Konfigurace nastavení sítě VPN na zařízeních s iOSem v Microsoft IntuneConfigure VPN settings on iOS devices in Microsoft Intune

Microsoft Intune obsahuje řadu nastavení sítě VPN, které můžete nasadit do zařízení s iOSem.Microsoft Intune includes many VPN settings that can be deployed to your iOS devices. Tato nastavení se používají k vytvoření a konfiguraci připojení sítě VPN k síti vaší organizace.These settings are used to create and configure VPN connections to your organization's network. Těmito nastaveními se zabývá tento článek.This article describes these settings. Některá nastavení jsou dostupná jen pro určité klienty VPN, jako je Citrix, Zscaler a další.Some settings are only available for some VPN clients, such as Citrix, Zscaler, and more.

Typ připojeníConnection type

Z následujícího seznamu dodavatelů vyberte typ připojení VPN:Select the VPN connection type from the following list of vendors:

  • Check Point Capsule VPNCheck Point Capsule VPN
  • Cisco Legacy AnyConnect: Platí pro Cisco Legacy AnyConnect aplikace verze 4.0.5x a starší.Cisco Legacy AnyConnect: Applicable to Cisco Legacy AnyConnect app version 4.0.5x and earlier.
  • Cisco AnyConnect: Platí pro Cisco AnyConnect aplikace verze 4.0.7x a novější.Cisco AnyConnect: Applicable to Cisco AnyConnect app version 4.0.7x and later.
  • SonicWall Mobile ConnectSonicWall Mobile Connect
  • F5 Přístup starší verze: Platí pro verze aplikace F5 Access 2.1 a starší.F5 Access Legacy: Applicable to F5 Access app version 2.1 and earlier.
  • F5 Access: Platí pro verze aplikace F5 Access 3.0 nebo novější.F5 Access: Applicable to F5 Access app version 3.0 and later.
  • Palo Alto Networks GlobalProtect (starší verze) : Platí pro Palo Alto sítě GlobalProtect aplikace verze 4.1 a starší.Palo Alto Networks GlobalProtect (Legacy): Applicable to Palo Alto Networks GlobalProtect app version 4.1 and earlier.
  • Palo Alto Networks GlobalProtect: Platí pro Palo Alto sítě GlobalProtect aplikace verze 5.0 a novější.Palo Alto Networks GlobalProtect: Applicable to Palo Alto Networks GlobalProtect app version 5.0 and later.
  • Pulse SecurePulse Secure
  • Cisco (IPSec)Cisco (IPSec)
  • Citrix VPNCitrix VPN
  • Citrix SSOCitrix SSO
  • Zscaler: Použití podmíněného přístupu, a umožňují uživatelům obejít Zscalerem přihlašovací obrazovka, pak musíte integrovat Zscalerem privátní přístup (ZPA) pomocí svého účtu Azure AD.Zscaler: To use Conditional Access, or allow users to bypass the Zscaler sign in screen, then you must integrate Zscaler Private Access (ZPA) with your Azure AD account. Podrobné pokyny najdete v dokumentaci k aplikaci Zscaler.For detailed steps, see the Zscaler documentation.
  • Vlastní VPNCustom VPN

Poznámka

Společnosti Cisco, Citrix, F5 a Palo Alto oznámily, že v iOSu 12 nebudou starší klienti fungovat.Cisco, Citrix, F5, and Palo Alto have announced that their legacy clients don't work on iOS 12. Co nejdříve byste tak měli provést migraci do nových aplikací.You should migrate to the new apps as soon as possible. Další informace najdete na blogu technické podpory pro Microsoft Intune.For more information, see the Microsoft Intune Support Team Blog.

Základní nastavení sítě VPNBase VPN settings

Nastavení, která jsou v následujícím seznamu, jsou ovlivněná zvoleným typem připojení k síti VPN.The settings shown in the following list are determined by the VPN connection type you choose.

  • Název připojení: Tento název koncoví uživatelé vidí, když na svém zařízení procházejí seznamem dostupných připojení VPN.Connection name: End users see this name when they browse their device for a list of available VPN connections.

  • Vlastní název domény (Zscalerem pouze): Předvyplní aplikace Zscalerem pole pro přihlášení k doméně, které uživatelé patří do.Custom domain name (Zscaler only): Prepopulate the Zscaler app's sign in field with the domain your users belong to. Například pokud je uživatelské jméno Joe@contoso.net, zobrazí se při otevření aplikace v poli statická doména contoso.net.For example, if a username is Joe@contoso.net, then the contoso.net domain statically appears in the field when the app opens. Pokud nezadáte název domény, použije se v Azure Active Directory (AD) doménová část hlavního názvu uživatele (UPN).If you don't enter a domain name, then the domain portion of the UPN in Azure Active Directory (AD) is used.

  • IP adresa nebo plně kvalifikovaný název domény: IP adresa nebo plně kvalifikovaný název domény (FQDN) serveru VPN, který napojení na zařízení.IP address or FQDN: The IP address or fully qualified domain name (FQDN) of the VPN server that devices connect with. Zadejte například 192.168.1.1 nebo vpn.contoso.com.For example, enter 192.168.1.1 or vpn.contoso.com.

  • Název organizace v cloudu (Zscalerem pouze): Zadejte název cloudu, ve kterém je vaše organizace zřízený.Organization's cloud name (Zscaler only): Enter the cloud name where your organization is provisioned. Název je v adrese URL, kterou používáte k přihlášení do aplikace Zscaler.The URL you use to sign in to Zscaler has the name.

  • Metoda ověřování: Zvolte, jak zařízení ověření vůči serveru VPN.Authentication method: Choose how devices authenticate to the VPN server.

    • Certifikáty: V části ověřovací certifikát, vyberte profil k ověření připojení existující SCEP nebo PKCS certifikátu.Certificates: Under Authentication certificate, select an existing SCEP or PKCS certificate profile to authenticate the connection. V článku Konfigurace certifikátů najdete pokyny k profilům certifikátů.Configure certificates provides some guidance about certificate profiles.

    • Uživatelské jméno a heslo: Koncoví uživatelé musí zadat uživatelské jméno a heslo pro přihlášení k serveru VPN.Username and password: End users must enter a username and password to sign in to the VPN server.

      Poznámka

      Pokud se jako metoda ověřování pro Cicso IPsec VPN používá uživatelské jméno a heslo, musí prostřednictvím vlastního profilu Apple Configuratoru poskytovat tajný kód SharedSecret.If username and password are used as the authentication method for Cisco IPsec VPN, they must deliver the SharedSecret through a custom Apple Configurator profile.

  • Vyloučené adresy URL (Zscalerem pouze): Při připojení k síti VPN Zscalerem, jsou přístupné mimo cloud Zscalerem uvedených adres URL.Excluded URLs (Zscaler only): When connected to the Zscaler VPN, the listed URLs are accessible outside the Zscaler cloud.

  • Dělené tunelové propojení: Povolit nebo zakázat do zařízení mohla rozhodnout, které připojení se má použít, v závislosti na provoz.Split tunneling: Enable or Disable to let devices decide which connection to use, depending on the traffic. Uživatel v hotelu například pro přístup k pracovním souborům použije připojení VPN, ale pro běžné procházení webu bude používat standardní síť hotelu.For example, a user in a hotel uses the VPN connection to access work files, but uses the hotel's standard network for regular web browsing.

  • Identifikátor VPN (vlastní VPN Zscalerem a Citrix): Identifikátor aplikace VPN používáte a získáte ho od poskytovatele připojení VPN.VPN identifier (Custom VPN, Zscaler, and Citrix): An identifier for the VPN app you're using, and is supplied by your VPN provider.

    • Zadejte páry klíč/hodnota pro vlastní atributy VPN vaší organizace: Přidejte nebo naimportujte klíče a hodnoty , který nichž si přizpůsobíte připojení VPN.Enter key/value pairs for your organization's custom VPN attributes: Add or import Keys and Values that customize your VPN connection. Nezapomeňte, že tyto hodnoty obvykle dodá poskytovatel připojení VPN.Remember, these values are typically supplied by your VPN provider.
  • Povolit řízení přístupu k síti (NAC) (jednotné přihlašování Citrix, F5 přístup): Pokud zvolíte souhlasím, zařízení je ID zahrnutá v profilu sítě VPN.Enable network access control (NAC) (Citrix SSO, F5 Access): When you choose I agree, the device ID is included in the VPN profile. Toto ID můžete použít k ověření k síti VPN povolit nebo zakázat přístup k síti.This ID can be used for authentication to the VPN to allow or prevent network access.

    Při použití přístupu F5, nezapomeňte:When using F5 Access, be sure to:

    Při použití Citrix SSO s bránou, nezapomeňte:When using Citrix SSO with Gateway, be sure to:

    Důležité podrobnosti:Important details:

    • Když je povolené NAC, síť VPN se odpojí každých 24 hodin.When NAC is enabled, the VPN is disconnected every 24 hours. Můžete třeba okamžitě znovu síť VPN.The VPN can immediately be reconnected.
    • ID zařízení je součástí profilu, ale nebude zobrazen v Intune.The device ID is part of the profile, but it isn't shown in Intune. Microsoft toto ID nikde neukládá, ani ho nesdílí.This ID isn't stored by Microsoft anywhere, and isn't shared by Microsoft.

    Pokud ID zařízení je podpora partnerů pro sítě VPN, klient VPN, jako je jednotné přihlašování Citrix, můžete získat ID.When the device ID is supported by VPN partners, the VPN client, such as Citrix SSO, can get the ID. Potom se můžete dotazovat Intune potvrďte registraci zařízení, a pokud je profil sítě VPN nebo nesplňují předpisy.Then, it can query Intune to confirm the device is enrolled, and if the VPN profile is compliant or not compliant.

    • Pokud chcete toto nastavení odebrat, znovu profil vytvořte, ale nevybírejte při tom Souhlasím.To remove this setting, recreate the profile, and don't select I agree. Pak profil znovu přiřaďte.Then, reassign the profile.

Automatické nastavení sítě VPNAutomatic VPN settings

  • Per-app VPN: Umožňuje VPN pro jednotlivé aplikace.Per-app VPN: Enables per-app VPN. Při otevření určitých aplikací automaticky aktivuje připojení VPN.Allows the VPN connection to trigger automatically when certain apps are opened. Aplikace také můžete přidružit k danému profilu sítě VPN.Also associate the apps with this VPN profile. Podrobnější informace najdete v pokynech pro nastavení sítě VPN pro aplikaci pro iOS.For more information, see instructions for setting up per-app VPN for iOS.

    • Typ zprostředkovatele: K dispozici je pouze pro Pulse Secure a vlastní sítě VPN.Provider Type: Only available for Pulse Secure and Custom VPN.
    • Pokud používáte profily VPN pro jednotlivé aplikace pro iOS s typem Pulse Secure nebo Vlastní VPN, zvolte tunelování v aplikační vrstvě (proxy aplikace) nebo na úrovni paketů (tunel pro pakety).When using iOS per-app VPN profiles with Pulse Secure or a Custom VPN, choose app-layer tunneling (app-proxy) or packet-level tunneling (packet-tunnel). U tunelování v aplikační vrstvě nastavte hodnotu ProviderType na app-proxy, u tunelování na úrovni paketů na packet-tunnel.Set the ProviderType value to app-proxy for app-layer tunneling, or packet-tunnel for packet-layer tunneling. Pokud si nejste jistí, jakou hodnotu použít, podívejte se do dokumentace poskytovatele připojení VPN.If you're not sure which value to use, check your VPN provider's documentation.
    • Adresy URL Safari, které aktivují tuto síť VPN: Přidejte jeden nebo více adres URL webů.Safari URLs that will trigger this VPN: Add one or more web site URLs. Při návštěvě těchto adres URL pomocí prohlížeče Safari na zařízení se automaticky naváže připojení k VPN.When these URLs are visited using the Safari browser on the device, the VPN connection is automatically established.
  • VPN na vyžádání: Nakonfigurujte podmíněná pravidla, která řídí zahájení připojení k síti VPN.On-demand VPN: Configure conditional rules that control when the VPN connection is started. Můžete třeba vytvořit podmínku, že se připojení VPN použije, jen pokud zařízení není připojené k firemní síti Wi-Fi.For example, create a condition where the VPN connection is only used when a device isn't connected to a company Wi-Fi network. Nebo můžete vytvořit podmínku.Or, create a condition. Pokud zařízení nemá přístup k zadané doméně hledání DNS zadáte a připojení VPN není spuštěna.For example, if a device can't access a DNS search domain you enter, then the VPN connection isn't started.

    • Identifikátory SSID nebo domény hledání DNS: Vyberte, jestli této podmínce používají bezdrátové sítě SSID, nebo domény hledání DNS.SSIDs or DNS search domains: Select whether this condition uses wireless network SSIDs, or DNS search domains. Zvolte Přidat a nakonfigurujte minimálně jeden identifikátor SSID nebo doménu hledání.Choose Add to configure one or more SSIDs or search domains.
    • Test řetězce adresy URL: Volitelné.URL string probe: Optional. Zadejte adresu URL, kterou pravidlo použije pro účely testování.Enter a URL that the rule uses as a test. Pokud zařízení s tímto profilem přistupuje k této adrese URL bez přesměrování, je spustit připojení VPN.If the device with this profile accesses this URL without redirection, then the VPN connection is started. A zařízení se připojí k cílové adrese URL.And, the device connects to the target URL. Uživatel neuvidí testovací web řetězce adresy URL.The user doesn't see the URL string probe site. Příkladem testu řetězce adresy URL je adresa auditujícího webového serveru, který zkontroluje dodržování předpisů zařízením předtím, než ho připojí k VPN.A URL string probe example is the address of an auditing Web server that checks device compliance before connecting the VPN. Další možností je, že adresa URL otestuje schopnost sítě VPN připojit se k webu předtím, než se zařízení připojí k cílové adrese URL přes síť VPN.Another possibility is that the URL tests the ability of the VPN to connect to a site before connecting the device to the target URL through the VPN.
    • Akce domény: Zvolte jednu z následujících možností:Domain action: Choose one of the following items:
      • Připojit v případě potřebyConnect if needed
      • NepřipojovatNever connect
    • Akce: Zvolte jednu z následujících možností:Action: Choose one of the following items:
      • PřipojitConnect
      • Vyhodnotit připojeníEvaluate connection
      • IgnorovatIgnore
      • OdpojeníDisconnect

Nastavení proxy serveruProxy settings

Pokud používáte proxy server, nakonfigurujte následující nastavení.If you're using a proxy, configure the following settings. Nastavení proxy serveru nejsou k dispozici pro připojení VPN typu Zscaler.Proxy settings aren't available for Zscaler VPN connections.

  • Skript automatické konfigurace: Pomocí souboru konfigurace proxy serveru.Automatic configuration script: Use a file to configure the proxy server. Zadejte adresu URL proxy serveru (například http://proxy.contoso.com), na které je konfigurační soubor.Enter the Proxy server URL (for example http://proxy.contoso.com) that includes the configuration file.
  • Adresa: Zadejte IP adresu plně kvalifikovaného názvu hostitele proxy serveru.Address: Enter the IP address of fully qualified host name of the proxy server.
  • Číslo portu: Zadejte číslo portu přidruženého k proxy serveru.Port number: Enter the port number associated with the proxy server.

Další krokNext step

Vytváření profilů sítě VPN v IntuneCreate VPN profiles in Intune