針對 Microsoft Intune 中的 VPN 配置文件問題進行疑難解答

原始產品版本： Microsoft Intune
原始 KB 編號： 4519426

簡介

本指南可協助您了解並針對使用 Microsoft Intune 時可能發生的 VPN 配置文件問題進行疑難解答。

本指南中的範例會針對配置檔使用簡單憑證註冊通訊協定 （SCEP） 憑證驗證。 這些範例也假設受信任的根和 SCEP 配置檔在裝置上正常運作。 在範例中，受信任的根和 SCEP 配置檔會命名如下：

設定檔類型	Android	iOS	Windows
受信任的根配置檔	AndroidRoot	iOSRoot	WindowsRoot2
SCEP 配置檔	AndroidSCEP	iOSSCEP	WindowsSCEP2

VPN 配置檔概觀

虛擬專用網 （VPN） 可讓使用者安全地遠端訪問組織的網路。 裝置會使用 VPN 連線設定檔來啟動與 VPN 伺服器的連線。 在 Intune 中，VPN 配置檔會將 VPN 設定指派給組織中的使用者和裝置。 然後，用戶可以輕鬆地安全地連線到組織網路。

例如，如果您想要使用連線到組織網路上檔案共用的必要設定來設定所有 iOS 裝置，您可以建立包含這些設定的 VPN 設定檔，並將此設定檔指派給擁有 iOS 裝置的所有使用者。 之後，用戶可以在可用網路清單中看到 VPN 連線，並以最少的努力進行連線。

您可以使用不同的 VPN 連線類型來建立 VPN 設定檔。

注意

您必須先為設定檔安裝適用的 VPN 應用程式，才能使用指派給裝置的 VPN 設定檔。

如何建立 VPN 設定檔

若要建立 VPN 設定檔，請遵循建立裝置設定檔中的步驟。

如需範例，請參閱下列螢幕快照：

注意

在範例中，Android 和 iOS VPN 配置文件的連線類型為 Cisco AnyConnect，而 Windows 10 的連線類型為 Automatic。 VPN 設定檔會連結至 SCEP 設定檔。

Android （個人擁有的工作設定檔）

iOS

Windows

如需如何為 VPN 配置檔建立可延伸驗證通訊協定 （EAP） 組態 XML 的詳細資訊，請參閱 EAP 組態。

如何指派 VPN 設定檔

建立 VPN 設定檔之後， 請將設定檔 指派給選取的群組。

注意

群組類型部署（使用者群組或裝置群組）很重要，而且必須在涉及此資源原則的所有原則之間保持一致（信任的憑證、SCEP 和 VPN）。 這取決於您要部署的憑證類型。 如果您要部署用戶憑證，所有部署都應該是使用者群組，反之亦然。 如果部署的憑證是裝置類型一，請使用裝置群組。

如需範例，請參閱下列螢幕快照：

成功 VPN 設定檔的外觀

Android

此案例使用註冊為個人擁有工作配置檔的 Android 裝置。 由於受信任的根和 SCEP 配置檔已安裝在裝置上，因此不會提示您安裝 SCEP 憑證。

1. 您會收到安裝公司 VPN 設定檔的通知：

   

   如果您沒有收到通知，請點選 [ 變更設定 ] 按鈕，以在 AnyConnect 應用程式中啟用 [外部控制 ] 選項。 然後，您會收到通知。

   

   

   

2. 在 AnyConnect 應用程式中選取 SCEP 憑證：

   

   注意

   使用裝置系統管理員管理的 Android 裝置時，可能會有多個憑證，因為憑證不會在憑證配置檔變更或移除時撤銷或移除。 在此案例中，選取最新的憑證。 通常是清單中顯示的最後一個憑證。

   Android Enterprise 和 Samsung Knox 裝置上不會發生這種情況。 如需詳細資訊，請參閱使用 Intune 管理 Android 工作配置檔裝置和在 Microsoft Intune 中移除 SCEP 和 PKCS 憑證。

3. 已成功建立 VPN 連線。

   

iOS

在裝置上安裝 VPN 設定檔之後，它會顯示在管理設定檔中：

VPN 聯機會顯示在 [設定>][一般>VPN] 中：

VPN 聯機會顯示在 AnyConnect 應用程式中：

Windows

在裝置上安裝 VPN 配置文件之後，選取 [設定>帳戶>存取公司或學校]，然後選取公司或學校帳戶，然後選取 [資訊]。

您可以看到 VPN 列在 [受Microsoft管理的區域] 底下。

VPN 設定檔列在 [設定>網络和因特網>VPN] 下方。

VPN 連線列在 [網络連線] 中。

成功部署 VPN 設定檔的 公司入口網站 記錄

Android

在 Android 裝置上 ，Omadmlog.log 檔案會在裝置上處理 VPN 配置檔時記錄詳細的活動。 視已安裝 公司入口網站 應用程式的時間長度而定，您最多可能會有五個Omadmlog.log檔案，而上次同步處理的時間戳可協助您尋找相關專案。

下列範例使用 CMTrace 讀取記錄並搜尋 android.vpn.client。

範例記錄：

<Date Time>    INFO    com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine    13229    00622    Notifying to provision vpn profile 'AnyConnect'.
<Date Time>    INFO    com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine    13229    00622    VPN Profile "AnyConnect" state changed from RECEIVED to PENDING_USER_INSTALL
<Date Time>    VERB    com.microsoft.omadm.platforms.android.vpn.client.VpnClient    13229    00002    Creating VPN Provision Intent: anyconnect://create/?host=VPN.contoso.com&name=AnyConnect&usecert=true&keychainalias=UserID
<Date Time>    INFO    com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine    13229    00002    Vpn profile 'AnyConnect' provisioned and complete.
<Date Time>    INFO    com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine    13229    00002    VPN Profile "AnyConnect" state changed from PENDING_USER_INSTALL to PROVISIONED

iOS

在 iOS 裝置上，公司入口網站 記錄不包含 VPN 配置檔的任何資訊。 若要查看 VPN 設定檔的安裝詳細資料，請檢查主控台或裝置記錄，如下所示：

1. 將 iOS 裝置連線到 Mac，然後選取 [應用程式>公用程式] 以開啟控制台應用程式。

2. 在 [動作] 底下，檢查 [包含資訊訊息] 和 [包含偵錯訊息] 選項。

   

3. 重現案例，並將記錄儲存至文本檔：

   1. 選取目前畫面上的所有訊息：編輯>[全部選取]。
   2. 複製訊息：編輯>複製。
   3. 將記錄數據貼到文本編輯器中，然後儲存盤案。

4. 若要檢視詳細資訊，請使用 VPN 設定檔名稱來搜尋檔案。

範例記錄：

debug    <Time> -0400    profiled    createConfigurationFromPayload type com.apple.vpn.managed.applayer, name 'ContosoVPN', atom \{\
    PayloadDisplayName = "VPN Profile - ContosoVPN";\
    UserDefinedName = ContosoVPN;\
        RemoteAddress = "Contoso.com";\
    PayloadDisplayName = "VPN Profile - ContosoVPN";\
    UserDefinedName = ContosoVPN;\
        RemoteAddress = "Contoso.com";\
    PayloadDisplayName = "VPN Profile - ContosoVPN";\
    UserDefinedName = ContosoVPN;\
        RemoteAddress = "Contoso.com";\
    RemoteAddress = "Contoso.com";\
debug    <Time> -0400    profiled    configurePluginWithPayload: done, serverAddress Contoso.com, providerConfiguration \{\
    RemoteAddress = "Contoso.com";\
        serverAddress = Contoso.com\
    PayloadDisplayName = "VPN Profile - ContosoVPN";\
    UserDefinedName = ContosoVPN;\
        RemoteAddress = "Contoso.com";\
        serverAddress = Contoso.com\
debug    <Time> -0400    profiled    NEConfiguration initWithAppLayerVPNPayload: done, serverAddress Contoso.com\
    PayloadIdentifier = "www.windowsintune.com.vpn.ContosoVPN";\
debug    <Time> -0400    profiled    NEProfileIngestion saveConfiguration: 'ContosoVPN'\
default    <Time> -0400    profiled     Saving configuration ContosoVPN with existing signature (null)\
default    <Time> -0400    profiled     Successfully saved configuration ContosoVPN\
default    <Time> -0400    profiled    Profile \'93www.windowsintune.com.vpn.ContosoVPN\'94 installed.\

Windows

在 Windows 裝置上，VPN 設定檔的詳細資料會記錄在 事件檢視器 的下列位置：

• 應用程式和服務記錄>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider Admin>
• 應用程式和服務記錄>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>偵錯

注意

您必須在 事件檢視器 中選取 [顯示分析和偵錯記錄] 選項，才能查看這些記錄。

範例記錄：

Event 6165
  Log Name: Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Debug
  Source: Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider
  Date: <Date Time>
  Event ID: 401
  Task: N/A
  Level: Information
  Opcode: Info
  Keyword: N/A
  User: SID
  User Name: NT AUTHORITY\SYSTEM
  Computer: <Computer Name>
  Description: 
MDM ConfigurationManager: CSP Node Operation. Configuration Source ID: (ID), Enrollment Name: (MDMFullWithAAD), Provider Name: (VPNv2), Operation: (Add), CSP URI: (./User/Vendor/MSFT/VPNv2), Child URI: (Contoso), Result: (The operation completed successfully.).

疑難排解常見問題

問題 1：VPN 設定檔未部署到裝置

Android

1. 確認 VPN 設定檔已指派給正確的群組。

   在 Intune 入口網站中，選取 [裝置組態>配置檔]，然後選取設定檔，然後選取 [指派] 以確認選取的群組。

   

2. 檢查 [疑難解答] 窗格上的 [上次簽入時間]，確認裝置可以與 Intune 同步。

   

3. 如果 VPN 設定檔連結到受信任的根和 SCEP 設定檔，請確認這兩個設定檔都已部署到裝置。 VPN 設定檔相依於這些配置檔。

   如果裝置上未安裝受信任的根和 SCEP 設定檔，您會在 公司入口網站 記錄檔中看到下列專案（Omadmlog.log）：

   <Date Time> INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 14210 00948 Waiting for required certificates for vpn profile 'androidVPN'.

   注意

   即使受信任的根和 SCEP 配置檔位於裝置上且符合規範，但 VPN 配置檔仍然不在裝置上。 當來自 公司入口網站 應用程式的提供者找不到符合指定準則的憑證時CertificateSelector，就會發生此問題。 特定準則可以位於證書範本或 SCEP 設定檔中。 如果找不到相符的憑證，將會排除裝置上的憑證。 因此，將會略過 VPN 配置檔，因為它沒有正確的憑證。 在此案例中，您會在 公司入口網站 記錄檔中看到下列專案（Omadmlog.log）：

   Waiting for required certificates for vpn profile 'androidVPN'.

   下列範例記錄顯示已排除憑證，因為 已指定任何用途 擴充密鑰使用方式 （EKU） 準則。 不過，指派給裝置的憑證沒有該 EKU：

   <Date Time>    VERB     com.microsoft.omadm.utils.CertUtils      14210    00948    Excluding cert with alias User<ID1> and requestId <requestID1> as it does not have any purpose EKU.
   <Date Time>    VERB     com.microsoft.omadm.utils.CertUtils      14210    00948    Excluding cert with alias User<ID2> and requestId <requestID2> as it does not have any purpose EKU.
   <Date Time>    VERB     com.microsoft.omadm.utils.CertUtils      14210    00948    0 cert(s) matched criteria:
   <Date Time>    VERB     com.microsoft.omadm.utils.CertUtils      14210    00948    2 cert(s) excluded by criteria:
   <Date Time>    INFO     com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine       14210     00948    Waiting for required certificates for vpn profile '<profile name>'.
   

   下列範例顯示 SCEP 配置檔具有指定的任何用途 EKU 選項。 不過，在證書頒發機構單位 （CA） 的證書範本中未指定它。 若要修正此問題，請將 [ 任何用途 ] 選項新增至證書範本，或從 SCEP 配置檔中移除 [任何用途] 選項。

   

   

4. 確認已啟用 AnyConnect 的外部控制 選項。

   建立設定檔之前，必須先啟用 [外部控制] 選項。 將設定檔推送至裝置時，系統會提示用戶啟用 [外部控制 ] 選項。

   

   

5. 確認完整憑證鏈結中的所有必要憑證都位於裝置上。 否則，您會在 公司入口網站 記錄檔中看到下列專案（Omadmlog.log）：

   Waiting for required certificates for vpn profile 'androidVPN'.

   如需詳細資訊，請參閱 遺漏中繼證書頒發機構單位。

iOS

1. 確認 VPN 設定檔已指派給正確的群組。

   在 Intune 入口網站中，選取 [裝置組態>配置檔]，然後選取設定檔，然後選取 [指派] 以確認選取的群組。

   

   

2. 檢查 [疑難解答] 窗格上的 [上次簽入時間]，確認裝置可以與 Intune 同步。

   

3. 如果 VPN 設定檔連結到受信任的根和 SCEP 設定檔，請確認這兩個設定檔都已部署到裝置。 VPN 設定檔相依於這些配置檔。

Windows

1. 確認 VPN 設定檔已指派給正確的群組。

   在 Intune 入口網站中，選取 [裝置組態>配置檔]，然後選取設定檔，然後選取 [指派] 以確認選取的群組。

   

2. 檢查 [疑難解答] 窗格上的 [上次簽入時間]，確認裝置可以與 Intune 同步。

   

3. 如果 VPN 設定檔連結到受信任的根和 SCEP 設定檔，請確認這兩個設定檔都已部署到裝置。 VPN 設定檔相依於這些配置檔。

4. 針對 Windows 10 裝置，請檢查 MDM 診斷信息記錄。

   1. 下載 MDM 診斷信息記錄。
   2. 若要檢查報表，請流覽至 C：\Users\Public\Documents\MDMDiagnostics 資料夾。

   

   

   

   

問題 2：VPN 配置檔已部署至裝置，但裝置無法連線到網路

一般而言，此聯機問題不是Intune問題，而且可能會有許多原因。 下列項目可協助您了解並針對問題進行疑難解答：

• 您可以使用 VPN 設定檔中具有相同準則的憑證，手動連線到網路嗎？

  如果可以，請檢查您在手動連線中使用的憑證屬性，並變更 Intune VPN 配置檔。

• 針對 Android 和 iOS 裝置，VPN 用戶端應用程式記錄是否顯示裝置嘗試連線到 VPN 設定檔？

  通常，連線錯誤會記錄在 VPN 用戶端應用程式記錄中。

• 針對 Windows 裝置，Radius 伺服器記錄是否顯示裝置嘗試連線到 VPN 設定檔？

  通常，連線錯誤會記錄在Radius伺服器記錄中。

如何在 AnyConnect 應用程式中檢視記錄

若要檢視記錄，請參閱下列兩個 Android 和 iOS 裝置範例。

範例 1：檢視 Android 裝置上的記錄

1. 選取 [功能表>診斷]。

   

2. 若要檢視憑證，請選取 [ 憑證管理]。

   

   

3. 若要檢視記錄以分析 AnyConnect 問題，請選取 [記錄] 和 [系統資訊]。>

   

   

4. 若要傳送記錄，請選取 [功能表>傳送記錄>報告給系統管理員]。

   

   

5. 取得偵錯記錄之後，請檢查debug_logs_unfiltered.txt檔案，以取得配置檔建立和聯機資訊。

VPN 建立的範例記錄：

<Date Time> I/AnyConnect(14530): URIHandlerActivity: Received command: anyconnect://create?host=VPN.Contoso.com&name=AnyConnect&usecert=true&keychainalias=UserID
<Date Time> I/AnyConnect(14530): VpnService: VpnService is being created.

VPN 連線失敗的範例記錄：

<Date Time> I/vpnapi  (14530): Message type information sent to the user: Contacting VPN.Contoso.com.
<Date Time> I/vpnapi  (14530): Initiating VPN connection to the secure gateway https://VPN.Contoso.com
<Date Time> I/acvpnagent(14592): Using default preferences. Some settings (e.g. certificate matching) may not function as expected if a local profile is expected to be used. Verify that the selected host is in the server list section of the profile and that the profile is configured on the secure gateway.
<Date Time> I/acvpnagent(14592): Function: processConnectNotification File: MainThread.cpp Line: 14616 Received connect notification (host VPN.Contoso.com, profile N/A)
<Date Time> W/acvpnagent(14592): Function: getHostIPAddrByName File: SocketSupport.cpp Line: 344 Invoked Function: ::getaddrinfo Return Code: 11 (0x0000000B) Description: unknown 
<Date Time> W/acvpnagent(14592): Function: resolveHostName File: HostLocator.cpp Line: 710 Invoked Function: CSocketSupport::getHostIPAddrByName Return Code: -31129588 (0xFE25000C) Description: SOCKETSUPPORT_ERROR_GETADDRINFO 
<Date Time> W/acvpnagent(14592): Function: ResolveHostname File: HostLocator.cpp Line: 804 Invoked Function: CHostLocator::resolveHostName Return Code: -31129588 (0xFE25000C) Description: SOCKETSUPPORT_ERROR_GETADDRINFO failed to resolve host name VPN.Contoso.com to IPv4 address
<Date Time> I/vpnapi  (14530): Message type warning sent to the user: Connection attempt has failed.
<Date Time> E/vpnapi  (14530): Function: processIfcData File: ConnectMgr.cpp Line: 3399 Content type (unknown) received. Response type (DNS resolution failed) from VPN.Contoso.com: DNS resolution failed
<Date Time> I/vpnapi  (14530): Message type warning sent to the user: Unable to contact VPN.Contoso.com.
<Date Time> E/vpnapi  (14530): Function: processIfcData File: ConnectMgr.cpp Line: 3535 Unable to contact VPN.Contoso.com DNS resolution failed
<Date Time> I/vpnapi  (14530): Message type error sent to the user: The VPN connection failed due to unsuccessful domain name resolution.

範例 2：檢視 iOS 裝置上的記錄

1. 若要檢視用戶憑證，請選取 [診斷憑證>]。

   

2. 若要檢視記錄訊息，請選取 [ 診斷]，啟用 [VPN 偵錯記錄] 選項以啟用記錄，然後選取 [ 記錄]。

   • 若要顯示服務偵錯記錄訊息，請選取 [服務]。
   • 若要顯示應用程式偵錯記錄訊息，請選取 [應用程式]。

   

3. 若要傳送記錄，請在 [診斷] 視窗中選取 [共享記錄]，輸入問題的相關信息，然後選取 [傳送]。

   

4. 取得偵錯記錄之後，請檢查檔案中的配置檔建立和聯機資訊。

   

顯示 VPN 設定檔之 AnyConnect_App_Debug_Logs.txt 檔案的範例記錄：

[<Date Time>] Info: Function: SaveSettings File: AppleVpnConfig.mm Line: 198 SaveSettings {type = mutable dict, count = 3, entries => 0 : {contents = "RemoteAddress"} = {contents = "Contoso.com"} 1 : {contents = "AuthenticationMethod"} = {contents = "Certificate"} 2 : {contents = "LocalCertificate"} = <69646e74 00000000 000002d3> }
[<Date Time>] Info: Function: GetSettings File: AppleVpnConfig.mm Line: 175 GetSettings { AuthenticationMethod = Certificate; LocalCertificate = <69646e74 00000000 000002d3>; RemoteAddress = "Contoso.com"; }
[<Date Time>] Info: Function: -[AppleVpnConfigBatch startBatchSaveToSystem] File: AppleVpnConfigBatch.mm Line: 43 Invoking save to system with 0x28202fd60
[<Date Time>] Info: Function: saveToSystem_block_invoke File: AxtVpnConfig.mm Line: 222 Successfully saved profile for Contoso.com
[<Date Time>] Info: Function: -[AppleVpnConfigBatch startBatchSaveToSystem] File: AppleVpnConfigBatch.mm Line: 36 completed!.

顯示 VPN 連線失敗之 AnyConnect_Messages.txt 檔案的範例記錄：

[<Date Time>] [VPN] - Contacting Contoso.com.
[<Date Time>] [VPN] - Connection attempt has failed.
[<Date Time>] [VPN] - Unable to contact CoolBreeze.com.
[<Date Time>] [VPN] - Connection attempt has timed out. Please verify Internet connectivity.

顯示 VPN 連線失敗之 AnyConnect_Plugin_Debug_Logs.txt 檔案的範例記錄：

[<Date Time>] Info: Message type information sent to the user: Contacting Contoso.com.
[<Date Time>] Info: Initiating VPN connection to the secure gateway https://Contoso.com
[<Date Time>] Info: Function: NoticeCB File: AnyConnectAuthenticator.cpp Line: 2116 Sending notice Contacting Contoso.com. to App
[<Date Time>] Error: Function: SendRequest File: CTransportCurlStatic.cpp Line: 2046 Invoked Function: curl_easy_perform Return Code: -29949904 (0xFE370030) Description: CTRANSPORT_ERROR_TIMEOUT 28 : Error
[<Date Time>] Error: Function: TranslateStatusCode File: ConnectIfc.cpp Line: 3169 Invoked Function: TranslateStatusCode Return Code: -29949904 (0xFE370030) Description: CTRANSPORT_ERROR_TIMEOUT Connection attempt has timed out. Please verify Internet connectivity.
[<Date Time>] Error: Function: doConnectIfcConnect File: ConnectMgr.cpp Line: 2442 Invoked Function: ConnectIfc::connect Return Code: -29949904 (0xFE370030) Description: CTRANSPORT_ERROR_TIMEOUT 
[<Date Time>] Info: Message type warning sent to the user: Connection attempt has failed.
[<Date Time>] Error: Function: processIfcData File: ConnectMgr.cpp Line: 3407 Content type (unknown) received. Response type (host unreachable) from Contoso.com: 
[<Date Time>] Info: Message type warning sent to the user: Unable to contact Contoso.com.
[<Date Time>] Info: Function: NoticeCB File: AnyConnectAuthenticator.cpp Line: 2116 Sending notice Connection attempt has failed. to App
[<Date Time>] Error: Function: processIfcData File: ConnectMgr.cpp Line: 3543 Unable to contact Contoso.com 
[<Date Time>] Info: Function: NoticeCB File: AnyConnectAuthenticator.cpp Line: 2116 Sending notice Unable to contact Contoso.com. to App
[<Date Time>] Info: Message type error sent to the user: Connection attempt has timed out. Please verify Internet connectivity.

其他相關資訊

如果您仍在尋找相關問題的解決方案，或想要Microsoft Intune 的詳細資訊，請在 Microsoft Intune 論壇中張貼問題。 許多支持工程師、MVP 和開發小組成員都參觀了論壇。 因此，有一個很好的機會，你可以找到一個有您需要資訊的人。

如果您想要向 Microsoft Intune 產品支援小組提出支援要求，請參閱 如何取得 Microsoft Intune 的支援。

如需 Intune 中 VPN 設定檔的詳細資訊，請參閱下列文章：

• 在 Intune 中設定 VPN 的 Android 裝置設定
• 在 Microsoft Intune 中設定 iOS 裝置上的 VPN 設定
• 使用 Intune 新增 VPN 連線的 Windows 10 和 Windows 全像攝影裝置設定
• 支援提示 - 如何在 Intune 中設定 SCEP 憑證部署的 NDES
• 針對 Microsoft Intune 中的 SCEP 憑證配置檔部署進行疑難解答
• 針對 NDES 設定進行疑難解答，以搭配 Microsoft Intune 憑證配置檔使用

如需所有最新的新聞、資訊和技術秘訣，請流覽官方部落格：

• Microsoft Intune 支援小組部落格
• Microsoft Enterprise Mobility and Security 部落格