在 Microsoft Intune 中添加 macOS 设备 VPN 设置

本文列出并介绍了可用于在运行 macOS 的设备上配置 VPN 连接的Intune设置。

根据所选的设置,并非以下列表中的所有值都是可配置的。

此功能适用于:

  • macOS

开始之前

基本 VPN

  • 部署通道:选择要部署配置文件的方式。 此设置还确定存储身份验证证书的密钥链,因此选择正确的通道非常重要。 部署配置文件后,无法编辑部署通道。 若要更改它,必须创建新的配置文件。

    注意

    建议在链接的身份验证证书可供续订时,在现有配置文件中重新检查部署通道设置,以确保选择了预期的通道。 如果不是,请使用正确的部署通道创建新的配置文件。

    方法有以下两种:

    • 用户通道:始终使用用户证书在配置文件中选择用户部署通道。 此选项将证书存储在用户密钥链中。
    • 设备通道:始终使用设备证书在配置文件中选择设备部署通道。 此选项将证书存储在系统密钥链中。
  • 连接名称:输入此连接的名称。 最终用户在浏览其设备以获取可用 VPN 连接列表时会看到此名称。

  • VPN 服务器地址:输入设备连接到的 VPN 服务器的 IP 地址或完全限定的域名。 例如,输入 192.168.1.1vpn.contoso.com

  • 身份验证方法:选择设备向 VPN 服务器进行身份验证的方式。 选项包括:

    • 证书:在 “身份验证证书”下,选择之前创建的 SCEP 或 PKCS 证书配置文件,对连接进行身份验证。 有关证书配置文件的详细信息,请转到 如何配置证书。 选择与部署通道选择一致的证书。 如果选择了用户通道,则证书选项仅限于用户证书配置文件。 如果选择了设备通道,则可以选择用户和设备证书配置文件。 但是,我们建议始终选择与所选通道一致的证书类型。 将用户证书存储在系统密钥链会增加安全风险。
    • 用户名和密码:最终用户必须输入用户名和密码才能登录到 VPN 服务器。
  • 连接类型:从以下供应商列表中选择 VPN 连接类型:

    • Check Point Capsule VPN

    • Cisco AnyConnect

    • SonicWALL 移动连接

    • F5 Access

    • NetMotion 移动性

    • 自定义 VPN:如果未列出 VPN 供应商,请选择此选项。 还要配置:

      • VPN 标识符:输入正在使用的 VPN 应用的标识符。 此标识符由 VPN 提供商提供。
      • 输入自定义 VPN 属性的键和值对:添加或导入自定义 VPN 连接的 密钥 。 这些值通常由 VPN 提供商提供。
  • 拆分隧道启用 允许设备根据流量决定使用哪个连接。 例如,酒店中的用户使用 VPN 连接访问工作文件,但使用酒店的标准网络进行常规 Web 浏览。 禁用 允许所有流量在 VPN 连接处于活动状态时使用 VPN 隧道。

自动 VPN

选择所需的 自动 VPN 类型 。 选项包括:

  • 未配置:Intune 不会更改或更新此设置。

  • 按需 VPN:按需 VPN 使用规则自动连接或断开 VPN 连接。 当设备尝试连接到 VPN 时,它会在你创建的参数和规则中查找匹配项,例如匹配的 IP 地址或域名。 如果有匹配项,则你选择的操作将运行。

    例如,创建仅当设备未连接到公司 Wi-Fi 网络时才使用 VPN 连接的条件。 或者,如果设备无法访问你输入的 DNS 搜索域,则不会启动 VPN 连接。

    • 添加:选择此选项并添加规则。

    • 我想执行以下操作:如果设备值与按需规则之间存在匹配,请选择操作。 选项包括:

      • 连接 VPN
      • 断开 VPN 连接
      • 评估每次连接尝试
      • Ignore
    • 我想限制为:选择规则必须满足的条件。 选项包括:

      • 特定 SSD:输入规则应用的一个或多个无线网络名称。 此网络名称是 SSID) (服务集标识符。 例如,输入 Contoso VPN
      • 特定搜索域:输入应用规则的一个或多个 DNS 域。 例如,输入 contoso.com
      • 所有域:选择此选项可将规则应用到组织中的所有域。
    • 但前提是此 URL 探测成功:可选。 输入规则用作测试的 URL。 如果设备在没有重定向的情况下访问此 URL,则会启动 VPN 连接。 并且,设备会连接到目标 URL。 用户看不到 URL 字符串探测站点。

      例如,URL 字符串探测是一个审核 Web 服务器 URL,用于在连接 VPN 之前检查设备符合性。 或者,在设备通过 VPN 连接到目标 URL 之前,URL 会测试 VPN 连接到站点的能力。

  • 阻止用户禁用自动 VPN:选项:

    • 未配置:Intune 不会更改或更新此设置。
    • :阻止用户关闭自动 VPN。 它强制用户保持自动 VPN 启用并运行。
    • :允许用户关闭自动 VPN。

    此设置适用于:

    • macOS 11 及更新 (Big Sur)
  • 每应用 VPN:通过将此 VPN 连接与 macOS 应用相关联来启用每应用 VPN。 应用运行时,VPN 连接将启动。 分配软件时,可以将 VPN 配置文件与应用相关联。 有关详细信息,请转到 如何分配和监视应用

    • 将触发此 VPN 的 Safari URL:添加一个或多个网站 URL。 使用设备上的 Safari 浏览器访问这些 URL 时,会自动建立 VPN 连接。

    • 关联域:在自动启动 VPN 连接的 VPN 配置文件中输入关联的域。 例如,输入 contoso.com。 域中的设备 contoso.com 会自动启动 VPN 连接。

      有关详细信息,请转到 关联的域

    • 排除的域:输入在连接每个应用 VPN 时可以绕过 VPN 连接的域。 例如,输入 contoso.comcontoso.com域中的设备无法启动或不使用每应用 VPN 连接。 域中的设备 contoso.com 使用公共 Internet。

    • 阻止用户禁用自动 VPN:选项:

      • 未配置:Intune 不会更改或更新此设置。
      • :阻止用户关闭自动 VPN。 它强制用户保持自动 VPN 启用并运行。
      • :允许用户关闭自动 VPN。

      此设置适用于:

      • macOS 11 及更新 (Big Sur)

代理

  • 自动配置脚本:使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如,输入 http://proxy.contoso.com/pac
  • 地址:输入代理服务器的 IP 地址或完全限定的主机名。 例如,输入 10.0.0.3vpn.contoso.com
  • 端口号:输入与代理服务器关联的端口号。 例如,输入 8080