Windows 10/11 和 Windows 全息设备设置,以使用 Intune 添加 VPN 连接

注意

Intune支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录,并且不会记录。 若要查看可以配置的设置,请创建设备配置策略,然后选择 “设置目录”。 有关详细信息,请转到设置目录

可以使用Microsoft Intune为设备添加和配置 VPN 连接。 本文介绍在) 创建虚拟专用网络 (VPN 时可以配置的一些设置和功能。 这些 VPN 设置用于设备配置文件,然后推送或部署到设备。

作为移动设备管理 (MDM) 解决方案的一部分,请使用这些设置来允许或禁用功能,包括使用特定 VPN 供应商、启用始终启用、使用 DNS、添加代理等。

这些设置适用于运行:

  • windows 10/11
  • Windows Holographic for Business

开始之前

用户范围或设备范围

  • 将此 VPN 配置文件与用户/设备范围一起使用:将配置文件应用于用户范围或设备范围:

    • 用户范围:VPN 配置文件安装在设备上的用户帐户中,例如 user@contoso.com。 如果其他用户登录到设备,则 VPN 配置文件不可用。
    • 设备范围:VPN 配置文件安装在设备上下文中,并应用于设备上的所有用户。 Windows 全息设备仅支持设备范围。

现有 VPN 配置文件应用于其现有范围。 默认情况下,新的 VPN 配置文件安装在用户范围内,但启用了设备隧道的配置文件 除外 。 启用了设备隧道的 VPN 配置文件使用设备范围。

连接类型

  • 连接类型:从以下供应商列表中选择 VPN 连接类型:

    • Check Point Capsule VPN
    • Cisco AnyConnect
    • Citrix
    • F5 Access
    • Palo Alto Networks GlobalProtect
    • 脉冲安全
    • SonicWALL 移动连接
    • 自动 (本机类型)
    • IKEv2 (本机类型)
    • L2TP (本机类型)
    • PPTP (本机类型)

基本 VPN

根据所选的连接类型,将显示以下设置。 并非所有设置都适用于所有连接类型。

  • 连接名称:输入此连接的名称。 最终用户在浏览其设备以获取可用 VPN 连接列表时会看到此名称。 例如,输入 Contoso VPN

  • 服务器:添加设备连接到的一个或多个 VPN 服务器。 添加服务器时,请输入以下信息:

    • 导入:浏览到包含服务器列表的逗号分隔文件,格式为:说明、IP 地址或 FQDN、默认服务器。 选择 “确定” ,将这些服务器导入到 “服务器” 列表中。
    • 导出:将现有服务器列表导出为逗号分隔值 (csv) 文件。
    • 说明:输入服务器的描述性名称,例如 Contoso VPN 服务器
    • VPN 服务器地址:输入设备连接到的 VPN 服务器的 IP 地址或完全限定的域名 (FQDN) ,例如 192.168.1.1vpn.contoso.com
    • 默认服务器如果为 True ,则此服务器可作为设备用来建立连接的默认服务器。 仅将一台服务器设置为默认服务器。 错误 (默认) 不将此 VPN 服务器用作默认服务器。
  • 使用内部 DNS 注册 IP 地址:选择“ 启用 ”以配置 VPN 配置文件,以便向内部 DNS 动态注册分配给 VPN 接口的 IP 地址。 选择“ 禁用 ”,不动态注册 IP 地址。

  • Always On启用 在发生以下事件时自动连接到 VPN 连接:

    • 用户登录到其设备。
    • 设备上的网络会更改。
    • 设备上的屏幕在关闭后重新打开。

    若要使用设备隧道连接(如 IKEv2), 请启用 此设置。

    禁用 不会自动打开 VPN 连接。 用户可能需要手动打开 VPN。

  • 身份验证方法:选择希望用户向 VPN 服务器进行身份验证的方式。 选项包括:

    • 证书:选择现有用户客户端证书配置文件对用户进行身份验证。 此选项提供增强的功能,例如零接触体验、按需 VPN 和每应用 VPN。

      若要在 Intune 中创建证书配置文件,请参阅使用证书进行身份验证

    • 用户名和密码:要求用户输入其域用户名和密码进行身份验证,例如 user@contoso.com、 或 contoso\user

    • 派生凭据:使用从用户的智能卡派生的证书。 如果未配置派生凭据颁发者,Intune会提示你添加一个。 有关详细信息,请参阅在 Intune 中使用派生凭据

      注意

      目前,作为 VPN 配置文件的身份验证方法的派生凭据在 Windows 设备上无法按预期工作。 此行为仅影响 Windows 设备上的 VPN 配置文件,并将在未来版本中修复 (无 ETA) 。

    • EAP (IKEv2 仅) :选择要进行身份验证的现有可扩展身份验证协议 (EAP) 客户端证书配置文件。 在 EAP XML 设置中输入身份验证参数。

      有关 EAP 身份验证的详细信息,请参阅 可扩展身份验证协议 (EAP) 用于网络访问EAP 配置

    • 计算机证书 (IKEv2 仅) :选择现有设备客户端证书配置文件对设备进行身份验证。

      如果使用 设备隧道连接,则必须选择“ 计算机证书”。

      若要在 Intune 中创建证书配置文件,请参阅使用证书进行身份验证

  • 每次登录时记住凭据启用 会缓存身份验证凭据。 设置为“未配置”时,Intune不会更改或更新此设置。 默认情况下,OS 可能不会缓存身份验证凭据。

  • 自定义 XML:输入配置 VPN 连接的任何自定义 XML 命令。

  • EAP XML:输入配置 VPN 连接的任何 EAP XML 命令。

    有关详细信息,包括创建自定义 EAP XML,请参阅 EAP 配置

  • 设备隧道 (IKEv2 仅) : 启用 会自动 将设备连接到 VPN,而无需进行任何用户交互或登录。 此设置适用于已加入Microsoft Entra ID的设备。

    若要使用此功能,必须配置以下设置:

    • 连接类型:设置为 IKEv2
    • Always On:设置为“启用”。
    • 身份验证方法:设置为 “计算机证书”。

    每个启用了 设备隧道 的设备仅分配一个配置文件。

IKE 安全关联参数仅 (IKEv2)

重要

Windows 11要求:

这些加密设置在 IKE 安全关联协商期间使用, (也称为 main modephase 1 IKEv2 连接的) 。 这些设置必须与 VPN 服务器设置匹配。 如果设置不匹配,VPN 配置文件将无法连接。

  • 加密算法:选择 VPN 服务器上使用的加密算法。 例如,如果 VPN 服务器使用 AES 128 位,则从列表中选择 AES-128

    设置为“未配置”时,Intune不会更改或更新此设置。

  • 完整性检查算法:选择在 VPN 服务器上使用的完整性算法。 例如,如果 VPN 服务器使用 SHA1-96,则从列表中选择 SHA1-96

    设置为“未配置”时,Intune不会更改或更新此设置。

  • Diffie-Hellman 组:选择 VPN 服务器上使用的 Diffie-Hellman 计算组。 例如,如果 VPN 服务器使用 Group2 (1024 位) ,则从列表中选择 2

    设置为“未配置”时,Intune不会更改或更新此设置。

子安全关联参数仅 (IKEv2)

重要

Windows 11要求:

这些加密设置在子安全关联协商期间使用, (也称为 quick modephase 2) IKEv2 连接。 这些设置必须与 VPN 服务器设置匹配。 如果设置不匹配,VPN 配置文件将无法连接。

  • 密码转换算法:选择 VPN 服务器上使用的算法。 例如,如果 VPN 服务器使用 AES-CBC 128 位,则从列表中选择 CBC-AES-128

    设置为“未配置”时,Intune不会更改或更新此设置。

  • 身份验证转换算法:选择在 VPN 服务器上使用的算法。 例如,如果 VPN 服务器使用 AES-GCM 128 位,则从列表中选择 GCM-AES-128

    设置为“未配置”时,Intune不会更改或更新此设置。

  • PFS) 组 (完全前向保密:选择用于在 VPN 服务器上 (PFS) 完全向前保密的 Diffie-Hellman 计算组。 例如,如果 VPN 服务器使用 Group2 (1024 位) ,则从列表中选择 2

    设置为“未配置”时,Intune不会更改或更新此设置。

Pulse Secure 示例

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

F5 Edge 客户端示例

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

SonicWALL Mobile Connect 示例

登录组或域:无法在 VPN 配置文件中设置此属性。 相反,当以 或 DOMAIN\username 格式输入用户名和域时,username@domainMobile Connect 会分析此值。

示例:

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

CheckPoint Mobile VPN 示例

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

提示

有关编写自定义 XML 命令的详细信息,请参阅制造商的 VPN 文档。

应用和流量规则

  • 将 WIP 或应用与此 VPN 关联:如果仅希望某些应用使用 VPN 连接,请启用此设置。 选项包括:

    • 配置 (默认) :Intune不会更改或更新此设置。
    • 将 WIP 与此连接关联:Windows 标识保护域中的所有应用都自动使用 VPN 连接。
      • 此连接的 WIP 域:输入 WINDOWS 标识保护 (WIP) 域。 例如,输入 contoso.com
    • 将应用与此连接相关联:输入的应用会自动使用 VPN 连接。
      • 限制与这些应用的 VPN 连接禁用 (默认) 允许所有应用使用 VPN 连接。 启用 将 VPN 连接限制为输入的应用 (每个应用 VPN) 。 你添加的应用的流量规则会自动添加到 此 VPN 连接设置的网络流量规则 中。

        选择“ 启用”时,应用标识符列表将变为只读。 在启用此设置之前,请添加关联的应用。

      • 关联的应用:选择“ 导入 ”以导入 .csv 包含应用列表的文件。 看起来 .csv 类似于以下文件:

        %windir%\system32\notepad.exe,desktop Microsoft.Office.OneNote_8wekyb3d8bbwe,universal

        应用类型确定应用标识符。 对于通用应用,请输入包系列名称,例如 Microsoft.Office.OneNote_8wekyb3d8bbwe。 对于桌面应用,请输入应用的文件路径,例如 %windir%\system32\notepad.exe

        若要获取包系列名称,可以使用 Get-AppxPackage Windows PowerShell cmdlet。 例如,若要获取 OneNote 程序包系列名称,请打开 Windows PowerShell,然后输入 Get-AppxPackage *OneNote。 有关详细信息,请参阅 查找安装在 Windows 客户端计算机上的应用的 PFNGet-AppxPackage cmdlet

    重要

    建议保护为每个应用 VPN 创建的所有应用列表。 如果未经授权的用户更改了此列表,并且你将其导入每应用 VPN 应用列表,则你可能会授权 VPN 访问不应具有访问权限的应用。 保护应用列表的一种方法是使用访问控制列表 (ACL) 。

  • 此 VPN 连接的网络流量规则:可以添加适用于此 VPN 连接的网络规则。 使用此功能筛选到此 VPN 连接的网络流量。

    • 如果确实创建了网络流量规则,则 VPN 仅使用此规则中输入的协议、端口和 IP 地址范围。
    • 如果未创建网络流量规则,则会为此 VPN 连接启用所有协议、端口和地址范围。

    添加流量规则时,为避免 VPN 问题,建议添加限制最少的捕获全部规则。

    选择“ 添加” 以创建规则并输入以下信息。 还可以使用此信息导入.csv文件。

    • 名称:输入网络流量规则的名称。

    • 规则类型:输入此规则的隧道方法。 仅当此规则与应用关联时,此设置才适用。 选项包括:

      • (默认)
      • 拆分隧道:此选项同时为客户端设备提供两个连接。 一个连接是安全的,旨在使网络流量保持私密。 第二个连接对网络开放,并允许 Internet 流量通过。
      • 强制隧道:此规则中的所有网络流量都通过 VPN。 此规则中的网络流量不会直接流向 Internet。
    • 方向:选择 VPN 连接允许的网络流量流。 选项包括:

      • 入站:仅允许来自外部站点的流量通过 VPN。 阻止出站流量进入 VPN。
      • 出站 (默认) :仅允许通过 VPN 流向外部站点的流量。 入站流量被阻止进入 VPN。

      若要允许入站和出站,请创建两个单独的规则。 为入站创建一个规则,为出站创建另一个规则。

    • 协议:输入希望 VPN 使用的网络协议的端口号(从 0 到 255)。 例如,对于 TCP 或 UDP,17请输入 6

      输入协议时,会通过同一协议连接两个网络。 如果使用 TPC (6) 或 UDP () 17 协议,则还需要输入允许的本地 & 远程端口范围和允许的本地 & 远程 IP 地址范围。

      还可以使用此信息导入.csv文件。

    • 本地端口范围:如果使用 TPC () 6 或 UDP (17) 协议,请输入允许的本地网络端口范围。 例如,对于下部端口和120上部端口,输入 100

      可以创建允许的端口范围列表,例如 100-120、200、300-320。 对于单个端口,请在两个字段中输入相同的端口号。

      还可以使用此信息导入.csv文件。

    • 远程端口范围:如果使用 TPC () 6 或 UDP (17) 协议,请输入允许的远程网络端口范围。 例如,对于下部端口和120上部端口,输入 100

      可以创建允许的端口范围列表,例如 100-120、200、300-320。 对于单个端口,请在两个字段中输入相同的端口号。

      还可以使用此信息导入.csv文件。

    • 本地地址范围:输入可以使用 VPN 的允许的本地网络 IPv4 地址范围。 只有此范围内的客户端设备 IP 地址使用此 VPN。

      例如,对于下部端口和10.0.0.122上部端口,输入 10.0.0.22

      可以创建允许的 IP 地址列表。 对于单个 IP 地址,请在两个字段中输入相同的 IP 地址。

      还可以使用此信息导入.csv文件。

    • 远程地址范围:输入可以使用 VPN 的允许的远程网络 IPv4 地址范围。 只有此范围内的 IP 地址使用此 VPN。

      例如,对于下部端口和10.0.0.122上部端口,输入 10.0.0.22

      可以创建允许的 IP 地址列表。 对于单个 IP 地址,请在两个字段中输入相同的 IP 地址。

      还可以使用此信息导入.csv文件。

条件访问

  • 此 VPN 连接的条件访问:启用来自客户端的设备符合性流。 启用后,VPN 客户端将与 Microsoft Entra ID 通信,以获取用于身份验证的证书。 VPN 应设置为使用证书身份验证,并且 VPN 服务器必须信任Microsoft Entra ID返回的服务器。

  • 使用备用证书的单一登录 (SSO) :对于设备符合性,请使用不同于 VPN 身份验证证书的证书进行 Kerberos 身份验证。 使用以下设置输入证书:

    • 名称:EKU) (扩展密钥用法的名称
    • 对象标识符:EKU 的对象标识符
    • 颁发者哈希:SSO 证书的指纹

DNS 设置

  • DNS 后缀搜索列表:在 DNS 后缀中,输入 DNS 后缀和 Add。 可以添加许多后缀。

    使用 DNS 后缀时,可以使用其短名称搜索网络资源,而不是使用 FQDN () 的完全限定域名。 使用短名称进行搜索时,DNS 服务器会自动确定后缀。 例如, utah.contoso.com 位于 DNS 后缀列表中。 你 ping DEV-comp。 在此方案中,它解析为 DEV-comp.utah.contoso.com

    DNS 后缀按列出的顺序解析,顺序可以更改。 例如, colorado.contoso.comutah.contoso.com 位于 DNS 后缀列表中,两者都有一个名为 的资源 DEV-comp。 由于 colorado.contoso.com 是列表中的第一个,因此它解析为 DEV-comp.colorado.contoso.com

    若要更改顺序,请选择 DNS 后缀左侧的点,然后将后缀拖到顶部:

    选择三个点,单击并拖动以移动 dns 后缀

  • 名称解析策略表 (NRPT) 规则:名称解析策略表 (NRPT) 规则定义 DNS 在连接到 VPN 时如何解析名称。 建立 VPN 连接后,选择 VPN 连接使用的 DNS 服务器。

    可以添加包含域、DNS 服务器、代理和其他详细信息的规则。 这些规则可解析你输入的域。 当用户连接到你输入的域时,VPN 连接会使用这些规则。

    选择“ 添加” 以添加新规则。 对于每个服务器,请输入:

    • :输入完全限定的域名 (FQDN) 或 DNS 后缀以应用规则。 还可以在开头输入句点 (.) 作为 DNS 后缀。 例如,输入 contoso.com.allcontososubdomains.com
    • DNS 服务器:输入解析域的 IP 地址或 DNS 服务器。 例如,输入 10.0.0.3vpn.contoso.com
    • 代理:输入解析域的 Web 代理服务器。 例如,输入 http://proxy.com
    • 自动连接启用后,当设备连接到你输入的域时,设备会自动连接到 VPN,例如 contoso.com。 如果未 配置 (默认) ,则设备不会自动连接到 VPN
    • 持久:设置为 “启用”时,规则将保留在“名称解析策略”表中, (NRPT) ,直到从设备手动删除规则,即使在 VPN 断开连接之后也是如此。 设置为 “未配置 (默认) 时,当 VPN 断开连接时,将从设备中删除 VPN 配置文件中的 NRPT 规则。

代理

  • 自动配置脚本:使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如,输入 http://proxy.contoso.com/pac
  • 地址:输入代理服务器的 IP 地址或完全限定的主机名。 例如,输入 10.0.0.3vpn.contoso.com
  • 端口号:输入代理服务器使用的端口号。 例如,输入 8080
  • 绕过本地地址的代理:如果 VPN 服务器需要代理服务器进行连接,则此设置适用。 如果不想对本地地址使用代理服务器,请选择 “启用”。

拆分隧道

  • 拆分隧道启用或禁用以允许设备根据流量决定使用哪个连接。 例如,酒店中的用户使用 VPN 连接访问工作文件,但使用酒店的标准网络进行常规 Web 浏览。
  • 此 VPN 连接的拆分隧道路由:为第三方 VPN 提供程序添加可选路由。 输入目标前缀和每个连接的前缀大小。

受信任的网络检测

受信任的网络 DNS 后缀:当用户已连接到受信任的网络时,可以阻止设备自动连接到其他 VPN 连接。

DNS 后缀中,输入要信任的 DNS 后缀(例如 contoso.com),然后选择“ 添加”。 可以添加任意数量的后缀。

如果用户连接到列表中的 DNS 后缀,则该用户不会自动连接到另一个 VPN 连接。 用户继续使用你输入的 DNS 后缀的受信任列表。 即使设置了任何自动触发程序,仍使用受信任的网络。

例如,如果用户已连接到受信任的 DNS 后缀,则忽略以下自动触发器。 具体而言,列表中的 DNS 后缀会取消所有其他连接自动触发程序,包括:

  • 始终打开
  • 基于应用的触发器
  • DNS 自动触发器

后续步骤

配置文件已创建,但可能尚未执行任何操作。 请务必分配配置文件,并监视配置文件状态

AndroidiOS/iPadOSmacOS 设备上配置 VPN 设置。