如何在 Configuration Manager 中建立 VPN 設定檔

 

適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_note注意事項

本主題中的資訊僅適用於 System Center 2012 R2 Configuration Manager 版本。

使用下列連結了解有關在 System Center 2012 Configuration Manager 中建立 VPN 設定檔的步驟:

  • 步驟 1:啟動 [建立 VPN 設定檔精靈]

  • 步驟 2:提供與 VPN 設定檔有關的一般資訊

  • 步驟 3:提供 VPN 設定檔的連線資訊

  • 步驟 4:設定 VPN 設定檔的驗證方法

  • 步驟 5:設定 VPN 設定檔的 Proxy 設定

  • 步驟 6:設定其他 DNS 設定 (如有必要)

  • 步驟 7:設定 VPN 設定檔的支援平台

  • 步驟 8:完成精靈

步驟 1:啟動 [建立 VPN 設定檔精靈]

  1. 在 Configuration Manager 主控台中,按一下 [資產與相容性] 。

  2. 在 Configuration Manager 主控台中的 [資產與相容性] 工作區中,依序展開 [相容性設定]、[公司資源存取],然後按一下 [VPN 設定檔]。

  3. 在 [首頁] 索引標籤的 [建立] 群組中,按一下 [建立 VPN 設定檔]。

步驟 2:提供與 VPN 設定檔有關的一般資訊

  1. 在 [建立 VPN 設定檔精靈] 的 [一般] 頁面上,指定下列資訊:

    - **名稱** - 輸入 VPN 設定檔的唯一名稱 (最多 256 個字元)。
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh771094.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />重要事項</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>請勿在 VPN 設定檔名稱中使用字元 \/:*?&lt;&gt;|, 或空格字元,因為 Windows Server VPN 設定檔不支援這些字元。</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
    - **描述** -輸入可協助您在 Configuration Manager 主控台中尋找設定檔的描述 (最多 256 個字元)。
    
    - **從檔案匯入現有的 VPN 設定檔項目** – 選取此選項可顯示 \[匯入 VPN 設定檔\] 頁面。 在此頁面中,您可以匯入之前已匯出至 XML 檔案 的 VPN 設定檔資訊 (僅限 Windows 8.1 和 Windows RT 作業系統)。
    

步驟 3:提供 VPN 設定檔的連線資訊

  1. 在精靈的 [連線] 頁面上,指定下列資訊:

    - **連線類型:**從下拉式清單中選取 VPN 連線的連線類型。 您可以從顯示支援平台的下表中,選擇連線類型。
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh771094.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />重要事項</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>在您可以使用 VPN 設定檔部署至裝置之前,請務必確認您已安裝所需要的任何協力廠商 VPN 應用程式。 您可以使用<a href="gg682159(v=technet.10).md">如何在 Configuration Manager 中建立應用程式</a>主題中的資訊,協助您使用 Configuration Manager 部署應用程式。</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
      <table style="width:100%;">
      <colgroup>
      <col style="width: 14%" />
      <col style="width: 14%" />
      <col style="width: 14%" />
      <col style="width: 14%" />
      <col style="width: 14%" />
      <col style="width: 14%" />
      <col style="width: 14%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><p>連線類型</p></th>
      <th><p>iOS</p></th>
      <th><p>Android</p></th>
      <th><p>Windows 8.1</p></th>
      <th><p>Windows RT</p></th>
      <th><p>Windows RT 8.1</p></th>
      <th><p>Windows Phone 8.1</p></th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p><strong>Cisco AnyConnect</strong></p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>否</p></td>
      <td><p>否</p></td>
      <td><p>否</p></td>
      <td><p>否</p></td>
      </tr>
      <tr class="even">
      <td><p><strong>Pulse Secure</strong></p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>否</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      </tr>
      <tr class="odd">
      <td><p><strong>F5 Edge Client</strong></p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>否</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      </tr>
      <tr class="even">
      <td><p><strong>Dell SonicWALL Mobile Connect</strong></p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>否</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      </tr>
      <tr class="odd">
      <td><p><strong>檢查點行動 VPN</strong></p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>否</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      </tr>
      <tr class="even">
      <td><p><strong>Microsoft SSL (SSTP)</strong></p></td>
      <td><p>否</p></td>
      <td><p>否</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>否</p></td>
      </tr>
      <tr class="odd">
      <td><p><strong>Microsoft Automatic</strong></p></td>
      <td><p>否</p></td>
      <td><p>否</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>否</p></td>
      </tr>
      <tr class="even">
      <td><p><strong>IKEv2</strong></p></td>
      <td><p>否</p></td>
      <td><p>否</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      </tr>
      <tr class="odd">
      <td><p><strong>PPTP</strong></p></td>
      <td><p>是</p></td>
      <td><p>否</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>否</p></td>
      </tr>
      <tr class="even">
      <td><p><strong>L2TP</strong></p></td>
      <td><p>是</p></td>
      <td><p>否</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>是</p></td>
      <td><p>否</p></td>
      </tr>
      </tbody>
      </table>
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>若要支援 Windows Phone 8.1,您必須安裝選用的 Windows Phone 8.1 擴充功能。 如需如何安裝擴充功能的相關資訊,請參閱<a href="dn574730(v=technet.10).md">規劃在 Configuration Manager 中使用擴充功能</a>。自 System Center 2012 Configuration Manager SP2 起 此擴充功能會併入 Configuration Manager。</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
    - **伺服器清單:**按一下 \[新增\] 加入要用於 VPN 連線的新伺服器。 根據連線類型而定,您可以新增一部或多部 VPN 伺服器,並指定哪部伺服器是預設伺服器。
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>執行 iOS 的裝置並不支援使用多部 VPN 伺服器。 如果您設定多部 VPN 伺服器,然後將 VPN 設定檔部署至 iOS 裝置,則只會使用預設伺服器。</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    

    根據您選取的連線類型,可能會顯示下表中的其他選項。 如需詳細資訊,請參閱您的 VPN 伺服器文件。

    選項

    詳細資訊

    連線類型

    領域

    指定您想要使用之驗證領域的名稱。 驗證領域就是 Pulse Secure 連線類型所使用的驗證資源群組。

    • Pulse Secure

    角色

    指定有權存取此連線之使用者角色的名稱。

    • Pulse Secure

    登入群組或網域

    指定您想要連線之登入群組或網域的名稱。

    • Dell SonicWALL Mobile Connect

    指紋

    指定將用來確認是否信任 VPN 伺服器的字串 (例如 "Contoso Fingerprint Code")。

    指紋可以是:

    • 傳送至用戶端,讓它知道信任連線時呈現該相同指紋的任何伺服器。

    • 如果裝置還沒有指紋,則會提示使用者信任所連線的 VPN 伺服器,同時顯示指紋 (使用者手動驗證指紋,並按一下 [信任] 進行連線)。

    檢查點行動 VPN

    透過 VPN 連線傳送所有網路流量

    如果未選取此選項,您可以針對連線 (如 Microsoft SSL (SSTP)Microsoft AutomaticIKEv2PPTPL2TP 連線類型) 指定其他路由,這稱為分割或 VPN 通道。

    只有公司網路的連線會透過 VPN 通道傳送。 當您連線至網際網路上的資源時不會使用 VPN 通道。

    • 全部:

    連線特定 DNS 尾碼

    或者,您也可以為連線指定連線特定的網域名稱系統 (DNS) 尾碼。

    • Microsoft SSL (SSTP)

    • Microsoft Automatic

    • IKEv2

    • PPTP

    • L2TP

    連線到公司 Wi-Fi 網路時略過 VPN

    指定裝置連線到公司 Wi-Fi 網路時,不會使用 VPN 連線。

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • 檢查點行動 VPN

    • Microsoft SSL (SSTP)

    • Microsoft Automatic

    • IKEv2

    • L2TP

    連線到家用 Wi-Fi 網路時略過 VPN

    指定裝置連線到家用 Wi-Fi 網路時,不會使用 VPN 連線。

    • 全部:

    每個應用程式 VPN (iOS 7 及更新版本、Mac OS X 10.9 及更新版本)

    如果您想要這個 VPN 連線與 iOS 應用程式產生關聯,以在執行應用程式時開啟連線,請選取此選項。 部署應用程式時,您可以將 VPN 設定檔與該應用程式產生關聯。

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • 檢查點行動 VPN

    自訂 XML (選用)

    可讓您指定設定 VPN 連線的自訂 XML 命令。

    範例:

    • 針對 Pulse Secure

      <pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

    • 若為 [CheckPoint 行動 VPN]:

      <CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

    • 若為[Dell SonicWALL Mobile Connect] :

      <MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

    • 若為 [F5 Edge Client]:

      <f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

    如需如何撰寫自訂 XML 命令的詳細資訊,請參閱相關製造商的 VPN 文件。

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • 檢查點行動 VPN

步驟 4:設定 VPN 設定檔的驗證方法

  1. 在精靈的 [驗證方法] 頁面上,指定下列資訊:

    - **驗證方法:**在下拉式清單中,選取 VPN 連線要使用的驗證方法。 根據您之前選取的連線類型,下拉式清單中的項目可能會有所不同。 可用的驗證方法和支援的連線類型已列於下表中。
    
      <table>
      <colgroup>
      <col style="width: 50%" />
      <col style="width: 50%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><p>驗證方法</p></th>
      <th><p>支援的連線類型</p></th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p><strong>憑證</strong></p>
      <div class="alert">
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Gg712308.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />提示</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>如果要使用用戶端憑證來驗證 RADIUS 伺服器 (例如網路原則伺服器),則憑證中的主體別名必須設為使用者主體名稱。</p></td>
      </tr>
      </tbody>
      </table>
      </div></td>
      <td><ul>
      <li><p>Cisco AnyConnect</p></li>
      <li><p>Pulse Secure</p></li>
      <li><p>F5 Edge Client</p></li>
      <li><p>Dell SonicWALL Mobile Connect</p></li>
      <li><p>檢查點行動 VPN</p></li>
      </ul></td>
      </tr>
      <tr class="even">
      <td><p><strong>使用者名稱和密碼</strong></p></td>
      <td><ul>
      <li><p>Pulse Secure</p></li>
      <li><p>F5 Edge Client</p></li>
      <li><p>Dell SonicWALL Mobile Connect</p></li>
      <li><p>檢查點行動 VPN</p></li>
      </ul></td>
      </tr>
      <tr class="odd">
      <td><p><strong>Microsoft EAP-TTLS</strong></p></td>
      <td><ul>
      <li><p>Microsoft SSL (SSTP)</p></li>
      <li><p>Microsoft Automatic</p></li>
      <li><p>IKEv2</p></li>
      <li><p>PPTP</p></li>
      <li><p>L2TP</p></li>
      </ul></td>
      </tr>
      <tr class="even">
      <td><p><strong>Microsoft protected EAP (PEAP)</strong></p></td>
      <td><ul>
      <li><p>Microsoft SSL (SSTP)</p></li>
      <li><p>Microsoft Automatic</p></li>
      <li><p>IKEv2</p></li>
      <li><p>PPTP</p></li>
      <li><p>L2TP</p></li>
      </ul></td>
      </tr>
      <tr class="odd">
      <td><p><strong>Microsoft secured password (EAP-MSCHAP v2)</strong></p></td>
      <td><ul>
      <li><p>Microsoft SSL (SSTP)</p></li>
      <li><p>Microsoft Automatic</p></li>
      <li><p>IKEv2</p></li>
      <li><p>PPTP</p></li>
      <li><p>L2TP</p></li>
      </ul></td>
      </tr>
      <tr class="even">
      <td><p><strong>智慧卡或其他憑證</strong></p></td>
      <td><ul>
      <li><p>Microsoft SSL (SSTP)</p></li>
      <li><p>Microsoft Automatic</p></li>
      <li><p>IKEv2</p></li>
      <li><p>PPTP</p></li>
      <li><p>L2TP</p></li>
      </ul></td>
      </tr>
      <tr class="odd">
      <td><p><strong>MSCHAP v2</strong></p></td>
      <td><ul>
      <li><p>Microsoft SSL (SSTP)</p></li>
      <li><p>Microsoft Automatic</p></li>
      <li><p>IKEv2</p></li>
      <li><p>PPTP</p></li>
      <li><p>L2TP</p></li>
      </ul></td>
      </tr>
      <tr class="even">
      <td><p><strong>RSA SecurID</strong> (僅 iOS)</p></td>
      <td><ul>
      <li><p>Microsoft SSL (SSTP)</p></li>
      <li><p>Microsoft Automatic</p></li>
      <li><p>PPTP</p></li>
      <li><p>L2TP</p></li>
      </ul></td>
      </tr>
      <tr class="odd">
      <td><p><strong>使用電腦憑證</strong></p></td>
      <td><ul>
      <li><p>IKEv2</p></li>
      </ul></td>
      </tr>
      </tbody>
      </table>
    
      根據您選取的選項,可能會要求您指定進一步的資訊,例如:
    
        - **在每次登入時記住使用者認證**:選取此選項,確保記住使用者認證,讓使用者不必每次建立連線時都輸入認證。
    
        - **選取用戶端憑證以進行用戶端驗證** - 選取先前建立的用戶端 SCEP 憑證,用來驗證 VPN 連線。 如需如何在 Configuration Manager 中使用憑證設定檔的詳細資訊,請參閱[Configuration Manager 中的憑證設定檔](dn261202\(v=technet.10\).md)。
    
          <div class="alert">
    
          <table>
          <colgroup>
          <col style="width: 100%" />
          </colgroup>
          <thead>
          <tr class="header">
          <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th>
          </tr>
          </thead>
          <tbody>
          <tr class="odd">
          <td><p>如為 iOS 裝置,您所選取的 SCEP 設定檔會內嵌在 VPN 設定檔中。 對於其他平台,會加入適用性規則以確保當憑證不存在或不符合標準時,不會安裝 VPN 設定檔。</p>
          <p>如果您指定的 SCEP 憑證不符合標準,或尚未部署,則裝置上不會安裝 VPN 設定檔。</p></td>
          </tr>
          </tbody>
          </table>
    
          </div>
    
        - 對於某些驗證方法,您可以按一下 \[設定\] 開啟 Windows 的 \[內容\] 對話方塊 (如果您用來執行 Configuration Manager 主控台的 Windows 版本支援此驗證方法的話),並在其中設定驗證方法的屬性。
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Dn789052.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(TechNet.10).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />注意事項</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>當連接類型為 [PPTP] 時,執行 iOS 的裝置僅支援 [RSA SecurID] 和 [MSCHAP v2] 做為驗證方法。 若要避免回報錯誤,請將獨立的 PPTP VPN 設定檔部署至執行 iOS 的裝置。</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    

步驟 5:設定 VPN 設定檔的 Proxy 設定

若要設定 VPN 設定檔的 Proxy 設定

  1. 如果您的 VPN 連線使用 Proxy 伺服器,請在 [建立 VPN 設定檔精靈] 的 [Proxy 設定] 頁面上,選取 [設定此 VPN 設定檔的 Proxy 設定] 核取方塊。

  2. 指定與 Proxy 伺服器與其設定相關的詳細資料。 如需詳細資訊,請參閱 Windows Server 文件。

步驟 6:設定其他 DNS 設定 (如有必要)

在精靈的 [設定自動 VPN 連線] 頁面上,您可以設定下列設定:

  • 依需求啟用 VPN – 如果您想針對 Windows Phone 8.1 裝置,在精靈的這個頁面上設定進一步的 DNS 設定,請選取此選項。

  • DNS 尾碼清單 (僅限 Windows Phone 8.1 裝置) – 設定將建立 VPN 連線的網域。 針對您指定的每個網域加入 DNS 尾碼、DNS 伺服器位址和下列其中之一的隨選動作:

    • 永不建立 – 永遠不開啟 VPN 連線。

    • 視需要建立 – 只有在裝置需要連接到資源時才開啟 VPN 連線。

    • 一律建立 – 永遠開啟 VPN 連線。

  • 合併 – 將您設定的任何 DNS 尾碼複製到 [受信任的網路清單]。

  • 受信任的網路清單 (僅限 Windows Phone 8.1 裝置) - 一行指定一個 DNS 尾碼。 如果裝置位於受信任的網路,則不會開啟 VPN 連線。

  • 尾碼搜尋清單 (僅限 Windows Phone 8.1 裝置) - 一行指定一個 DNS 尾碼。 使用簡短名稱連線到網站時,將會搜尋您指定的每個 DNS 尾碼。

    例如,您可以指定 DNS 尾碼 domain1.contoso.comdomain2.contoso.com,然後瀏覽 URL **http://mywebsite**。 搜尋的位址如下:

System_CAPS_note注意事項

僅限 Windows Phone 8.1 裝置

如果已針對佈建在裝置上的第一個設定檔選取 [透過 VPN 連線傳送所有網路流量] 選項,且 VPN 連線使用完整通道,則 VPN 連線會自動開啟。 如果您想要其他的設定檔自動開啟連線,您必須將其設為裝置上的預設設定檔。

如果 [透過 VPN 連線傳送所有網路流量] 選項並未選取,且 VPN 連線使用分割通道,則 VPN 連線會在您設定路由或連線特定 DNS 尾碼的情況下自動開啟。

步驟 7:設定 VPN 設定檔的支援平台

使用下列程序來指定 VPN 設定檔的支援平台。

支援的平台就是要安裝 VPN 設定檔的作業系統。

若要指定 VPN 設定檔的支援平台

  1. 在 [建立 VPN 設定檔精靈] 的 [支援的平台] 頁面上,選取將安裝 VPN 設定檔的作業系統,或按一下 [全選] 在所有可用的作業系統上安裝 VPN 設定檔。

步驟 8:完成精靈

在精靈的 [摘要] 頁面上,檢閱要採取的動作,然後完成精靈。 新的 VPN 設定檔會顯示在 [資產與相容性] 工作區的 [VPN 設定檔] 節點中。

如需與如何部署 VPN 設定檔有關的資訊,請參閱如何在 Configuration Manager 中部署 VPN 設定檔