Windows 10/11 和 Windows 全息设备设置,以使用 Intune 添加 VPN 连接
注意
Intune支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录,并且不会记录。 若要查看可以配置的设置,请创建设备配置策略,然后选择 “设置目录”。 有关详细信息,请转到设置目录。
可以使用Microsoft Intune为设备添加和配置 VPN 连接。 本文介绍在) 创建虚拟专用网络 (VPN 时可以配置的一些设置和功能。 这些 VPN 设置用于设备配置文件,然后推送或部署到设备。
作为移动设备管理 (MDM) 解决方案的一部分,请使用这些设置来允许或禁用功能,包括使用特定 VPN 供应商、启用始终启用、使用 DNS、添加代理等。
这些设置适用于运行:
- windows 10/11
- Windows Holographic for Business
开始之前
部署 VPN 应用,并创建 Windows 客户端 VPN 设备配置文件。 可用设置取决于所选的 VPN 客户端应用。 某些设置仅适用于特定的 VPN 客户端。
-
某些Microsoft 365 服务(如 Outlook)可能无法很好地使用第三方或合作伙伴 VPN。 如果你使用的是第三方或合作伙伴 VPN,并且遇到延迟或性能问题,请删除 VPN。
如果删除 VPN 可解决该行为,则可以:
- 使用第三方或合作伙伴 VPN 获取可能的解决方案。 Microsoft不提供第三方或合作伙伴 VPN 的技术支持。
- 不要将 VPN 与 Outlook 流量配合使用。
- 如果需要使用 VPN,请使用拆分隧道 VPN。 并且,允许 Outlook 流量绕过 VPN。
有关详细信息,请转到:
这些设置使用 VPNv2 CSP。
用户范围或设备范围
将此 VPN 配置文件与用户/设备范围一起使用:将配置文件应用于用户范围或设备范围:
-
用户范围:VPN 配置文件安装在设备上的用户帐户中,例如
user@contoso.com
。 如果其他用户登录到设备,则 VPN 配置文件不可用。 - 设备范围:VPN 配置文件安装在设备上下文中,并应用于设备上的所有用户。 Windows 全息设备仅支持设备范围。
-
用户范围:VPN 配置文件安装在设备上的用户帐户中,例如
现有 VPN 配置文件应用于其现有范围。 默认情况下,新的 VPN 配置文件安装在用户范围内,但启用了设备隧道的配置文件 除外 。 启用了设备隧道的 VPN 配置文件使用设备范围。
连接类型
连接类型:从以下供应商列表中选择 VPN 连接类型:
- Check Point Capsule VPN
- Cisco AnyConnect
- Citrix
- F5 Access
- Palo Alto Networks GlobalProtect
- 脉冲安全
- SonicWALL 移动连接
- 自动 (本机类型)
- IKEv2 (本机类型)
- L2TP (本机类型)
- PPTP (本机类型)
基本 VPN
根据所选的连接类型,将显示以下设置。 并非所有设置都适用于所有连接类型。
连接名称:输入此连接的名称。 最终用户在浏览其设备以获取可用 VPN 连接列表时会看到此名称。 例如,输入
Contoso VPN
。服务器:添加设备连接到的一个或多个 VPN 服务器。 添加服务器时,请输入以下信息:
- 导入:浏览到包含服务器列表的逗号分隔文件,格式为:说明、IP 地址或 FQDN、默认服务器。 选择 “确定” ,将这些服务器导入到 “服务器” 列表中。
- 导出:将现有服务器列表导出为逗号分隔值 (csv) 文件。
- 说明:输入服务器的描述性名称,例如 Contoso VPN 服务器。
- VPN 服务器地址:输入设备连接到的 VPN 服务器的 IP 地址或完全限定的域名 (FQDN) ,例如 192.168.1.1 或 vpn.contoso.com。
- 默认服务器: 如果为 True ,则此服务器可作为设备用来建立连接的默认服务器。 仅将一台服务器设置为默认服务器。 错误 (默认) 不将此 VPN 服务器用作默认服务器。
使用内部 DNS 注册 IP 地址:选择“ 启用 ”以配置 VPN 配置文件,以便向内部 DNS 动态注册分配给 VPN 接口的 IP 地址。 选择“ 禁用 ”,不动态注册 IP 地址。
Always On:启用 在发生以下事件时自动连接到 VPN 连接:
- 用户登录到其设备。
- 设备上的网络会更改。
- 设备上的屏幕在关闭后重新打开。
若要使用设备隧道连接(如 IKEv2), 请启用 此设置。
禁用 不会自动打开 VPN 连接。 用户可能需要手动打开 VPN。
身份验证方法:选择希望用户向 VPN 服务器进行身份验证的方式。 选项包括:
证书:选择现有用户客户端证书配置文件对用户进行身份验证。 此选项提供增强的功能,例如零接触体验、按需 VPN 和每应用 VPN。
若要在 Intune 中创建证书配置文件,请参阅使用证书进行身份验证。
用户名和密码:要求用户输入其域用户名和密码进行身份验证,例如
user@contoso.com
、 或contoso\user
。派生凭据:使用从用户的智能卡派生的证书。 如果未配置派生凭据颁发者,Intune会提示你添加一个。 有关详细信息,请参阅在 Intune 中使用派生凭据。
注意
目前,作为 VPN 配置文件的身份验证方法的派生凭据在 Windows 设备上无法按预期工作。 此行为仅影响 Windows 设备上的 VPN 配置文件,并将在未来版本中修复 (无 ETA) 。
EAP (IKEv2 仅) :选择要进行身份验证的现有可扩展身份验证协议 (EAP) 客户端证书配置文件。 在 EAP XML 设置中输入身份验证参数。
有关 EAP 身份验证的详细信息,请参阅 可扩展身份验证协议 (EAP) 用于网络访问 和 EAP 配置。
计算机证书 (IKEv2 仅) :选择现有设备客户端证书配置文件对设备进行身份验证。
如果使用 设备隧道连接,则必须选择“ 计算机证书”。
若要在 Intune 中创建证书配置文件,请参阅使用证书进行身份验证。
每次登录时记住凭据: 启用 会缓存身份验证凭据。 设置为“未配置”时,Intune不会更改或更新此设置。 默认情况下,OS 可能不会缓存身份验证凭据。
自定义 XML:输入配置 VPN 连接的任何自定义 XML 命令。
EAP XML:输入配置 VPN 连接的任何 EAP XML 命令。
有关详细信息,包括创建自定义 EAP XML,请参阅 EAP 配置。
设备隧道 (IKEv2 仅) : 启用 会自动 将设备连接到 VPN,而无需进行任何用户交互或登录。 此设置适用于已加入Microsoft Entra ID的设备。
若要使用此功能,必须配置以下设置:
- 连接类型:设置为 IKEv2。
- Always On:设置为“启用”。
- 身份验证方法:设置为 “计算机证书”。
每个启用了 设备隧道 的设备仅分配一个配置文件。
IKE 安全关联参数仅 (IKEv2)
这些加密设置在 IKE 安全关联协商期间使用, (也称为 main mode
或 phase 1
IKEv2 连接的) 。 这些设置必须与 VPN 服务器设置匹配。 如果设置不匹配,VPN 配置文件将无法连接。
加密算法:选择 VPN 服务器上使用的加密算法。 例如,如果 VPN 服务器使用 AES 128 位,则从列表中选择 AES-128 。
设置为“未配置”时,Intune不会更改或更新此设置。
完整性检查算法:选择在 VPN 服务器上使用的完整性算法。 例如,如果 VPN 服务器使用 SHA1-96,则从列表中选择 SHA1-96 。
设置为“未配置”时,Intune不会更改或更新此设置。
Diffie-Hellman 组:选择 VPN 服务器上使用的 Diffie-Hellman 计算组。 例如,如果 VPN 服务器使用 Group2 (1024 位) ,则从列表中选择 2 。
设置为“未配置”时,Intune不会更改或更新此设置。
子安全关联参数仅 (IKEv2)
这些加密设置在子安全关联协商期间使用, (也称为 quick mode
或 phase 2
) IKEv2 连接。 这些设置必须与 VPN 服务器设置匹配。 如果设置不匹配,VPN 配置文件将无法连接。
密码转换算法:选择 VPN 服务器上使用的算法。 例如,如果 VPN 服务器使用 AES-CBC 128 位,则从列表中选择 CBC-AES-128 。
设置为“未配置”时,Intune不会更改或更新此设置。
身份验证转换算法:选择在 VPN 服务器上使用的算法。 例如,如果 VPN 服务器使用 AES-GCM 128 位,则从列表中选择 GCM-AES-128 。
设置为“未配置”时,Intune不会更改或更新此设置。
PFS) 组 (完全前向保密:选择用于在 VPN 服务器上 (PFS) 完全向前保密的 Diffie-Hellman 计算组。 例如,如果 VPN 服务器使用 Group2 (1024 位) ,则从列表中选择 2 。
设置为“未配置”时,Intune不会更改或更新此设置。
Pulse Secure 示例
<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>
F5 Edge 客户端示例
<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>
SonicWALL Mobile Connect 示例
登录组或域:无法在 VPN 配置文件中设置此属性。 相反,当以 或 DOMAIN\username
格式输入用户名和域时,username@domain
Mobile Connect 会分析此值。
示例:
<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>
CheckPoint Mobile VPN 示例
<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />
提示
有关编写自定义 XML 命令的详细信息,请参阅制造商的 VPN 文档。
应用和流量规则
将 WIP 或应用与此 VPN 关联:如果仅希望某些应用使用 VPN 连接,请启用此设置。 选项包括:
- 未配置 (默认) :Intune不会更改或更新此设置。
-
将 WIP 与此连接关联:Windows 标识保护域中的所有应用都自动使用 VPN 连接。
-
此连接的 WIP 域:输入 WINDOWS 标识保护 (WIP) 域。 例如,输入
contoso.com
。
-
此连接的 WIP 域:输入 WINDOWS 标识保护 (WIP) 域。 例如,输入
-
将应用与此连接相关联:输入的应用会自动使用 VPN 连接。
限制与这些应用的 VPN 连接: 禁用 (默认) 允许所有应用使用 VPN 连接。 启用 将 VPN 连接限制为输入的应用 (每个应用 VPN) 。 你添加的应用的流量规则会自动添加到 此 VPN 连接设置的网络流量规则 中。
选择“ 启用”时,应用标识符列表将变为只读。 在启用此设置之前,请添加关联的应用。
关联的应用:选择“ 导入 ”以导入
.csv
包含应用列表的文件。 看起来.csv
类似于以下文件:%windir%\system32\notepad.exe,desktop Microsoft.Office.OneNote_8wekyb3d8bbwe,universal
应用类型确定应用标识符。 对于通用应用,请输入包系列名称,例如
Microsoft.Office.OneNote_8wekyb3d8bbwe
。 对于桌面应用,请输入应用的文件路径,例如%windir%\system32\notepad.exe
。若要获取包系列名称,可以使用
Get-AppxPackage
Windows PowerShell cmdlet。 例如,若要获取 OneNote 程序包系列名称,请打开 Windows PowerShell,然后输入Get-AppxPackage *OneNote
。 有关详细信息,请参阅 查找安装在 Windows 客户端计算机上的应用的 PFN 和 Get-AppxPackage cmdlet。
重要
建议保护为每个应用 VPN 创建的所有应用列表。 如果未经授权的用户更改了此列表,并且你将其导入每应用 VPN 应用列表,则你可能会授权 VPN 访问不应具有访问权限的应用。 保护应用列表的一种方法是使用访问控制列表 (ACL) 。
此 VPN 连接的网络流量规则:可以添加适用于此 VPN 连接的网络规则。 使用此功能筛选到此 VPN 连接的网络流量。
- 如果确实创建了网络流量规则,则 VPN 仅使用此规则中输入的协议、端口和 IP 地址范围。
- 如果未创建网络流量规则,则会为此 VPN 连接启用所有协议、端口和地址范围。
添加流量规则时,为避免 VPN 问题,建议添加限制最少的捕获全部规则。
选择“ 添加” 以创建规则并输入以下信息。 还可以使用此信息导入
.csv
文件。名称:输入网络流量规则的名称。
规则类型:输入此规则的隧道方法。 仅当此规则与应用关联时,此设置才适用。 选项包括:
- 无 (默认)
- 拆分隧道:此选项同时为客户端设备提供两个连接。 一个连接是安全的,旨在使网络流量保持私密。 第二个连接对网络开放,并允许 Internet 流量通过。
- 强制隧道:此规则中的所有网络流量都通过 VPN。 此规则中的网络流量不会直接流向 Internet。
方向:选择 VPN 连接允许的网络流量流。 选项包括:
- 入站:仅允许来自外部站点的流量通过 VPN。 阻止出站流量进入 VPN。
- 出站 (默认) :仅允许通过 VPN 流向外部站点的流量。 入站流量被阻止进入 VPN。
若要允许入站和出站,请创建两个单独的规则。 为入站创建一个规则,为出站创建另一个规则。
协议:输入希望 VPN 使用的网络协议的端口号(从 0 到 255)。 例如,对于 TCP 或 UDP,
17
请输入6
。输入协议时,会通过同一协议连接两个网络。 如果使用 TPC (
6
) 或 UDP ()17
协议,则还需要输入允许的本地 & 远程端口范围和允许的本地 & 远程 IP 地址范围。还可以使用此信息导入
.csv
文件。本地端口范围:如果使用 TPC ()
6
或 UDP (17
) 协议,请输入允许的本地网络端口范围。 例如,对于下部端口和120
上部端口,输入100
。可以创建允许的端口范围列表,例如 100-120、200、300-320。 对于单个端口,请在两个字段中输入相同的端口号。
还可以使用此信息导入
.csv
文件。远程端口范围:如果使用 TPC ()
6
或 UDP (17
) 协议,请输入允许的远程网络端口范围。 例如,对于下部端口和120
上部端口,输入100
。可以创建允许的端口范围列表,例如 100-120、200、300-320。 对于单个端口,请在两个字段中输入相同的端口号。
还可以使用此信息导入
.csv
文件。本地地址范围:输入可以使用 VPN 的允许的本地网络 IPv4 地址范围。 只有此范围内的客户端设备 IP 地址使用此 VPN。
例如,对于下部端口和
10.0.0.122
上部端口,输入10.0.0.22
。可以创建允许的 IP 地址列表。 对于单个 IP 地址,请在两个字段中输入相同的 IP 地址。
还可以使用此信息导入
.csv
文件。远程地址范围:输入可以使用 VPN 的允许的远程网络 IPv4 地址范围。 只有此范围内的 IP 地址使用此 VPN。
例如,对于下部端口和
10.0.0.122
上部端口,输入10.0.0.22
。可以创建允许的 IP 地址列表。 对于单个 IP 地址,请在两个字段中输入相同的 IP 地址。
还可以使用此信息导入
.csv
文件。
条件访问
此 VPN 连接的条件访问:启用来自客户端的设备符合性流。 启用后,VPN 客户端将与 Microsoft Entra ID 通信,以获取用于身份验证的证书。 VPN 应设置为使用证书身份验证,并且 VPN 服务器必须信任Microsoft Entra ID返回的服务器。
使用备用证书的单一登录 (SSO) :对于设备符合性,请使用不同于 VPN 身份验证证书的证书进行 Kerberos 身份验证。 使用以下设置输入证书:
- 名称:EKU) (扩展密钥用法的名称
- 对象标识符:EKU 的对象标识符
- 颁发者哈希:SSO 证书的指纹
DNS 设置
DNS 后缀搜索列表:在 DNS 后缀中,输入 DNS 后缀和 Add。 可以添加许多后缀。
使用 DNS 后缀时,可以使用其短名称搜索网络资源,而不是使用 FQDN () 的完全限定域名。 使用短名称进行搜索时,DNS 服务器会自动确定后缀。 例如,
utah.contoso.com
位于 DNS 后缀列表中。 你 pingDEV-comp
。 在此方案中,它解析为DEV-comp.utah.contoso.com
。DNS 后缀按列出的顺序解析,顺序可以更改。 例如,
colorado.contoso.com
和utah.contoso.com
位于 DNS 后缀列表中,两者都有一个名为 的资源DEV-comp
。 由于colorado.contoso.com
是列表中的第一个,因此它解析为DEV-comp.colorado.contoso.com
。若要更改顺序,请选择 DNS 后缀左侧的点,然后将后缀拖到顶部:
名称解析策略表 (NRPT) 规则:名称解析策略表 (NRPT) 规则定义 DNS 在连接到 VPN 时如何解析名称。 建立 VPN 连接后,选择 VPN 连接使用的 DNS 服务器。
可以添加包含域、DNS 服务器、代理和其他详细信息的规则。 这些规则可解析你输入的域。 当用户连接到你输入的域时,VPN 连接会使用这些规则。
选择“ 添加” 以添加新规则。 对于每个服务器,请输入:
-
域:输入完全限定的域名 (FQDN) 或 DNS 后缀以应用规则。 还可以在开头输入句点 (.) 作为 DNS 后缀。 例如,输入
contoso.com
或.allcontososubdomains.com
。 -
DNS 服务器:输入解析域的 IP 地址或 DNS 服务器。 例如,输入
10.0.0.3
或vpn.contoso.com
。 -
代理:输入解析域的 Web 代理服务器。 例如,输入
http://proxy.com
。 -
自动连接: 启用后,当设备连接到你输入的域时,设备会自动连接到 VPN,例如
contoso.com
。 如果未 配置 (默认) ,则设备不会自动连接到 VPN - 持久:设置为 “启用”时,规则将保留在“名称解析策略”表中, (NRPT) ,直到从设备手动删除规则,即使在 VPN 断开连接之后也是如此。 设置为 “未配置 (默认) 时,当 VPN 断开连接时,将从设备中删除 VPN 配置文件中的 NRPT 规则。
-
域:输入完全限定的域名 (FQDN) 或 DNS 后缀以应用规则。 还可以在开头输入句点 (.) 作为 DNS 后缀。 例如,输入
代理
-
自动配置脚本:使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如,输入
http://proxy.contoso.com/pac
。 -
地址:输入代理服务器的 IP 地址或完全限定的主机名。 例如,输入
10.0.0.3
或vpn.contoso.com
。 -
端口号:输入代理服务器使用的端口号。 例如,输入
8080
。 - 绕过本地地址的代理:如果 VPN 服务器需要代理服务器进行连接,则此设置适用。 如果不想对本地地址使用代理服务器,请选择 “启用”。
拆分隧道
- 拆分隧道:启用或禁用以允许设备根据流量决定使用哪个连接。 例如,酒店中的用户使用 VPN 连接访问工作文件,但使用酒店的标准网络进行常规 Web 浏览。
- 此 VPN 连接的拆分隧道路由:为第三方 VPN 提供程序添加可选路由。 输入目标前缀和每个连接的前缀大小。
受信任的网络检测
受信任的网络 DNS 后缀:当用户已连接到受信任的网络时,可以阻止设备自动连接到其他 VPN 连接。
在 DNS 后缀中,输入要信任的 DNS 后缀(例如 contoso.com),然后选择“ 添加”。 可以添加任意数量的后缀。
如果用户连接到列表中的 DNS 后缀,则该用户不会自动连接到另一个 VPN 连接。 用户继续使用你输入的 DNS 后缀的受信任列表。 即使设置了任何自动触发程序,仍使用受信任的网络。
例如,如果用户已连接到受信任的 DNS 后缀,则忽略以下自动触发器。 具体而言,列表中的 DNS 后缀会取消所有其他连接自动触发程序,包括:
- 始终打开
- 基于应用的触发器
- DNS 自动触发器
后续步骤
配置文件已创建,但可能尚未执行任何操作。 请务必分配配置文件,并监视配置文件状态。
在 Android、 iOS/iPadOS 和 macOS 设备上配置 VPN 设置。