Vytvoření profilů VPN pro připojení k serverům VPN v Intune
Důležité
22. října 2022 Microsoft Intune ukončil podporu pro zařízení se systémem Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.
Pokud aktuálně používáte Windows 8.1, pak doporučujeme přejít na zařízení s Windows 10/11. Microsoft Intune má vestavěné funkce zabezpečení a zařízení, které spravují klientská zařízení Windows 10/11.
Důležité
31. prosince 2024 končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS). Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme před ukončením podpory přepnout na jinou možnost správy Androidu v Intune. Další informace najdete v tématu Ukončení podpory správce zařízení s Androidem na zařízeních GMS.
Virtuální privátní sítě (VPN) poskytují uživatelům zabezpečený vzdálený přístup k síti vaší organizace. Zařízení používají profil připojení VPN k navázání připojení k serveru VPN. Profily VPN v Microsoft Intune přiřazují nastavení SÍTĚ VPN uživatelům a zařízením ve vaší organizaci. Tato nastavení použijte, aby se uživatelé mohli snadno a bezpečně připojit k vaší organizační síti.
Tato funkce platí pro:
- Registrace správce zařízení s Androidem
- Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
- iOS/iPadOS
- macOS
- Windows 10
- Windows 11
- Windows 8.1 a novější
Chcete například nakonfigurovat všechna zařízení s iOS/iPadOS s požadovaným nastavením pro připojení ke sdílené složce v síti organizace. Vytvoříte profil SÍTĚ VPN, který obsahuje tato nastavení. Tento profil přiřadíte všem uživatelům, kteří mají zařízení s iOS/iPadOS. Uživatelé uvidí připojení VPN v seznamu dostupných sítí a můžou se připojit s minimálním úsilím.
Tento článek obsahuje seznam aplikací VPN, které můžete použít, ukazuje, jak vytvořit profil SÍTĚ VPN, a obsahuje pokyny k zabezpečení profilů VPN. Aplikaci VPN musíte nasadit před vytvořením profilu SÍTĚ VPN. Pokud potřebujete pomoc s nasazením aplikací pomocí Microsoft Intune, přejděte na co je správa aplikací v Microsoft Intune?.
Než začnete
Profily VPN pro tunel zařízení jsou podporované pro vzdálené plochy Windows 10/11 Enterprise s více relacemi.
Pokud pro svůj profil VPN používáte ověřování založené na certifikátech, nasaďte profil VPN, profil certifikátu a důvěryhodný kořenový profil do stejných skupin. Tento krok zajistí, aby každé zařízení rozpoznalo oprávněnost vaší certifikační autority. Další informace najdete v tématu Konfigurace certifikátů v Microsoft Intune.
Registrace uživatelů pro iOS/iPadOS a macOS podporuje pouze síť VPN pro jednotlivé aplikace.
Vlastní zásady konfigurace Intune můžete použít k vytvoření profilů SÍTĚ VPN pro následující platformy:
- Android 4 a novější
- Zaregistrovaná zařízení se systémem Windows 8.1 nebo novějším
- Zaregistrovaná zařízení s Windows 10/11
- Windows Holographic for Business
U zařízení s Windows 11 došlo k problému mezi klientem Windows 11 a poskytovatelem CSP pro Windows VPNv2.
Zařízení s jedním nebo několika profily sítě VPN Intune ztratí připojení k síti VPN, když současně zpracuje více změn profilů SÍTĚ VPN. Když se zařízení znovu přihlásí k Intune, zpracuje změny profilu SÍTĚ VPN a připojení se obnoví.
Následující změny můžou způsobit ztrátu funkčnosti sítě VPN:
- Změníte nebo aktualizujete existující profil SÍTĚ VPN, který byl dříve zpracován zařízením s Windows 11. Tato akce odstraní původní profil a použije aktualizovaný profil.
- Na zařízení se současně vztahují dva nové profily VPN.
- Aktivní profil SÍTĚ VPN se odebere současně s přiřazením nového profilu SÍTĚ VPN.
Tento problém se netýká a připojení VPN zůstává v následujících scénářích:
Zařízení s Windows 11 nemá přiřazený existující profil SÍTĚ VPN a zařízení obdrží jeden profil sítě VPN v Intune.
Zařízení s Windows 11 mají přiřazený existující profil VPN a mají přiřazený jiný profil VPN bez dalších změn profilu.
Zařízení s Windows 10 se upgraduje na Windows 11 a v profilech SÍTĚ VPN daného zařízení se nic nemění. Po upgradu na Windows 11 se problém projeví všemi změnami v profilech VPN zařízení nebo přidáním nových profilů VPN.
Windows 11 vyžaduje, aby:
Jsou nakonfigurovaná všechna nastavení parametrů přidružení zabezpečení zabezpečení protokolu IKE a parametrů přidružení podřízeného zabezpečení .
NEBO
Nejsou nakonfigurované žádné parametry přidružení zabezpečení protokolu IKE a parametry přidružení podřízeného zabezpečení .
Pokud nakonfigurujete pouze jeden z nastavení parametrů přidružení zabezpečení protokolu IKE nebo parametrů přidružení podřízeného zabezpečení , dojde ke ztrátě funkčnosti sítě VPN.
Krok 1 – Nasazení aplikace VPN
Abyste mohli používat profily VPN přiřazené k zařízení, musíte nainstalovat aplikaci VPN. Tato aplikace VPN se připojí k vašemu serveru VPN.
K dispozici jsou různé aplikace VPN. Na uživatelských zařízeních nasadíte aplikaci VPN, kterou vaše organizace používá. Po nasazení aplikace VPN vytvoříte a nasadíte konfigurační profil zařízení VPN, který nakonfiguruje nastavení serveru VPN, včetně názvu serveru VPN (neboli plně kvalifikovaného názvu domény) a metody ověřování.
Některé platformy a aplikace VPN vyžadují k předběžné konfiguraci aplikace VPN zásady konfigurace aplikace místo konfiguračního profilu zařízení VPN. Tato část obsahuje také seznam platforem a aplikací VPN, které musí používat zásady konfigurace aplikací.
Pokud chcete aplikaci přiřazovat pomocí Intune, přejděte na téma Přidání aplikací do Microsoft Intune.
Typy připojení VPN
Profily VPN můžete vytvořit pomocí následujících typů připojení VPN:
Automatický
- Windows 10/11
Check Point Capsule VPN
- Registrace správce zařízení s Androidem
- Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
- Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy: Použití zásad konfigurace aplikací
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Cisco AnyConnect
- Registrace správce zařízení s Androidem
- Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
- Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy
- iOS/iPadOS
- macOS
- Windows 10/11
Cisco (IPSec)
- iOS/iPadOS
Citrix SSO
- Registrace správce zařízení s Androidem
- Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem: Použití zásad konfigurace aplikací
- Plně spravované pracovní profily Androidu Enterprise a vlastněné společností: Použití zásad konfigurace aplikací
- iOS/iPadOS
- Windows 10/11
Vlastní síť VPN
- iOS/iPadOS
- macOS
Vytvořte vlastní profily VPN pomocí nastavení identifikátoru URI v tématu Vytvoření profilu s vlastním nastavením.
F5 Access
- Registrace správce zařízení s Androidem
- Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
- Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
IKEv2
- iOS/iPadOS
- Windows 10/11
L2TP
- Windows 10/11
Microsoft Tunnel
- Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
- Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy
- iOS/iPadOS
NetMotion Mobility
- Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
- Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy
- iOS/iPadOS
- macOS
Palo Alto Networks GlobalProtect
- Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem: Použití zásad konfigurace aplikací
- Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy: Použití zásad konfigurace aplikací
- iOS/iPadOS
- Windows 10/11
PPTP
- Windows 10/11
Pulse Secure
- Registrace správce zařízení s Androidem
- Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
- Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy
- iOS/iPadOS
- Windows 10/11
- Windows 8.1
SonicWall Mobile Connect
- Registrace správce zařízení s Androidem
- Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
- Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Zscaler
- Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem: Použití zásad konfigurace aplikací
- Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy: Použití zásad konfigurace aplikací
- iOS/iPadOS
Krok 2 – vytvoření profilu
Po přiřazení aplikace VPN k zařízení tento další krok vytvoří zásadu konfigurace zařízení, která nakonfiguruje připojení VPN. Pokud typ připojení aplikace VPN ke konfiguraci aplikace používá zásady konfigurace aplikace, přeskočte tento krok.
Přihlaste se k Centru pro správu Microsoft 365.
Vyberte Zařízení>Spravovat zařízení>Konfigurace>Vytvořit>Nová zásada.
Zadejte tyto vlastnosti:
-
Platforma: Zvolte platformu vašich zařízení. Možnosti:
- Registrace správce zařízení s Androidem
- Android Enterprise>Plně spravovaný, vyhrazený a Corporate-Owned pracovní profil
- Android Enterprise>Pracovní profil v osobním vlastnictví
- iOS/iPadOS
- macOS
- Platforma: Windows 10 a novější
- Windows 8.1 a novější
- Typ profilu: Vyberte VPN. Nebo vyberte Šablony>VPN.
-
Platforma: Zvolte platformu vašich zařízení. Možnosti:
Vyberte Vytvořit.
V Základy zadejte následující vlastnosti:
- Název: Zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrý název profilu je například profil VPN pro celou společnost.
- Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.
Vyberte Další.
V nastavení konfigurace se nastavení, které můžete nakonfigurovat, liší v závislosti na zvolené platformě. Vyberte svoji platformu pro podrobná nastavení:
- Registrace správce zařízení s Androidem
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10 (včetně Windows Holographic for Business)
- Windows 8.1
Vyberte Další.
V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například
US-NC IT Team
neboJohnGlenn_ITDepartment
. Další informace o značkách oboru najdete v tématu Použití značek RBAC a oborů pro distribuované IT.Vyberte Další.
V Přiřazení vyberte uživatele nebo skupiny uživatelů, kterým se zobrazí váš profil. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.
Vyberte Další.
V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.
Zabezpečení profilů VPN
Profily VPN můžou používat mnoho různých typů připojení a protokolů od různých výrobců. Tato připojení jsou obvykle zabezpečená následujícími metodami.
Certifikáty
Při vytváření profilu SÍTĚ VPN zvolíte profil certifikátu SCEP nebo PKCS, který jste dříve vytvořili v Intune. Tento profil se označuje jako certifikát identity. Používá se k ověření profilu důvěryhodného certifikátu (nebo kořenového certifikátu), který vytvoříte, aby se zařízení uživatele mohlo připojit. Důvěryhodný certifikát je přiřazen k počítači, který ověřuje připojení VPN, obvykle k serveru VPN.
Pokud pro svůj profil VPN používáte ověřování na základě certifikátů, nasaďte profil VPN, profil certifikátu a důvěryhodný kořenový profil do stejných skupin. Toto přiřazení zajistí, aby každé zařízení rozpoznalo oprávněnost vaší certifikační autority.
Další informace o vytváření a používání profilů certifikátů v Intune najdete v tématu Konfigurace certifikátů v Microsoft Intune.
Poznámka
Certifikáty přidané pomocí importovaného profilu certifikátu PKCS se nepodporují pro ověřování VPN. Certifikáty přidané pomocí profilu certifikátů PKCS se podporují pro ověřování VPN.
Uživatelské jméno a heslo
Uživatel se ověří na serveru VPN zadáním uživatelského jména a hesla nebo odvozených přihlašovacích údajů.
Další kroky
- Přiřaďte profil a sledujte jeho stav.
- Sítě VPN pro jednotlivé aplikace můžete také vytvářet a používat na zařízeních správce zařízení s Androidem nebo Android Enterprise a iOS/iPadOS .