在 Microsoft Intune 中添加 iOS 和 iPadOS 设备 VPN 设置

Microsoft Intune 包括许多可部署到 iOS/iPadOS 设备的 VPN 设置。 这些设置用于创建和配置与组织网络的 VPN 连接。 本文介绍这些设置。 某些设置仅适用于某些 VPN 客户端,例如 Citrix、Zscaler 等。

此功能适用于:

  • iOS/iPadOS

开始之前

注意

  • 这些设置可用于除用户注册以外的所有注册类型。 用户注册仅限于 每应用 VPN。 有关注册类型的详细信息,请参阅 iOS/iPadOS 注册

  • 可用设置取决于所选的 VPN 客户端。 某些设置仅适用于特定的 VPN 客户端。

  • 这些设置使用 Apple VPN 有效负载 (打开 Apple 网站) 。

连接类型

从以下供应商列表中选择 VPN 连接类型:

  • Check Point Capsule VPN

  • Cisco 旧版 AnyConnect

    适用于 Cisco 旧版 AnyConnect 应用版本 4.0.5x 及更早版本。

  • Cisco AnyConnect

    适用于 Cisco AnyConnect 应用版本 4.0.7x 及更高版本。

  • SonicWALL 移动连接

  • F5 Access Legacy

    适用于 F5 Access 应用版本 2.1 及更早版本。

  • F5 Access

    适用于 F5 Access 应用版本 3.0 及更高版本。

  • Palo Alto Networks GlobalProtect (旧版)

    适用于 Palo Alto Networks GlobalProtect 应用版本 4.1 及更早版本。

  • Palo Alto Networks GlobalProtect

    适用于 Palo Alto Networks GlobalProtect 应用版本 5.0 及更高版本。

  • 脉冲安全

  • Cisco (IPSec)

  • Citrix VPN

  • Citrix SSO

  • Zscaler

    若要使用条件访问或允许用户绕过 Zscaler 登录屏幕,必须将 Zscaler Private Access (ZPA) 与 Microsoft Entra 帐户集成。 有关详细步骤,请参阅 Zscaler 文档

  • NetMotion 移动性

  • IKEv2

    本文中的 IKEv2 设置 () 介绍了这些属性。

  • Microsoft Tunnel

    适用于包含 Tunnel 客户端功能的 Microsoft Defender for Endpoint 应用。

  • 自定义 VPN

注意

Cisco、Citrix、F5 和 Palo Alto 已宣布其旧版客户端不适用于 iOS 12 及更高版本。 应尽快迁移到新应用。 有关详细信息,请参阅 Microsoft Intune 支持团队博客

基本 VPN 设置

  • 连接名称:最终用户在浏览其设备以获取可用 VPN 连接列表时会看到此名称。

  • 自定义域名 (Zscaler 仅) :使用用户所属的域预填充 Zscaler 应用的登录字段。 例如,如果用户名为 Joe@contoso.net,则 contoso.net 当应用打开时,域会静态显示在 字段中。 如果未输入域名,则使用 Microsoft Entra ID 中 UPN 的域部分。

  • VPN 服务器地址:设备连接的 VPN 服务器的 IP 地址或完全限定的域名 (FQDN) 。 例如,输入 192.168.1.1vpn.contoso.com

  • 组织的云名称 (Zscaler 仅) :输入预配组织的云名称。 用于登录到 Zscaler 的 URL 具有 名称。

  • 身份验证方法:选择设备向 VPN 服务器进行身份验证的方式。

    • 证书:在 “身份验证证书”下,选择现有的 SCEP 或 PKCS 证书配置文件对连接进行身份验证。 配置证书 提供有关证书配置文件的一些指导。

    • 用户名和密码:最终用户必须输入用户名和密码才能登录到 VPN 服务器。

      注意

      如果将用户名和密码用作 Cisco IPsec VPN 的身份验证方法,它们必须通过自定义 Apple Configurator 配置文件传递 SharedSecret。

    • 派生凭据:使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者,Intune 会提示你添加一个。 有关详细信息,请参阅 在 Microsoft Intune 中使用派生凭据

  • 排除的 URL (Zscaler 仅) :连接到 Zscaler VPN 时,可以在 Zscaler 云外部访问列出的 URL。 最多可以添加 50 个 URL。

  • 拆分隧道启用或禁用以允许设备根据流量决定使用哪个连接。 例如,酒店中的用户使用 VPN 连接访问工作文件,但使用酒店的标准网络进行常规 Web 浏览。

  • VPN 标识符 (自定义 VPN、Zscaler 和 Citrix) :你正在使用的 VPN 应用的标识符,由 VPN 提供商提供。

  • 输入组织的自定义 VPN 属性的键/值对 , (自定义 VPN、Zscaler 和 Citrix) :添加或导入自定义 VPN 连接的 密钥 。 请记住,这些值通常由 VPN 提供商提供。

  • (NAC) (Cisco AnyConnect、Citrix SSO、F5 Access) 启用网络访问控制:如果选择 “我同意”,则 VPN 配置文件中包含设备 ID。 此 ID 可用于对 VPN 进行身份验证,以允许或阻止网络访问。

    将 Cisco AnyConnect 与 ISE 配合使用时,请务必:

    重要

    网络访问控制 (NAC) 服务已弃用,并替换为Microsoft的最新 NAC 服务,即合规性检索服务 (CR 服务) 。 为了支持 Cisco ISE 中的更改,Intune 更改了设备 ID 格式。 因此,使用原始 NAC 服务的现有配置文件将停止工作。

    若要使用 CR 服务并防止 VPN 连接停机,请重新部署此相同的 VPN 设备配置文件。 无需对配置文件进行更改。 只需重新部署。 当设备与 Intune 服务同步并接收 VPN 配置文件时,CR 服务更改会自动部署到设备。 而且,VPN 连接应继续工作。

    将 Citrix SSO 与网关配合使用时,请务必:

    使用 F5 Access 时,请确保:

    对于支持设备 ID 的 VPN 合作伙伴,VPN 客户端(例如 Citrix SSO)可以获取 ID。 然后,它可以查询 Intune 以确认设备已注册,以及 VPN 配置文件是否合规。

    • 若要删除此设置,请重新创建配置文件,但不要选择“ 我同意”。 然后,重新分配配置文件。
  • 输入 NetMotion Mobility VPN 属性的键值对 , (NetMotion Mobility 仅) :输入或导入键值对。 这些值可能由 VPN 提供商提供。

  • Microsoft隧道站点 (Microsoft 隧道仅) :选择现有站点。 VPN 客户端连接到此站点的公共 IP 地址或 FQDN。

    有关详细信息,请参阅 Microsoft Tunnel for Intune

IKEv2 设置

选择 “连接类型>IKEv2”时,这些设置适用。

  • Always-On VPN“启用” 将 VPN 客户端设置为自动连接并重新连接到 VPN。 当用户锁定设备、设备重启或无线网络更改时,始终启用 VPN 连接保持连接或立即连接。 设置为 “禁用 (默认) ”时,将禁用所有 VPN 客户端的始终启用 VPN。 启用后,还要配置:

    • 网络接口:所有 IKEv2 设置仅适用于所选网络接口。 选项包括:

      • Wi-Fi 和手机网络 (默认) :IKEv2 设置适用于设备上的 Wi-Fi 和手机网络接口。
      • 手机网络:IKEv2 设置仅适用于设备上的手机网络接口。 如果要部署到禁用或删除 Wi-Fi 接口的设备,请选择此选项。
      • Wi-Fi:IKEv2 设置仅适用于设备上的 Wi-Fi 接口。
    • 用户禁用 VPN 配置启用 可让用户关闭始终启用 VPN。 禁用 (默认) 可防止用户将其关闭。此设置的默认值是最安全的选项。

    • 语音邮件:选择启用 Always-On VPN 时语音邮件流量发生的情况。 选项包括:

      • 强制网络流量通过 VPN (默认) :此设置是最安全的选项。
      • 允许网络流量在 VPN 外部传递
      • 删除网络流量
    • AirPrint:选择启用 Always-On VPN 时 AirPrint 流量发生的情况。 选项包括:

      • 强制网络流量通过 VPN (默认) :此设置是最安全的选项。
      • 允许网络流量在 VPN 外部传递
      • 删除网络流量
    • 手机网络服务:在 iOS 13.0+ 上,选择启用 Always-On VPN 时手机网络流量发生的情况。 选项包括:

      • 强制网络流量通过 VPN (默认) :此设置是最安全的选项。
      • 允许网络流量在 VPN 外部传递
      • 删除网络流量
    • 允许来自非本机强制网络应用的流量通过 VPN 外部:强制网络是指通常在餐馆和酒店中找到的 Wi-Fi 热点。 选项包括:

      • :强制所有强制网络 (CN) 应用流量通过 VPN 隧道。

      • 是,所有应用:允许所有 CN 应用流量绕过 VPN。

      • 是,特定应用添加 流量可绕过 VPN 的 CN 应用列表。 输入 CN 应用的捆绑标识符。 例如,输入 com.contoso.app.id.package

        若要获取添加到 Intune 的应用的捆绑 ID, 可以使用 Intune 管理中心

    • 从 Captive Websheet 应用流向外部 VPN 的流量:Captive WebSheet 是处理强制登录的内置 Web 浏览器。 启用 允许浏览器应用流量绕过 VPN。 禁用 (默认) 强制 WebSheet 流量使用始终启用 VPN。 默认值是最安全的选项。

    • 网络地址转换 (NAT) 保持间隔 (秒) :为了保持与 VPN 的连接,设备发送网络数据包以保持活动状态。 输入一个值(以秒为单位),说明这些数据包的发送频率(从 20 到 1440)。 例如,输入 一个 值 60 ,每隔 60 秒将网络数据包发送到 VPN。 默认情况下,此值设置为 110 秒。

    • 当设备处于睡眠状态时,将 NAT 保持负载卸载到硬件:当设备处于睡眠状态时, 启用 (默认) NAT 持续发送保持连接数据包,以便设备保持与 VPN 的连接。 “禁用” 会关闭此功能。

  • 远程标识符:输入 IKEv2 服务器的网络 IP 地址、FQDN、UserFQDN 或 ASN1DN。 例如,输入 10.0.0.3vpn.contoso.com。 通常,输入与本文) 中的 “连接名称 ” (相同的值。 但是,这确实取决于 IKEv2 服务器设置。

  • 本地标识符:输入设备上 IKEv2 VPN 客户端的设备 FQDN 或使用者公用名。 或者,可以将此值保留为空, (默认) 。 通常,本地标识符应与用户或设备证书的标识匹配。 IKEv2 服务器可能需要匹配值,以便验证客户端的标识。

  • 客户端身份验证类型:选择 VPN 客户端向 VPN 进行身份验证的方式。 选项包括:

    • 用户身份验证 (默认) :用户凭据向 VPN 进行身份验证。
    • 计算机身份验证:设备凭据向 VPN 进行身份验证。
  • 身份验证方法:选择要发送到服务器的客户端凭据的类型。 选项包括:

    • 证书:使用现有证书配置文件向 VPN 进行身份验证。 请确保此证书配置文件已分配给用户或设备。 否则,VPN 连接将失败。

      • 证书类型:选择证书使用的加密类型。 请确保 VPN 服务器配置为接受此类型的证书。 选项包括:
        • RSA (默认)
        • ECDSA256
        • ECDSA384
        • ECDSA521
    • 共享机密 (计算机身份验证仅) :允许输入要发送到 VPN 服务器的共享机密。

      • 共享机密:输入共享机密,也称为预共享密钥 (PSK) 。 请确保该值与 VPN 服务器上配置的共享机密匹配。
  • 服务器证书颁发者公用名:允许 VPN 服务器向 VPN 客户端进行身份验证。 输入发送到设备上 VPN 客户端的 VPN 服务器证书 (CN) 证书颁发者公用名。 确保 CN 值与 VPN 服务器上的配置匹配。 否则,VPN 连接将失败。

  • 服务器证书公用名:输入证书本身的 CN。 如果留空,则使用远程标识符值。

  • 死对等检测率:选择 VPN 客户端检查 VPN 隧道是否处于活动状态的频率。 选项包括:

    • 未配置:使用 iOS/iPadOS 系统默认值,这可能与选择“ 中等”相同。
    • :禁用死对等检测。
    • :每 30 分钟发送一条保留消息。
    • 中等 (默认) :每 10 分钟发送一条 keepalive 消息。
    • :每 60 秒发送一条保留消息。
  • TLS 版本范围最小值:输入要使用的最低 TLS 版本。 输入 1.01.11.2。 如果留空,则使用 的默认值 1.0 。 使用用户身份验证和证书时,必须配置此设置。

  • TLS 版本范围上限:输入要使用的最大 TLS 版本。 输入 1.01.11.2。 如果留空,则使用 的默认值 1.2 。 使用用户身份验证和证书时,必须配置此设置。

  • 完全向前保密:选择“ 启用” 以打开 (PFS) 完全向前保密。 PFS 是一项 IP 安全功能,在会话密钥泄露时可减少影响。 禁用 (默认) 不使用 PFS。

  • 证书吊销检查:选择“ 启用” ,确保在允许 VPN 连接成功之前不会吊销证书。 此检查是尽力而为。 如果 VPN 服务器在确定是否吊销证书之前超时,则会授予访问权限。 禁用 (默认) 不会检查吊销的证书。

  • 使用 IPv4/IPv6 内部子网属性:某些 IKEv2 服务器使用 INTERNAL_IP4_SUBNETINTERNAL_IP6_SUBNET 属性。 启用 会强制 VPN 连接使用这些属性。 禁用 (默认) 不会强制 VPN 连接使用这些子网属性。

  • 移动性和多宿主 (MOBIKE) :MOBIKE 允许 VPN 客户端更改其 IP 地址,而无需重新创建与 VPN 服务器的安全关联。 启用 (默认) 会打开 MOBIKE,这可以在网络之间移动时改善 VPN 连接。 禁用 关闭 MOBIKE。

  • 重定向启用 (默认) 从 VPN 服务器收到重定向请求时重定向 IKEv2 连接。如果从 VPN 服务器收到重定向请求, “禁用” 可阻止 IKEv2 连接重定向。

  • 最大传输单位:输入最大传输单位 (MTU) ,从 1 到 65536。 设置为 “未配置 ”或留空时,Intune 不会更改或更新此设置。 默认情况下,Apple 可能会将此值设置为 1280。

    此设置适用于:

    • iOS/iPadOS 14 及更新版
  • 安全关联参数:输入创建与 VPN 服务器的安全关联时要使用的参数:

    • 加密算法:选择所需的算法:

      • DES
      • 3DES
      • AES-128
      • AES-256 (默认)
      • AES-128-GCM
      • AES-256-GCM

      注意

      如果将加密算法设置为 AES-128-GCMAES-256-GCM,则 AES-256 使用默认值。 这是一个已知问题,将在将来的版本中修复。 没有 ETA。

    • 完整性算法:选择所需的算法:

      • SHA1-96
      • SHA1-160
      • SHA2-256 (默认)
      • SHA2-384
      • SHA2-512
    • Diffie-Hellman 组:选择所需的组。 默认值为组 2

    • 生存期 (分钟) :输入安全关联在密钥轮换前保持活动状态的时间。 输入介于 和 1440 之间的10整个值, (1440 分钟是 24 小时) 。 默认值为“1440”。

  • 子安全关联参数:iOS/iPadOS 允许为 IKE 连接和任何子连接配置单独的参数。 输入与 VPN 服务器创建 安全关联时使用的参数:

    • 加密算法:选择所需的算法:

      • DES
      • 3DES
      • AES-128
      • AES-256 (默认)
      • AES-128-GCM
      • AES-256-GCM

      注意

      如果将加密算法设置为 AES-128-GCMAES-256-GCM,则 AES-256 使用默认值。 这是一个已知问题,将在将来的版本中修复。 没有 ETA。

  • 完整性算法:选择所需的算法:

    • SHA1-96
    • SHA1-160
    • SHA2-256 (默认)
    • SHA2-384
    • SHA2-512

    还要配置:

    • Diffie-Hellman 组:选择所需的组。 默认值为组 2
    • 生存期 (分钟) :输入安全关联在密钥轮换前保持活动状态的时间。 输入介于 和 1440 之间的10整个值, (1440 分钟是 24 小时) 。 默认值为“1440”。

自动 VPN

  • 自动 VPN 类型:选择要配置的 VPN 类型 - 按需 VPN 或按应用 VPN。 请确保只使用一个选项。 同时使用它们会导致连接问题。

    • 配置 (默认) :Intune 不会更改或更新此设置。

    • 按需 VPN:按需 VPN 使用规则自动连接或断开 VPN 连接。 当设备尝试连接到 VPN 时,它会在你创建的参数和规则中查找匹配项,例如匹配的域名。 如果有匹配项,则你选择的操作将运行。

      例如,可以创建仅在设备未连接到公司 Wi-Fi 网络时才使用 VPN 连接的条件。 或者,如果设备无法访问你输入的 DNS 搜索域,则不会启动 VPN 连接。

      • 按需规则>添加:选择“ 添加” 以添加规则。 如果没有现有的 VPN 连接,请使用这些设置创建按需规则。 如果与规则匹配,则设备将执行你选择的操作。

        • 我想执行以下操作:如果设备值与按需规则之间存在匹配,请选择希望设备执行的操作。 选项包括:

          • 建立 VPN:如果设备值与按需规则之间存在匹配,则设备将连接到 VPN。

          • 断开 VPN 连接:如果设备值与按需规则之间存在匹配,则 VPN 连接将断开连接。

          • 评估每个连接尝试:如果设备值与按需规则之间存在匹配,请使用 “选择是否连接” 设置来决定 每次 VPN 连接尝试发生的情况:

            • 根据需要进行连接:如果设备位于内部网络上,或者已建立与内部网络的 VPN 连接,则按需 VPN 不会连接。 不使用这些设置。

              如果没有现有的 VPN 连接,则对于 每次 VPN 连接尝试,请决定是否应使用 DNS 域名进行连接。 此规则仅适用于 用户尝试访问这些域时列表中的域 。 将忽略所有其他域。

              • 当用户尝试访问这些域时:输入一个或多个 DNS 域,例如 contoso.com。 如果用户尝试连接到此列表中的域,则设备将使用 DNS 来解析你输入的域。 如果域未解析,这意味着它无权访问内部资源,则它会按需连接到 VPN。 如果域已解析,这意味着它已有权访问内部资源,则不会连接到 VPN。

                注意

                • 如果 “当用户尝试访问这些域时 ”设置为空,则设备将使用在网络连接服务上配置的 DNS 服务器 (Wi-Fi/以太网) 解析域。 其思路是,这些 DNS 服务器是公共服务器。

                  当用户尝试访问这些域时列表中的域是内部资源。 内部资源不在公共 DNS 服务器上,无法解析。 因此,设备连接到 VPN。 现在,使用 VPN 连接的 DNS 服务器解析域,并且内部资源可用。

                  如果设备位于内部网络上,则域会解析,并且不会创建 VPN 连接,因为内部域已可用。 你不希望在已位于内部网络上的设备上浪费 VPN 资源。

                • 如果填充了 “当用户尝试访问这些域时 ”设置,则此列表中的 DNS 服务器用于解析列表中的域。

                  此想法与第一个项目符号 (当用户尝试访问这些域时 设置为空) 相反。 例如, 当用户尝试访问这些域时 列表具有内部 DNS 服务器。 外部网络上的设备无法路由到内部 DNS 服务器。 名称解析超时,设备按需连接到 VPN。 现在,内部资源可用。

                  请记住,此信息仅适用于 用户尝试访问这些域时列表中的域 。 使用公共 DNS 服务器解析所有其他域。 当设备连接到内部网络时,可以访问列表中的 DNS 服务器,并且无需连接到 VPN。

              • 使用以下 DNS 服务器 (可选) 解析这些域 :输入一个或多个 DNS 服务器 IP 地址,例如 10.0.0.22。 输入的 DNS 服务器用于解析 用户尝试访问这些域 设置中的域。

              • 当无法访问此 URL 时,强制连接 VPN:可选。 输入规则用作测试的 HTTP 或 HTTPS 探测 URL。 例如,输入 https://probe.Contoso.com。 每次用户在“ 尝试访问这些域时 ”设置中尝试访问域时,都会探测此 URL。 用户看不到 URL 字符串探测站点。

                如果探测因 URL 无法访问或未返回 200 HTTP 状态代码而失败,则设备将连接到 VPN。

                其思路是,该 URL 只能在内部网络上访问。 如果可以访问该 URL,则不需要 VPN 连接。 如果无法访问 URL,则设备位于外部网络上,并按需连接到 VPN。 建立 VPN 连接后,内部资源可用。

            • 从不连接:对于每次 VPN 连接尝试,当用户尝试访问你输入的域时,设备永远不会连接到 VPN。

              • 当用户尝试访问这些域时:输入一个或多个 DNS 域,例如 contoso.com。 如果用户尝试连接到此列表中的域,则不会创建 VPN 连接。 如果他们尝试连接到不在此列表中的域,则设备将连接到 VPN。
          • 忽略:如果设备值与按需规则之间存在匹配,则忽略 VPN 连接。

        • 我想限制为:在“我想执行以下设置”中,如果选择“建立 VPN”、“断开 VPN 连接”“忽略”,请选择规则必须满足的条件。 选项包括:

          • 特定 SSD:输入规则适用的一个或多个无线网络名称。 此网络名称是 SSID) (服务集标识符。 例如,输入 Contoso VPN
          • 特定搜索域:输入规则适用的一个或多个 DNS 域。 例如,输入 contoso.com
          • 所有域:选择此选项可将规则应用到组织中的所有域。
        • 但前提是此 URL 探测成功:可选。 输入规则用作测试的 URL。 例如,输入 https://probe.Contoso.com。 如果设备在没有重定向的情况下访问此 URL,则会启动 VPN 连接。 并且,设备会连接到目标 URL。 用户看不到 URL 字符串探测站点。

          例如,URL 测试 VPN 在设备通过 VPN 连接到目标 URL 之前连接到站点的能力。

      • 阻止用户禁用自动 VPN:选项:

        • 未配置:Intune 不会更改或更新此设置。
        • :阻止用户关闭自动 VPN。 它强制用户保持自动 VPN 启用并运行。
        • :允许用户关闭自动 VPN。

        此设置适用于:

        • iOS 14 及更新
        • iPadOS 14 及更新版
    • 每应用 VPN:通过将此 VPN 连接与特定应用关联来启用每应用 VPN。 应用运行时,VPN 连接将启动。 分配应用软件或程序时,可以将 VPN 配置文件与应用关联。 有关详细信息,请参阅 如何分配和监视应用

      IKEv2 连接不支持按应用 VPN。 有关详细信息,请参阅 为 iOS/iPadOS 设备设置每应用 VPN

      • 提供程序类型:仅适用于 Pulse Secure 和自定义 VPN。

        每应用 VPN 配置文件与 Pulse Secure 或自定义 VPN 配合使用时,请选择应用层隧道 (应用代理) 或数据包级隧道 (数据包隧道) :

        • app-proxy:为应用层隧道选择此选项。
        • packet-tunnel:为数据包层隧道选择此选项。

        如果不确定要使用哪个选项,请查看 VPN 提供商的文档。

      • 将触发此 VPN 的 Safari URL:添加一个或多个网站 URL。 使用设备上的 Safari 浏览器访问这些 URL 时,会自动建立 VPN 连接。 例如,输入 contoso.com

      • 关联域:在 VPN 配置文件中输入用于此 VPN 连接的关联域。

        有关详细信息,请参阅 关联的域

      • 排除的域:输入在连接每个应用 VPN 时可以绕过 VPN 连接的域。 例如,输入 contoso.com。 即使已连接 VPN,到域的 contoso.com 流量也会使用公共 Internet。

      • 阻止用户禁用自动 VPN:选项:

        • 未配置:Intune 不会更改或更新此设置。
        • :阻止用户在 VPN 配置文件设置中关闭“按需连接”开关。 它强制用户启用并运行每个应用 VPN 或按需规则。
        • :允许用户关闭“按需连接”开关,这将禁用每应用 VPN 和按需规则。

        此设置适用于:

        • iOS 14 及更新
        • iPadOS 14 及更新版

每应用 VPN

这些设置适用于以下 VPN 连接类型:

  • Microsoft Tunnel

设置

  • 按应用 VPN启用 可将特定应用关联到此 VPN 连接。 应用运行时,流量会自动通过 VPN 连接路由。 分配软件时,可以将 VPN 配置文件与应用相关联。 有关详细信息,请参阅 如何分配和监视应用

    有关详细信息,请参阅 Microsoft Tunnel for Intune

  • 将触发此 VPN 的 Safari URL:添加一个或多个网站 URL。 使用设备上的 Safari 浏览器访问这些 URL 时,会自动建立 VPN 连接。 例如,输入 contoso.com

  • 关联域:在 VPN 配置文件中输入用于此 VPN 连接的关联域。

    有关详细信息,请参阅 关联的域

  • 排除的域:输入在连接每个应用 VPN 时可以绕过 VPN 连接的域。 例如,输入 contoso.com。 即使已连接 VPN,到域的 contoso.com 流量也会使用公共 Internet。

代理

如果使用代理,请配置以下设置。

  • 自动配置脚本:使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如,输入 http://proxy.contoso.com/pac
  • 地址:输入代理服务器的 IP 地址或完全限定的主机名。 例如,输入 10.0.0.3vpn.contoso.com
  • 端口号:输入与代理服务器关联的端口号。 例如,输入 8080

后续步骤

配置文件已创建,但可能尚未执行任何操作。 请务必分配配置文件,并监视配置文件状态

AndroidAndroid EnterprisemacOSWindows 设备上配置 VPN 设置。