Utilisation de profils VPN sur des appareils mobiles dans System Center Configuration ManagerVPN Profiles on mobile devices in System Center Configuration Manager

S’applique à : System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Utilisez des profils VPN dans Configuration Manager afin de déployer des paramètres VPN pour les utilisateurs d’appareils mobiles dans votre organisation.Use VPN profiles in Configuration Manager to deploy VPN settings to mobile device users in your organization. Lorsque vous déployez ces paramètres, vous réduisez l'effort que doit fournir l'utilisateur final pour se connecter aux ressources du réseau d'entreprise.When you deploy these settings, you minimize the end-user effort that's required to connect to resources on the company network.

Par exemple, vous souhaitez configurer tous les appareils iOS pour qu’ils se connectent à un partage de fichiers du réseau d’entreprise.For example, you want to set up all iOS devices to connect to a file share on the corporate network. Créez un profil VPN disposant des paramètres de connexion nécessaires.Create a VPN profile that has the necessary connection settings. Déployez ensuite ce profil pour tous les utilisateurs ayant des appareils iOS.Then deploy this profile to all users with iOS devices. Les utilisateurs voient la connexion VPN dans la liste des réseaux disponibles et peuvent se connecter à ce réseau très facilement.These users see the VPN connection in the list of available networks and can connect to this network with little effort.

Lorsque vous créez un profil VPN, vous pouvez inclure un large éventail de paramètres de sécurité.When you create a VPN profile, you can include a wide range of security settings. Par exemple, vous pouvez spécifier des certificats de validation du serveur et d’authentification du client, configurés à l’aide de profils de certificat Configuration Manager.For example, you can specify certificates for server validation and client authentication that have been set up by using Configuration Manager certificate profiles. Pour plus d’informations, consultez Profils de certificat.For more information, see Certificate profiles.

Profils VPN si Configuration Manager est utilisé en association avec IntuneVPN profiles when using Configuration Manager together with Intune

Pour déployer des profils sur des appareils iOS, Android, Windows Phone et Windows 8.1, vous devez inscrire ces derniers dans Microsoft Intune.To deploy profiles to iOS, Android, Windows Phone, and Windows 8.1 devices, they must be enrolled in Microsoft Intune. Les appareils sur d’autres plateformes peuvent également être inscrits auprès Intune.Devices on other platforms can also be enrolled to Intune. Pour plus d’informations sur l’inscription, consultez Inscrire des appareils dans Microsoft Intune.For information about how to enroll, see Enroll devices in Microsoft Intune.

Ce tableau affiche le type de connexion pris en charge pour chaque plateforme d’appareil :This table shows the connection type that is supported for each device platform:

Type de connexionConnection type iOS et macOS XiOS and macOS X AndroidAndroid Windows 8.1Windows 8.1 Windows RTWindows RT Windows RT 8.1Windows RT 8.1 Windows Phone 8.1Windows Phone 8.1 Windows 10 Desktop et MobileWindows 10 Desktop and Mobile
Cisco AnyConnectCisco AnyConnect Oui1Yes1 OuiYes NonNo NonNo NonNo NonNo NonNo
Cisco (IPSec)Cisco (IPSec) iOS uniquementiOS only NonNo NonNo NonNo NonNo NonNo NonNo
Pulse SecurePulse Secure OuiYes OUIYes OuiYes NonNo OuiYes OUIYes OuiYes
Client F5 EdgeF5 Edge Client OuiYes OUIYes OuiYes NonNo OuiYes OUIYes OuiYes
Dell SonicWALL Mobile ConnectDell SonicWALL Mobile Connect OuiYes OUIYes OuiYes NonNo OuiYes OUIYes OuiYes
Check Point Mobile VPNCheck Point Mobile VPN OuiYes OUIYes OuiYes NonNo OuiYes OUIYes OuiYes
Microsoft SSL (SSTP)Microsoft SSL (SSTP) NonNo NonNo OuiYes OUIYes OuiYes NonNo NonNo
Microsoft AutomaticMicrosoft Automatic NonNo NonNo OuiYes OUIYes OuiYes NonNo OuiYes
IKEv2IKEv2 Oui (Stratégie personnalisée, iOS 9 et ultérieur)Yes (Custom policy, iOS 9 and later) NonNo OuiYes OUIYes OUIYes OUIYes OuiYes
PPTPPPTP OuiYes NonNo OuiYes OUIYes OuiYes NonNo OuiYes
L2TPL2TP OuiYes NonNo OuiYes OUIYes OuiYes NonNo Oui (OMA-URI)Yes (OMA-URI)

1 à partir de la version 1802, l’utilisation du type de connexion Cisco AnyConnect varie.1 Starting in version 1802, usage of the Cisco AnyConnect connection type varies.

  • Utilisez l’option Cisco Legacy AnyConnect pour les profils VPN dans les versions suivantes :Use the Cisco Legacy AnyConnect option for VPN profiles on the following versions:

    • iOS avec Cisco AnyConnect 4.0.5 ou version antérieureiOS with Cisco AnyConnect version 4.0.5 or earlier
    • macOS avec toutes les versions de Cisco AnyConnectmacOS with any version of Cisco AnyConnect
  • Utilisez l’option Cisco AnyConnect pour les profils VPN dans les versions suivantes :Use the Cisco AnyConnect option for VPN profiles on the following versions:

    • iOS avec Cisco AnyConnect 4.0.7 ou version ultérieureiOS with Cisco AnyConnect version 4.0.7 or later

    Conseil

    Cisco AnyConnect 4.0.07x et versions ultérieures pour iOS ont été introduits dans la version 1802 en tant que fonctionnalité en préversion.Cisco AnyConnect 4.0.07x and later for iOS was first introduced in version 1802 as a pre-release feature. À compter de la mise à jour 4163547 de la version 1802, cette fonctionnalité n’est plus en préversion.Beginning with update 4163547 to version 1802, this feature is no longer a pre-release feature.

Notes

Les versions F5 Access 3.0 et ultérieures pour iOS ne sont pas prises en charge pour les profils VPN dans une gestion hybride des appareils mobiles.F5 Access versions 3.0 and later for iOS aren't supported for VPN profiles in hybrid MDM. Ce produit est également appelé F5 Access 2018.This product is also called F5 Access 2018. Si vous avez besoin de créer des profils VPN pour ce client VPN, utilisez la version autonome d’Intune.If you need to create VPN profiles for this VPN client, use Intune standalone. Les prochaines versions d’iOS, y compris la version 12, ne prendront pas en charge F5 Access 2.1 ou versions antérieures.Future versions of iOS, including version 12, won't support F5 Access versions 2.1 or earlier. Pour plus d’informations, consultez le blog de l’équipe de support Microsoft Intune.For more information, see the Microsoft Intune support team blog.

Fonctionnalités VPN Windows 10 disponibles quand vous utilisez Configuration Manager avec IntuneWindows 10 VPN features available when using Configuration Manager with Intune

Les options suivantes sont disponibles pour tous les types de connexion sur Windows 10 :The following options are available to all connection types on Windows 10:

  • Contourner le VPN en cas de connexion à un réseau Wi-Fi d’entreprise: La connexion VPN n’est pas utilisée quand l’appareil est connecté au réseau Wi-Fi de l’entreprise.Bypass VPN when connected to company Wi-Fi network: The VPN connection isn't used when the device is connected to the company Wi-Fi network. Entrez le nom du réseau approuvé permettant de déterminer si l’appareil est connecté au réseau de l’entreprise.Enter the trusted network name that's used to determine if the device is connected to the company network.

  • Règles de trafic réseau: Définissez les protocoles, le port local, le port distant et les plages d’adresses à activer pour la connexion VPN.Network traffic rules: Set the protocols, local port, remote port, and address ranges to enable for the VPN connection.

    Notes

    Si vous ne créez pas de règle de trafic réseau, tous les protocoles, tous les ports et toutes les plages d’adresses sont activés.If you don't create a network traffic rule, all protocols, ports, and address ranges are enabled. Une fois que vous avez créé une règle, seuls les protocoles, les ports et les plages d’adresses que vous spécifiez dans cette règle ou dans des règles supplémentaires sont utilisés par la connexion VPN.After you create a rule, only the protocols, ports, and address ranges that you specify in that rule or in additional rules are used by the VPN connection.

  • Itinéraires: Itinéraires qui utilisent la connexion VPN.Routes: Routes that use the VPN connection. La création de plus de 60 itinéraires peut entraîner l’échec de la stratégie.Creation of more than 60 routes may cause the policy to fail.

  • Serveurs DNS: Serveurs DNS utilisés par la connexion VPN une fois la connexion établie.DNS servers: DNS servers that are used by the VPN connection after the connection has been established.

  • Applications qui se connectent automatiquement au VPN: Vous pouvez ajouter des applications ou importer des listes d’applications qui utilisent automatiquement la connexion VPN.Apps that automatically connect to the VPN: You can add apps or import lists of apps that automatically use the VPN connection. Le type d’application détermine l’identificateur de l’application.The type of app determines the app identifier. Pour une application de bureau, fournissez le chemin de fichier de l’application.For a desktop app, provide the file path of the app. Pour une application universelle, indiquez le nom de la famille de packages (PFN).For a universal app, provide the package family name (PFN). Pour savoir comment rechercher le nom PFN pour une application, consultez Rechercher le nom de la famille de packages pour le VPN par application.To learn how to find the PFN for an app, see Find a package family name for per-app VPN.

    Important

    Sécurisez toutes les listes d’applications associées que vous compilez pour les utiliser dans la configuration du VPN par application.Secure all lists of associated apps that you compile for use in configuration of per-app VPN. Si un utilisateur non autorisé change votre liste et si vous l’importez dans la liste d’applications du VPN par application, vous risquez de permettre à certaines applications non autorisées d’accéder au VPN.If an unauthorized user changes your list and you import it to the per-app VPN app list, you potentially authorize VPN access to apps that should not have access. Une façon de sécuriser les listes d’applications consiste à utiliser une liste de contrôle d’accès (ACL).One way you can secure app lists is by using an access control list (ACL).

Création de profils VPNCreate VPN profiles

  1. Dans la console Configuration Manager, dans l’espace de travail Ressources et Conformité, développez Paramètres de conformité, Accès aux ressources de l’entreprise, puis sélectionnez Profils VPN.In the Configuration Manager console, in the Assets and Compliance workspace, expand Compliance Settings, expand Company Resource Access, and select VPN Profiles.

  2. Cliquez dans le ruban sur Créer un profil VPN.Click Create VPN Profile in the ribbon.

  3. Dans la page Général, spécifiez un Nom, puis sélectionnez le Type de profil VPN.On the General page, specify a Name, and then select the VPN profile type.

    Notes

    Le nom d’un profil VPN qui utilise des fonctionnalités VPN Windows 10 ne peut pas être au format Unicode ni contenir des caractères spéciaux.The name of a VPN profile that uses Windows 10 VPN features cannot be in Unicode or include special characters.

  4. Si la page Plateformes prises en charge est disponible, sélectionnez les versions d’OS correspondant au type de profil VPN spécifié.If the Supported Platforms page is available, select the OS versions for the previously specified VPN profile type. Choisissez Sélectionner tout pour installer le profil VPN sur toutes les versions d’OS disponibles.Choose Select all to install the VPN profile on all available OS versions.

  5. Configurez la connexion VPN dans la page Connexion.Configure the VPN connection on the Connection page. Pour plus d’informations sur ces options, consultez l’étape relative à la page Connexion dans Créer un profil VPN.For more information on these options, see the step on the Connection page in Create a VPN profile.

  6. Dans la page Méthode d’authentification, spécifiez les paramètres suivants :On the Authentication Method page, specify the following settings:

    • Méthode d’authentification: Sélectionnez la méthode d’authentification utilisée par la connexion VPN.Authentication method: Select the authentication method that the VPN connection uses. Les méthodes disponibles peuvent varier selon le type de connexion, comme indiqué dans le tableau suivant.Available methods depend on the connection type as shown in this table.

      Méthode d'authentificationAuthentication method Types de connexion pris en chargeSupported connection types
      CertificatesCertificates

      Remarques :Notes:
      • Si le certificat client est utilisé pour l’authentification auprès d’un serveur RADIUS, par exemple un serveur NPS (Network Policy Server), affectez le nom d’utilisateur principal à l’autre nom de l’objet dans le certificat.If the client certificate authenticates to a RADIUS server, like a Network Policy Server, set the Subject Alternative Name in the certificate to the User Principal Name.
      • Pour les déploiements Android, sélectionnez l’identificateur EKU et la valeur de hachage de l’empreinte numérique de l’émetteur du certificat.For Android deployments, select the EKU identifier and the certificate issuer thumbprint hash value. Sinon, les utilisateurs doivent sélectionner manuellement le certificat approprié.Otherwise, users must select the appropriate certificate manually.
      • Cisco AnyConnectCisco AnyConnect
      • Cisco Legacy AnyConnectCisco Legacy AnyConnect
      • Pulse SecurePulse Secure
      • Client F5 EdgeF5 Edge Client
      • Dell SonicWALL Mobile ConnectDell SonicWALL Mobile Connect
      • Check Point Mobile VPNCheck Point Mobile VPN
      Nom d'utilisateur et mot de passeUsername and Password
      • Pulse SecurePulse Secure
      • Client F5 EdgeF5 Edge Client
      • Dell SonicWALL Mobile ConnectDell SonicWALL Mobile Connect
      • Check Point Mobile VPNCheck Point Mobile VPN
      Microsoft EAP-TTLSMicrosoft EAP-TTLS
      • Microsoft SSL (SSTP)Microsoft SSL (SSTP)
      • Microsoft AutomaticMicrosoft Automatic
      • PPTPPPTP
      • IKEv2IKEv2
      • L2TPL2TP
      Microsoft PEAP (Protected EAP)Microsoft protected EAP (PEAP)
      • Microsoft SSL (SSTP)Microsoft SSL (SSTP)
      • Microsoft AutomaticMicrosoft Automatic
      • IKEv2IKEv2
      • PPTPPPTP
      • L2TPL2TP
      Mot de passe sécurisé Microsoft (EAP-MSCHAP v2)Microsoft secured password (EAP-MSCHAP v2)
      • Microsoft SSL (SSTP)Microsoft SSL (SSTP)
      • Microsoft AutomaticMicrosoft Automatic
      • IKEv2IKEv2
      • PPTPPPTP
      • L2TPL2TP
      Carte à puce ou autre certificatSmart Card or other certificate
      • Microsoft SSL (SSTP)Microsoft SSL (SSTP)
      • Microsoft AutomaticMicrosoft Automatic
      • IKEv2IKEv2
      • PPTPPPTP
      • L2TPL2TP
      MSCHAP v2MSCHAP v2
      • Microsoft SSL (SSTP)Microsoft SSL (SSTP)
      • Microsoft AutomaticMicrosoft Automatic
      • IKEv2IKEv2
      • PPTPPPTP
      • L2TPL2TP
      RSA SecurID (iOS uniquement)RSA SecurID (iOS only)
      • Microsoft SSL (SSTP)Microsoft SSL (SSTP)
      • Microsoft AutomaticMicrosoft Automatic
      • PPTPPPTP
      • L2TPL2TP
      Utiliser des certificats d’ordinateurUse machine certificates
      • IKEv2IKEv2

      Selon les options sélectionnées, vous devrez peut-être spécifier d'autres informations, par exemple :Depending on the selected options, you might be asked to specify more information, like:

      • Mémoriser les informations d’identification de l’utilisateur à chaque ouverture de session: Les informations d’identification de l’utilisateur sont mémorisées afin que les utilisateurs n’aient pas à les entrer chaque fois qu’ils se connectent.Remember the user credentials at each logon: User credentials are remembered so that users don't have to enter them each time they connect.

      • Sélectionner un certificat client pour l'authentification du client : Sélectionnez le certificat SCEP client créé précédemment qui est utilisé pour authentifier la connexion VPN.Select a client certificate for client authentication: Select the previously created client SCEP certificate that is used to authenticate the VPN connection.

        Notes

        Pour les appareils iOS, le profil SCEP sélectionné est incorporé au profil VPN.For iOS devices, the SCEP profile that you select is embedded in the VPN profile. Pour les autres plateformes, une règle d’applicabilité est ajoutée afin d’empêcher l’installation du profil VPN en cas d’absence ou de non-conformité du certificat.For other platforms, an applicability rule is added to ensure that the VPN profile isn't installed if the certificate isn't present or isn't compliant.

        Si le certificat SCEP que vous spécifiez n’est pas conforme ou n’a pas été déployé, le profil VPN n’est pas installé sur l’appareil.If the SCEP certificate that you specify isn't compliant or hasn't been deployed, then the VPN profile isn't installed on the device.

        Les appareils qui exécutent iOS prennent uniquement en charge RSA SecurID et MSCHAP v2 comme méthode d’authentification quand le type de connexion est PPTP.Devices that run iOS support only RSA SecurID and MSCHAP v2 for the authentication method when the connection type is PPTP. Pour éviter toute erreur, déployez un profil VPN PPTP distinct sur les appareils qui exécutent iOS.To avoid reporting errors, deploy a separate PPTP VPN profile to devices that run iOS.

      • Accès conditionnelConditional access

        • Choisissez Activer l’accès conditionnel pour cette connexion VPN pour vérifier que les appareils qui se connectent au VPN ont été testés en vue de la conformité de l’accès conditionnel avant la connexion.Choose Enable conditional access for this VPN connection to ensure that devices that connect to the VPN are tested for conditional access compliance before connecting. Pour plus d’informations, consultez Stratégies de conformité des appareils.For more information, see Device compliance policies.

        • Choisissez Activer l’authentification unique avec certificat de remplacement pour choisir un certificat autre que le certificat d’authentification VPN pour la conformité des appareils.Choose Enable single sign-on (SSO) with alternate certificate to choose a certificate other than the VPN Authentication certificate for device compliance. Si vous choisissez cette option, indiquez les valeurs de Utilisation améliorée de la clé (liste séparée par des virgules) et Hachage de l’émetteur pour le certificat approprié que le client VPN doit localiser.If you choose this option, provide the EKU (comma-separated list) and Issuer Hash, for the correct certificate that the VPN client should locate.

        • Pour Protection des informations Windows, indiquez l’identité d’entreprise gérée par l’entreprise, qui est généralement le domaine principal de votre organisation, par exemple, contoso.com.For Windows Information Protection, provide the enterprise-managed corporate identity, which is usually your organization's primary domain, for example, contoso.com. Vous pouvez spécifier plusieurs domaines appartenant à votre organisation en les séparant par le caractère « | ».You can specify multiple domains that your organization owns by separating them with the "|" character. Par exemple, contoso.com|newcontoso.com.For example, contoso.com|newcontoso.com. Pour plus d’informations, consultez Créer et déployer une stratégie de protection d’applications pour la protection des informations Windows avec Intune.For more information, see Create and deploy a Windows Information Protection app protection policy with Intune.

        Assistant Création d’un profil VPN, page Méthode d’authentification

        Quand elle est prise en charge par la version client Windows, l’option Configurer est disponible pour la méthode d’authentification.When the Windows client version supports it, the option to Configure the authentication method is available. Cette option vous permet d’ouvrir la boîte de dialogue des propriétés de Windows pour configurer la méthode d’authentification.This option opens the Windows properties dialog box to configure the authentication method. Si l’option Configurer est désactivée, utilisez d’autres moyens pour configurer les propriétés de la méthode d’authentification.If Configure is disabled, use a different means to configure authentication method properties.

  7. Sur la page Paramètres du proxy de l'Assistant Création d'un profil VPN, cochez la case Configurer les paramètres du proxy pour ce profil VPN si votre connexion VPN utilise un serveur proxy.On the Proxy Settings page of the Create VPN Profile Wizard, check the Configure proxy settings for this VPN profile box if your VPN connection uses a proxy server. Indiquez ensuite les informations sur le serveur proxy.Then, provide the proxy server information. Pour plus d’informations, consultez la documentation de Windows Server.For more information, see the Windows Server documentation.

    Notes

    Sur les ordinateurs Windows 8.1, le profil VPN n’affiche pas les informations de proxy tant que vous n’êtes pas connecté au VPN avec cet ordinateur.On Windows 8.1 computers, the VPN profile will not show the proxy information until you connect to the VPN by using that computer.

  8. Configurez des paramètres DNS supplémentaires, si nécessaire.Configure further DNS settings, if necessary.

  9. Fermez l'Assistant.Finish the wizard. Le nœud Profils VPN dans l'espace de travail Ressources et Conformité affiche le nouveau profil VPN.The VPN Profiles node in the Assets and Compliance workspace shows the new VPN profile.

Étapes suivantesNext steps

Pour plus d’informations sur le déploiement de profils VPN, consultez Déployer des profils Wi-Fi, VPN, de messagerie et de certificat.For more information on how to deploy VPN profiles, see Deploy Wi-Fi, VPN, email, and certificate profiles.

Aidez-vous des articles suivants pour planifier, configurer, utiliser et gérer les profils VPN :Use the following articles to help you plan for, set up, operate, and maintain VPN profiles: