在 Microsoft Intune 中添加 macOS 设备 VPN 设置
本文列出并介绍了可用于在运行 macOS 的设备上配置 VPN 连接的Intune设置。
根据所选的设置,并非以下列表中的所有值都是可配置的。
此功能适用于:
- macOS
开始之前
创建 macOS VPN 设备配置文件。
-
某些Microsoft 365 服务(如 Outlook)可能无法很好地使用第三方或合作伙伴 VPN。 如果你使用的是第三方或合作伙伴 VPN,并且遇到延迟或性能问题,请删除 VPN。
如果删除 VPN 可解决该行为,则可以:
- 使用第三方或合作伙伴 VPN 获取可能的解决方案。 Microsoft不提供第三方或合作伙伴 VPN 的技术支持。
- 不要将 VPN 与 Outlook 流量配合使用。
- 如果需要使用 VPN,请使用拆分隧道 VPN。 并且,允许 Outlook 流量绕过 VPN。
有关详细信息,请转到:
这些设置适用于所有注册类型。 有关注册类型的详细信息,请转到 macOS 注册。
基本 VPN
部署通道:选择要部署配置文件的方式。 此设置还确定存储身份验证证书的密钥链,因此选择正确的通道非常重要。 部署配置文件后,无法编辑部署通道。 若要更改它,必须创建新的配置文件。
注意
建议在链接的身份验证证书可供续订时,在现有配置文件中重新检查部署通道设置,以确保选择了预期的通道。 如果不是,请使用正确的部署通道创建新的配置文件。
方法有以下两种:
- 用户通道:始终使用用户证书在配置文件中选择用户部署通道。 此选项将证书存储在用户密钥链中。
- 设备通道:始终使用设备证书在配置文件中选择设备部署通道。 此选项将证书存储在系统密钥链中。
连接名称:输入此连接的名称。 最终用户在浏览其设备以获取可用 VPN 连接列表时会看到此名称。
VPN 服务器地址:输入设备连接到的 VPN 服务器的 IP 地址或完全限定的域名。 例如,输入
192.168.1.1
或vpn.contoso.com
。身份验证方法:选择设备向 VPN 服务器进行身份验证的方式。 选项包括:
- 证书:在 “身份验证证书”下,选择之前创建的 SCEP 或 PKCS 证书配置文件,对连接进行身份验证。 有关证书配置文件的详细信息,请转到 如何配置证书。 选择与部署通道选择一致的证书。 如果选择了用户通道,则证书选项仅限于用户证书配置文件。 如果选择了设备通道,则可以选择用户和设备证书配置文件。 但是,我们建议始终选择与所选通道一致的证书类型。 将用户证书存储在系统密钥链会增加安全风险。
- 用户名和密码:最终用户必须输入用户名和密码才能登录到 VPN 服务器。
连接类型:从以下供应商列表中选择 VPN 连接类型:
Check Point Capsule VPN
Cisco AnyConnect
SonicWALL 移动连接
F5 Access
NetMotion 移动性
自定义 VPN:如果未列出 VPN 供应商,请选择此选项。 还要配置:
- VPN 标识符:输入正在使用的 VPN 应用的标识符。 此标识符由 VPN 提供商提供。
- 输入自定义 VPN 属性的键和值对:添加或导入自定义 VPN 连接的 密钥 和 值 。 这些值通常由 VPN 提供商提供。
拆分隧道: 启用 允许设备根据流量决定使用哪个连接。 例如,酒店中的用户使用 VPN 连接访问工作文件,但使用酒店的标准网络进行常规 Web 浏览。 禁用 允许所有流量在 VPN 连接处于活动状态时使用 VPN 隧道。
自动 VPN
选择所需的 自动 VPN 类型 。 选项包括:
未配置:Intune 不会更改或更新此设置。
按需 VPN:按需 VPN 使用规则自动连接或断开 VPN 连接。 当设备尝试连接到 VPN 时,它会在你创建的参数和规则中查找匹配项,例如匹配的 IP 地址或域名。 如果有匹配项,则你选择的操作将运行。
例如,创建仅当设备未连接到公司 Wi-Fi 网络时才使用 VPN 连接的条件。 或者,如果设备无法访问你输入的 DNS 搜索域,则不会启动 VPN 连接。
添加:选择此选项并添加规则。
我想执行以下操作:如果设备值与按需规则之间存在匹配,请选择操作。 选项包括:
- 连接 VPN
- 断开 VPN 连接
- 评估每次连接尝试
- Ignore
我想限制为:选择规则必须满足的条件。 选项包括:
-
特定 SSD:输入规则应用的一个或多个无线网络名称。 此网络名称是 SSID) (服务集标识符。 例如,输入
Contoso VPN
。 -
特定搜索域:输入应用规则的一个或多个 DNS 域。 例如,输入
contoso.com
。 - 所有域:选择此选项可将规则应用到组织中的所有域。
-
特定 SSD:输入规则应用的一个或多个无线网络名称。 此网络名称是 SSID) (服务集标识符。 例如,输入
但前提是此 URL 探测成功:可选。 输入规则用作测试的 URL。 如果设备在没有重定向的情况下访问此 URL,则会启动 VPN 连接。 并且,设备会连接到目标 URL。 用户看不到 URL 字符串探测站点。
例如,URL 字符串探测是一个审核 Web 服务器 URL,用于在连接 VPN 之前检查设备符合性。 或者,在设备通过 VPN 连接到目标 URL 之前,URL 会测试 VPN 连接到站点的能力。
阻止用户禁用自动 VPN:选项:
- 未配置:Intune 不会更改或更新此设置。
- 是:阻止用户关闭自动 VPN。 它强制用户保持自动 VPN 启用并运行。
- 否:允许用户关闭自动 VPN。
此设置适用于:
- macOS 11 及更新 (Big Sur)
每应用 VPN:通过将此 VPN 连接与 macOS 应用相关联来启用每应用 VPN。 应用运行时,VPN 连接将启动。 分配软件时,可以将 VPN 配置文件与应用相关联。 有关详细信息,请转到 如何分配和监视应用。
将触发此 VPN 的 Safari URL:添加一个或多个网站 URL。 使用设备上的 Safari 浏览器访问这些 URL 时,会自动建立 VPN 连接。
关联域:在自动启动 VPN 连接的 VPN 配置文件中输入关联的域。 例如,输入
contoso.com
。 域中的设备contoso.com
会自动启动 VPN 连接。有关详细信息,请转到 关联的域。
排除的域:输入在连接每个应用 VPN 时可以绕过 VPN 连接的域。 例如,输入
contoso.com
。contoso.com
域中的设备无法启动或不使用每应用 VPN 连接。 域中的设备contoso.com
使用公共 Internet。阻止用户禁用自动 VPN:选项:
- 未配置:Intune 不会更改或更新此设置。
- 是:阻止用户关闭自动 VPN。 它强制用户保持自动 VPN 启用并运行。
- 否:允许用户关闭自动 VPN。
此设置适用于:
- macOS 11 及更新 (Big Sur)
代理
-
自动配置脚本:使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如,输入
http://proxy.contoso.com/pac
。 -
地址:输入代理服务器的 IP 地址或完全限定的主机名。 例如,输入
10.0.0.3
或vpn.contoso.com
。 -
端口号:输入与代理服务器关联的端口号。 例如,输入
8080
。
相关文章
在 Android、 Android Enterprise、 iOS/iPadOS 和 Windows 设备上配置 VPN 设置。