Impostazioni VPN di Windows 10 in IntuneWindows 10 VPN settings in Intune

È possibile configurare le connessioni VPN usando Intune.You can configure VPN connections using Intune. Questo articolo descrive queste impostazioni, le regole di traffico, l'accesso condizionale e le impostazioni DNS e proxy.This article describes these settings, the traffic rules, conditional access, and DNS & proxy settings.

Queste impostazioni si applicano a:These settings apply to:

  • Dispositivi che eseguono Windows 10Devices running Windows 10
  • Dispositivi che eseguono Windows Holographic for BusinessDevices running Windows Holographic for Business

A seconda delle impostazioni selezionate, è possibile che non tutti i valori siano configurabili.Depending on the settings you choose, not all values may be configurable.

Impostazioni VPN di baseBase VPN settings

  • Nome della connessione: immettere un nome per la connessione.Connection name: Enter a name for this connection. Questo nome viene visualizzato dagli utenti finali nel momento in cui esplorano l'elenco delle connessioni VPN disponibili nel dispositivo.End users see this name when they browse their device for the list of available VPN connections.

  • Server: aggiungere uno o più server VPN a cui si connettono i dispositivi.Servers: Add one or more VPN servers that devices connect to. Quando si aggiunge un server, si immettono le informazioni seguenti:When you add a server, you enter the following information:

    • Descrizione: immettere un nome descrittivo per il server, ad esempio Server VPN ContosoDescription: Enter a descriptive name for the server, such as Contoso VPN server
    • Indirizzo IP o FQDN: immettere l'indirizzo IP o il nome di dominio completo del server VPN a cui si connettono i dispositivi, ad esempio 192.168.1.1 o vpn.contoso.comIP address or FQDN: Enter the IP address or fully qualified domain name of the VPN server that devices connect to, such as 192.168.1.1 or vpn.contoso.com
    • Server predefinito: abilita il server come server predefinito usato dai dispositivi per stabilire la connessione.Default server: Enables this server as the default server that devices use to establish the connection. Impostare un solo server come server predefinito.Set only one server as the default.
    • Importa: selezionare un file contenente un elenco di server separati da virgole nel formato: descrizione, indirizzo IP o FQDN, server predefinito.Import: Browse to a comma-separated file that contains a list of servers in the format: description, IP address or FQDN, Default server. Scegliere OK per importare i server nell'elenco Server.Choose OK to import these servers into the Servers list.
    • Esporta: esporta l'elenco dei server in un file di valori separati da virgole (CSV).Export: Exports the list of servers to a comma-separated-values (csv) file
  • Tipo di connessione: selezionare il tipo di connessione VPN dall'elenco di fornitori seguente:Connection type: Select the VPN connection type from the following list of vendors:

    • Pulse SecurePulse Secure
    • F5 Edge ClientF5 Edge Client
    • SonicWALL Mobile ConnectSonicWALL Mobile Connect
    • Check Point Capsule VPNCheck Point Capsule VPN
    • CitrixCitrix
    • Palo Alto Networks GlobalProtectPalo Alto Networks GlobalProtect
    • AutomaticoAutomatic
    • IKEv2IKEv2
    • L2TPL2TP
    • PPTPPPTP

    Quando si sceglie un tipo di connessione VPN, potrebbe essere richieste anche le impostazioni seguenti:When you choose a VPN connection type, you may also be asked for the following settings:

    • Always On: abilitare automaticamente la connessione VPN quando si verificano le condizioni seguenti:Always On: Enable to automatically connect to the VPN connection when the following happens:

      • Gli utenti accedono ai propri dispositiviUsers sign into their devices
      • La rete del dispositivo cambiaThe network on the device changes
      • Lo schermo del dispositivo si riattiva dopo essere stato disattivatoThe screen on the device turns back on after being turned off
    • Metodo di autenticazione: selezionare come si vuole eseguire l'autenticazione degli utenti nel server VPN.Authentication method: Select how you want users to authenticate to the VPN server. L'uso dei certificati offre funzionalità avanzate, ad esempio un'esperienza completamente automatica, VPN su richiesta e VPN per singole app.Using certificates provides enhanced capabilities, such as zero-touch experience, on-demand VPN, and per-app VPN.

    • Ricorda le credenziali a ogni accesso: scegliere di memorizzare nella cache le credenziali di autenticazione.Remember credentials at each logon: Choose to cache the authentication credentials.

    • XML personalizzato: immettere i comandi XML personalizzati per la configurazione della connessione VPN.Custom XML: Enter any custom XML commands that configure the VPN connection.

    • XML EAP: immettere i comandi XML EAP per la configurazione della connessione VPNEAP Xml: Enter any EAP XML commands that configure the VPN connection

Esempio di Pulse SecurePulse Secure example

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

Esempio di F5 Edge ClientF5 Edge Client example

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

Esempio di SonicWALL Mobile ConnectSonicWALL Mobile Connect example

Gruppo o dominio di accesso: questa proprietà non può essere impostata nel profilo VPN.Login group or domain: This property can't be set in the VPN profile. Mobile Connect analizza questo valore quando nome utente e dominio vengono immessi nel formato username@domain o DOMAIN\username.Instead, Mobile Connect parses this value when the user name and domain are entered in the username@domain or DOMAIN\username formats.

Esempio:Example:

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

Esempio di VPN CheckPoint MobileCheckPoint Mobile VPN example

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

Scrittura di XML personalizzatoWriting custom XML

Per altre informazioni su come scrivere comandi XML personalizzati, vedere la documentazione della VPN fornita dai diversi produttori.For more information about writing custom XML commands, see each manufacturer's VPN documentation.

Per altre informazioni sulla creazione di XML EAP personalizzato, vedere EAP configuration (Configurazione EAP).For more information about creating custom EAP XML, see EAP configuration.

App e regole del trafficoApps and Traffic Rules

  • Associa WIP o app a questa VPN: abilitare questa opzione se si vuole che la connessione VPN venga usata solo da alcune app.Associate WIP or apps with this VPN: Enable this setting if you only want some apps to use the VPN connection. Le opzioni disponibili sono:Your options:

    • Associa WIP a questa connessione: immettere un dominio WIP per questa connessioneAssociate a WIP with this connection: Enter a WIP domain for this connection
    • Associa le app a questa connessione: è possibile limitare la connessione VPN a queste app e quindi aggiungere le app associate.Associate apps with this connection: You can Restrict VPN connection to these apps, and then add Associated Apps. Le app immesse usano automaticamente la connessione VPN.The apps you enter automatically use the VPN connection. Il tipo di app determina l'identificatore dell'app.The type of app determines the app identifier. Per un'app universale, immettere il nome della famiglia di pacchetti.For a universal app, enter the package family name. Per un'app desktop, immettere il percorso del file dell'app.For a desktop app, enter the file path of the app.

    Importante

    È consigliabile proteggere tutti gli elenchi di app creati per le reti VPN per singole app.We recommend that you secure all app lists created for per-app VPNs. Se un utente non autorizzato modifica l'elenco e l'elenco viene importato nell'elenco delle app della VPN per singole app, si autorizzano potenzialmente le app che non dovrebbero essere autorizzate ad accedere alla VPN.If an unauthorized user changes this list, and you import it into the per-app VPN app list, then you potentially authorize VPN access to apps that shouldn't have access. Un modo per proteggere gli elenchi delle app consiste nell'usare un elenco di controllo di accesso (ACL).One way you can secure app lists is using an access control list (ACL).

  • Regole del traffico di rete per questa connessione VPN: selezionare i protocolli, le porte e gli intervalli di indirizzi locali e remoti che vengono abilitati per la connessione VPN.Network traffic rules for this VPN connection: Select which protocols, and which local & remote port and address ranges, are enabled for the VPN connection. Se non si crea una regola di traffico di rete, vengono abilitati tutti i protocolli, le porte e gli intervalli di indirizzi.If you don't create a network traffic rule, then all protocols, ports, and address ranges are enabled. Dopo la creazione di una regola, la connessione VPN usa soltanto i protocolli, le porte e gli intervalli di indirizzi immessi nella regola.After you create a rule, the VPN connection uses only the protocols, ports, and address ranges that you enter in that rule.

Accesso condizionaleConditional Access

  • Accesso condizionale per questa connessione VPN: abilita il flusso di conformità del dispositivo dal client.Conditional access for this VPN connection: Enables device compliance flow from the client. Se questa impostazione è abilitata, il client VPN proverà a comunicare con Azure Active Directory (AD) per ottenere un certificato da usare per l'autenticazione.When enabled, the VPN client attempts to communicate with Azure Active Directory (AD) to get a certificate to use for authentication. La rete VPN deve essere impostata per usare l'autenticazione basata su certificato e il server VPN deve considerare attendibile il server restituito da Azure AD.The VPN should be set up to use certificate authentication, and the VPN server must trust the server returned by Azure AD.

  • Accesso Single Sign-On (SSO) con il certificato alternativo: per la conformità del dispositivo, usare un certificato diverso dal certificato di autenticazione VPN per l'autenticazione Kerberos.Single sign-on (SSO) with alternate certificate: For device compliance, use a certificate different from the VPN authentication certificate for Kerberos authentication. Immettere il certificato con le impostazioni seguenti:Enter the certificate with the following settings:

    • Nome: nome per l'utilizzo chiave avanzatoName: Name for extended key usage (EKU)
    • Identificatore di oggetto: identificatore di oggetto per l'utilizzo chiavi avanzato.Object Identifier: Object identifier for EKU
    • Hash dell'emittente: identificazione personale per il certificato SSO.Issuer hash: Thumbprint for SSO certificate

Impostazioni DNSDNS Settings

Domini e server per questa connessione VPN: aggiungere il dominio e il server DNS da usare per la VPN.Domain and servers for this VPN connection: Add domain and DNS server for the VPN to use. È possibile scegliere i server DNS usati dalla connessione VPN dopo che è stata stabilita la connessione.You can choose which DNS servers the VPN connection uses after the connection is established. Per ogni server, immettere:For each server, enter:

  • DominioDomain
  • Server DNSDNS Server
  • ProxyProxy

Impostazioni proxyProxy settings

  • Script di configurazione automatica: consente di usare un file per la configurazione del server proxy.Automatic configuration script: Use a file to configure the proxy server. Immettere l'URL server proxy, ad esempio http://proxy.contoso.com, che contiene il file di configurazione.Enter the Proxy server URL, such as http://proxy.contoso.com, that contains the configuration file.
  • Indirizzo: immettere l'indirizzo del server proxy, ad esempio un indirizzo IP o vpn.contoso.comAddress: Enter the proxy server address, such as an IP address or vpn.contoso.com
  • Numero porta: immettere il numero della porta TCP usato dal server proxyPort number: Enter the TCP port number used by your proxy server
  • Ignora proxy per indirizzi locali: se non si vuole usare un server proxy per gli indirizzi locali, scegliere Abilita.Bypass proxy for local addresses: If you don't want to use a proxy server for local addresses, then choose Enable. Questa impostazione si applica se il server VPN richiede un server proxy per la connessione.This setting applies if your VPN server requires a proxy server for the connection.

Split tunnelingSplit Tunneling

  • Split tunneling: scegliere Abilita o Disabilita per consentire ai dispositivi di scegliere la connessione da usare in base al traffico.Split tunneling: Enable or Disable to let devices decide which connection to use depending on the traffic. Ad esempio, un utente in un hotel userà la connessione VPN per accedere ai file di lavoro, ma userà la rete standard dell'hotel per la normale esplorazione sul Web.For example, a user in a hotel uses the VPN connection to access work files, but uses the hotel's standard network for regular web browsing.
  • Route di split tunneling per questa connessione VPN: aggiungere route facoltative per i provider VPN di terze parti.Split tunneling routes for this VPN connection: Add optional routes for third-party VPN providers. Immettere un prefisso di destinazione e una dimensione per ogni connessione.Enter a destination prefix, and a prefix size for each connection.