VPN CSP

VPN 設定服務提供者可讓 MDM 伺服器設定裝置 VPN 設定檔。 Windows 10同時支援 IKEv2 VPN 和 SSL VPN 設定檔。 有關 IKEv2 的資訊,請參閱 設定 IKEv2 型遠端存取

附注 VPN CSP 在 Windows 10中已Windows 10且僅支援 Windows 10 行動裝置版向後相容性。 請改為使用VPNv2 CSP。

重要考慮事項:

  • 對於需要用戶端憑證的 VPN,伺服器必須先註冊所需的用戶端憑證,再部署 VPN 設定檔,以確保裝置上具有功能 VPN 設定檔。 對於強制的管道 VPN 來說,這一點至關重要。

  • VPN 組組命令必須以下列範例所示的一個原子命令換行。

  • 每個 OMA 要求僅支援一個 VPN 設定檔配置。 不支援每個 OMA 訊息要求的多個 VPN 設定檔。

  • 對於 VPN CSP,除非節點已存在,否則您無法使用取代命令。

下列以樹狀格式顯示 VPN 組式服務提供者。

./Vendor/MSFT
VPN
-----ProfileName
---------Server
---------TunnelType
---------ThirdParty
-------------Name
-------------AppID
-------------CustomStoreURL
-------------CustomConfiguration
---------RoleGroup
---------Authentication
-------------Method
-------------Certificate
---------------Issuer
---------------EKU
---------------CacheLifeTimeProtectedCert
-------------MultiAuth
---------------StartURL
---------------EndURL
-------------EAP
---------Proxy
-------------Automatic
-------------Manual
---------------Server
---------------Port
-------------BypassProxyforLocal
---------SecuredResources
-------------AppPublisherNameList
---------------AppPublisherName
-------------AppAllowedList
---------------AppAllowedList
-------------NetworkAllowedList
---------------NetworkAllowedList
-------------NameSapceAllowedList
---------------NameSapceAllowedList
-------------ExcudedAppList
---------------ExcudedAppList
-------------ExcludedNetworkList
---------------ExcludedNetworkList
-------------ExcludedNameSpaceList
---------------ExcludedNameSpaceList
-------------DNSSuffixSearchList
---------------DNSSuffixSearchList
---------Policies
-------------RememberCredentials
-------------SplitTunnel
-------------BypassforLocal
-------------TrustedNetworkDetection
-------------ConnectionType
---------DNSSuffix

ProfileName 設定檔的唯一 Alpha 數位識別碼。 設定檔名稱不得包含 / (斜) 。

數值型別為 chr。 支援的操作包括取得、新增、取代和刪除。

伺服器 必填。 VPN 閘道伺服器場的公用或可路由 IP 位址或 DNS 名稱。 它可以指向閘道的外部 IP 或伺服器

支援的作業為取得、新增和取代。

數值型別為 chr。 部分範例為 208.23.45.130 或 vpn.contoso.com。

場內類型 選擇性,但在部署協力廠商 IKEv2 VPN 設定檔時需要。 此版本僅支援 IKEv2 的值。

數值型別為 chr。 支援的操作為 [取得] 和 [新增]。

ThirdParty 選擇性,但部署協力廠商 SSL-VPN 外掛程式設定檔時必須執行。 定義一組適用于 SSL-VPN 設定檔的設定。

支援的操作為 [取得] 和 [新增]。

ThirdParty/Name 為 SSL-VPN 設定檔置備定義 ThirdParty 時,為必填專案。

數值型別為 chr。 支援的操作為 [取得] 和 [新增]。

有效值:

  • JunOS Pulse

  • SonicWall Mobile 連線

  • F5 Big-IP Edge 用戶端

  • 保點行動 VPN

ThirdParty/AppID 選擇性,但從私人企業店面部署協力廠商 SSL-VPN 外掛程式應用程式時必須執行。 這是與 Store 應用程式相關聯的 ProductID。 用戶端會使用此 ProductID,以確保只有企業核准的外掛程式初始化。

數值型別為 chr。 支援的操作包括取得、新增、取代和刪除。

ThirdParty/CustomStoreURL 這是選擇性的,但如果企業從私人企業店面部署協力廠商 SSL-VPN 外掛程式應用程式,則此為必填專案。 此節點會指定協力廠商 SSL-VPN 外掛程式應用程式的 URL。

數值型別為 chr。 支援的操作包括取得、新增、取代和刪除。

ThirdParty/CustomConfiguration 選。 這是一個 HTML 編碼的 XML Blob,適用于 SSL-VPN 外掛程式特定組組,會部署至裝置,使其可供 SSL-VPN 外掛程式使用。

數值型別為 char。 支援的操作包括取得、新增、取代和刪除。

RoleOrGroup 未實現。 選用。

數值型別為 char。 支援的操作包括取得、新增、刪除和取代。

驗證 適用于 ThirdParty VPN 設定檔的選擇性節點,但 IKEv2 是必選節點。 這是一組,可確保在裝置上使用正確的驗證策略,以所選之之Type為基礎。

支援的操作為 [取得] 和 [新增]。

驗證/方法 IKEv2 設定檔為必填專案,協力廠商設定檔為選擇性。 這會指定要用於 VPN 用戶端驗證的驗證提供者。 IKEv2 設定檔僅支援 EAP 方法。

支援的操作為 [取得] 和 [新增]。

數值型別為 chr。

附注 針對 EAP,請改為使用驗證/EAP。

驗證/憑證 選擇性節點。 節點集合,可在使用 VPN 時為使用者提供更簡單的驗證體驗。 此及其子資料不應用於 IKEv2 設定檔。

支援的操作為 [取得] 和 [新增]。

驗證/憑證/發行者 選。 使用儲存在註冊表或 TPM 中的私密金鑰篩選出已安裝的憑證。 這可與 EKU 一起使用,以更精細的篩選。

數值型別為 chr。 支援的操作包括取得、新增、刪除和取代。

附注 請勿將此元素用於 IKev2 設定檔。

驗證/憑證/EKU 選。 此擴充金鑰使用量 (EKU) 元素是用來篩選出已安裝的憑證,而私密金鑰會儲存在註冊表或 TPM 中。 您可以將此功能與 ISSUER 一起使用,進行更精細的篩選。

數值型別為 chr。 支援的操作包括取得、新增、刪除和取代。

附注 請勿將此元素用於 IKev2 設定檔。

驗證/憑證/CacheLifeTimeForProtectedCert 未實現。 選用。

數值型別為 int。支援的操作包括取得、新增、取代和刪除。

驗證/EAP 選取 IKEv2 時為必填專案。 定義要用於 IKEv2 驗證的 EAP Blob。 您可以使用 EAP-MSCHAPv2 EAP-TLS。 EAP Blob 是在 EAP Host Config 架構中定義的 HTML 編碼 XML。 您可以在 Microsoft EAP MsChapV2 架構Microsoft EAP TLS 架構中尋找架構

支援的作業為取得、新增和取代。

數值型別為 chr。

Proxy 選擇性節點。 可啟用 VPN 連接後 Proxy 支援之組。 此設定檔為使用中且已連接時,會採用為此設定檔定義的 Proxy。

支援的操作為新增、刪除和取代。

Proxy/手動/Server 選。 將此元素與 PORT 一起設定。 該值是 Proxy 伺服器位址做為完全合格的主機名稱或 IP 位址,例如,proxy.constoso.com。

支援的操作包括取得、新增、取代和刪除。

數值型別為 chr。

Proxy/手動/埠 選。 與 Server 一起設定此元素。 該值是 1-65535 範圍中的 Proxy 伺服器埠號碼,例如 8080。

支援的操作包括取得、新增、取代和刪除。

數值型別為 int。

Proxy/bypassForLocal 選。 啟用此設定時,內部網路區域中資源的任何 Web 要求將不會送到 Proxy。 當此為 False 時,設定應該會停用,所有要求都應該前往 Proxy。 當此為 True 時,設定會啟用,而內部網路要求不會前往 Proxy。

支援的操作包括取得、新增、取代和刪除。

數值型別為布林值。

預設值為 False。

SecuredResources 選擇性節點。 定義包含資源清單的組,可針對 VPN 保護哪些專案定義包含資源清單。 只有當 Policies/SplitTunnel 元素設為 True 時,才套用允許的清單。 不支援 VPN 排除。

SecuredResources/AppAllowedList/AppAllowedList 選。 指定一或多個專為企業企業業務線應用程式所建的 ProductIDs Windows。 定義此元素時,來自指定應用程式的所有流量都會以 VPN 保護, (所定義的受保護網路允許存取) 。 他們將無法直接跳過 VPN 連接進行連接。 當設定檔自動觸發時,這些應用程式會自動觸發 VPN。

支援的操作包括取得、新增、取代和刪除。

數值型別為 chr。

範例為 {F05DC613-E223-40AD-ABA9-CCCE04277CD9} 和 ContosoApp.ContosoCorp_jlsnulm3s397u。

SecuredResources/NetworkAllowedList/NetworkAllowedList 選擇性,但當 IKEv2 設定檔的 Policies/SplitTunnel 設定為 true 時,這是必要的。 指定您想要以 VPN 保護的一或多個 IP 範圍。 連接到符合此清單之受保護資源的應用程式會以 VPN 保護。 否則,他們會繼續直接連接。 IP 範圍會以 10.0.0.0/8 的格式定義。 當設定檔自動觸發時,這些受保護的網路會自動觸發 VPN。

支援的操作包括取得、新增、取代和刪除。

數值型別為 chr。

例如 172.31.0.0/16。

SecuredResources/NameSpaceAllowedList/NameSpaceAllowedList 選。 指定一或多個要以 VPN 保護的命名空間。 指定命名空間的所有要求都經過 VPN 保護。 連接至命名空間的應用程式會以 VPN 保護。 否則,他們會繼續直接連接。 命名空間會以 *.corp.contoso.com 格式 corp.contoso.com。 不允許使用 * 或 *.* 或 *.com.* 等限制。 IKEv2 設定檔必須使用 NetworkAllowedList,才能在分割管道上正確路由流量。

支援的操作包括取得、新增、取代和刪除。

數值型別為 chr。

範例為 *.corp.contoso.com。

SecuredResources/ExcluddedAppList/ExcludedAppList 選。 指定一或多個專為企業業務線應用程式所建的 ProductID Windows。 當元素定義時,這些應用程式將永遠不會使用 VPN。 他們將直接連接,並忽略 VPN 連接。

支援的操作包括取得、新增、取代和刪除。

數值型別為 chr。

範例為 {F05DC613-E223-40AD-ABA9-CCCE04277CD9} 和 ContosoApp.ContosoCorp_jlsnulm3s397u。

SecuredResources/ExcludedNetworkList/excludedNetworkList 選。 指定一或多個永遠不會使用 VPN 的 IP 位址。 任何連接至已配置的排除 IP 清單的應用程式都會直接使用網際網路,並忽略 VPN。 值會以 10.0.0.0/8 的格式定義。

支援的操作包括取得、新增、取代和刪除。

數值型別為 chr。

例如 172.31.0.0/16。

SecuredResources/ExcludedNameSpaceList/excludedNameSpaceList 選。 指定一或多個永遠不會使用 VPN 的主機命名空間。 任何連接至已配置的排除主機清單的應用程式都會使用網際網路,並忽略 VPN。 不允許使用 * 或 *.* 或 *.com.* 等限制。

支援的操作包括取得、新增、取代和刪除。

數值型別為 chr。

範例為 *.corp.contoso.com。

SecuredResources/DNSSuffixSearchList/DNSSuffixSearchList 選。 指定一或多個 DNS 尾碼會附加到 DNS 解析度和連線性之簡短名稱 URL。

支援的操作包括取得、新增、取代和刪除。

數值型別為 chr。

範例為 .corp.contoso.com。

政策 選擇性節點。 一組可用於強制執行設定檔特定限制的組組物件。

策略/SplitTunnel 選。 當這是 False 時,所有流量會以強制管線模式進入 VPN 閘道。 當此為 True 時,只有定義之安全資源的特定流量會進入 VPN 閘道。

支援的操作包括取得、新增、取代和刪除。

數值型別為布林值。

預設值為 True。

策略/ByPassForLocal 選。 當此設定為 True 時,與 VPN 用戶端Wi-Fi網路可用的本地資源要求可以忽略 VPN。 例如,如果 VPN 的企業策略需要 VPN 強制傳輸,但企業打算允許遠端使用者從當地連接到其家中媒體中心,則此選項應該設為 True。 使用者可以針對當地子網流量忽略 VPN。 當此設定為 False 時,設定會停用,且不允許子網例外。

支援的操作包括取得、新增、取代和刪除。

數值型別為布林值。

預設值為 False。

策略/TrustedNetworkDetection 選。 當此設定設為 True 時,如果使用者位於其公司無線網路上,且裝置可直接使用受保護的資源,VPN 就無法連接。 當此為 False 時,VPN 會以公司無線網路連接。 此節點具有 DNSSuffix 節點設定上的相依性,以偵測公司無線網路。

支援的操作包括取得、新增、取代和刪除。

數值型別為布林值。

預設值為 False。

策略/ConnectionType 選。 有效值為:

  • 觸發:當應用程式需要連接受保護的資源時,VPN 會自動連接。 VPN 的生命週期是以使用 VPN 的應用程式為基礎。 優化電力資源使用量的建議設定。

  • 手動:使用者必須手動連接/中斷 VPN。

支援的作業為取得、新增和取代。

數值型別為 chr。

預設值為觸發。

DNSSuffix 選擇性,但必須設定主連接的特定 DNS 尾碼。 支援的操作包括取得、新增、刪除和取代。

數值型別為 chr。

例如,corp.contoso.com。

相關主題

設定服務提供者參考