A Windows 10 VPN-beállításai az Intune-banWindows 10 VPN settings in Intune

A VPN-kapcsolatokat az Intune-nal konfigurálhatja.You can configure VPN connections using Intune. Ez a cikk ezeket a beállításokat, a forgalomra vonatkozó szabályokat, a feltételes hozzáférést, valamint a DNS- és proxybeállításokat ismerteti.This article describes these settings, the traffic rules, conditional access, and DNS & proxy settings.

Ezek a beállítások a következőkre vonatkoznak:These settings apply to:

  • Windows 10 rendszerű eszközökDevices running Windows 10
  • Windows Holographic for Business rendszerű eszközökDevices running Windows Holographic for Business

A kiválasztott beállításoktól függően előfordulhat, hogy nem minden érték konfigurálható.Depending on the settings you choose, not all values may be configurable.

Alapvető VPN-beállításokBase VPN settings

  • Kapcsolat neve: Adja meg a kapcsolat nevét.Connection name: Enter a name for this connection. A végfelhasználók akkor látják ezt a nevet, amikor megkeresik a rendelkezésre álló VPN-kapcsolatok listáját az eszközükön.End users see this name when they browse their device for the list of available VPN connections.

  • Kiszolgálók: Adjon meg egy vagy több olyan VPN-kiszolgálót, amelyhez az eszközök csatlakozni fognak.Servers: Add one or more VPN servers that devices connect to. Kiszolgáló hozzáadásakor az alábbi információkat adhatja meg:When you add a server, you enter the following information:

    • Leírás: Adja meg a kiszolgáló leíró nevét (például Contoso VPN-kiszolgáló)Description: Enter a descriptive name for the server, such as Contoso VPN server
    • IP-cím vagy teljes tartománynév: Adja meg annak a VPN-kiszolgálónak az IP-címét vagy teljes tartománynevét, amelyhez az eszközök csatlakoznak, például 192.168.1.1 vagy vpn.contoso.comIP address or FQDN: Enter the IP address or fully qualified domain name of the VPN server that devices connect to, such as 192.168.1.1 or vpn.contoso.com
    • Alapértelmezett kiszolgáló: Ezt a kiszolgálót engedélyezi alapértelmezett kiszolgálóként, melyet az eszközök kapcsolat létesítéséhez fognak használni.Default server: Enables this server as the default server that devices use to establish the connection. Csak egy kiszolgálót állítson be alapértelmezett kiszolgálóként.Set only one server as the default.
    • Importálás: Tallózással keressen meg egy, a kiszolgálók vesszővel tagolt listáját tartalmazó fájlt, melynek formátuma a következő: leírás, IP-cím vagy teljes tartománynév, alapértelmezett kiszolgáló.Import: Browse to a comma-separated file that contains a list of servers in the format: description, IP address or FQDN, Default server. A kiszolgálók a Kiszolgálók listába történő importálásához kattintson az OK gombra.Choose OK to import these servers into the Servers list.
    • Exportálás: Exportálja a kiszolgálók listáját egy vesszővel tagolt (CSV-) fájlbaExport: Exports the list of servers to a comma-separated-values (csv) file
  • Kapcsolat típusa: Az alábbi listából válassza ki a VPN-kapcsolat típusát:Connection type: Select the VPN connection type from the following list of vendors:

    • Pulse SecurePulse Secure
    • F5 Edge ClientF5 Edge Client
    • SonicWall Mobile ConnectSonicWALL Mobile Connect
    • Check Point Capsule VPNCheck Point Capsule VPN
    • CitrixCitrix
    • Palo Alto Hálózatok GlobalProtectPalo Alto Networks GlobalProtect
    • AutomatikusAutomatic
    • IKEv2IKEv2
    • L2TPL2TP
    • PPTPPPTP

    Amikor kiválasztja a VPN-kapcsolat típusát, előfordulhat, hogy az alábbi beállításokat is meg kell adnia:When you choose a VPN connection type, you may also be asked for the following settings:

    • Mindig bekapcsolva: Ezzel a beállítással automatikusan csatlakozik a VPN-kapcsolathoz a következő esetekben:Always On: Enable to automatically connect to the VPN connection when the following happens:

      • Felhasználói bejelentkezés az eszközreUsers sign into their devices
      • Hálózatváltozás az eszközönThe network on the device changes
      • Az eszköz képernyője ismét bekapcsol, miután ki volt kapcsolvaThe screen on the device turns back on after being turned off
    • Hitelesítési módszer: Adja meg, hogy hogyan szeretné hitelesíteni a felhasználókat a VPN-kiszolgálón.Authentication method: Select how you want users to authenticate to the VPN server. A tanúsítványok fejlett funkciókkal szolgálnak, például beavatkozás nélküli működés, igény szerinti VPN és alkalmazásonkénti VPN.Using certificates provides enhanced capabilities, such as zero-touch experience, on-demand VPN, and per-app VPN.

    • Hitelesítő adatok megjegyzése minden bejelentkezéskor: Ezzel a beállítással gyorsítótárazhatja a hitelesítő adatokat.Remember credentials at each logon: Choose to cache the authentication credentials.

    • Egyéni XML: Adja meg a VPN-kapcsolatot konfiguráló egyéni XML-parancsokat.Custom XML: Enter any custom XML commands that configure the VPN connection.

    • EAP XML: Adja meg a VPN-kapcsolatot konfiguráló EAP XML-parancsokatEAP Xml: Enter any EAP XML commands that configure the VPN connection

Pulse Secure-példaPulse Secure example

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

F5 Edge Client-példaF5 Edge Client example

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

SonicWall Mobile Connect-példaSonicWALL Mobile Connect example

Bejelentkezési csoport vagy tartomány: Ez a tulajdonság nem állítható be a VPN-profilban.Login group or domain: This property can't be set in the VPN profile. Ehelyett a Mobile Connect akkor elemzi ezt az értéket, ha a felhasználónév és a tartomány username@domain vagy DOMAIN\username formátumban van megadva.Instead, Mobile Connect parses this value when the user name and domain are entered in the username@domain or DOMAIN\username formats.

Például:Example:

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

CheckPoint Mobile VPN-példaCheckPoint Mobile VPN example

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

Egyéni XML írásaWriting custom XML

Az egyéni XML-parancsok írásával kapcsolatban további információt az egyes gyártók VPN-dokumentációjában talál.For more information about writing custom XML commands, see each manufacturer's VPN documentation.

További információ az egyéni EAP XML-ek létrehozásáról: EAP-konfiguráció.For more information about creating custom EAP XML, see EAP configuration.

Alkalmazások és adatforgalmi szabályokApps and Traffic Rules

  • WIP vagy alkalmazások társítása ezzel a VPN-nel: Engedélyezze ezt a beállítást, ha azt szeretné, hogy csak bizonyos használják a VPN-kapcsolatot.Associate WIP or apps with this VPN: Enable this setting if you only want some apps to use the VPN connection. A választható lehetőségek:Your options:

    • WIP társítása ezzel a kapcsolattal: Adjon meg egy WIP-tartományt ehhez a kapcsolathozAssociate a WIP with this connection: Enter a WIP domain for this connection
    • Alkalmazások társítása ezzel a kapcsolattal: Korlátozhatja a VPN-kapcsolat ezekhez az alkalmazásokhoz, majd hozzáadhat társított alkalmazásokat.Associate apps with this connection: You can Restrict VPN connection to these apps, and then add Associated Apps. A megadott alkalmazások automatikusan a VPN-kapcsolatot használják.The apps you enter automatically use the VPN connection. Az alkalmazás típusa határozza meg az alkalmazás azonosítóját.The type of app determines the app identifier. Univerzális alkalmazások esetén adja meg a Csomagcsalád nevét.For a universal app, enter the package family name. Asztali alkalmazások esetén adja meg az alkalmazás fájlelérési útvonalát.For a desktop app, enter the file path of the app.

    Fontos

    Azt javasoljuk, hogy tegyen biztonságossá minden, alkalmazásonkénti VPN-ekhez létrehozott alkalmazáslistát.We recommend that you secure all app lists created for per-app VPNs. Ha a listát esetleg arra nem jogosult felhasználó módosítja, és Ön így importálja azt az alkalmazásonkénti VPN-alkalmazáslistába, azzal olyan alkalmazásoknak is VPN-elérést nyújthat, amelyeknek eredetileg nem szeretett volna.If an unauthorized user changes this list, and you import it into the per-app VPN app list, then you potentially authorize VPN access to apps that shouldn't have access. Az alkalmazáslisták védelmének módja lehet a hozzáférés-vezérlési lista (ACL) létrehozása.One way you can secure app lists is using an access control list (ACL).

  • A VPN-kapcsolat hálózati forgalmi szabályai: Állítsa be, hogy a VPN-kapcsolatnál mely protokollok, valamint melyik helyi és távoli portok és címtartományok lesznek engedélyezve.Network traffic rules for this VPN connection: Select which protocols, and which local & remote port and address ranges, are enabled for the VPN connection. Ha nem hoz létre hálózati forgalmi szabályt, minden protokoll, port és címtartomány engedélyezve lesz.If you don't create a network traffic rule, then all protocols, ports, and address ranges are enabled. Egy szabály létrehozása után a VPN-kapcsolat csak az Ön által a szabályban megadott protokollokat, portokat és címtartományokat használja.After you create a rule, the VPN connection uses only the protocols, ports, and address ranges that you enter in that rule.

Feltételes hozzáférésConditional Access

  • Feltételes hozzáférés használata e VPN-kapcsolat esetében: Lehetővé teszi az ügyféltől származó eszközmegfelelőségi adatok továbbítását.Conditional access for this VPN connection: Enables device compliance flow from the client. Ha a beállítás engedélyezve van, a VPN-ügyfél megpróbál kommunikálni az Azure Active Directoryval (AD), hogy megszerezze a hitelesítéshez használandó tanúsítványt.When enabled, the VPN client attempts to communicate with Azure Active Directory (AD) to get a certificate to use for authentication. A VPN-t tanúsítványalapú hitelesítés használatára kell beállítani, és a VPN-kiszolgálónak megbízhatóként kell felismernie az Azure AD által visszaadott kiszolgálót.The VPN should be set up to use certificate authentication, and the VPN server must trust the server returned by Azure AD.

  • Egyszeri bejelentkezés (SSO) helyettesítő tanúsítvánnyal: A Kerberos-hitelesítéshez használttól eltérő tanúsítvány használata az eszközmegfelelőség igazolásához.Single sign-on (SSO) with alternate certificate: For device compliance, use a certificate different from the VPN authentication certificate for Kerberos authentication. A következő beállításokkal rendelkező tanúsítványt adja meg:Enter the certificate with the following settings:

    • Név: A kibővített kulcshasználat (EKU) neveName: Name for extended key usage (EKU)
    • Objektumazonosító: Az EKU objektumazonosítójaObject Identifier: Object identifier for EKU
    • Kibocsátó kivonata: Az SSO-tanúsítvány ujjlenyomataIssuer hash: Thumbprint for SSO certificate

DNS-beállításokDNS Settings

A VPN-kapcsolat tartománya és kiszolgálói: Megadhat egy tartományt és DNS-kiszolgálót a VPN-nek.Domain and servers for this VPN connection: Add domain and DNS server for the VPN to use. Megadhatja, hogy a kapcsolat létrejötte után a VPN-kapcsolat mely DNS-kiszolgálókat használja.You can choose which DNS servers the VPN connection uses after the connection is established. Minden egyes kiszolgálóhoz adja meg az alábbi adatokat:For each server, enter:

  • TartományDomain
  • DNS-kiszolgálóDNS Server
  • ProxyProxy

ProxybeállításokProxy settings

  • Automatikus konfigurációs szkript: A proxykiszolgálót egy konfigurációs fájl segítségével konfigurálja.Automatic configuration script: Use a file to configure the proxy server. Adja meg a konfigurációs fájlt tartalmazó Proxykiszolgáló URL-címét, például http://proxy.contoso.com.Enter the Proxy server URL, such as http://proxy.contoso.com, that contains the configuration file.
  • Cím: Adja meg a proxykiszolgáló címét, amely egy IP-cím vagy egy vpn.contoso.comAddress: Enter the proxy server address, such as an IP address or vpn.contoso.com
  • Portszám – Adja meg a proxykiszolgáló TCP-portszámát.Port number: Enter the TCP port number used by your proxy server
  • Proxy megkerülése helyi címeknél: Ha nem szeretne proxykiszolgálót használni a helyi címekhez, válassza az Engedélyezés lehetőséget.Bypass proxy for local addresses: If you don't want to use a proxy server for local addresses, then choose Enable. Ez a beállítás akkor lép érvénybe, ha a VPN-kiszolgálónak proxykiszolgálóra van szüksége a kapcsolathoz.This setting applies if your VPN server requires a proxy server for the connection.

Vegyes alagútkezelésSplit Tunneling

  • Bújtatás megosztása: Az Engedélyezés vagy a Letiltás beállítással szabályozhatja, hogy az eszközök választhatnak-e a forgalomtól függően a kapcsolatok közül.Split tunneling: Enable or Disable to let devices decide which connection to use depending on the traffic. Egy szállodai vendég például a munkahelyi fájlok elérésére a VPN-kapcsolatot, de egyszerű böngészésre a szálloda normál hálózatát használja.For example, a user in a hotel uses the VPN connection to access work files, but uses the hotel's standard network for regular web browsing.
  • A VPN-kapcsolat megosztott protokollbújtatási útvonalai: Választható útvonalak hozzáadása külső VPN-szolgáltatók számára.Split tunneling routes for this VPN connection: Add optional routes for third-party VPN providers. Minden kapcsolathoz adja meg a célelőtagot és az előtag méretét.Enter a destination prefix, and a prefix size for each connection.