使用 Microsoft Intune 將 AlwaysOn VPN 設定檔部署至 Windows 10 或更新的用戶端

在本操作說明文章中，我們會示範如何使用 Intune 來建立及部署 Always On VPN 設定檔。

不過，如果您想要建立自訂 VPN profileXML，請遵循使用 Intune 套用 ProfileXML 中的指引。

必要條件

Intune 使用 Microsoft Entra 使用者群組，因此您需要：

• 請確定您擁有能夠發行使用者和裝置憑證以進行驗證的私密金鑰基礎結構 (PKI)。 如需有關 Intune 憑證的詳細資訊，請參閱在 Microsoft Intune 中使用憑證進行驗證。

• 建立與 VPN 使用者相關聯的 Microsoft Entra 使用者群組，並根據需要將新使用者指派到該群組。

• 請確定 VPN 使用者具有 VPN 伺服器連線權限。

建立可延伸的驗證通訊協定 (EAP) 設定 XML

在本節中，您將建立可延伸的驗證通訊協定 (EAP) 設定 XML。

1. 將下列 XML 字串複製到文字編輯器：

   重要

   若在下列標籤中使用任何其他大寫或小寫組合的 'true'，都會導致無法完整設定 VPN 設定檔：

   <AlwaysOn>true</AlwaysOn>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. 將範例 XML 中的 <ServerNames>NPS.contoso.com</ServerNames> 取代為已加入網域 NPS 的 FQDN (驗證會在其中進行)。

3. 將範例中的 <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> 取代為這兩個地方的內部部署根憑證授權單位的憑證指紋。

   重要

   請勿在下方的 <TrustedRootCA></TrustedRootCA> 區段中使用範例指紋。 TrustedRootCA 必須是針對 RRAS 和 NPS 伺服器發出伺服器驗證憑證的內部部署根憑證授權單位的憑證指紋。 這不可以是雲端根憑證，也不能是中繼發行 CA 憑證指紋。

4. 儲存 XML 以供下一節使用。

建立 AlwaysOn VPN 設定原則

1. 登入 Microsoft Endpoint Manager 系統管理中心。

2. 移至 [裝置]>[組態設定檔]。

3. 選取 [+ 建立設定檔]。

4. 在 [平台] 中，選取 [Windows 10 及更新版本]。

5. 在 [設定檔類型] 中，選取 [範本]。

6. 在 [範本名稱] 中，選取 [VPN]。

7. 選取 建立。

8. 在 [基本] 索引標籤中：

   • 輸入 VPN 設定檔的名稱和描述 (選擇性)。

9. 在 [組態設定] 索引標籤中：

   1. 在 [搭配使用者/裝置範圍使用此 VPN 設定檔] 中，選取 [使用者]。

   2. 在 [連線類型：] 中，選取 [IKEv2]。

   3. 在 [連線名稱：] 中，輸入 VPN 連線的名稱，例如 Contoso AutoVPN。

   4. 在 [伺服器：] 中，新增 VPN 伺服器位址和描述。 針對預設伺服器，將 [預設伺服器] 設定為 True。

   5. 在 [向內部 DNS註冊 IP 位址] 中，選取 [停用]。

   6. 在 [AlwaysOn：] 中，選取 [啟用]。

   7. 在 [在每次登入時記住認證] 中，選取適合您安全性原則的值。

   8. 在 [ 驗證方法] 中，選取 [EAP]。

   9. 在 [EAP XML] 中，選取您在 [建立 EAP XML] 中儲存的 XML。

   10. 在 [裝置通道] 中，選取 [停用]。 若要深入了解裝置通道，請參閱在 Windows 10中設定 VPN 裝置通道。

   11. 在 [IKE 安全性關聯參數] 中

       • 將 [分割通道] 設定為 [啟用]。
       • 設定 [信任的網路偵測]。 若要尋找 DNS 尾碼，您可以在目前連線到網路並套用網域設定檔 (NetworkCategory:DomainAuthenticated) 的系統上使用 Get-NetConnectionProfile > Name。

   12. 除非您的環境需要進一步的設定，否則請將其餘設定保留為預設值。 若要深入了解 Intune 的 EAP 設定檔設定，請參閱使用 Intune 新增 VPN 連線的 Windows 10/11 和 Windows Holographic 裝置設定。

   13. 選取 [下一步] 。

10. 在 [範圍標籤] 索引標籤中保留預設設定，然後選取 [下一步]。

11. 在 [指派] 索引標籤中：

    1. 選取 [新增群組]，然後新增您的 VPN 使用者群組。

    2. 選取 [下一步] 。

12. 在 [適用性規則] 索引標籤中保留預設設定，然後選取 [下一步]。

13. 在 [檢閱 + 建立] 索引標籤中，檢閱您的所有設定，然後選取 [建立]。

使用 Intune 同步 AlwaysOn VPN 設定原則

若要測試設定原則，請以 VPN 使用者身分登入 Windows 10+ 用戶端電腦，然後與 Intune 同步。

1. 在 [開始] 功能表上，選取 [設定]。

2. 在 [設定] 中，選取 [帳戶]，然後選取 [存取公司或學校帳戶]。

3. 選擇要連接到 Microsoft Entra ID 的帳戶，然後選擇 [資訊]。

4. 向下移動並選取 [同步]，以強制執行 Intune 原則評估和擷取。

5. 同步完成時，請關閉 [設定]。 同步之後，您應該能夠連線到組織的 VPN 伺服器。

後續步驟

• 如需如何設定 Always On VPN 的深入教學課程，請參閱 教學課程: 設定 AlwaysOn VPN 的基礎結構。

• 若要了解如何使用 Microsoft Configuration Manager 設定 Always On VPN 設定檔，請參閱 使用 Microsoft Configuration Manager 將 Always On VPN 設定檔部署至 Windows 用戶端

• 如需設定服務提供者 (CSP) 之 Always on VPN 設定選項的詳細資訊，請參閱 VPNv2 設定服務提供者。

• 若要針對 Microsoft Intune 中的 VPN 部署進行疑難排解，請參閱針對 Microsoft Intune 中的 VPN 設定檔問題進行疑難排解。