使用 Microsoft Intune 将 Always On VPN 配置文件部署到 Windows 10 或更高版本的客户端

• 适用于:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本操作指南文章介绍如何使用 Intune 创建和部署 Always On VPN 配置文件。

但是，如果你想要创建自定义 VPN profileXML，请按照使用 Intune 应用 ProfileXML 中的指导操作。

先决条件

Intune 使用 Microsoft Entra 用户组，因此您需要：

• 确保有一个能够颁发用户和设备证书（用于身份验证）的私钥基础结构 (PKI)。 有关 Intune 证书的详细信息，请参阅在 Microsoft Intune 中使用证书进行身份验证。

• 创建与 VPN 用户关联的 Microsoft Entra 用户组，并根据需要将新用户分配到该组。

• 确保 VPN 用户拥有 VPN 服务器连接权限。

创建可扩展身份验证协议 (EAP) 配置 XML

在本部分，你将创建可扩展身份验证协议 (EAP) 配置 XML。

1. 将以下 XML 字符串复制到文本编辑器：

   重要

   以下标记中“true”的任何其他大写或小写组合都会导致 VPN 配置文件的部分配置：

   <AlwaysOn>true</AlwaysOn>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. 将示例 XML 中的 <ServerNames>NPS.contoso.com</ServerNames> 替换为进行身份验证的已加入域的 NPS 的 FQDN。

3. 将示例中的 <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> 替换为这两个位置的本地根证书颁发机构的证书指纹。

   重要

   请勿使用下面的 <TrustedRootCA></TrustedRootCA> 部分中的示例指纹。 TrustedRootCA 必须是为 RRAS 和 NPS 服务器颁发服务器身份验证证书的本地根证书颁发机构的证书指纹。 这不能是云根证书，也不能是颁发 CA 证书的中间机构的指纹。

4. 保存 XML 以便在下一部分中使用。

创建 Always On VPN 配置策略

1. 登录到 Microsoft Endpoint Manager 管理中心。

2. 选择“设备”>“配置文件”。

3. 选择“+ 创建配置文件”。

4. 在“平台”中，选择“Windows 10 及更高版本” 。

5. 对于“配置文件类型”，请选择“模板”。

6. 对于“模板名称”，请选择“VPN”。

7. 选择“创建”。

8. 在“基本信息”选项卡中：

   • 输入 VPN 配置文件的名称和说明（可选）。

9. 在“配置设置”选项卡中：

   1. 对于“在用户/设备范围使用此 VPN 配置文件”，请选择“用户”。

   2. 对于“连接类型”，请选择“IKEv2”。

   3. 对于“连接名称:”，请输入 VPN 连接的名称，例如 Contoso AutoVPN。

   4. 对于“服务器:”，请添加 VPN 服务器地址和说明。 对于默认服务器，请将“默认服务器”设置为“True”。

   5. 对于“使用内部 DNS 注册 IP 地址”，请选择“禁用”。

   6. 对于“Always On:”，请选择“启用”。

   7. 对于“每次登录时记住凭据”，请选择适合你的安全策略的值。

   8. 对于“身份验证方法”，请选择“EAP”。

   9. 对于“EAP XML”，请选择在创建 EAP XML 部分中保存的 XML。

   10. 对于“设备隧道”，请选择“禁用”。 若要详细了解设备隧道，请参阅在 Windows 10 中配置 VPN 设备隧道。

   11. 对于“IKE 安全关联参数”

       • 将“拆分隧道”设置为“启用”。
       • 配置“受信任的网络检测”。 若要查找 DNS 后缀，可以在当前已连接到网络并已应用域配置文件 (NetworkCategory:DomainAuthenticated) 的系统上使用 Get-NetConnectionProfile > Name。

   12. 将剩余设置保留为默认值，除非你的环境需要进一步的配置。 有关 Intune 的 EAP 配置文件设置的详细信息，请参阅使用 Intune 配置 Windows 10/11 和 Windows Holographic 设备设置以添加 VPN 连接。

   13. 选择“下一页”。

10. 在“范围标记”选项卡中保留默认设置，然后选择“下一步”。

11. 对于“分配”选项卡：

    1. 选择“添加组”，然后添加你的 VPN 用户组。

    2. 选择“下一页”。

12. 在“适用性规则”选项卡中保留默认设置，然后选择“下一步”。

13. 在“查看 + 创建”选项卡中查看所有设置，然后选择“创建”。

将 Always On VPN 配置策略与 Intune 同步

若要测试配置策略，请以 VPN 用户身份登录到 Windows 10+ 客户端计算机，然后与 Intune 同步。

1. 在开始菜单上，选择设置。

2. 在“设置”中选择“帐户”，然后选择“访问工作单位或学校”。

3. 选择要连接到 Microsoft Entra ID 的帐户，然后选择信息。

4. 向下移动并选择“同步”以强制执行 Intune 策略评估和检索。

5. 同步完成后，关闭“设置”。 同步后，你应该可以连接到组织的 VPN 服务器。

后续步骤

• 有关如何设置 Always On VPN 的深度教程，请参阅教程：为 Always On VPN 设置基础结构。

• 若要了解如何使用 Microsoft Configuration Manager 配置 Always On VPN 配置文件，请参阅使用 Microsoft Configuration Manager 将 Always On VPN 配置文件部署到 Windows 客户端

• 有关配置服务提供程序 (CSP) 的 Always on VPN 配置选项的更详细信息，请参阅 VPNv2 配置服务提供程序。

• 若要在 Microsoft Intune 中排查 VPN 部署问题，请参阅在 Microsoft Intune 中排查 VPN 配置文件问题。