Connexions VPN dans Microsoft IntuneVPN connections in Microsoft Intune

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

Les réseaux privés virtuels (ou VPN) donnent à vos utilisateurs un accès distant sécurisé à votre réseau d’entreprise.Virtual private networks (VPNs) give your users secure remote access to your company network. Les appareils utilisent un profil de connexion VPN pour établir une connexion avec le serveur VPN.Devices use a VPN connection profile to initiate a connection with the VPN server. Utilisez les profils VPN dans Microsoft Intune pour déployer des paramètres VPN sur les utilisateurs et appareils de votre organisation, afin qu’ils puissent se connecter au réseau facilement et en toute sécurité.Use VPN profiles in Microsoft Intune to deploy VPN settings to users and devices in your organization, so they can easily and securely connect to the network.

Par exemple, supposons que vous voulez approvisionner tous les appareils iOS en fonction des paramètres nécessaires pour se connecter à un partage de fichiers sur le réseau d’entreprise.For example, assume that you want to provision all iOS devices with the settings required to connect to a file share on the corporate network. Vous créez un profil VPN contenant les paramètres nécessaires pour se connecter au réseau d’entreprise, puis vous déployez ce profil pour tous les utilisateurs qui ont des appareils iOS.You create a VPN profile that contains the settings necessary to connect to the corporate network, and then you deploy this profile to all users who have iOS devices. Les utilisateurs voient la connexion VPN dans la liste des réseaux disponibles et peuvent se connecter avec un minimum d’effort.The users will see the VPN connection in the list of available networks and can connect with minimal effort.

Vous pouvez configurer les types d’appareil suivants avec des profils VPN :You can configure the following device types by using VPN profiles:

  • Appareils qui exécutent Android 4 et versions ultérieuresDevices that run Android 4 and later
  • Appareils Android for WorkAndroid for Work devices
  • Appareils qui exécutent iOS 8.0 et versions ultérieuresDevices that run iOS 8.0 and later
  • Appareils qui exécutent Mac OS X 10.9 et versions ultérieuresDevices that run Mac OS X 10.9 and later
  • Appareils inscrits qui exécutent Windows 8.1 et versions ultérieuresEnrolled devices that run Windows 8.1 and later
  • Appareils qui exécutent Windows Phone 8.1 et versions ultérieuresDevices that run Windows Phone 8.1 and later
  • Appareils qui exécutent Windows 10 Desktop et MobileDevices that run Windows 10 desktop and mobile

Les options de configuration de profil VPN varient selon le type d’appareil sélectionné.The VPN profile configuration options differ depending on the device type that you select.

Types de connexions VPNVPN connection types

Intune prend en charge la création de profils VPN qui utilisent les types de connexions suivants :Intune supports creating VPN profiles that use the following connection types:

Type de connexionConnection type iOS et Mac OS XiOS and Mac OS X Android et Android for WorkAndroid and Android for Work Windows 8.1Windows 8.1 Windows RT 8.1Windows RT 8.1 Windows Phone 8.1Windows Phone 8.1 Windows 10 Desktop et MobileWindows 10 desktop and mobile
Cisco AnyConnectCisco AnyConnect OuiYes OuiYes NonNo NonNo NonNo Oui (OMA-URI, mobile uniquement)Yes (OMA-URI, mobile only)
Cisco (IPsec)Cisco (IPsec) OuiYes OuiYes NonNo NonNo NonNo NonNo
CitrixCitrix OuiYes Oui (Android uniquement)Yes (Android only) NonNo NonNo NonNo NonNo
Pulse SecurePulse Secure OuiYes OuiYes OuiYes OuiYes OuiYes OuiYes
Client F5 Microsoft EdgeF5 Edge Client OuiYes OuiYes OuiYes OuiYes OuiYes OuiYes
Dell SonicWALL Mobile ConnectDell SonicWALL Mobile Connect OuiYes OuiYes OuiYes OuiYes OuiYes OuiYes
CheckPoint Mobile VPNCheckPoint Mobile VPN OuiYes OuiYes OuiYes OuiYes OuiYes OuiYes
Microsoft SSL (SSTP)Microsoft SSL (SSTP) NonNo NonNo NonNo NonNo NonNo VPNv1 OMA-URIVPNv1 OMA-URI
Microsoft AutomaticMicrosoft Automatic NonNo NonNo NonNo NonNo Oui (OMA-URI)Yes (OMA-URI) OuiYes
IKEv2IKEv2 Profil personnalisé iOSiOS custom profile NonNo NonNo NonNo Oui (OMA-URI)Yes (OMA-URI) OuiYes
PPTPPPTP Profil personnalisé iOSiOS custom profile NonNo NonNo NonNo NonNo OuiYes
L2TPL2TP Profil personnalisé iOSiOS custom profile NonNo NonNo NonNo Oui (OMA-URI)Yes (OMA-URI) OuiYes

* Sans les paramètres supplémentaires qui sont disponibles pour Windows 10.* Without additional settings that are otherwise available for Windows 10.

Important

Avant de pouvoir utiliser les profils VPN déployés sur un appareil, vous devez installer l'application VPN applicable pour le profil.Before you can use VPN profiles deployed to a device, you must install the applicable VPN app for the profile. Vous pouvez utiliser les informations fournies dans la rubrique Déployer des applications dans Microsoft Intune pour vous aider à déployer l’application applicable avec Intune.You can use the information in the Deploy apps in Microsoft Intune topic to help you deploy the applicable app by using Intune.

Apprenez à créer des profils VPN personnalisés à l’aide des paramètres de l’URI dans Configurations personnalisées pour les profils VPN.Learn how to create custom VPN profiles by using URI settings in Custom configurations for VPN profiles.

Méthodes de sécurisation des profils VPNMethods of securing VPN profiles

Les profils VPN peuvent utiliser différents types de connexion et protocole de fabricants différents.VPN profiles can use a number of different connection types and protocols from different manufacturers. Ces connexions sont généralement sécurisées à l’aide de l’une des deux méthodes suivantes.These connections are typically secured through one of two methods.

CertificatsCertificates

Quand vous créez le profil VPN, vous choisissez un profil de certificat SCEP ou PFX que vous avez créé précédemment dans Intune.When you create the VPN profile, you choose a SCEP or PFX certificate profile that you previously created in Intune. Il s’agit du certificat d’identité.This is known as the identity certificate. Il est utilisé pour effectuer une authentification auprès d’un profil de certificat approuvé (ou certificat racine) que vous avez créé pour établir que l’utilisateur est autorisé à se connecter.It's used to authenticate against a trusted certificate profile (or root certificate) that you created to establish that the user’s device is allowed to connect. Le certificat approuvé est déployé sur l'ordinateur qui authentifie la connexion VPN, en règle générale le serveur VPN.The trusted certificate is deployed to the computer that authenticates the VPN connection, typically, the VPN server.

Pour plus d’informations sur la création et l’utilisation des profils de certificat dans Intune, consultez Sécuriser l’accès aux ressources avec des profils de certificat.For more information about how to create and use certificate profiles in Intune, see Secure resource access with certificate profiles.

Nom d'utilisateur et mot de passeUser name and password

L’utilisateur s’authentifie auprès du serveur VPN en fournissant un nom d’utilisateur et un mot de passe.The user authenticates to the VPN server by providing a user name and password.

Créer un profil VPNCreate a VPN profile

  1. Dans la console d’administration Microsoft Intune, choisissez Stratégie > Ajouter une stratégie.In the Microsoft Intune administration console, choose Policy > Add Policy.
  2. Sélectionnez un modèle pour la nouvelle stratégie en développant le type d’appareil approprié, puis choisissez le profil VPN pour cet appareil :Select a template for the new policy by expanding the relevant device type, and then choose the VPN profile for that device:

    • Profil VPN (Android 4 et versions ultérieures)VPN Profile (Android 4 and later)
    • Profil VPN (Android for Work)VPN Profile (Android for Work)
    • Profil VPN (iOS 8.0 et versions ultérieures)VPN Profile (iOS 8.0 and later)
    • Profil VPN (Mac OS X 10.9 et versions ultérieures)VPN Profile (Mac OS X 10.9 and later)
    • Profil VPN (Windows 8.1 et versions ultérieures)VPN Profile (Windows 8.1 and later)
    • Profil VPN (Windows Phone 8.1 et versions ultérieures)VPN Profile (Windows Phone 8.1 and later)
    • Profil VPN (Windows 10 Desktop et Mobile, et versions ultérieures)VPN Profile (Windows 10 Desktop and Mobile and later)

    Vous pouvez créer et déployer une stratégie de profil VPN personnalisée uniquement.You can create and deploy only a custom VPN profile policy. Les paramètres recommandés ne sont pas disponibles.Recommended settings are not available.

Note

Un profil VPN pour les appareils Android for Work ne permet une connexion VPN que pour les applications qui sont installées sur le profil professionnel de l’appareil.A VPN profile for Android for Work devices will enable a VPN connection only for apps that are installed on the device's work profile.

Certains types de connexions VPN prennent en charge le mode VPN par application pour les appareils Android for Work et pour l’activation du mode VPN par application sur les applications distribuées via Intune.Some VPN connection types support per-app VPN for Android for Work devices, and for enabling per-app VPN on apps distributed through Intune.

  1. Utilisez le tableau suivant pour vous aider à configurer les paramètres de profil VPN :Use the following table to help you configure the VPN profile settings:
Nom du paramètreSetting name Plus d'informationsMore information
NomName Entrez un nom unique pour le profil VPN pour vous aider à l’identifier dans la console Intune.Enter a unique name for the VPN profile to help you identify it in the Intune console.
DescriptionDescription Fournissez une description qui donne un aperçu du profil VPN et d'autres informations pertinentes pour mieux le localiser.Provide a description that gives an overview of the VPN profile and other relevant information that helps you to locate it.
Nom de la connexion VPN (affiché aux utilisateurs)VPN connection name (displayed to users) Spécifiez un nom pour le profil VPN.Specify a name for the VPN profile. Il s'agit du nom que voient les utilisateurs dans la liste des connexions VPN disponibles sur leurs appareils.This is the name that users will see in the list of available VPN connections on their devices.
Type de connexionConnection type Sélectionnez l’un des types de connexions suivants à utiliser dans le profil VPN : Cisco AnyConnect (non disponible pour Windows 8.1 ou Windows Phone 8.1), Pulse Secure, Citrix, F5 Edge Client, Dell SonicWALL Mobile Connect, CheckPoint Mobile VPN.Select one of the following connection types to use in the VPN profile: Cisco AnyConnect (not available for Windows 8.1 or Windows Phone 8.1), Pulse Secure, Citrix, F5 Edge Client, Dell SonicWALL Mobile Connect, CheckPoint Mobile VPN.
Description du serveur VPNVPN server description Spécifiez une description pour le serveur VPN auquel les appareils se connecteront.Specify a description for the VPN server that devices will connect to. Exemple : serveur VPN Contoso.Example: Contoso VPN Server. Quand le type de connexion est Client F5 Microsoft Edge, utilisez le champ Liste de serveurs pour spécifier une liste de descriptions et d'adresses IP de serveur.When the connection type is F5 Edge Client, use the Server list field to specify a list of server descriptions and IP addresses.
Adresse IP du serveur ou nom de domaine completServer IP address or FQDN Fournissez l'adresse IP ou le nom de domaine complet du serveur VPN auquel les appareils se connectent.Provide the IP address or fully qualified domain name of the VPN server that devices will connect to. Exemples : 192.168.1.1, vpn.contoso.com. Quand le type de connexion est Client F5 Microsoft Edge, utilisez le champ Liste de serveurs pour spécifier une liste de descriptions et d'adresses IP de serveur.Examples: 192.168.1.1, vpn.contoso.com. When the connection type is F5 Edge Client, use the Server list field to specify a list of server descriptions and IP addresses.
Liste de serveursServer list Choisissez Ajouter pour ajouter un nouveau serveur VPN à utiliser pour la connexion VPN.Choose Add to add a new VPN server to use for the VPN connection. Vous pouvez aussi spécifier le serveur par défaut pour la connexion.You can also specify which server will be the default server for the connection. Cette option est visible uniquement quand le type de connexion est Client F5 Microsoft Edge.This option is displayed only when the connection type is F5 Edge Client.
Envoyer tout le trafic réseau via la connexion VPNSend all network traffic through the VPN connection Si vous sélectionnez cette option, tout le trafic réseau est envoyé via la connexion VPN.If you select this option, all network traffic is sent through the VPN connection. Si vous ne sélectionnez pas cette option, le client négocie dynamiquement les itinéraires pour le tunneling fractionné durant la connexion au serveur VPN tiers.If you do not select this option, the client will dynamically negotiate the routes for split tunneling upon connecting to the third-party VPN server. Seules les connexions au réseau d'entreprise sont envoyées via un tunnel VPN.Only connections to the company network are sent over a VPN tunnel. La tunnelisation VPN n'est pas utilisée quand vous vous connectez à des ressources sur Internet.VPN tunneling is not used when you connect to resources on the Internet.
Méthodes d’authentificationAuthentication method Sélectionnez la méthode d’authentification que la connexion VPN utilise : Certificats ou Nom d’utilisateur et mot de passe.Select the authentication method that the VPN connection uses: Certificates or Username and Password. (Nom d’utilisateur et mot de passe n’est pas disponible quand le type de connexion est Cisco AnyConnect.) L'option Méthode d’authentification n’est pas disponible pour Windows 8.1.(Username and Password is not available when the connection type is Cisco AnyConnect.) The Authentication method option is not available for Windows 8.1.
Conserver les informations d’identification de l’utilisateur à chaque ouverture de sessionRemember the user credentials at each logon Sélectionnez cette option pour vous assurer que les informations d'identification sont mémorisées, pour que l'utilisateur n'ait pas à les entrer chaque fois qu'une connexion est établie.Select this option to ensure that the user credentials are remembered so that the user does not have to enter credentials each time a connection is established.
Sélectionner un certificat client pour l’authentification client (certificat d’identité)Select a client certificate for client authentication (Identity Certificate) Sélectionnez le certificat SCEP client que vous avez créé précédemment et qui sera utilisé pour authentifier la connexion VPN.Select the client SCEP certificate that you previously created and that will be used to authenticate the VPN connection. Pour plus d’informations sur la façon de créer des profils de certificat dans Intune, consultez Sécuriser l’accès aux ressources avec des profils de certificat.For more information about how to use certificate profiles in Intune, see Secure resource access with certificate profiles. Cette option est visible uniquement quand la méthode d'authentification est Certificats.This option is displayed only when the authentication method is Certificates.
RôleRole Spécifiez le nom du rôle d'utilisateur qui a accès à cette connexion.Specify the name of the user role that has access to this connection. Un rôle d’utilisateur définit des options et des paramètres personnels, et active ou désactive certaines fonctionnalités d’accès.A user role defines personal settings and options, and it enables or disables certain access features. Cette option est visible uniquement quand le type de connexion est Pulse Secure ou Citrix.This option is displayed only when the connection type is Pulse Secure or Citrix.
DomaineRealm Spécifiez le nom du domaine d'authentification que vous souhaitez utiliser.Specify the name of the authentication realm that you want to use. Un domaine d’authentification est un regroupement de ressources d’authentification qu’utilise le type de connexion Pulse Secure ou Citrix.An authentication realm is a grouping of authentication resources that the Pulse Secure or Citrix connection type uses. Cette option est visible uniquement quand le type de connexion est Pulse Secure ou Citrix.This option is displayed only when the connection type is Pulse Secure or Citrix.
Groupe de connexion ou domaineLogin group or domain Spécifiez le nom du groupe de connexion ou domaine auquel vous souhaitez vous connecter.Specify the name of the login group or domain that you want to connect to. Cette option est visible uniquement quand le type de connexion est Dell SonicWALL Mobile Connect.This option is displayed only when the connection type is Dell SonicWALL Mobile Connect.
Empreinte digitaleFingerprint Spécifiez une chaîne (par exemple « Code d’empreinte digitale Contoso ») qui sera utilisée pour vérifier que le serveur VPN est digne de confiance.Specify a string (for example, "Contoso Fingerprint Code") that will be used to verify that the VPN server can be trusted. Une empreinte digitale peut être envoyée au client pour que celui-ci sache qu’il peut approuver n’importe quel serveur présentant cette même empreinte lors de la connexion.A fingerprint can be sent to the client so it knows to trust any server that presents the same fingerprint when connecting. Si l’appareil n’a pas encore l’empreinte digitale, il invite l’utilisateur à approuver le serveur VPN auquel il se connecte en affichant l’empreinte digitale.If the device doesn’t already have the fingerprint, it will prompt the user to trust the VPN server that they are connecting to while showing the fingerprint. (L’utilisateur vérifie manuellement l’empreinte digitale et choisit confiance pour se connecter.) Cette option est visible uniquement quand le type de connexion est CheckPoint Mobile VPN.(The user manually verifies the fingerprint and chooses trust to connect.) This option is displayed only when the connection type is CheckPoint Mobile VPN.
Par VPN d’applicationPer App VPN Sélectionnez cette option si vous souhaitez associer cette connexion VPN à une application iOS ou Mac OS X pour que la connexion s’ouvre quand l’application est exécutée.Select this option if you want to associate this VPN connection with an iOS or Mac OS X app so that the connection will be opened when the app is run. Vous pouvez associer le profil VPN à une application lors du déploiement du logiciel.You can associate the VPN profile with an app when you deploy the software. Pour plus d’informations, consultez Déployer des applications dans Microsoft Intune.For more information, see Deploy apps in Microsoft Intune.
VPN à la demandeOn-demand VPN Vous pouvez configurer un VPN à la demande pour les appareils iOS 8.0 et versions ultérieures.You can set up on-demand VPN for iOS 8.0 and later devices. Pour savoir comment procéder, consultez VPN à la demande pour les appareils iOS.Instructions for setting this up are provided in On-demand VPN for iOS devices.
Détecter automatiquement les paramètres du proxy (iOS, Mac OS X, Windows 8.1 et Windows Phone 8.1 uniquement)Automatically detect proxy settings (iOS, Mac OS X, Windows 8.1, and Windows Phone 8.1 only) Si votre serveur VPN nécessite un serveur proxy pour la connexion, spécifiez si vous souhaitez que les appareils détectent automatiquement les paramètres de connexion.If your VPN server requires a proxy server for the connection, specify whether you want devices to automatically detect the connection settings. Pour plus d'informations, consultez la documentation de Windows Server.For more information, see your Windows Server documentation.
Utiliser un script de configuration automatique (iOS, Mac OS X, Windows 8.1 et Windows Phone 8.1 uniquement)Use automatic configuration script (iOS, Mac OS X, Windows 8.1, and Windows Phone 8.1 only) Si votre serveur VPN nécessite un serveur proxy pour la connexion, spécifiez si vous souhaitez utiliser un script de configuration automatique pour définir les paramètres, puis spécifiez une URL vers le fichier qui contient les paramètres.If your VPN server requires a proxy server for the connection, specify whether you want to use an automatic configuration script to define the settings, and then specify a URL to the file that contains the settings. Pour plus d'informations, consultez la documentation de Windows Server.For more information, see your Windows Server documentation.
Utiliser un serveur proxy (iOS, Mac OS X, Windows 8.1 et Windows Phone 8.1 uniquement)Use proxy server (iOS, Mac OS X, Windows 8.1, and Windows Phone 8.1 only) Si votre serveur VPN nécessite un serveur proxy pour la connexion, sélectionnez cette option, puis spécifiez l'adresse et le numéro de port du serveur proxy.If your VPN server requires a proxy server for the connection, select this option, and then specify the address and port number of the proxy server. Pour plus d'informations, consultez la documentation de Windows Server.For more information, see your Windows Server documentation.
Ignorer les paramètres du proxy pour les adresses locales (iOS, Mac OS X, Windows 8.1 et Windows Phone 8.1 uniquement)Bypass proxy settings for local addresses (iOS, Mac OS X, Windows 8.1, and Windows Phone 8.1 only) Si votre serveur VPN nécessite un serveur proxy pour la connexion, sélectionnez cette option si vous ne souhaitez pas utiliser le serveur proxy pour les adresses locales que vous spécifiez.If your VPN server requires a proxy server for the connection, select this option if you do not want to use the proxy server for local addresses that you specify. Pour plus d'informations, consultez la documentation de Windows Server.For more information, see your Windows Server documentation.
XML personnalisé (Windows 8.1 et versions ultérieures, et Windows Phone 8.1 et versions ultérieures)Custom XML (Windows 8.1 and later, and Windows Phone 8.1 and later) Spécifiez des commandes XML personnalisées qui configurent la connexion VPN.Specify custom XML commands that configure the VPN connection. Exemple pour Pulse Secure : <pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>.Example for Pulse Secure: <pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>. Exemple pour CheckPoint Mobile VPN : <CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />.Example for CheckPoint Mobile VPN: <CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />. Exemple pour Dell SonicWALL Mobile Connect : <MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>.Example for Dell SonicWALL Mobile Connect: <MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>. Exemple pour F5 Edge Client : <f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>.Example for F5 Edge Client: <f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>. Pour plus d’informations sur l’écriture des commandes XML personnalisées, reportez-vous à la documentation du VPN de chaque fabricant.Refer to each manufacturer's VPN documentation for more information about how to write custom XML commands.
Liste de recherche de suffixes DNS (Windows Phone 8.1 uniquement)DNS Suffix search list (Windows Phone 8.1 only) Spécifiez un suffixe DNS sur chaque ligne.Specify one DNS suffix on each line. Chaque suffixe DNS que vous spécifiez sera recherché lors de la connexion à un site web en utilisant un nom court.Each DNS suffix that you specify will be searched when connecting to a website by using a short name. Par exemple, spécifiez les suffixes DNS domain1.contoso.com et domain2.contoso.com, accédez à l'URL http://mywebsite, et les URL http://mywebsite.domain1.contoso.com et http://mywebsite.domain2.contoso.com seront recherchées.For example, specify the DNS suffixes domain1.contoso.com and domain2.contoso.com, visit the URL http://mywebsite, and the URLs http://mywebsite.domain1.contoso.com and http://mywebsite.domain2.contoso.com will be searched.
Ignorer VPN lors d'une connexion à un réseau Wi-Fi de l'entreprise (Windows Phone 8.1 uniquement)Bypass VPN when connected to company Wi-Fi network (Windows Phone 8.1 only) Sélectionnez cette option pour indiquer que la connexion VPN n’est pas utilisée quand l’appareil est connecté au réseau Wi-Fi d’entreprise.Select this option to specify that the VPN connection will not be used when the device is connected to the company Wi-Fi network.
Ignorer le VPN en cas de connexion à un réseau Wi-Fi domestique (Windows Phone 8.1 uniquement)Bypass VPN when connected to home Wi-Fi network (Windows Phone 8.1 only) Sélectionnez cette option pour indiquer que la connexion VPN n’est pas utilisée quand l’appareil est connecté à un réseau Wi-Fi domestique.Select this option to specify that the VPN connection will not be used when the device is connected to a home Wi-Fi network.

Les paramètres supplémentaires suivants sont disponibles pour les appareils Windows 10 Desktop et Mobile.The following additional settings are available for Windows 10 desktop and mobile devices.

Nom du paramètreSetting name Plus d'informationsMore information
Règles de trafic réseauNetwork traffic rules Sélectionnez les protocoles, les ports locaux/distants et les plages d’adresses à activer pour la connexion VPN.Select which protocols, and which local and remote port and address ranges, will be enabled for the VPN connection. Si vous ne créez pas de règle de trafic réseau, tous les protocoles, les ports et les plages d’adresses sont activés.If you do not create a network traffic rule, all protocols, ports, and address ranges are enabled. Une fois qu’une règle est créée, la connexion VPN utilise uniquement les protocoles, les ports et les plages d’adresses que vous spécifiez dans cette règle.After you create a rule, the VPN connection will use only the protocols, ports, and address ranges that you specify in that rule.
ItinérairesRoutes Sélectionnez les itinéraires qui utiliseront la connexion VPN.Select which routes will use the VPN connection.
Serveurs DNSDNS servers Sélectionnez les serveurs DNS qu’utilisera la connexion VPN quand celle-ci sera établie.Select which DNS servers the VPN connection will use after the connection is established.
Applications associéesAssociated apps Fournissez une liste d’applications qui utiliseront automatiquement la connexion VPN.Provide a list of apps that will automatically use the VPN connection. Le type d'application détermine l'identificateur de l'application.The type of app will determine the app identifier. Pour une application universelle, indiquez le nom de famille du package.For a universal app, provide the package family name. Pour une application de bureau, indiquez le chemin de l’application.For a desktop app, provide the file path of the app.

Important

Nous vous recommandons de sécuriser toutes les listes d’applications que vous compilez pour les utiliser dans la configuration d’un VPN par application.We recommend that you secure all lists of apps that you compile for use in configuration of per-app VPN. Si un utilisateur non autorisé modifie votre liste et que vous l’importez dans la liste des applications du VPN par application, vous autorisez potentiellement un accès VPN à des applications qui ne doivent pas y avoir accès.If an unauthorized user modifies your list and you import it into the per-app VPN app list, you will potentially authorize VPN access to apps that should not have access. Pour sécuriser les listes d’applications, vous avez la possibilité d’utiliser une liste de contrôle d’accès (liste ACL).One way you can secure app lists is by using an access control list (ACL).

Voici un exemple d’utilisation des paramètres pour les limites réseau de l’entreprise.Here's an example of when you might use settings for corporate boundaries. Si vous souhaitez activer le VPN uniquement pour les services Bureau à distance, créez une règle de trafic réseau qui autorise le trafic pour le protocole 27 sur le port externe 3996.If you want to enable VPN only for Remote Desktop, create a network traffic rule that allows traffic for protocol 27 on external port 3996. Aucun autre trafic n’utilisera le VPN.No other traffic will use the VPN.

Vous pouvez définir des itinéraires dans les limites réseau de l’entreprise quand votre type de connexion VPN ne vous permet pas de définir la façon dont le trafic est traité dans une tunnelisation fractionnée.Defining routes in corporate boundaries is useful when your VPN connection type does not allow you to define how traffic is handled in split tunneling. Dans ce cas, utilisez Itinéraires pour répertorier les itinéraires qui utiliseront le VPN.In that case, use Routes to list the routes that will use the VPN.

Vous pouvez limiter l’utilisation du VPN pour les appareils Windows 10 à des applications spécifiques en créant un paramètre OMA-URI personnalisé.You can restrict VPN usage for Windows 10 devices to specific apps by creating a custom OMA-URI setting.

La nouvelle stratégie apparaît sous le nœud Stratégies de configuration de l’espace de travail Stratégie.The new policy appears in the Configuration Policies node of the Policy workspace.

VPN à la demande pour les appareils iOSOn-demand VPN for iOS devices

Vous pouvez configurer un VPN à la demande pour les appareils iOS 8.0 et versions ultérieures.You can configure on-demand VPN for iOS 8.0 and later devices.

Note

Par contre, vous ne pouvez pas utiliser un VPN par application et un VPN à la demande dans la même stratégie.You cannot use per-app VPN and on-demand VPN in the same policy.

  1. Dans la page de configuration de la stratégie, recherchez Règles à la demande pour cette connexion VPN.On the policy configuration page, find On-demand rules for this VPN connection. Les colonnes sont intitulées Correspondance (condition vérifiée par les règles) et Action (action déclenchée par la stratégie quand la condition est remplie).The columns are labeled Match, the condition that the rules check for, and Action, the action that the policy will trigger when the condition is matched.
  2. Choisissez Ajouter pour créer une règle.Choose Add to create a rule. Vous pouvez configurer deux types de correspondances dans la règle.There are two types of matches that you can set up in the rule. Vous ne pouvez configurer qu’un de ces types par règle.You can only configure one of these types per rule.
    • SSID - font référence aux réseaux sans fil.SSIDs - which refer to wireless networks.
    • Domaines de recherche DNS - Vous pouvez utiliser des noms de domaine complets, tels que team. corp.contoso.com, ou des domaines tels que contoso.com, ce qui revient à utiliser * .contoso.com.DNS search domains - You can use full-qualified domain names such as team. corp.contoso.com, or use domains such as contoso.com, which is the equivalent of using * .contoso.com.
  3. Facultatif : fournissez une sonde de chaîne d’URL, qui est une URL que la règle utilise comme test.Optional :provide a URL string probe, which is a URL that the rule uses as a test. Si l’appareil sur lequel ce profil est installé peut accéder à cette URL sans redirection, la connexion VPN est établie et l’appareil se connecte à l’URL cible.If the device on which this profile is installed is able to access this URL without redirection, the VPN will be established and the device will connect to the target URL. L’utilisateur ne voit pas le site de la sonde de chaîne d’URL.The user will not see the URL string probe site. Par exemple, une sonde de chaîne d’URL peut être l’adresse d’un serveur web d’audit qui vérifie la compatibilité de l’appareil avant la connexion du VPN.An example of a URL string probe is the address of an auditing Web server that checks device compliance before connecting the VPN. Autre exemple, l’URL teste la capacité du VPN à se connecter à un site avant de connecter l’appareil à l’URL cible via le VPN.Another possibility is that the URL tests the ability of the VPN to connect to a site, before connecting the device to the target URL through the VPN.
  4. Choisissez une des actions suivantes :Choose one of these actions:

    • Se connecterConnect
    • Évaluer la connexion, qui a trois paramètres. a.Evaluate connection, which has three settings a. Action de domaine : Choisissez Se connecter si nécessaire ou Ne jamais se connecter b.Domain action - choose Connect if needed or Never connect b. Liste des domaines séparés par une virgule : Ne configurez cette option que si vous choisissez Se connecter si nécessaire comme Action de domaine c.Comma-separated list of domains - you configure this only if you choose a Domain action of Connect if needed c. Sonde de chaîne d’URL obligatoire : URL HTTP ou HTTPS (recommandé) telle que https://vpntestprobe.contoso.com. La règle vérifie s’il existe une réponse en provenance de cette adresse.Required URL string probe - an HTTP or HTTPS (preferred) URL, such as https://vpntestprobe.contoso.com. The rule will check to see if there's a response from this address. Si ce n’est pas le cas et que l’option Action de domaine est définie sur Se connecter si nécessaire, le VPN est déclenché.If not, and the Domain action is Connect if needed, the VPN will be triggered.

      Conseil

      Par exemple, vous pouvez utiliser cette action si une partie des sites de votre réseau d’entreprise nécessite une connexion de réseau d’entreprise directe ou VPN.An example of when you might use this action is when some sites on your corporate network require a direct or VPN corporate network connection, but others do not. Si vous répertoriez corp.contoso.com dans Liste des domaines de recherche DNS séparés par une virgule, vous pouvez choisir Se connecter si nécessaire, puis répertorier des sites spécifiques au sein de ce réseau qui peuvent nécessiter un VPN, tels que sharepoint.corp.contoso.com. La règle vérifie si vpntestprobe.contoso.com est accessible.If you list in Comma-separated list of DNS search domains corp.contoso.com, you can choose Connect if needed and then list specific sites within that network that may require VPN, such as sharepoint.corp.contoso.com. The rule will then check if vpntestprobe.contoso.com can be reached. Si ce n’est pas le cas, le VPN est déclenché pour le site sharepoint.If it can't, the VPN will be triggered for the sharepoint site.

    • Ignorer : La connectivité VPN ne subit aucune modification.Ignore - this causes no change in the VPN connectivity. Si le VPN est connecté, laissez-le ainsi. S’il ne l’est pas, ne le connectez pas.If the VPN is connected, leave it connected, if it's not connected, don't connect it. Par exemple, vous avez peut-être une règle qui connecte le VPN pour tous vos sites web d’entreprise internes, mais vous souhaitez qu’un de ces sites internes ne soit accessible que quand l’appareil est effectivement connecté au réseau d’entreprise.For example, you may have a rule that connects the VPN for all of your internal corporate web sites, but want to make one of those internal sites accessible only when the device is actually connected to the corporate network. Dans ce cas, vous devez créer une règle Ignorer pour ce site.In that case, you would create an ignore rule for that one site.
    • Déconnecter : Les appareils sont déconnectés du VPN quand les conditions sont remplies.Disconnect - disconnect devices from the VPN when the conditions are matched. Par exemple, vous pouvez répertorier vos réseaux sans fil d’entreprise dans le champ SSID et créer une règle qui déconnecte les appareils du VPN quand ils se connectent à l’un de ces réseaux.For example, you could list your corporate wireless networks in the SSIDs field, and create a rule that disconnects devices from the VPN when they connect to one of those networks.

Les règles propres à un domaine sont évaluées avant les règles relatives à tous les domaines.Domain-specific rules are evaluated before all-domain rules.

Déploiement de la stratégieDeploy the policy

  1. Dans l’espace de travail Stratégie, sélectionnez la stratégie à déployer, puis choisissez Gérer le déploiement.In the Policy workspace, select the policy that you want to deploy, and then choose Manage Deployment.

  2. Dans la boîte de dialogue Gérer le déploiement :In the Manage Deployment dialog box:

    • Pour déployer la stratégie : sélectionnez un ou plusieurs groupes sur lesquels déployer la stratégie, puis choisissez Ajouter > OK.To deploy the policy, select one or more groups to which you want to deploy the policy, and then choose Add > OK.

    • Pour fermer la boîte de dialogue sans la déployer, choisissez Annuler.To close the dialog box without deploying it, choose Cancel.

Une fois le déploiement réussi, les utilisateurs voient le nom de la connexion VPN que vous avez spécifié dans la liste des connexions VPN sur leur appareil.After successful deployment, users will see the VPN connection name that you specified in the list of VPN connections on their devices.

Un récapitulatif de l'état et des alertes identifient, dans la page Vue d'ensemble de l'espace de travail Stratégie , les problèmes liés à la stratégie qui nécessitent votre attention.A status summary and alerts on the Overview page of the Policy workspace identify issues with the policy that require your attention. En outre, le Tableau de bord contient un récapitulatif de l'état.Additionally, a status summary appears in the Dashboard workspace.