Tworzenie profilów sieci VPN w celu nawiązania połączenia z serwerami sieci VPN w usłudze Intune

Ważna

22 października 2022 r. Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje na tych urządzeniach nie są dostępne.

Jeśli obecnie używasz Windows 8.1, zalecamy przejście na urządzenia Windows 10/11. Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi Windows 10/11.

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 30 sierpnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, przeczytaj Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Wirtualne sieci prywatne (VPN) zapewniają użytkownikom bezpieczny dostęp zdalny do sieci organizacji. Urządzenia używają profilu połączenia sieci VPN, aby rozpocząć połączenie z serwerem sieci VPN. Profile sieci VPN w Microsoft Intune przypisywania ustawień sieci VPN do użytkowników i urządzeń w organizacji. Użyj tych ustawień, aby użytkownicy mogli łatwo i bezpiecznie łączyć się z siecią organizacyjną.

Ta funkcja ma zastosowanie do:

• Administratora urządzenia z systemem Android
• Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
• iOS/iPadOS
• macOS
• Windows 10
• Windows 11
• Windows 8.1 i nowsze

Na przykład chcesz skonfigurować wszystkie urządzenia z systemem iOS/iPadOS przy użyciu ustawień wymaganych do nawiązania połączenia z udziałem plików w sieci organizacji. Tworzysz profil sieci VPN, który zawiera te ustawienia. Ten profil można przypisać do wszystkich użytkowników, którzy mają urządzenia z systemem iOS/iPadOS. Użytkownicy widzą połączenie sieci VPN na liście dostępnych sieci i mogą łączyć się przy minimalnym nakładzie pracy.

W tym artykule wymieniono aplikacje sieci VPN, których można użyć, pokazano, jak utworzyć profil sieci VPN i przedstawiono wskazówki dotyczące zabezpieczania profilów sieci VPN. Przed utworzeniem profilu sieci VPN należy wdrożyć aplikację sieci VPN. Jeśli potrzebujesz pomocy dotyczącej wdrażania aplikacji przy użyciu Microsoft Intune, przejdź do tematu Co to jest zarządzanie aplikacjami w Microsoft Intune?.

Przed rozpoczęciem

• Profile sieci VPN dla tunelu urządzenia są obsługiwane w przypadku pulpitów zdalnych Windows 10/11 Enterprise z wieloma sesjami.

• Jeśli używasz uwierzytelniania opartego na certyfikatach dla profilu sieci VPN, wdróż profil sieci VPN, profil certyfikatu i zaufany profil główny w tych samych grupach. Ten krok zapewnia, że każde urządzenie może rozpoznać zasadność urzędu certyfikacji. Aby uzyskać więcej informacji, przejdź do tematu How to configure certificates with Microsoft Intune (Jak skonfigurować certyfikaty przy użyciu Microsoft Intune).

• Rejestracja użytkownika dla systemów iOS/iPadOS i macOS obsługuje tylko sieć VPN dla aplikacji.

• Do tworzenia profilów sieci VPN dla następujących platform można użyć Intune niestandardowych zasad konfiguracji:

  • System Android 4 lub nowszy
  • Zarejestrowane urządzenia z systemem Windows 8.1 i nowszym
  • Zarejestrowane urządzenia z systemem Windows 10/11
  • Windows Holographic for Business

• W przypadku urządzeń Windows 11 występuje problem między klientem Windows 11 a programem CSP VPNv2 systemu Windows.

  Urządzenie z co najmniej jednym profilem sieci VPN Intune utraci łączność sieci VPN, gdy urządzenie przetwarza wiele zmian w profilach sieci VPN dla urządzenia jednocześnie. Gdy urządzenie zaewidencjonuje za pomocą Intune po raz drugi, przetwarza zmiany profilu sieci VPN i przywraca łączność.

  Następujące zmiany mogą spowodować utratę funkcji sieci VPN:

  • Zmieniasz lub aktualizujesz istniejący profil sieci VPN, który był wcześniej przetwarzany przez urządzenie Windows 11. Ta akcja powoduje usunięcie oryginalnego profilu i zastosowanie zaktualizowanego profilu.
  • Dwa nowe profile sieci VPN mają zastosowanie do urządzenia w tym samym czasie.
  • Aktywny profil sieci VPN zostanie usunięty w tym samym czasie, gdy zostanie przypisany nowy profil sieci VPN.

  Ten problem nie ma zastosowania, a łączność sieci VPN pozostaje w następujących scenariuszach:

  • Urządzenie Windows 11 nie ma przypisanego istniejącego profilu sieci VPN, a urządzenia otrzymują jeden Intune profilu sieci VPN.

  • Windows 11 urządzenia mają przypisany istniejący profil sieci VPN i są przypisane do innego profilu sieci VPN bez żadnych innych zmian profilu.

  • Urządzenie Windows 10 uaktualnia do Windows 11 i nie ma żadnych zmian w profilach sieci VPN tego urządzenia. Po uaktualnieniu do Windows 11 wszelkie zmiany w profilach sieci VPN urządzeń lub dodanie nowych profilów sieci VPN spowoduje wyzwolenie problemu.

  • Windows 11 wymaga tego:

    • Skonfigurowano wszystkie parametry skojarzenia zabezpieczeń IKE i parametry skojarzenia zabezpieczeń podrzędnych

      LUB

    • Żadne z parametrów skojarzenia zabezpieczeń IKE i parametrów skojarzenia zabezpieczeń podrzędnych nie są skonfigurowane

    Jeśli skonfigurujesz tylko jeden z ustawień parametrów skojarzenia zabezpieczeń IKE lub parametrów skojarzenia zabezpieczeń podrzędnych , nastąpi utrata funkcji sieci VPN.

Krok 1. Wdrażanie aplikacji sieci VPN

Aby można było używać profilów sieci VPN przypisanych do urządzenia, należy zainstalować aplikację sieci VPN. Ta aplikacja sieci VPN nawiązuje połączenie z serwerem sieci VPN.

Dostępne są różne aplikacje sieci VPN. Na urządzeniach użytkowników wdrażasz aplikację sieci VPN używaną przez organizację. Po wdrożeniu aplikacji sieci VPN należy utworzyć i wdrożyć profil konfiguracji urządzenia sieci VPN, który konfiguruje ustawienia serwera sieci VPN, w tym nazwę serwera sieci VPN (lub nazwę FQDN) i metodę uwierzytelniania.

Niektóre platformy i aplikacje sieci VPN wymagają zasad konfiguracji aplikacji do wstępnej konfiguracji aplikacji sieci VPN zamiast profilu konfiguracji urządzenia sieci VPN. W tej sekcji wymieniono również platformy i aplikacje sieci VPN, które muszą korzystać z zasad konfiguracji aplikacji.

Aby ułatwić przypisywanie aplikacji przy użyciu Intune, przejdź do obszaru Dodawanie aplikacji do Microsoft Intune.

Typy połączeń sieci VPN

Profile sieci VPN można tworzyć przy użyciu następujących typów połączeń sieci VPN:

• Automatyczne

  • Windows 10/11

• Check Point Capsule VPN

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• Cisco AnyConnect

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11

• Cisco (IPSec)

  • iOS/iPadOS

• Citrix SSO

  • Administratora urządzenia z systemem Android
  • Urządzenia osobiste z systemem Android Enterprise z profilem służbowym: korzystanie z zasad konfiguracji aplikacji
  • W pełni zarządzane i należące do firmy profile służbowe systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
  • iOS/iPadOS
  • Windows 10/11

• Niestandardowa sieć VPN

  • iOS/iPadOS
  • macOS

  Twórca niestandardowych profilów sieci VPN przy użyciu ustawień identyfikatora URI w Twórca profilu z ustawieniami niestandardowymi.

• F5 Access

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• IKEv2

  • iOS/iPadOS
  • Windows 10/11

• L2TP

  • Windows 10/11

• Microsoft Tunnel

  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS

• NetMotion Mobility

  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • macOS

• Palo Alto Networks GlobalProtect

  • Urządzenia osobiste z systemem Android Enterprise z profilem służbowym: korzystanie z zasad konfiguracji aplikacji
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
  • iOS/iPadOS
  • Windows 10/11

• PPTP

  • Windows 10/11

• Pulse Secure

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • Windows 10/11
  • Windows 8.1

• SonicWall Mobile Connect

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• Zscaler

  • Urządzenia osobiste z systemem Android Enterprise z profilem służbowym: korzystanie z zasad konfiguracji aplikacji
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
  • iOS/iPadOS

Krok 2. Twórca profilu

Po przypisaniu aplikacji sieci VPN do urządzenia w następnym kroku zostaną utworzone zasady konfiguracji urządzenia, które konfigurują połączenie sieci VPN. Jeśli typ połączenia aplikacji sieci VPN używa zasad konfiguracji aplikacji do skonfigurowania aplikacji, pomiń ten krok.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycjęKonfiguracja>urządzeń> Twórca.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz platformę urządzeń. Dostępne opcje:
     • Administrator urządzenia z systemem Android
     • Android Enterprise>W pełni zarządzany, dedykowany i Corporate-Owned profil służbowy
     • Android Enterprise>Profil służbowy należący do użytkownika
     • iOS/iPadOS
     • macOS
     • Windows 10 lub nowszy
     • Windows 8.1 i nowsze
   • Typ profilu: wybierz pozycję VPN. Możesz też wybrać pozycję Szablony>VPN.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą profilu jest profil sieci VPN dla całej firmy.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. Ustawienia, które można skonfigurować w obszarze Ustawienia konfiguracji, różnią się w zależności od wybranej platformy. Wybierz platformę, aby uzyskać szczegółowe ustawienia:

   • Administrator urządzenia z systemem Android
   • Android Enterprise
   • iOS/iPadOS
   • macOS
   • Windows 10 (w tym Windows Holographic for Business)
   • Windows 8.1

8. Wybierz pozycję Dalej.

9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, przejdź do tematu Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonej infrastruktury IT.

   Wybierz pozycję Dalej.

10. W obszarze Przypisania wybierz użytkownika lub grupy, które odbierają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Zabezpieczanie profilów sieci VPN

Profile sieci VPN mogą używać wielu różnych typów połączeń i protokołów od różnych producentów. Te połączenia są zwykle zabezpieczone za pomocą następujących metod.

Certyfikaty

Podczas tworzenia profilu sieci VPN należy wybrać profil certyfikatu SCEP lub PKCS utworzony wcześniej w Intune. Ten profil jest znany jako certyfikat tożsamości. Jest on używany do uwierzytelniania względem profilu zaufanego certyfikatu (lub certyfikatu głównego), który jest utworzony, aby umożliwić urządzeniu użytkownika nawiązywanie połączenia. Zaufany certyfikat jest przypisywany do komputera, który uwierzytelnia połączenie sieci VPN, zazwyczaj serwer sieci VPN.

Jeśli używasz uwierzytelniania opartego na certyfikatach dla profilu sieci VPN, wdróż profil sieci VPN, profil certyfikatu i zaufany profil główny w tych samych grupach. To przypisanie gwarantuje, że każde urządzenie rozpoznaje zasadność urzędu certyfikacji.

Aby uzyskać więcej informacji na temat tworzenia i używania profilów certyfikatów w Intune, przejdź do tematu How to configure certificates with Microsoft Intune (Jak skonfigurować certyfikaty za pomocą Microsoft Intune).

Uwaga

Certyfikaty dodane przy użyciu profilu zaimportowanego certyfikatu PKCS nie są obsługiwane w przypadku uwierzytelniania sieci VPN. Certyfikaty dodane przy użyciu profilu certyfikatów PKCS są obsługiwane w przypadku uwierzytelniania sieci VPN.

Nazwa użytkownika i hasło

Użytkownik uwierzytelnia się na serwerze sieci VPN, podając nazwę użytkownika i hasło lub poświadczenia pochodne.

Następne kroki

• Przypisz profil i monitoruj jego stan.
• Sieci VPN dla aplikacji można również tworzyć i używać na urządzeniach administratora urządzeń z systemem Android/urządzeniach z systemem Android Enterprise i iOS/iPadOS .