Автоматически инициируемые параметры профиля VPN

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Windows может использовать различные функции для автоматического запуска VPN, избегая ручного подключения пользователей, когда VPN требуется для доступа к необходимым ресурсам. Существует три типа правил автоматически инициируемых правил.

  • Триггер приложения
  • Триггер на основе имени
  • Режим "Всегда включен"

Примечание.

Автоматически активированные VPN-подключения не будут работать, если включено перенаправление папок для AppData . Перенаправление папок для AppData должно быть отключено, либо автоматически активируемый профиль VPN должен быть развернут в контексте SYSTEM, который изменяет путь к месту хранения файла rasphone.pbk .

Триггер приложения

Профили VPN можно настроить для автоматического подключения при выполнении определенных приложений:

  • Вы можете настроить классические или универсальная платформа Windows приложения (UWP) для активации VPN-подключения.
  • Вы можете настроить VPN для каждого приложения и указать правила трафика для каждого приложения.

Примечание.

Идентификатор классического приложения — это путь к файлу. Идентификатор приложения UWP — это имя семейства пакетов.

Поиск имени семейства пакетов (PFN) для настройки VPN для каждого приложения

Дополнительные сведения см. в разделе Фильтры трафика.

Триггер на основе имени

Можно настроить правило на основе доменного имени, чтобы конкретное доменное имя активировало VPN-подключение. \ Автоматический триггер на основе имени можно настроить с помощью VPNv2/<ProfileName>/DomainNameInformationList/dniRowId/AutoTrigger параметра в поставщике службы конфигурации VPNv2 (CSP).

Существует четыре типа триггеров на основе имени.

  • Краткое имя: например, если HRweb настроен в качестве триггера и стек видит запрос на разрешение DNS для HRweb, vpn-триггеры
  • Полное доменное имя (FQDN): например, если HRweb.corp.contoso.com настроен в качестве триггера и стек видит запрос разрешения DNS для HRweb.corp.contoso.com, VPN активирует
  • Суффикс: например, если corp.contoso.com настроен в качестве триггера и стек видит запрос на разрешение DNS с соответствующим суффиксом (например , HRweb.corp.contoso.com), vpn-триггер. Для любого разрешения коротких имен запрашиваются триггеры VPN и DNS-серверы для <ShortName.corp.contoso.com>
  • Все: если используется, все разрешения DNS активируют VPN

Режим "Всегда включен"

Always On — это функция Windows, которая позволяет активному профилю VPN автоматически подключаться по следующим триггерам:

  • Вход пользователя в систему.
  • Изменение в сети.
  • Включение экрана устройства.

При активации триггер выполняется попытка подключения к VPN. Если возникает ошибка или требуется ввод каких-либо данных пользователем, пользователь видит всплывающее уведомление о дополнительном взаимодействии.

Если устройство имеет несколько профилей с Always On триггерами, пользователь может указать активный профиль в разделе Параметры > Сеть & профиль> VPN ><через Интернет>, установив флажок Разрешить приложениям автоматически использовать это VPN-подключение. По умолчанию первый профиль, настроенный в MDM, отмечен как активный. Устройства с несколькими пользователями имеют одинаковые ограничения: только один профиль и, следовательно, только один пользователь, может использовать триггеры Always On.

Сохранение предпочтений пользователей Always On

Другая функция Windows заключается в сохранении Always On предпочтения пользователя. Если пользователь вручную снимает флажок Подключиться автоматически , Windows запоминает предпочтения пользователя для имени профиля, добавляя имя профиля в значение реестра AutoTriggerDisabledProfilesList.

Если средство управления удаляет или добавляет то же имя профиля обратно и присвоит alwaysOn значение true, Windows не проверка поле, если имя профиля существует в следующем значении реестра, чтобы сохранить предпочтения пользователей.

Ключ:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
Значение:AutoTriggerDisabledProfilesList
Тип:REG_MULTI_SZ

Обнаружение доверенной сети

Функция обнаружения доверенной сети настраивает VPN так, чтобы подключение не активировался, когда устройство находится в доверенной сети. Чтобы настроить обнаружение доверенной сети, необходимо предоставить список DNS-суффиксов. Стек VPN проверяет сетевое имя профиля подключения физического интерфейса: если он соответствует любому из суффиксов, настроенных в списке, и сеть является частной или подготовлена MDM, VPN не активируется.

Обнаружение доверенной сети можно настроить с помощью VPNv2/<ProfileName>/TrustedNetworkDetection параметра в VPNv2 CSP.

Настройка VPN-подключения, инициируемого приложением

Сведения о настройке XML см. в разделе Параметры профиля VPN и VPNv2 CSP.

На следующем рисунке показано связывание приложений с VPN-подключением в политике конфигурации профиля VPN с помощью Microsoft Intune.

Создание профиля VPN в Intune: параметры сопоставления приложений.