,输入
Contoso VPN
。 -
特定搜索域:输入规则适用的一个或多个 DNS 域。 例如,输入
contoso.com
。 - 所有域:选择此选项可将规则应用到组织中的所有域。
-
特定 SSD:输入规则适用的一个或多个无线网络名称。 此网络名称是 SSID) (服务集标识符。 例如,输入
但前提是此 URL 探测成功:可选。 输入规则用作测试的 URL。 例如,输入
https://probe.Contoso.com
。 如果设备在没有重定向的情况下访问此 URL,则会启动 VPN 连接。 并且,设备会连接到目标 URL。 用户看不到 URL 字符串探测站点。例如,URL 测试 VPN 在设备通过 VPN 连接到目标 URL 之前连接到站点的能力。
阻止用户禁用自动 VPN:选项:
- 未配置:Intune 不会更改或更新此设置。
- 是:阻止用户关闭自动 VPN。 它强制用户保持自动 VPN 启用并运行。
- 否:允许用户关闭自动 VPN。
此设置适用于:
- iOS 14 及更新
- iPadOS 14 及更新版
每应用 VPN:通过将此 VPN 连接与特定应用关联来启用每应用 VPN。 应用运行时,VPN 连接将启动。 分配应用软件或程序时,可以将 VPN 配置文件与应用关联。 有关详细信息,请参阅 如何分配和监视应用。
IKEv2 连接不支持按应用 VPN。 有关详细信息,请参阅 为 iOS/iPadOS 设备设置每应用 VPN。
提供程序类型:仅适用于 Pulse Secure 和自定义 VPN。
将 每应用 VPN 配置文件与 Pulse Secure 或自定义 VPN 配合使用时,请选择应用层隧道 (应用代理) 或数据包级隧道 (数据包隧道) :
- app-proxy:为应用层隧道选择此选项。
- packet-tunnel:为数据包层隧道选择此选项。
如果不确定要使用哪个选项,请查看 VPN 提供商的文档。
将触发此 VPN 的 Safari URL:添加一个或多个网站 URL。 使用设备上的 Safari 浏览器访问这些 URL 时,会自动建立 VPN 连接。 例如,输入
contoso.com
。关联域:在 VPN 配置文件中输入用于此 VPN 连接的关联域。
有关详细信息,请参阅 关联的域。
排除的域:输入在连接每个应用 VPN 时可以绕过 VPN 连接的域。 例如,输入
contoso.com
。 即使已连接 VPN,到域的contoso.com
流量也会使用公共 Internet。阻止用户禁用自动 VPN:选项:
- 未配置:Intune 不会更改或更新此设置。
- 是:阻止用户在 VPN 配置文件设置中关闭“按需连接”开关。 它强制用户启用并运行每个应用 VPN 或按需规则。
- 否:允许用户关闭“按需连接”开关,这将禁用每应用 VPN 和按需规则。
此设置适用于:
- iOS 14 及更新
- iPadOS 14 及更新版
每应用 VPN
这些设置适用于以下 VPN 连接类型:
- Microsoft Tunnel
设置:
按应用 VPN: 启用 可将特定应用关联到此 VPN 连接。 应用运行时,流量会自动通过 VPN 连接路由。 分配软件时,可以将 VPN 配置文件与应用相关联。 有关详细信息,请参阅 如何分配和监视应用。
有关详细信息,请参阅 Microsoft Tunnel for Intune。
将触发此 VPN 的 Safari URL:添加一个或多个网站 URL。 使用设备上的 Safari 浏览器访问这些 URL 时,会自动建立 VPN 连接。 例如,输入
contoso.com
。关联域:在 VPN 配置文件中输入用于此 VPN 连接的关联域。
有关详细信息,请参阅 关联的域。
排除的域:输入在连接每个应用 VPN 时可以绕过 VPN 连接的域。 例如,输入
contoso.com
。 即使已连接 VPN,到域的contoso.com
流量也会使用公共 Internet。
代理
如果使用代理,请配置以下设置。
-
自动配置脚本:使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如,输入
http://proxy.contoso.com/pac
。 -
地址:输入代理服务器的 IP 地址或完全限定的主机名。 例如,输入
10.0.0.3
或vpn.contoso.com
。 -
端口号:输入与代理服务器关联的端口号。 例如,输入
8080
。
后续步骤
配置文件已创建,但可能尚未执行任何操作。 请务必分配配置文件,并监视配置文件状态。
在 Android、 Android Enterprise、 macOS 和 Windows 设备上配置 VPN 设置。