在 Microsoft Intune 中添加 macOS 设备 VPN 设置

本文列出并介绍了可用于在运行 macOS 的设备上配置 VPN 连接的Intune设置。

根据所选的设置，并非以下列表中的所有值都是可配置的。

此功能适用于：

• macOS

开始之前

• 创建 macOS VPN 设备配置文件。

• 某些Microsoft 365 服务（如 Outlook）可能无法很好地使用第三方或合作伙伴 VPN。 如果你使用的是第三方或合作伙伴 VPN，并且遇到延迟或性能问题，请删除 VPN。

  如果删除 VPN 可解决该行为，则可以：

  • 使用第三方或合作伙伴 VPN 获取可能的解决方案。 Microsoft不提供第三方或合作伙伴 VPN 的技术支持。
  • 不要将 VPN 与 Outlook 流量配合使用。
  • 如果需要使用 VPN，请使用拆分隧道 VPN。 并且，允许 Outlook 流量绕过 VPN。

  有关详细信息，请转到：

  • 概述：Microsoft 365 VPN 拆分隧道
  • 使用具有 Microsoft 365 的第三方网络设备或解决方案
  • 在当今独特的远程工作方案中，安全专业人员和 IT 实现新式安全控制的另一种方法博客
  • Microsoft 365 网络连接原则

• 这些设置适用于所有注册类型。 有关注册类型的详细信息，请转到 macOS 注册。

基本 VPN

• 部署通道：选择要部署配置文件的方式。 此设置还确定存储身份验证证书的密钥链，因此选择正确的通道非常重要。 部署配置文件后，无法编辑部署通道。 若要更改它，必须创建新的配置文件。

  注意

  建议在链接的身份验证证书可供续订时，在现有配置文件中重新检查部署通道设置，以确保选择了预期的通道。 如果不是，请使用正确的部署通道创建新的配置文件。

  方法有以下两种：

  • 用户通道：始终使用用户证书在配置文件中选择用户部署通道。 此选项将证书存储在用户密钥链中。
  • 设备通道：始终使用设备证书在配置文件中选择设备部署通道。 此选项将证书存储在系统密钥链中。

• 连接名称：输入此连接的名称。 最终用户在浏览其设备以获取可用 VPN 连接列表时会看到此名称。

• VPN 服务器地址：输入设备连接到的 VPN 服务器的 IP 地址或完全限定的域名。 例如，输入 192.168.1.1 或 vpn.contoso.com。

• 身份验证方法：选择设备向 VPN 服务器进行身份验证的方式。 选项包括：

  • 证书：在 “身份验证证书”下，选择之前创建的 SCEP 或 PKCS 证书配置文件，对连接进行身份验证。 有关证书配置文件的详细信息，请转到 如何配置证书。 选择与部署通道选择一致的证书。 如果选择了用户通道，则证书选项仅限于用户证书配置文件。 如果选择了设备通道，则可以选择用户和设备证书配置文件。 但是，我们建议始终选择与所选通道一致的证书类型。 将用户证书存储在系统密钥链会增加安全风险。
  • 用户名和密码：最终用户必须输入用户名和密码才能登录到 VPN 服务器。

• 连接类型：从以下供应商列表中选择 VPN 连接类型：

  • Check Point Capsule VPN

  • Cisco AnyConnect

  • SonicWALL 移动连接

  • F5 Access

  • NetMotion 移动性

  • 自定义 VPN：如果未列出 VPN 供应商，请选择此选项。 还要配置：

    • VPN 标识符：输入正在使用的 VPN 应用的标识符。 此标识符由 VPN 提供商提供。
    • 输入自定义 VPN 属性的键和值对：添加或导入自定义 VPN 连接的 密钥 和 值 。 这些值通常由 VPN 提供商提供。

• 拆分隧道： 启用 允许设备根据流量决定使用哪个连接。 例如，酒店中的用户使用 VPN 连接访问工作文件，但使用酒店的标准网络进行常规 Web 浏览。 禁用 允许所有流量在 VPN 连接处于活动状态时使用 VPN 隧道。

自动 VPN

选择所需的 自动 VPN 类型 。 选项包括：

• 未配置：Intune 不会更改或更新此设置。

• 按需 VPN：按需 VPN 使用规则自动连接或断开 VPN 连接。 当设备尝试连接到 VPN 时，它会在你创建的参数和规则中查找匹配项，例如匹配的 IP 地址或域名。 如果有匹配项，则你选择的操作将运行。

  例如，创建仅当设备未连接到公司 Wi-Fi 网络时才使用 VPN 连接的条件。 或者，如果设备无法访问你输入的 DNS 搜索域，则不会启动 VPN 连接。

  • 添加：选择此选项并添加规则。

  • 我想执行以下操作：如果设备值与按需规则之间存在匹配，请选择操作。 选项包括：

    • 连接 VPN
    • 断开 VPN 连接
    • 评估每次连接尝试
    • Ignore

  • 我想限制为：选择规则必须满足的条件。 选项包括：

    • 特定 SSD：输入规则应用的一个或多个无线网络名称。 此网络名称是 SSID) (服务集标识符。 例如，输入 Contoso VPN。
    • 特定搜索域：输入应用规则的一个或多个 DNS 域。 例如，输入 contoso.com。
    • 所有域：选择此选项可将规则应用到组织中的所有域。

  • 但前提是此 URL 探测成功：可选。 输入规则用作测试的 URL。 如果设备在没有重定向的情况下访问此 URL，则会启动 VPN 连接。 并且，设备会连接到目标 URL。 用户看不到 URL 字符串探测站点。

    例如，URL 字符串探测是一个审核 Web 服务器 URL，用于在连接 VPN 之前检查设备符合性。 或者，在设备通过 VPN 连接到目标 URL 之前，URL 会测试 VPN 连接到站点的能力。

• 阻止用户禁用自动 VPN：选项：

  • 未配置：Intune 不会更改或更新此设置。
  • 是：阻止用户关闭自动 VPN。 它强制用户保持自动 VPN 启用并运行。
  • 否：允许用户关闭自动 VPN。

  此设置适用于：

  • macOS 11 及更新 (Big Sur)

• 每应用 VPN：通过将此 VPN 连接与 macOS 应用相关联来启用每应用 VPN。 应用运行时，VPN 连接将启动。 分配软件时，可以将 VPN 配置文件与应用相关联。 有关详细信息，请转到 如何分配和监视应用。

  • 将触发此 VPN 的 Safari URL：添加一个或多个网站 URL。 使用设备上的 Safari 浏览器访问这些 URL 时，会自动建立 VPN 连接。

  • 关联域：在自动启动 VPN 连接的 VPN 配置文件中输入关联的域。 例如，输入 contoso.com。 域中的设备 contoso.com 会自动启动 VPN 连接。

    有关详细信息，请转到 关联的域。

  • 排除的域：输入在连接每个应用 VPN 时可以绕过 VPN 连接的域。 例如，输入 contoso.com。 contoso.com域中的设备无法启动或不使用每应用 VPN 连接。 域中的设备 contoso.com 使用公共 Internet。

  • 阻止用户禁用自动 VPN：选项：

    • 未配置：Intune 不会更改或更新此设置。
    • 是：阻止用户关闭自动 VPN。 它强制用户保持自动 VPN 启用并运行。
    • 否：允许用户关闭自动 VPN。

    此设置适用于：

    • macOS 11 及更新 (Big Sur)

代理

• 自动配置脚本：使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如，输入 http://proxy.contoso.com/pac。
• 地址：输入代理服务器的 IP 地址或完全限定的主机名。 例如，输入 10.0.0.3 或 vpn.contoso.com。
• 端口号：输入与代理服务器关联的端口号。 例如，输入 8080。

相关文章

• 分配配置文件并监视其状态。

• 在 Android、 Android Enterprise、 iOS/iPadOS 和 Windows 设备上配置 VPN 设置。