Windows 10/11- och Windows Holographic-enhetsinställningar för att lägga till VPN-anslutningar med hjälp av Intune

  • Artikel

Obs!

Intune kan ha stöd för fler inställningar än de inställningar som anges i den här artikeln. Alla inställningar är inte dokumenterade och kommer inte att dokumenteras. Om du vill se de inställningar som du kan konfigurera skapar du en enhetskonfigurationsprincip och väljer Inställningskatalog. Mer information finns i Inställningskatalog.

Du kan lägga till och konfigurera VPN-anslutningar för enheter med hjälp av Microsoft Intune. I den här artikeln beskrivs några av de inställningar och funktioner som du kan konfigurera när du skapar virtuella privata nätverk (VPN). Dessa VPN-inställningar används i enhetskonfigurationsprofiler och skickas eller distribueras sedan till enheter.

Som en del av din MDM-lösning (hantering av mobila enheter) använder du de här inställningarna för att tillåta eller inaktivera funktioner, inklusive att använda en specifik VPN-leverantör, aktivera alltid på, använda DNS, lägga till en proxy med mera.

De här inställningarna gäller för enheter som kör:

  • Windows 10/11
  • Windows Holographic for Business

Innan du börjar

Användaromfång eller enhetsomfång

  • Använd den här VPN-profilen med ett användar-/enhetsomfång: Använd profilen för användaromfånget eller enhetens omfång:

    • Användaromfång: VPN-profilen installeras i användarens konto på enheten, till exempel user@contoso.com. Om en annan användare loggar in på enheten är VPN-profilen inte tillgänglig.
    • Enhetsomfång: VPN-profilen installeras i enhetskontexten och gäller för alla användare på enheten. Windows Holographic-enheter stöder endast enhetsomfång.

Befintliga VPN-profiler gäller för deras befintliga omfång. Som standard installeras nya VPN-profiler i användaromfånget förutom profilerna med enhetstunnel aktiverad. VPN-profiler med enhetstunnel aktiverat använder enhetens omfång.

Anslutningstyp

  • Anslutningstyp: Välj VPN-anslutningstyp i följande lista över leverantörer:

    • Check Point Capsule VPN
    • Cisco AnyConnect
    • Citrix
    • F5-åtkomst
    • Palo Alto Networks GlobalProtect
    • Pulse Secure
    • SonicWall Mobile Connect
    • Automatisk (intern typ)
    • IKEv2 (intern typ)
    • L2TP (intern typ)
    • PPTP (intern typ)

Grundläggande VPN

Följande inställningar visas beroende på vilken anslutningstyp du väljer. Alla inställningar är inte tillgängliga för alla anslutningstyper.

  • Anslutningsnamn: Ange ett namn för den här anslutningen. Slutanvändarna ser det här namnet när de bläddrar på sin enhet för listan över tillgängliga VPN-anslutningar. Ange till exempel Contoso VPN.

  • Servrar: Lägg till en eller flera VPN-servrar som enheterna ansluter till. När du lägger till en server anger du följande information:

    • Importera: Bläddra till en kommaavgränsad fil som innehåller en lista över servrar i formatet: beskrivning, IP-adress eller FQDN, standardserver. Välj OK för att importera servrarna till listan Servrar .
    • Exportera: Exporterar den befintliga listan över servrar till en fil med kommaavgränsade värden (csv).
    • Beskrivning: Ange ett beskrivande namn för servern, till exempel Contoso VPN-server.
    • VPN-serveradress: Ange IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för den VPN-server som enheterna ansluter till, till exempel 192.168.1.1 eller vpn.contoso.com.
    • Standardserver: Sant aktiverar den här servern som standardserver som enheter använder för att upprätta anslutningen. Ange endast en server som standard. False (standard) använder inte den här VPN-servern som standardserver.

  • Registrera IP-adresser med intern DNS: Välj Aktivera för att konfigurera VPN-profilen för att dynamiskt registrera IP-adresserna som tilldelats TILL VPN-gränssnittet med den interna DNS-adressen. Välj Inaktivera för att inte dynamiskt registrera IP-adresserna.

  • AlwaysOn: Aktivera ansluter automatiskt till VPN-anslutningen när följande händelser inträffar:

    • Användare loggar in på sina enheter.
    • Nätverket på enheten ändras.
    • Skärmen på enheten aktiveras igen när den har inaktiverats.

    Aktivera den här inställningen om du vill använda enhetstunnelanslutningar, till exempel IKEv2.

    Inaktivera aktiverar inte VPN-anslutningen automatiskt. Användare kan behöva aktivera VPN manuellt.

  • Autentiseringsmetod: Välj hur du vill att användarna ska autentisera till VPN-servern. Dina alternativ:

    • Certifikat: Välj en befintlig användarklientcertifikatprofil för att autentisera användaren. Det här alternativet innehåller förbättrade funktioner, till exempel zero-touch-upplevelse, VPN på begäran och per app-VPN.

      Information om hur du skapar certifikatprofiler i Intune finns i Använda certifikat för autentisering.

    • Användarnamn och lösenord: Kräv att användarna anger sitt domänanvändarnamn och lösenord för att autentisera, till exempel user@contoso.com, eller contoso\user.

    • Härledd autentiseringsuppgift: Använd ett certifikat som härleds från en användares smartkort. Om ingen utfärdare av härledda autentiseringsuppgifter har konfigurerats uppmanar Intune dig att lägga till en. Mer information finns i Använda härledda autentiseringsuppgifter i Intune.

      Obs!

      För närvarande fungerar inte härledda autentiseringsuppgifter som en autentiseringsmetod för VPN-profiler som förväntat på Windows-enheter. Det här beteendet påverkar bara VPN-profiler på Windows-enheter och kommer att åtgärdas i en framtida version (ingen ETA).

    • EAP (endast IKEv2): Välj en befintlig EAP-klientcertifikatprofil (Extensible Authentication Protocol) som ska autentiseras. Ange autentiseringsparametrarna i EAP XML-inställningen .

      Mer information om EAP-autentisering finns i EAP (Extensible Authentication Protocol) för nätverksåtkomst och EAP-konfiguration.

    • Datorcertifikat (endast IKEv2): Välj en befintlig enhetsklientcertifikatprofil för att autentisera enheten.

      Om du använder enhetstunnelanslutningar måste du välja Datorcertifikat.

      Information om hur du skapar certifikatprofiler i Intune finns i Använda certifikat för autentisering.

  • Kom ihåg autentiseringsuppgifter vid varje inloggning: Aktivera cachelagrar autentiseringsuppgifterna. När värdet är Inte konfigurerat ändrar eller uppdaterar Intune inte den här inställningen. Operativsystemet kanske som standard inte cachelagrade autentiseringsuppgifterna.

  • Anpassad XML: Ange alla anpassade XML-kommandon som konfigurerar VPN-anslutningen.

  • EAP XML: Ange alla EAP XML-kommandon som konfigurerar VPN-anslutningen.

    Mer information, inklusive att skapa anpassad EAP XML, finns i EAP-konfiguration.

  • Enhetstunnel (endast IKEv2): Aktivera ansluter enheten automatiskt till VPN utan användarinteraktion eller inloggning. Den här inställningen gäller för enheter som är anslutna till Microsoft Entra ID.

    Om du vill använda den här funktionen måste du konfigurera följande inställningar:

    • Anslutningstyp: Ange IKEv2.
    • AlwaysOn: Ställ in på Aktivera.
    • Autentiseringsmetod: Ställ in på Datorcertifikat.

    Tilldela endast en profil per enhet med Enhetstunnel aktiverat.

IKE-säkerhetsassociationsparametrar (endast IKEv2)

Viktigt

Windows 11 kräver följande:

Dessa kryptografiinställningar används under förhandlingar om IKE-säkerhetsassociationer (kallas main mode även eller phase 1) för IKEv2-anslutningar. De här inställningarna måste matcha VPN-serverinställningarna. Om inställningarna inte matchar ansluter inte VPN-profilen.

  • Krypteringsalgoritm: Välj den krypteringsalgoritm som används på VPN-servern. Om VPN-servern till exempel använder AES 128-bitars väljer du AES-128 i listan.

    När värdet är Inte konfigurerat ändrar eller uppdaterar Intune inte den här inställningen.

  • Algoritm för integritetskontroll: Välj den integritetsalgoritm som används på VPN-servern. Om VPN-servern till exempel använder SHA1-96 väljer du SHA1-96 i listan.

    När värdet är Inte konfigurerat ändrar eller uppdaterar Intune inte den här inställningen.

  • Diffie-Hellman-grupp: Välj den Diffie-Hellman beräkningsgrupp som används på VPN-servern. Om VPN-servern till exempel använder Group2 (1 024 bitar) väljer du 2 i listan.

    När värdet är Inte konfigurerat ändrar eller uppdaterar Intune inte den här inställningen.

Parametrar för underordnade säkerhetsassociationer (endast IKEv2)

Viktigt

Windows 11 kräver följande:

Dessa kryptografiinställningar används under förhandlingar om underordnade säkerhetsassociationer (kallas quick mode även eller phase 2) för IKEv2-anslutningar. De här inställningarna måste matcha VPN-serverinställningarna. Om inställningarna inte matchar ansluter inte VPN-profilen.

  • Krypteringstransformeringsalgoritm: Välj den algoritm som används på VPN-servern. Om VPN-servern till exempel använder AES-CBC 128-bitars väljer du CBC-AES-128 i listan.

    När värdet är Inte konfigurerat ändrar eller uppdaterar Intune inte den här inställningen.

  • Algoritm för autentiseringstransformering: Välj den algoritm som används på VPN-servern. Om VPN-servern till exempel använder AES-GCM 128 bitar väljer du GCM-AES-128 i listan.

    När värdet är Inte konfigurerat ändrar eller uppdaterar Intune inte den här inställningen.

  • PFS-grupp (Perfect Forward Secrecy): Välj den Diffie-Hellman beräkningsgrupp som används för PFS (Perfect Forward Secrecy) på VPN-servern. Om VPN-servern till exempel använder Group2 (1 024 bitar) väljer du 2 i listan.

    När värdet är Inte konfigurerat ändrar eller uppdaterar Intune inte den här inställningen.

Pulse Secure-exempel

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

F5 Edge-klientexempel

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

SonicWALL Mobile Connect-exempel

Inloggningsgrupp eller domän: Den här egenskapen kan inte anges i VPN-profilen. I stället parsar Mobile Connect det här värdet när användarnamnet och domänen anges i formaten username@domain eller DOMAIN\username .

Exempel:

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

Exempel på CheckPoint Mobile VPN

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

Tips

Mer information om hur du skriver anpassade XML-kommandon finns i tillverkarens VPN-dokumentation.

Appar och trafikregler

  • Associera WIP eller appar med den här VPN-anslutningen: Aktivera den här inställningen om du bara vill att vissa appar ska använda VPN-anslutningen. Dina alternativ:

    • Inte konfigurerad (standard): Intune ändrar eller uppdaterar inte den här inställningen.
    • Associera en WIP med den här anslutningen: Alla appar i Windows Identity Protection-domänen använder automatiskt VPN-anslutningen.
      • WIP-domän för den här anslutningen: Ange en WIP-domän (Windows Identity Protection). Ange till exempel contoso.com.
    • Associera appar med den här anslutningen: De appar som du anger använder automatiskt VPN-anslutningen.

      • Begränsa VPN-anslutningen till dessa appar: Inaktivera (standard) tillåter att alla appar använder VPN-anslutningen. Aktivera begränsar VPN-anslutningen till de appar som du anger (per app-VPN). Trafikregler för de appar som du lägger till läggs automatiskt till i reglerna för nätverkstrafik för den här VPN-anslutningsinställningen .

        När du väljer Aktivera blir listan över appidentifierare skrivskyddad. Innan du aktiverar den här inställningen lägger du till dina associerade appar.

      • Associerade appar: Välj Importera för att importera en .csv fil med din lista över appar. Ditt .csv utseende liknar följande fil:

        %windir%\system32\notepad.exe,desktop Microsoft.Office.OneNote_8wekyb3d8bbwe,universal

        Apptypen avgör appidentifieraren. För en universell app anger du paketfamiljenamnet, till exempel Microsoft.Office.OneNote_8wekyb3d8bbwe. För en skrivbordsapp anger du filsökvägen för appen, till exempel %windir%\system32\notepad.exe.

        Om du vill hämta paketfamiljenamnet kan du använda cmdleten Get-AppxPackage Windows PowerShell. Om du till exempel vill hämta OneNote-paketfamiljenamnet öppnar du Windows PowerShell och anger Get-AppxPackage *OneNote. Mer information finns i Hitta ett PFN för en app som är installerad på en Windows-klientdator och cmdleten Get-AppxPackage.

    Viktigt

    Vi rekommenderar att du skyddar alla applistor som skapats för vpn per app. Om en obehörig användare ändrar den här listan och du importerar den till vpn-applistan per app kan du eventuellt auktorisera VPN-åtkomst till appar som inte ska ha åtkomst. Ett sätt att skydda applistor är att använda en åtkomstkontrollista (ACL).

  • Regler för nätverkstrafik för den här VPN-anslutningen: Du kan lägga till nätverksregler som gäller för den här VPN-anslutningen. Använd den här funktionen för att filtrera nätverkstrafik till den här VPN-anslutningen.

    • Om du skapar en regel för nätverkstrafik använder VPN endast de protokoll, portar och IP-adressintervall som du anger i den här regeln.
    • Om du inte skapar en regel för nätverkstrafik aktiveras alla protokoll, portar och adressintervall för den här VPN-anslutningen.

    När du lägger till trafikregler rekommenderar vi att du lägger till en regel som är minst restriktiv för att undvika VPN-problem.

    Välj Lägg till för att skapa en regel och ange följande information. Du kan också importera en .csv fil med den här informationen.

    • Namn: Ange ett namn för nätverkstrafikregeln.

    • Regeltyp: Ange tunnelmetoden för den här regeln. Den här inställningen gäller endast när den här regeln är associerad med en app. Dina alternativ:

      • Ingen (standard)
      • Delad tunnel: Det här alternativet ger klientenheter två anslutningar samtidigt. En anslutning är säker och har utformats för att hålla nätverkstrafiken privat. Den andra anslutningen är öppen för nätverket och låter Internettrafiken gå igenom.
      • Tvingad tunnel: All nätverkstrafik i den här regeln går via VPN. Ingen nätverkstrafik i den här regeln går direkt till Internet.

    • Riktning: Välj det flöde av nätverkstrafik som vpn-anslutningen tillåter. Dina alternativ:

      • Inkommande: Tillåter endast trafik från externa platser via VPN. Utgående trafik blockeras från att komma in i VPN.
      • Utgående (standard): Tillåter endast trafik till externa platser via VPN. Inkommande trafik blockeras från att komma in i VPN-nätverket.

      Skapa två separata regler för att tillåta inkommande och utgående trafik. Skapa en regel för inkommande trafik och en annan regel för utgående trafik.

    • Protokoll: Ange portnumret för det nätverksprotokoll som du vill att VPN ska använda, från 0 till 255. Ange till exempel 6 för TCP eller 17 UDP.

      När du anger ett protokoll ansluter du två nätverk via samma protokoll. Om du använder protokollen TPC (6) eller UDP (17) måste du också ange tillåtna lokala & fjärrportintervall och tillåtna lokala & fjärranslutna IP-adressintervall.

      Du kan också importera en .csv fil med den här informationen.

    • Lokala portintervall: Om du använder protokollen TPC (6) eller UDP (17) anger du de tillåtna lokala nätverksportintervallen. Ange till exempel 100 för den nedre porten och 120 för den övre porten.

      Du kan skapa en lista över tillåtna portintervall, till exempel 100–120, 200, 300–320. För en enskild port anger du samma portnummer i båda fälten.

      Du kan också importera en .csv fil med den här informationen.

    • Fjärrportintervall: Om du använder protokollen TPC (6) eller UDP (17) anger du de tillåtna portintervallen för fjärrnätverk. Ange till exempel 100 för den nedre porten och 120 för den övre porten.

      Du kan skapa en lista över tillåtna portintervall, till exempel 100–120, 200, 300–320. För en enskild port anger du samma portnummer i båda fälten.

      Du kan också importera en .csv fil med den här informationen.

    • Lokala adressintervall: Ange de tillåtna IPv4-adressintervallen för det lokala nätverket som kan använda VPN. Endast klientenhetens IP-adresser i det här intervallet använder detta VPN.

      Ange till exempel 10.0.0.22 för den nedre porten och 10.0.0.122 för den övre porten.

      Du kan skapa en lista över tillåtna IP-adresser. För en enskild IP-adress anger du samma IP-adress i båda fälten.

      Du kan också importera en .csv fil med den här informationen.

    • Fjärradressintervall: Ange de tillåtna IPv4-adressintervallen för fjärrnätverket som kan använda VPN. Endast IP-adresser i det här intervallet använder detta VPN.

      Ange till exempel 10.0.0.22 för den nedre porten och 10.0.0.122 för den övre porten.

      Du kan skapa en lista över tillåtna IP-adresser. För en enskild IP-adress anger du samma IP-adress i båda fälten.

      Du kan också importera en .csv fil med den här informationen.

Villkorsstyrd åtkomst

  • Villkorlig åtkomst för den här VPN-anslutningen: Aktiverar flödet för enhetsefterlevnad från klienten. När det är aktiverat kommunicerar VPN-klienten med Microsoft Entra ID för att hämta ett certifikat som ska användas för autentisering. VPN ska konfigureras för att använda certifikatautentisering och VPN-servern måste lita på den server som returneras av Microsoft Entra ID.

  • Enkel inloggning (SSO) med alternativt certifikat: För enhetsefterlevnad använder du ett annat certifikat än VPN-autentiseringscertifikatet för Kerberos-autentisering. Ange certifikatet med följande inställningar:

    • Namn: Namn för utökad nyckelanvändning (EKU)
    • Objektidentifierare: Objektidentifierare för EKU
    • Utfärdarhash: Tumavtryck för SSO-certifikat

DNS-inställningar

  • Söklista för DNS-suffix: I DNS-suffix anger du ett DNS-suffix och Lägg till. Du kan lägga till många suffix.

    När du använder DNS-suffix kan du söka efter en nätverksresurs med dess korta namn i stället för det fullständigt kvalificerade domännamnet (FQDN). När du söker med det korta namnet bestäms suffixet automatiskt av DNS-servern. Finns till exempel utah.contoso.com i dns-suffixlistan. Du pingar DEV-comp. I det här scenariot matchas det till DEV-comp.utah.contoso.com.

    DNS-suffix matchas i den ordning som anges och ordningen kan ändras. Och finns till exempel colorado.contoso.comutah.contoso.com i DNS-suffixlistan och båda har en resurs med namnet DEV-comp. Eftersom colorado.contoso.com är först i listan matchas den som DEV-comp.colorado.contoso.com.

    Om du vill ändra ordningen väljer du punkterna till vänster om DNS-suffixet och drar sedan suffixet längst upp:

    Välj de tre punkterna och klicka och dra för att flytta dns-suffixet

  • NRPT-regler (Name Resolution Policy Table): NRPT-regler (Name Resolution Policy table) definierar hur DNS löser namn när de är anslutna till VPN. När VPN-anslutningen har upprättats väljer du vilka DNS-servrar VPN-anslutningen använder.

    Du kan lägga till regler som innehåller domänen, DNS-servern, proxyn och annan information. Dessa regler matchar den domän som du anger. VPN-anslutningen använder dessa regler när användare ansluter till de domäner som du anger.

    Välj Lägg till för att lägga till en ny regel. För varje server anger du:

    • Domän: Ange det fullständigt kvalificerade domännamnet (FQDN) eller ett DNS-suffix för att tillämpa regeln. Du kan också ange en punkt (.) i början för ett DNS-suffix. Ange till exempel contoso.com eller .allcontososubdomains.com.
    • DNS-servrar: Ange den IP-adress eller DNS-server som matchar domänen. Ange till exempel 10.0.0.3 eller vpn.contoso.com.
    • Proxy: Ange den webbproxyserver som matchar domänen. Ange till exempel http://proxy.com.
    • Anslut automatiskt: När den är aktiverad ansluter enheten automatiskt till VPN när en enhet ansluter till en domän som du anger, till exempel contoso.com. När inte konfigurerad (standard) ansluter enheten inte automatiskt till VPN
    • Beständig: När den är inställd på Aktiverad finns regeln kvar i tabellen Namnmatchningsprincip (NRPT) tills regeln tas bort manuellt från enheten, även efter att VPN-anslutningen har kopplats från. När det är inställt på Inte konfigurerad (standard) tas NRPT-reglerna i VPN-profilen bort från enheten när VPN kopplas från.

Proxy

  • Automatiskt konfigurationsskript: Använd en fil för att konfigurera proxyservern. Ange den proxyserver-URL som innehåller konfigurationsfilen. Ange till exempel http://proxy.contoso.com/pac.
  • Adress: Ange IP-adressen eller det fullständigt kvalificerade värdnamnet för proxyservern. Ange till exempel 10.0.0.3 eller vpn.contoso.com.
  • Portnummer: Ange det portnummer som används av proxyservern. Ange till exempel 8080.
  • Kringgå proxy för lokala adresser: Den här inställningen gäller om VPN-servern kräver en proxyserver för anslutningen. Om du inte vill använda en proxyserver för lokala adresser väljer du Aktivera.

Delade tunnlar

  • Delade tunnlar: Aktivera eller Inaktivera för att låta enheter bestämma vilken anslutning som ska användas beroende på trafiken. En användare på ett hotell använder till exempel VPN-anslutningen för att få åtkomst till arbetsfiler, men använder hotellets standardnätverk för vanlig webbsurfning.
  • Delade tunnelvägar för den här VPN-anslutningen: Lägg till valfria vägar för VPN-leverantörer från tredje part. Ange ett målprefix och en prefixstorlek för varje anslutning.

Identifiering av betrott nätverk

DNS-suffix för betrott nätverk: När användare redan är anslutna till ett betrott nätverk kan du förhindra att enheter automatiskt ansluter till andra VPN-anslutningar.

I DNS-suffix anger du ett DNS-suffix som du vill lita på, till exempel contoso.com, och väljer Lägg till. Du kan lägga till så många suffix som du vill.

Om en användare är ansluten till ett DNS-suffix i listan ansluter användaren inte automatiskt till en annan VPN-anslutning. Användaren fortsätter att använda den betrodda listan över DNS-suffix som du anger. Det betrodda nätverket används fortfarande, även om några autotriggers har angetts.

Om användaren till exempel redan är ansluten till ett betrott DNS-suffix ignoreras följande autotriggers. Mer specifikt avbryter DNS-suffixen i listan alla andra autotriggers för anslutningar, inklusive:

  • Alltid på
  • Appbaserad utlösare
  • DNS-autotrigger

Nästa steg

Profilen har skapats, men kanske inte gör något ännu. Se till att tilldela profilen och övervaka dess status.

Konfigurera VPN-inställningar på Android-, iOS/iPadOS- och macOS-enheter .