使用 Microsoft Intune 自訂設定檔來建立 Android 裝置的個別應用程式 VPN 設定檔Use a Microsoft Intune custom profile to create a per-app VPN profile for Android devices

您可以為 Intune 所管理的 Android 5.0 及更新版本裝置建立個別應用程式 VPN 設定檔。You can create a per-app VPN profile for Android 5.0 and later devices that are managed by Intune. 首先,建立使用 Pulse Secure 或 Citrix 連線類型的 VPN 設定檔。First, create a VPN profile that uses either the Pulse Secure or Citrix connection type. 接著,建立將 VPN 設定檔與特定應用程式建立關聯的自訂設定原則。Then, create a custom configuration policy that associates the VPN profile with specific apps.

在您將原則指派給 Android 裝置或使用者群組之後,使用者應該啟動 Pulse Secure 或 Citrix VPN 用戶端。After you assign the policy to your Android device or user groups, users should start the Pulse Secure or Citrix VPN client. 接著,VPN 用戶端 就只會允許來自指定應用程式的流量使用開啟的 VPN 連線。The VPN client then allows only traffic from the specified apps to use the open VPN connection.

注意

此設定檔僅支援 Pulse Secure 和 Citrix 連線類型。Only the Pulse Secure and Citrix connection types are supported for this profile.

步驟 1︰建立 VPN 設定檔Step 1: Create a VPN profile

  1. 登入 Azure 入口網站Sign into the Azure portal.
  2. 選擇 [All services] (所有服務) > [Intune]。Choose All services > Intune. Intune 位於 [Monitoring + Management] (監視 + 管理) 區段。Intune is located in the Monitoring + Management section.
  3. 在 [Intune] 窗格中,選擇 [裝置設定]。On the Intune pane, choose Device configuration.
  4. 在 [裝置設定] 窗格的 [管理] 區段下,選擇 [設定檔]。On the Device configuration pane under the Manage section, choose Profiles.
  5. 在設定檔清單窗格中,選擇 [建立設定檔]。On the list of profiles pane, choose Create profile.
  6. 在 [建立設定檔] 窗格中,輸入 VPN 設定檔的 [名稱] 和 [描述]。On the Create profile pane, enter a Name and optional Description for the VPN profile.
  7. 從 [平台] 下拉式清單中選擇 [Android]。From the Platform drop-down list, choose Android.
  8. 從 [設定檔類型] 下拉式清單中選擇 [VPN]。From the Profile type drop-down list, choose VPN.
  9. 選擇 [設定] > [設定],然後依照如何設定 VPN 設定Android 裝置的 Intune VPN 設定中的設定來設定 VPN 設定檔。Choose Settings > Configure and then configure the VPN profile as per the settings in How to configure VPN settings and Intune VPN settings for Android devices.

請記下您在建立 VPN 設定檔時指定的 [連線名稱] 值。Take note of the Connection Name value you specify when creating the VPN profile. 下一個步驟將會需要這個名稱。This name will be needed in the next step. 例如,MyAppVpnProfileFor example, MyAppVpnProfile.

步驟 2:建立自訂設定原則Step 2: Create a custom configuration policy

  1. 登入 Azure 入口網站Sign into the Azure portal.
  2. 選擇 [All services] (所有服務) > [Intune]。Choose All services > Intune. Intune 位於 [Monitoring + Management] (監視 + 管理) 區段。Intune is located in the Monitoring + Management section.
  3. 在 [Intune] 窗格中,選擇 [裝置設定]。On the Intune pane, choose Device configuration.
  4. 在 [裝置設定] 窗格的 [管理] 區段下,選擇 [設定檔]。On the Device configuration pane under the Manage section, choose Profiles.
  5. 在 [設定檔] 窗格中,按一下 [建立設定檔]。On the profiles pane, click Create Profile.
  6. 在 [建立設定檔] 窗格中,輸入自訂檔的 [名稱] 及 [描述]。On the Create Profile pane, enter a Name and Description for the custom profile.
  7. 從 [平台] 下拉式清單中選擇 [Android]。From the Platform drop-down list, choose Android.
  8. 從 [設定檔類型] 下拉式清單中選擇 [自訂]。From the Profile type drop-down list, choose Custom.
  9. 選擇 [設定] > [設定]。Choose Settings > Configure.
  10. 在 [Custom OMA-URI Settings] (自訂 OMA-URI 設定) 窗格中,選擇 [新增]。On the Custom OMA-URI Settings pane, choose Add.
    • 輸入設定名稱。Enter a setting name.
    • 針對 [OMA-URI],指定此字串:./Vendor/MSFT/VPN/Profile/Name/PackageList,其中 Name 是您在步驟 1 記下的 VPN 設定檔名稱。For OMA-URI, specify this string: ./Vendor/MSFT/VPN/Profile/Name/PackageList, where Name is the VPN profile name you noted in Step 1. 在此範例中,此字串會是 ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/PackageListIn this example, the string would be ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/PackageList.
    • 針對 [資料類型],請指定 [String]。For Data type, specify String.
    • 針對 [值],建立與設定檔建立關聯的套件清單 (以分號區隔)。For Value, create a semicolon-separated list of packages to associate with the profile. 例如,如果您想要 Excel 和 Google Chrome 瀏覽器使用 VPN 連線,請輸入com.microsoft.office.excel;com.android.chromeFor example, if you want Excel and the Google Chrome browser to use the VPN connection, enter com.microsoft.office.excel;com.android.chrome.

Android 個別應用程式 VPN 自訂原則範例

將應用程式清單設定為封鎖清單或允許清單 (選用)Set your app list to blacklist or whitelist (optional)

使用 [BLACKLIST] 值,即可指定「不可」使用 VPN 連線的應用程式清單。You can specify a list of apps that cannot use the VPN connection by using the BLACKLIST value. 所有其他的應用程式都會透過 VPN 連線。All other apps connect through the VPN. 或者,您可以使用 [WHITELIST] 值以指定應用程式清單,這些應用程式「可以」使用 VPN 連線。Alternatively, you can use the WHITELIST value to specify a list of apps that can use the VPN connection. 不在清單上的應用程式不會透過 VPN 連線。Apps that are not on the list do not connect through the VPN.

  1. 在 [Custom OMA-URI Settings] (自訂 OMA-URI 設定) 窗格中,選擇 [新增]。On the Custom OMA-URI Settings pane, choose Add.
  2. 輸入設定名稱。Enter a setting name.
  3. 針對 [OMA-URI],使用此字串:./Vendor/MSFT/VPN/Profile/Name/Mode,其中 Name 是您在步驟 1 記下的 VPN 設定檔名稱。For OMA-URI, use this string: ./Vendor/MSFT/VPN/Profile/Name/Mode, where Name is the VPN profile name you noted in Step 1. 在這個範例中,字串會是 ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/ModeIn our example, the string would be ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/Mode.
  4. 針對 [資料類型],請指定 [String]。For Data type, specify String.
  5. 針對 [值],請輸入 [BLACKLIST] 或 [WHITELIST]。For Value, enter BLACKLIST or WHITELIST.

步驟 3︰指派這兩項原則Step 3: Assign both policies

使用如何指派裝置設定檔中的指示,將兩個設定檔指派給必要的使用者或裝置。Use the instructions in How to assign device profiles to assign both profiles to the required users or devices.