Připojení VPN v Microsoft IntuneVPN connections in Microsoft Intune

Platí pro: Intune v klasickém portáluApplies to: Intune in the classic portal
Hledáte dokumentaci o Intune na Azure Portalu?Looking for documentation about Intune in the Azure portal? Přejděte sem.Go here.

Virtuální privátní sítě (VPN) umožňují uživatelům zabezpečený vzdálený přístup k firemní síti.Virtual private networks (VPNs) give your users secure remote access to your company network. K navázání připojení se serverem VPN používají zařízení profil připojení VPN.Devices use a VPN connection profile to initiate a connection with the VPN server. Pomocí profilů VPN v Microsoft Intune můžete uživatelům a zařízením v organizaci nasadit nastavení VPN, aby se mohli snadno a bezpečně připojit k síti.Use VPN profiles in Microsoft Intune to deploy VPN settings to users and devices in your organization, so they can easily and securely connect to the network.

Chcete třeba zřizovat všechna zařízení s iOSem s nastavením požadovaným pro připojení sdílené položky souboru v podnikové síti.For example, assume that you want to provision all iOS devices with the settings required to connect to a file share on the corporate network. Vytvoříte profil VPN s nastavením nezbytným pro připojování k podnikové síti, a potom tento profil nasadíte u všech uživatelů se zařízeními iOS.You create a VPN profile that contains the settings necessary to connect to the corporate network, and then you deploy this profile to all users who have iOS devices. Uživatelé uvidí připojení VPN v seznamu dostupných sítí a můžou se připojit s minimálním úsilím.The users will see the VPN connection in the list of available networks and can connect with minimal effort.

Pomocí profilů VPN můžete konfigurovat následující typy zařízení:You can configure the following device types by using VPN profiles:

  • Zařízení se systémem Android 4 nebo novější verzíDevices that run Android 4 and later
  • Zařízení se systémem Android for WorkAndroid for Work devices
  • Zařízení se systémem iOS 8.0 nebo novější verzíDevices that run iOS 8.0 and later
  • Zařízení se systémem Mac OS X 10.9 nebo novější verzíDevices that run Mac OS X 10.9 and later
  • Zaregistrovaná zařízení se systémem Windows 8.1 a novějšímEnrolled devices that run Windows 8.1 and later
  • Zařízení s Windows Phone 8.1 a novějšímDevices that run Windows Phone 8.1 and later
  • Zařízení s Windows 10 Desktop a MobileDevices that run Windows 10 desktop and mobile

Možnosti konfigurace profilu VPN se liší podle vybraného typu zařízení.The VPN profile configuration options differ depending on the device type that you select.

Typy připojení VPNVPN connection types

Intune podporuje vytváření profilů VPN, které používají následující typy připojení:Intune supports creating VPN profiles that use the following connection types:

Typ připojeníConnection type iOS a Mac OS XiOS and Mac OS X Android a Android for WorkAndroid and Android for Work Windows 8.1Windows 8.1 Windows RT 8.1Windows RT 8.1 Windows Phone 8.1Windows Phone 8.1 Windows 10 Desktop a MobileWindows 10 desktop and mobile
Cisco AnyConnectCisco AnyConnect AnoYes AnoYes NeNo NeNo NeNo Ano (OMA-URI, jenom Mobile)Yes (OMA-URI, mobile only)
Cisco (IPsec)Cisco (IPsec) AnoYes AnoYes NeNo NeNo NeNo NeNo
CitrixCitrix AnoYes Ano (jen Android)Yes (Android only) NeNo NeNo NeNo NeNo
Pulse SecurePulse Secure AnoYes AnoYes AnoYes AnoYes AnoYes AnoYes
F5 Edge ClientF5 Edge Client AnoYes AnoYes AnoYes AnoYes AnoYes AnoYes
Dell SonicWALL Mobile ConnectDell SonicWALL Mobile Connect AnoYes AnoYes AnoYes AnoYes AnoYes AnoYes
CheckPoint Mobile VPNCheckPoint Mobile VPN AnoYes AnoYes AnoYes AnoYes AnoYes AnoYes
Protokol SSL společnosti Microsoft (SSTP)Microsoft SSL (SSTP) NeNo NeNo NeNo NeNo NeNo VPNv1 OMA-URIVPNv1 OMA-URI
Automaticky pomocí technologie MicrosoftMicrosoft Automatic NeNo NeNo NeNo NeNo Ano (OMA-URI)Yes (OMA-URI) AnoYes
IKEv2IKEv2 Vlastní profil iOSiOS custom profile NeNo NeNo NeNo Ano (OMA-URI)Yes (OMA-URI) AnoYes
PPTPPPTP Vlastní profil iOSiOS custom profile NeNo NeNo NeNo NeNo AnoYes
L2TPL2TP Vlastní profil iOSiOS custom profile NeNo NeNo NeNo Ano (OMA-URI)Yes (OMA-URI) AnoYes

* Bez dalšího nastavení, které je jinak dostupné pro Windows 10.* Without additional settings that are otherwise available for Windows 10.

Důležité

Před použitím profilů VPN nasazených do zařízení je nutné nainstalovat příslušnou aplikaci VPN pro profil.Before you can use VPN profiles deployed to a device, you must install the applicable VPN app for the profile. Informace z tématu Nasazení aplikací v Microsoft Intune vám můžou pomoct s nasazením správné aplikace pomocí Intune.You can use the information in the Deploy apps in Microsoft Intune topic to help you deploy the applicable app by using Intune.

Postup vytváření vlastních profilů VPN pomocí nastavení URI najdete v tématu Vlastní konfigurace pro profily VPN.Learn how to create custom VPN profiles by using URI settings in Custom configurations for VPN profiles.

Metody zabezpečení profilů VPNMethods of securing VPN profiles

Profily VPN můžou používat spoustu různých typů připojení a protokoly od různých výrobců.VPN profiles can use a number of different connection types and protocols from different manufacturers. Tato připojení jsou obvykle zabezpečená jedním ze dvou způsobů.These connections are typically secured through one of two methods.

CertifikátyCertificates

Když vytváříte profil VPN, vybíráte profil certifikátu SCEP nebo PFX, který jste předtím vytvořili v Intune.When you create the VPN profile, you choose a SCEP or PFX certificate profile that you previously created in Intune. Označuje se jako certifikát identity.This is known as the identity certificate. Slouží k ověřování vůči profilu důvěryhodného certifikátu (neboli kořenového certifikátu), jehož vytvořením jste potvrdili, že se zařízení uživatele může připojit.It's used to authenticate against a trusted certificate profile (or root certificate) that you created to establish that the user’s device is allowed to connect. Důvěryhodný certifikát je nasazený na počítači, který ověřuje připojení VPN, většinou na serveru VPN.The trusted certificate is deployed to the computer that authenticates the VPN connection, typically, the VPN server.

Další informace o vytváření a používání profilů certifikátů v Intune najdete v tématu Zabezpečení přístupu k prostředkům pomocí profilů certifikátů.For more information about how to create and use certificate profiles in Intune, see Secure resource access with certificate profiles.

Uživatelské jméno a hesloUser name and password

Uživatel se ověřuje na serveru sítě VPN zadáním uživatelského jména a hesla.The user authenticates to the VPN server by providing a user name and password.

Vytvoření profilu sítě VPNCreate a VPN profile

  1. V konzole pro správu Microsoft Intune zvolte Zásady > Přidat zásadu.In the Microsoft Intune administration console, choose Policy > Add Policy.
  2. Vyberte šablonu pro nové zásady rozšířením příslušného typu zařízení a potom vyberte profil sítě VPN pro toto zařízení:Select a template for the new policy by expanding the relevant device type, and then choose the VPN profile for that device:

    • Profil VPN (Android 4 a novější)VPN Profile (Android 4 and later)
    • Profil VPN (Android for Work)VPN Profile (Android for Work)
    • Profil VPN (iOS 8.0 a novější)VPN Profile (iOS 8.0 and later)
    • Profil VPN (Mac OS X 10.9 a novější)VPN Profile (Mac OS X 10.9 and later)
    • Profil VPN (Windows Phone 8.1 a novější)VPN Profile (Windows 8.1 and later)
    • Profil VPN (Windows Phone 8.1 a novější)VPN Profile (Windows Phone 8.1 and later)
    • Profil VPN (Windows 10 Desktop a Mobile a novější)VPN Profile (Windows 10 Desktop and Mobile and later)

    Můžete vytvořit a nasadit jenom vlastní zásadu profilu VPN.You can create and deploy only a custom VPN profile policy. Doporučená nastavení nejsou dostupná.Recommended settings are not available.

Poznámka

Profil VPN pro zařízení s Androidem for Work umožní připojení VPN jenom aplikacím, které jsou nainstalované v pracovním profilu zařízení.A VPN profile for Android for Work devices will enable a VPN connection only for apps that are installed on the device's work profile.

Některé typy připojení VPN podporují VPN pro jednotlivé aplikace pro zařízení s Androidem for Work a povolují VPN pro jednotlivé aplikace u aplikací distribuovaných prostřednictvím služby Intune.Some VPN connection types support per-app VPN for Android for Work devices, and for enabling per-app VPN on apps distributed through Intune.

  1. S konfigurací nastavení profilu VPN vám pomůže následující tabulka:Use the following table to help you configure the VPN profile settings:
Název nastaveníSetting name Další informaceMore information
NázevName Zadejte jedinečný název profilu sítě VPN, který vám pomůže ho v konzole Intune rozpoznat.Enter a unique name for the VPN profile to help you identify it in the Intune console.
PopisDescription Zadejte popis, který bude shrnovat účel profilu VPN, a uveďte jakékoli další důležité informace, které vám pomůžou ho najít.Provide a description that gives an overview of the VPN profile and other relevant information that helps you to locate it.
Název připojení VPN (zobrazený uživatelům)VPN connection name (displayed to users) Zadejte jméno nebo název profilu VPN.Specify a name for the VPN profile. Toto je název, který se uživatelům zobrazí v seznamu dostupných připojení VPN na zařízeních.This is the name that users will see in the list of available VPN connections on their devices.
Typ připojeníConnection type Vyberte jeden z následujících typů připojení pro použití s profilem VPN: Cisco AnyConnect (není k dispozici pro Windows 8.1 nebo Windows Phone 8.1), Pulse Secure, Citrix, F5 Edge Client, Dell SonicWALL Mobile Connect, CheckPoint Mobile VPN.Select one of the following connection types to use in the VPN profile: Cisco AnyConnect (not available for Windows 8.1 or Windows Phone 8.1), Pulse Secure, Citrix, F5 Edge Client, Dell SonicWALL Mobile Connect, CheckPoint Mobile VPN.
Popis serveru VPNVPN server description Zadejte popis serveru VPN, ke kterému se budou zařízení připojovat.Specify a description for the VPN server that devices will connect to. Příklad: Contoso VPN Server.Example: Contoso VPN Server. Pokud je typ připojení F5 Edge Client, použijte pro zadání seznamu popisů a IP adres serveru pole Seznam serverů.When the connection type is F5 Edge Client, use the Server list field to specify a list of server descriptions and IP addresses.
IP adresa nebo plně kvalifikovaný název domény (FQDN) serveruServer IP address or FQDN Zadejte IP adresu nebo plně kvalifikovaný název domény serveru VPN, ke kterému se bude zařízení připojovat.Provide the IP address or fully qualified domain name of the VPN server that devices will connect to. Příklady: 192.168.1.1, vpn.contoso.com. Pokud je typ připojení F5 Edge Client, použijte pro zadání seznamu popisů a IP adres serveru pole Seznam serverů.Examples: 192.168.1.1, vpn.contoso.com. When the connection type is F5 Edge Client, use the Server list field to specify a list of server descriptions and IP addresses.
Seznam serverůServer list Zvolením možnosti Přidat přidejte nový server sítě VPN určený pro připojení k síti VPN.Choose Add to add a new VPN server to use for the VPN connection. Můžete taky určit, který server bude pro připojení výchozí.You can also specify which server will be the default server for the connection. Tato možnost se zobrazí, jenom když je typ připojení F5 Edge Client.This option is displayed only when the connection type is F5 Edge Client.
Odesílat veškerý přenos v síti prostřednictvím připojení VPNSend all network traffic through the VPN connection Pokud vyberete tuto možnost, všechny síťové přenosy se budou odesílat prostřednictvím připojení VPN.If you select this option, all network traffic is sent through the VPN connection. Pokud tuto možnost nevyberete, klient bude dynamicky vyjednávat trasy pro dělené tunelové propojení při připojování k serveru sítě VPN jiného výrobce.If you do not select this option, the client will dynamically negotiate the routes for split tunneling upon connecting to the third-party VPN server. Prostřednictvím tunelu VPN se odesílají pouze připojení k firemní síti.Only connections to the company network are sent over a VPN tunnel. Tunelové propojení VPN se nepoužívá při připojení k prostředkům na Internetu.VPN tunneling is not used when you connect to resources on the Internet.
Metoda ověřováníAuthentication method Vyberte metodu ověřování používanou pro připojení VPN: Certifikáty nebo Uživatelské jméno a heslo.Select the authentication method that the VPN connection uses: Certificates or Username and Password. (Nastavení Uživatelské jméno a heslo není dostupné, pokud je typ připojení Cisco AnyConnect.) Možnost Metoda ověřování není dostupná pro Windows 8.1.(Username and Password is not available when the connection type is Cisco AnyConnect.) The Authentication method option is not available for Windows 8.1.
Zapamatovat si přihlašovací údaje při každém přihlášeníRemember the user credentials at each logon Výběrem této možnosti zajistíte, že se přihlašovací údaje uživatele uloží, takže je uživatel nebude muset zadávat při každém navázání připojení.Select this option to ensure that the user credentials are remembered so that the user does not have to enter credentials each time a connection is established.
Vyberte klientský certifikát pro ověření klienta (certifikát identity)Select a client certificate for client authentication (Identity Certificate) Vyberte certifikát klienta SCEP, který jste dříve vytvořili a který se použije k ověření připojení VPN.Select the client SCEP certificate that you previously created and that will be used to authenticate the VPN connection. Další informace o použití profilů certifikátů v Intune najdete v tématu Zabezpečení přístupu k prostředkům pomocí profilů certifikátů v Microsoft Intune.For more information about how to use certificate profiles in Intune, see Secure resource access with certificate profiles. Tato možnost se zobrazí jenom v případě, že je metoda ověřování Certifikáty.This option is displayed only when the authentication method is Certificates.
RoleRole Zadejte název role uživatele, který má přístup k tomuto připojení.Specify the name of the user role that has access to this connection. Role uživatele definuje osobní nastavení a možnosti a povolí nebo zakáže určité funkce přístupu.A user role defines personal settings and options, and it enables or disables certain access features. Tato možnost se zobrazí jenom v případě, že typ připojení je Pulse Secure nebo Citrix.This option is displayed only when the connection type is Pulse Secure or Citrix.
SféraRealm Zadejte název sféry ověření, kterou chcete použít.Specify the name of the authentication realm that you want to use. Sféra ověření je seskupení prostředků ověření používaných typem připojení Pulse Secure nebo Citrix.An authentication realm is a grouping of authentication resources that the Pulse Secure or Citrix connection type uses. Tato možnost se zobrazí jenom v případě, že typ připojení je Pulse Secure nebo Citrix.This option is displayed only when the connection type is Pulse Secure or Citrix.
Doména nebo skupina přihlášeníLogin group or domain Zadejte název domény nebo skupiny přihlášení, k níž se chcete připojit.Specify the name of the login group or domain that you want to connect to. Tato možnost se zobrazí jenom v případě, že se je typ připojení Dell SonicWALL Mobile Connect.This option is displayed only when the connection type is Dell SonicWALL Mobile Connect.
Otisk prstuFingerprint Zadejte řetězec, například „Kód otisku prstu Contoso“, který se použije k ověření, že je možné serveru VPN důvěřovat.Specify a string (for example, "Contoso Fingerprint Code") that will be used to verify that the VPN server can be trusted. Otisk prstu se může odeslat klientovi, aby věděl, že může důvěřovat jakémukoli serveru, který při připojování nabízí ten samý otisk.A fingerprint can be sent to the client so it knows to trust any server that presents the same fingerprint when connecting. Pokud zařízení ještě otisk prstu nemá, vyzve uživatele, aby důvěřoval serveru VPN, ke kterému se připojuje. Současně přitom zobrazuje otisk prstu.If the device doesn’t already have the fingerprint, it will prompt the user to trust the VPN server that they are connecting to while showing the fingerprint. (Uživatel ho ručně ověří a zvolí důvěryhodnost připojení.) Tato možnost se zobrazuje jenom v případě, že je typ připojení Kontrolní bod – mobilní síť VPN.(The user manually verifies the fingerprint and chooses trust to connect.) This option is displayed only when the connection type is CheckPoint Mobile VPN.
VPN na aplikaciPer App VPN Tuto možnost vyberte, pokud chcete toto připojení VPN přidružit k aplikaci pro iOS nebo Mac OS X tak, aby se připojení otevřelo při spuštění aplikace.Select this option if you want to associate this VPN connection with an iOS or Mac OS X app so that the connection will be opened when the app is run. Profil VPN je možné přidružit k aplikaci při nasazení softwaru.You can associate the VPN profile with an app when you deploy the software. Další informace najdete v tématu Nasazení aplikací v Microsoft Intune.For more information, see Deploy apps in Microsoft Intune.
VPN na vyžádáníOn-demand VPN VPN na vyžádání můžete nastavit pro zařízení s iOSem 8.0 a novější verzí.You can set up on-demand VPN for iOS 8.0 and later devices. Pokyny pro toto nastavení jsou uvedené v článku VPN na vyžádání pro zařízení s iOSem.Instructions for setting this up are provided in On-demand VPN for iOS devices.
Automaticky zjišťovat nastavení proxy (jenom iOS, Mac OS X, Windows 8.1 a Windows Phone 8.1)Automatically detect proxy settings (iOS, Mac OS X, Windows 8.1, and Windows Phone 8.1 only) Pokud server VPN vyžaduje pro připojení proxy server, zadejte, určete, jestli mají zařízení automaticky zjišťovat nastavení připojení.If your VPN server requires a proxy server for the connection, specify whether you want devices to automatically detect the connection settings. Další informace najdete v dokumentaci k Windows Serveru.For more information, see your Windows Server documentation.
Použít automatický konfigurační skript (jenom iOS, Mac OS X, Windows 8.1 a Windows Phone 8.1)Use automatic configuration script (iOS, Mac OS X, Windows 8.1, and Windows Phone 8.1 only) Pokud server VPN vyžaduje pro připojení proxy server, určete, jestli chcete k definování nastavení použít automatický konfigurační skript, a pak zadejte adresu URL souboru, který obsahuje nastavení.If your VPN server requires a proxy server for the connection, specify whether you want to use an automatic configuration script to define the settings, and then specify a URL to the file that contains the settings. Další informace najdete v dokumentaci k Windows Serveru.For more information, see your Windows Server documentation.
Použít proxy server (jenom iOS, Mac OS X, Windows 8.1 a Windows Phone 8.1)Use proxy server (iOS, Mac OS X, Windows 8.1, and Windows Phone 8.1 only) Pokud server VPN vyžaduje pro připojení proxy server, vyberte tuto možnost a potom zadejte adresu a číslo portu proxy serveru.If your VPN server requires a proxy server for the connection, select this option, and then specify the address and port number of the proxy server. Další informace najdete v dokumentaci k Windows Serveru.For more information, see your Windows Server documentation.
Nepoužívat nastavení proxy pro místní adresy (jenom iOS, Mac OS X, Windows 8.1 a Windows Phone 8.1)Bypass proxy settings for local addresses (iOS, Mac OS X, Windows 8.1, and Windows Phone 8.1 only) Pokud VPN server vyžaduje pro připojení proxy server, vyberte tuto možnost, když nechcete používat proxy server pro místní adresy, které zadáte.If your VPN server requires a proxy server for the connection, select this option if you do not want to use the proxy server for local addresses that you specify. Další informace najdete v dokumentaci k Windows Serveru.For more information, see your Windows Server documentation.
Vlastní XML (jenom Windows 8.1 a novější a Windows Phone 8.1 a novější)Custom XML (Windows 8.1 and later, and Windows Phone 8.1 and later) Zadejte vlastní příkazy XML, které konfigurují připojení VPN.Specify custom XML commands that configure the VPN connection. Příklad pro Pulse Secure: <pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>.Example for Pulse Secure: <pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>. Příklad pro CheckPoint Mobile VPN: <CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />.Example for CheckPoint Mobile VPN: <CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />. Příklad pro Dell SonicWALL Mobile Connect: <MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>.Example for Dell SonicWALL Mobile Connect: <MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>. Příklad pro F5 Edge Client: <f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>.Example for F5 Edge Client: <f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>. Další informace o tom, jak psát vlastní příkazy XML, najdete v dokumentaci k síti VPN jednotlivých výrobců.Refer to each manufacturer's VPN documentation for more information about how to write custom XML commands.
Seznam hledání přípon DNS (jenom Windows Phone 8.1)DNS Suffix search list (Windows Phone 8.1 only) Zadejte jednu příponu DNS na každém řádku.Specify one DNS suffix on each line. Každá zadaná přípona DNS se bude vyhledávat při připojení k webu pomocí krátkého názvu.Each DNS suffix that you specify will be searched when connecting to a website by using a short name. Například když zadáte přípony DNS domain1.contoso.com a domain2.contoso.com a navštívíte adresu http://mywebsite, vyhledají se adresy http://mywebsite.domain1.contoso.com a http://mywebsite.domain2.contoso.com.For example, specify the DNS suffixes domain1.contoso.com and domain2.contoso.com, visit the URL http://mywebsite, and the URLs http://mywebsite.domain1.contoso.com and http://mywebsite.domain2.contoso.com will be searched.
Obcházet VPN při připojení k síti Wi-Fi společnosti (jenom Windows Phone 8.1)Bypass VPN when connected to company Wi-Fi network (Windows Phone 8.1 only) Výběrem této možnosti určíte, že se připojení VPN nebude používat při připojení zařízení k podnikové síti Wi-Fi.Select this option to specify that the VPN connection will not be used when the device is connected to the company Wi-Fi network.
Obcházet VPN při připojení k domácí síti Wi-Fi (jenom Windows Phone 8.1)Bypass VPN when connected to home Wi-Fi network (Windows Phone 8.1 only) Výběrem této možnosti určíte, že se připojení VPN nebude používat při připojení zařízení k domácí síti Wi-Fi.Select this option to specify that the VPN connection will not be used when the device is connected to a home Wi-Fi network.

Pro desktopová a mobilní zařízení s Windows 10 jsou dostupná následující dodatečná nastavení.The following additional settings are available for Windows 10 desktop and mobile devices.

Název nastaveníSetting name Další informaceMore information
Pravidla pro provoz sítěNetwork traffic rules Vyberte, které protokoly a které rozsahy místních a vzdálených portů a adres budou povolené pro připojení VPN.Select which protocols, and which local and remote port and address ranges, will be enabled for the VPN connection. Když nevytvoříte pravidlo pro provoz sítě, budou povolené všechny protokoly, porty a rozsahy adres.If you do not create a network traffic rule, all protocols, ports, and address ranges are enabled. Po vytvoření pravidla se pro připojení VPN použijí jenom protokoly, porty a rozsahy adres, které určíte v tomto pravidle.After you create a rule, the VPN connection will use only the protocols, ports, and address ranges that you specify in that rule.
TrasyRoutes Vyberte, které trasy budou používat připojení VPN.Select which routes will use the VPN connection.
Servery DNSDNS servers Vyberte, které servery DNS bude připojení VPN po vytvoření připojení.Select which DNS servers the VPN connection will use after the connection is established.
Přidružené aplikaceAssociated apps Zadejte seznam aplikací, které budou automaticky používat připojení VPN.Provide a list of apps that will automatically use the VPN connection. Typ aplikace bude určovat identifikátor aplikace.The type of app will determine the app identifier. Pro univerzální aplikace zadejte identitu aplikace (PFN).For a universal app, provide the package family name. Pro desktopové aplikace zadejte cestu k souboru aplikace.For a desktop app, provide the file path of the app.

Důležité

Doporučujeme zabezpečit všechny seznamy aplikací, které zkompilujete pro použití v konfiguraci sítě VPN pro jednotlivé aplikace.We recommend that you secure all lists of apps that you compile for use in configuration of per-app VPN. Pokud seznam upraví neoprávněný uživatel a vy seznam naimportujete do seznamu aplikací sítě VPN pro jednotlivé aplikace, potenciálně tím autorizujete přístup k síti VPN pro aplikace, které by přístup mít neměly.If an unauthorized user modifies your list and you import it into the per-app VPN app list, you will potentially authorize VPN access to apps that should not have access. Jedním ze způsobů, jak zabezpečit seznamy aplikací, je použít seznam řízení přístupu (ACL).One way you can secure app lists is by using an access control list (ACL).

Tady je příklad, kdy můžete použít nastavení podnikových hranic.Here's an example of when you might use settings for corporate boundaries. Když chcete povolit VPN jenom pro vzdálenou plochu, vytvořte pravidlo pro provoz sítě, které umožňuje přenos pro protokol 27 na externím portu 3996.If you want to enable VPN only for Remote Desktop, create a network traffic rule that allows traffic for protocol 27 on external port 3996. Žádný jiný provoz nebude síť VPN používat.No other traffic will use the VPN.

Definování tras v podnikových hranicích je užitečné, když typ připojení VPN neumožňuje určit, jak se provoz zpracovává při děleném tunelovém propojení.Defining routes in corporate boundaries is useful when your VPN connection type does not allow you to define how traffic is handled in split tunneling. V takovém případě použijte Trasy k výpisu tras, které budou používat síť VPN.In that case, use Routes to list the routes that will use the VPN.

Vytvořením vlastního nastavení OMA-URI můžete omezit využití sítě VPN zařízením s Windows 10 na konkrétní aplikace.You can restrict VPN usage for Windows 10 devices to specific apps by creating a custom OMA-URI setting.

Nová zásada se zobrazí v uzlu Zásady konfigurace pracovního prostoru Zásady.The new policy appears in the Configuration Policies node of the Policy workspace.

VPN na vyžádání pro zařízení s iOSemOn-demand VPN for iOS devices

VPN na vyžádání můžete konfigurovat pro zařízení s iOSem 8.0 a novější verzí.You can configure on-demand VPN for iOS 8.0 and later devices.

Poznámka

VPN pro aplikaci a VPN na vyžádání nemůžete použít ve stejných zásadách.You cannot use per-app VPN and on-demand VPN in the same policy.

  1. Na stránce konfigurace zásad najděte Pravidla pro připojení na vyžádání pro toto připojení VPN.On the policy configuration page, find On-demand rules for this VPN connection. Sloupce jsou označeny Shoda – podmínka, kterou pravidla kontrolují, a Akce – akce, kterou zásady spustí při splnění podmínky.The columns are labeled Match, the condition that the rules check for, and Action, the action that the policy will trigger when the condition is matched.
  2. Zvolte Přidat a vytvořte pravidlo.Choose Add to create a rule. Existují dva typy shod, které v pravidle můžete nastavit.There are two types of matches that you can set up in the rule. V jednotlivém pravidle můžete konfigurovat pouze jeden z těchto typů.You can only configure one of these types per rule.
    • SSID: Odkazuje na bezdrátové sítě.SSIDs - which refer to wireless networks.
    • Domény hledání DNS: Můžete použít plně kvalifikované názvy domén, například team. corp.contoso.com, nebo domény, například contoso.com, které jsou obdobou použití * .contoso.com.DNS search domains - You can use full-qualified domain names such as team. corp.contoso.com, or use domains such as contoso.com, which is the equivalent of using * .contoso.com.
  3. Volitelné: Zadejte test řetězce adresy URL, což je adresa URL, kterou pravidlo používá jako test.Optional :provide a URL string probe, which is a URL that the rule uses as a test. Pokud zařízení, na kterém je tento profil nainstalovaný, má k této adrese URL přístup bez přesměrování, naváže se připojení VPN a zařízení se připojí k cílové adrese URL.If the device on which this profile is installed is able to access this URL without redirection, the VPN will be established and the device will connect to the target URL. Uživatel neuvidí web testu řetězce adresy URL.The user will not see the URL string probe site. Příkladem testu řetězce adresy URL je adresa auditujícího webového serveru, který zkontroluje splnění bezpečnostních předpisů zařízením předtím, než ho připojí k VPN.An example of a URL string probe is the address of an auditing Web server that checks device compliance before connecting the VPN. Další možností je, že adresa URL otestuje schopnost VPN připojit se k webu předtím, než se zařízení připojí k cílové adrese URL skrze VPN.Another possibility is that the URL tests the ability of the VPN to connect to a site, before connecting the device to the target URL through the VPN.
  4. Vyberte jednu z těchto akcí:Choose one of these actions:

    • PřipojitConnect
    • Vyhodnotit připojení, která má tři nastavení. a.Evaluate connection, which has three settings a. Akce domény – zvolte Připojit v případě potřeby nebo Nikdy nepřipojovat b.Domain action - choose Connect if needed or Never connect b. Seznam domén oddělených čárkou – Toto konfigurujete jenom v případě, že zvolíte Akce domény v možnosti Připojit v případě potřeby. c.Comma-separated list of domains - you configure this only if you choose a Domain action of Connect if needed c. Požadovaný test řetězce adresy URL – Adresa URL protokolu HTTP nebo HTTPS (upřednostňováno), například https://vpntestprobe.contoso.com. Pravidlo zkontroluje, jestli z této adresy přichází odezva.Required URL string probe - an HTTP or HTTPS (preferred) URL, such as https://vpntestprobe.contoso.com. The rule will check to see if there's a response from this address. Pokud ne a Akce domény je nastavená na Připojit v případě potřeby, spustí se VPN.If not, and the Domain action is Connect if needed, the VPN will be triggered.

      Tip

      Příkladem použití této akce je situace, kdy některé weby v podnikové síti vyžadují přímé připojení nebo VPN připojení k podnikové síti, ale jiné to nepožadují.An example of when you might use this action is when some sites on your corporate network require a direct or VPN corporate network connection, but others do not. Pokud v Čárkami odděleném seznamu domén pro hledání DNS uvedete corp.contoso.com, můžete zvolit Připojit v případě potřeby a potom uvést seznam konkrétních webů v rámci této sítě, které mohou vyžadovat VPN, například sharepoint.corp.contoso.com. Pravidlo potom zkontrolujte dostupnost adresy vpntestprobe.contoso.com.If you list in Comma-separated list of DNS search domains corp.contoso.com, you can choose Connect if needed and then list specific sites within that network that may require VPN, such as sharepoint.corp.contoso.com. The rule will then check if vpntestprobe.contoso.com can be reached. V případě nedostupnosti se aktivuje VPN pro daný web SharePoint.If it can't, the VPN will be triggered for the sharepoint site.

    • Ignorovat – Způsobí ignorování jakýchkoli změn v připojení VPN.Ignore - this causes no change in the VPN connectivity. Pokud je VPN připojená, nechat ji připojenou, pokud není připojená, nepřipojovat.If the VPN is connected, leave it connected, if it's not connected, don't connect it. Můžete mít například pravidlo, které připojuje VPN pro všechny interní podnikové weby, ale chcete jeden z těchto interních webů zpřístupnit jenom v případě, kdy je zařízení skutečně připojené k podnikové síti.For example, you may have a rule that connects the VPN for all of your internal corporate web sites, but want to make one of those internal sites accessible only when the device is actually connected to the corporate network. V takovém případě vytvoříte pravidlo ignorování pro tento jeden web.In that case, you would create an ignore rule for that one site.
    • Odpojit – Při splnění podmínek odpojí zařízení od VPN.Disconnect - disconnect devices from the VPN when the conditions are matched. Do pole SSID můžete například uvést podnikové bezdrátové sítě a vytvořit pravidlo, které zařízení odpojí od VPN, když se připojí k jedné z těchto sítí.For example, you could list your corporate wireless networks in the SSIDs field, and create a rule that disconnects devices from the VPN when they connect to one of those networks.

Pravidla pro konkrétní domény se vyhodnocují před pravidly pro všechny domény.Domain-specific rules are evaluated before all-domain rules.

Nasazení zásadyDeploy the policy

  1. V pracovním prostoru Zásady vyberte zásadu, kterou chcete nasadit, a potom vyberte Spravovat nasazení.In the Policy workspace, select the policy that you want to deploy, and then choose Manage Deployment.

  2. V dialogovém okně Spravovat nasazení :In the Manage Deployment dialog box:

    • Pokud chcete zásadu nasadit, vyberte jednu nebo několik skupin, do kterých chcete zásady nasadit, a potom vyberte Přidat > OK.To deploy the policy, select one or more groups to which you want to deploy the policy, and then choose Add > OK.

    • Pokud chcete dialogové okno zavřít bez nasazení zásady, zvolte Zrušit.To close the dialog box without deploying it, choose Cancel.

Po úspěšné nasazení se uživatelům zobrazí název připojení VPN, který jste zadali v seznamu připojení VPN na jejich zařízeních.After successful deployment, users will see the VPN connection name that you specified in the list of VPN connections on their devices.

Shrnutí stavu a výstrahy na stránce Přehled v pracovním prostoru Zásady identifikují problémy se zásadami, které vyžadují vaši pozornost.A status summary and alerts on the Overview page of the Policy workspace identify issues with the policy that require your attention. Kromě toho se v pracovním prostoru Řídicí panel zobrazí shrnutí stavu.Additionally, a status summary appears in the Dashboard workspace.