使用 Microsoft Intune 將 AlwaysOn VPN 配置檔部署至 Windows 10 或更新版本用戶端

• 適用於:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

在本作說明文章中，我們會示範如何使用 Intune 來建立及部署 Always On VPN 配置檔。

不過，如果您想要建立自定義 VPN 配置檔XML，請遵循使用 Intune 套用 ProfileXML 中的指引。

先決條件

Intune 使用 Microsoft Entra 使用者群組，因此您需要：

• 請確定您擁有能夠發行使用者和裝置憑證進行驗證的私鑰基礎結構 （PKI）。 如需有關 Microsoft Intune 憑證的詳細資訊，請參閱 使用憑證進行驗證。

• 建立與 VPN 使用者相關聯的Microsoft Entra 使用者群組，並視需要將新使用者指派給群組。

• 請確定 VPN 使用者具有 VPN 伺服器連線許可權。

建立可延伸驗證通訊協定 （EAP） 組態 XML

在本節中，您將建立可延伸驗證通訊協定 （EAP） 組態 XML。

1. 將下列 XML 字串複製到文字編輯器：

   這很重要

   下列標籤中 'true' 的任何其他大寫或小寫組合，都會導致 VPN 配置檔的部分設定：

   <AlwaysOn>true</AlwaysOn>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. 在範例 XML 中，將 <ServerNames>NPS.contoso.com</ServerNames> 替換成用於進行驗證的已加入網域的 NPS 的 FQDN。

3. 將範例中的 <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA>，兩個地方都替換成您內部部署根憑證授權單位的憑證指紋。

   這很重要

   請勿在下方的 <TrustedRootCA></TrustedRootCA> 一節中使用範例指紋。 TrustedRootCA 必須是內部部署根憑證授權單位所發行的用於 RRAS 和 NPS 伺服器的伺服器驗證憑證的憑證指紋。 這不應該是雲端根證書，也不是中繼發行 CA 憑證指紋。

4. 儲存 XML 以供下一節使用。

建立AlwaysOn VPN設定原則

1. 登入 Microsoft Endpoint Manager 系統管理中心。

2. 移至 裝置>設定檔。

3. 請選擇+ 建立設定檔。

4. 在 平臺，選擇 Windows 10 及更新版本。

5. 針對 設定檔類型，選取 [範本]。

6. 針對 範本名稱，選取 [VPN]。

7. 選取 ，創建。

8. 針對 基礎 索引標籤：

   • 針對 VPN 設定檔輸入 名稱，並（選擇性地）輸入描述。

9. 針對 [組態設定] 標籤頁：

   1. 針對 [使用此 VPN 配置檔於使用者/裝置範圍]，請選取 [使用者]。

   2. 針對 [連線類型：]，選取 IKEv2。

   3. 針對 連線名稱：，輸入 VPN 連線的名稱，例如 Contoso AutoVPN。

   4. 針對 伺服器：，新增 VPN 伺服器位址和描述。 針對預設伺服器，將 預設伺服器 設為 True。

   5. 針對 [向內部 DNS註冊 IP 位址]，選擇 [停用]。

   6. 針對 [Always On：]，選取 [啟用]。

   7. 針對 記住每個登入的認證，請選取適合您安全策略的值。

   8. 針對 [驗證方法]，選取 [EAP]。

   9. 針對 EAP XML，選取在建立 EAP XML時您儲存的 XML。

   10. 針對 [裝置通道]，選取 [停用]。 若要深入瞭解裝置通道，請參閱在 Windows 10 中設定 VPN 裝置通道。

   11. 針對 IKE 安全性關聯參數

       • 將分割通道 設定為 [啟用]。
       • 設定 可信網路偵測。 若要尋找 DNS 後綴，您可以在目前連線到網路的系統上使用 Get-NetConnectionProfile > Name，並套用網域配置檔（NetworkCategory:DomainAuthenticated）。

   12. 除非您的環境需要進一步的設定，否則請將其餘設定保留為預設值。 如需 Intune EAP 設定檔設定的詳細資訊，請參閱 Windows 10/11 和 Windows 全像攝影裝置設定，以使用 Intune新增 VPN 連線。

   13. 選取 下一步。

10. 針對 [範圍標籤] 索引標籤，保留預設設定，然後選取 [下一步]。

11. 針對 [工作分派] 索引標籤：

    1. 選取 新增群組，然後將您的 VPN 使用者群組新增進去。

    2. 選取 下一步。

12. 針對 適用性規則 索引標籤，保留預設設定，然後選取 下一步 。

13. 針對 [檢閱 + 建立] 標籤，檢閱您的所有設定，然後選取 [建立]。

使用 Intune 同步處理 AlwaysOn VPN 設定原則

若要測試設定原則，請以 VPN 使用者身分登入 Windows 10+ 用戶端電腦，然後與 Intune 同步。

1. 在 [開始] 選單上，選取 [設定] 。

2. 在 [設定] 中，選取 [帳戶]，然後選取 [存取公司或學校]。

3. 選取帳戶以連線到您的 Microsoft Entra ID，然後選取 Info。

4. 向下捲動並選取 [同步處理]，以強制進行 Intune 原則評估和擷取。

5. 同步處理完成時，請關閉 [設定]。 同步處理之後，您應該能夠連線到組織的 VPN 伺服器。

後續步驟

• 如需如何設定 Always On VPN 的深入教學課程，請參閱 教學課程：設定 AlwaysOn VPN 的基礎結構。

• 若要瞭解如何使用 Microsoft Configuration Manager 設定 Always On VPN 配置檔，請參閱 使用 Microsoft Configuration Manager 將 Always On VPN 配置檔部署至 Windows 用戶端

• 如需有關設定服務提供者 (CSP) 的 Always on VPN 配置選項的詳細資訊，請參閱 VPNv2 配置服務提供者。

• 若要在 Microsoft Intune 中對 VPN 部署進行疑難排解，請參閱 Microsoft Intune 中的 VPN 設定檔問題疑難排解。