Vytvoření profilů VPN pro připojení k serverům VPN v Intune

Důležité

22. října 2022 Microsoft Intune ukončila podporu zařízení s Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.

Pokud aktuálně používáte Windows 8.1, doporučujeme přejít na zařízení Windows 10/11. Microsoft Intune má integrované funkce zabezpečení a zařízení, které spravují Windows 10/11 klientských zařízení.

Důležité

Microsoft Intune končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS) 30. srpna 2024. Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme před ukončením podpory přepnout na jinou možnost správy Androidu v Intune. Další informace najdete v článku Ukončení podpory pro správce zařízení s Androidem na zařízeních GMS.

Virtuální privátní sítě (VPN) poskytují uživatelům zabezpečený vzdálený přístup k síti vaší organizace. Zařízení používají profil připojení VPN k navázání připojení k serveru VPN. Profily VPN v Microsoft Intune přiřazovat nastavení SÍTĚ VPN uživatelům a zařízením ve vaší organizaci. Tato nastavení použijte, aby se uživatelé mohli snadno a bezpečně připojit k vaší organizační síti.

Tato funkce platí pro:

  • Správce zařízení s Androidem

  • Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem

  • iOS/iPadOS

  • macOS

  • Windows 10

  • Windows 11

    Důležité

    U Windows 11 zařízení došlo k problému mezi klientem Windows 11 a poskytovatelem CSP pro Windows VPNv2. Zařízení s jedním nebo několika profily sítě VPN Intune ztratí připojení k síti VPN, když současně zpracuje více změn profilů SÍTĚ VPN. Když se zařízení znovu přihlásí k Intune, zpracuje změny profilu SÍTĚ VPN a připojení se obnoví.

    Následující změny můžou způsobit ztrátu funkčnosti sítě VPN:

    • Změny profilu SÍTĚ VPN, který byl dříve zpracován zařízením Windows 11. Tato akce odstraní původní profil a použije aktualizovaný profil.
    • Na zařízení se současně vztahují dva nové profily VPN.
    • Aktivní profil SÍTĚ VPN se odebere současně s přiřazením nového profilu SÍTĚ VPN.

    Tento problém se netýká v těchto případech:

    • Zařízení Windows 11 nemá přiřazený existující profil SÍTĚ VPN a přijímá jeden profil sítě VPN v Intune.
    • Windows 11 zařízení s přiřazeným profilem VPN a mají přiřazený jiný profil VPN bez dalších změn profilu.
    • Windows 10 zařízení se upgraduje na Windows 11 a v případě, že nedošlo k žádným změnám profilů SÍTĚ VPN daného zařízení. Po upgradu na Windows 11 se problém projeví při jakýchkoli změnách profilů VPN zařízení nebo přidání nových profilů VPN.

    Tento problém a upozornění zůstávají, dokud systém Windows neaktualizuje klienta Windows 11, který tento problém vyřeší.

  • Windows 8.1 a novější

Chcete například nakonfigurovat všechna zařízení s iOS/iPadOS s požadovaným nastavením pro připojení ke sdílené složce v síti organizace. Vytvoříte profil SÍTĚ VPN, který obsahuje tato nastavení. Tento profil přiřadíte všem uživatelům, kteří mají zařízení s iOS/iPadOS. Uživatelé uvidí připojení VPN v seznamu dostupných sítí a můžou se připojit s minimálním úsilím.

Tento článek obsahuje seznam aplikací VPN, které můžete použít, ukazuje, jak vytvořit profil SÍTĚ VPN, a obsahuje pokyny k zabezpečení profilů VPN. Aplikaci VPN musíte nasadit před vytvořením profilu SÍTĚ VPN. Pokud potřebujete pomoc s nasazením aplikací pomocí Microsoft Intune, přečtěte si téma Co je správa aplikací v Microsoft Intune?.

Než začnete

  • Profily VPN pro tunel zařízení jsou podporované pro vzdálené plochy Windows 10/11 Enterprise s více relacemi.

  • Pokud pro svůj profil VPN používáte ověřování založené na certifikátech, nasaďte profil VPN, profil certifikátu a důvěryhodný kořenový profil do stejných skupin. Tento krok zajistí, aby každé zařízení rozpoznalo oprávněnost vaší certifikační autority. Další informace najdete v tématu Konfigurace certifikátů s Microsoft Intune.

  • Registrace uživatelů pro iOS/iPadOS a macOS podporuje pouze síť VPN pro jednotlivé aplikace.

  • Vlastní zásady konfigurace Intune můžete použít k vytvoření profilů SÍTĚ VPN pro následující platformy:

    • Android 4 a novější
    • Zaregistrovaná zařízení s Windows 8.1 a novějšími verzemi
    • Zaregistrovaná zařízení se systémem Windows 10/11
    • Windows Holographic for Business

Krok 1 – Nasazení aplikace VPN

Abyste mohli používat profily VPN přiřazené k zařízení, musíte nainstalovat aplikaci VPN. Tato aplikace VPN se připojí k vašemu serveru VPN.

K dispozici jsou různé aplikace VPN. Na uživatelských zařízeních nasadíte aplikaci VPN, kterou vaše organizace používá. Po nasazení aplikace VPN vytvoříte a nasadíte konfigurační profil zařízení VPN, který nakonfiguruje nastavení serveru VPN, včetně názvu serveru VPN (neboli plně kvalifikovaného názvu domény) a metody ověřování.

Některé platformy a aplikace VPN vyžadují k předběžné konfiguraci aplikace VPN zásady konfigurace aplikace místo konfiguračního profilu zařízení VPN. Tato část obsahuje také seznam platforem a aplikací VPN, které musí používat zásady konfigurace aplikací.

Pomoc s přiřazením aplikace pomocí Intune najdete v tématu Přidání aplikací do Microsoft Intune.

Typy připojení VPN

Profily VPN můžete vytvořit pomocí následujících typů připojení VPN:

  • Automatické

    • Windows 10/11
  • Check Point Capsule VPN

    • Správce zařízení s Androidem
    • Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
    • Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy: Použití zásad konfigurace aplikací
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Cisco AnyConnect

    • Správce zařízení s Androidem
    • Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
    • Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy
    • iOS/iPadOS
    • macOS
    • Windows 10/11
  • Cisco (IPSec)

    • iOS/iPadOS
  • Citrix SSO

    • Správce zařízení s Androidem
    • Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem: Použití zásad konfigurace aplikací
    • Plně spravované pracovní profily Androidu Enterprise a vlastněné společností: Použití zásad konfigurace aplikací
    • iOS/iPadOS
    • Windows 10/11
  • Vlastní síť VPN

    • iOS/iPadOS
    • macOS

    Vytvořte vlastní profily VPN pomocí nastavení identifikátoru URI v tématu Vytvoření profilu s vlastním nastavením.

  • F5 Access

    • Správce zařízení s Androidem
    • Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
    • Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10/11
  • L2TP

    • Windows 10/11
  • Microsoft Tunnel

    • Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
    • Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy
    • iOS/iPadOS
  • NetMotion Mobility

    • Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
    • Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10/11
  • Pulse Secure

    • Správce zařízení s Androidem
    • Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
    • Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1
  • SonicWall Mobile Connect

    • Správce zařízení s Androidem
    • Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem
    • Plně spravovaný pracovní profil Androidu Enterprise ve vlastnictví firmy
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Zscaler

Krok 2 – vytvoření profilu

Po přiřazení aplikace VPN k zařízení tento další krok vytvoří zásadu konfigurace zařízení, která nakonfiguruje připojení VPN. Pokud typ připojení aplikace VPN ke konfiguraci aplikace používá zásady konfigurace aplikace, přeskočte tento krok.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Vytvořitkonfiguraci>zařízení>.

  3. Zadejte tyto vlastnosti:

    • Platforma: Zvolte platformu vašich zařízení. Možnosti:
      • Správce zařízení s Androidem
      • Android Enterprise>Plně spravovaný, vyhrazený a Corporate-Owned pracovní profil
      • Android Enterprise>Pracovní profil v osobním vlastnictví
      • iOS/iPadOS
      • macOS
      • Windows 10 a novější
      • Windows 8.1 a novější
    • Typ profilu: Vyberte VPN. Nebo vyberte Šablony>VPN.
  4. Vyberte Vytvořit.

  5. V Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Pojmenujte své profily, abyste je později mohli snadno identifikovat. Dobrý název profilu je například profil VPN pro celou společnost.
    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.
  6. Vyberte Další.

  7. V nastavení konfigurace se nastavení, které můžete nakonfigurovat, liší v závislosti na zvolené platformě. Vyberte svoji platformu pro podrobná nastavení:

  8. Vyberte Další.

  9. V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace o značkách oboru najdete v tématu Použití RBAC a značek oboru pro distribuované IT.

    Vyberte Další.

  10. V části Přiřazení vyberte uživatele nebo skupiny, které obdrží váš profil. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Vyberte Další.

  11. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Zabezpečení profilů VPN

Profily VPN můžou používat mnoho různých typů připojení a protokolů od různých výrobců. Tato připojení jsou obvykle zabezpečená následujícími metodami.

Certifikáty

Při vytváření profilu SÍTĚ VPN zvolíte profil certifikátu SCEP nebo PKCS, který jste dříve vytvořili v Intune. Tento profil se označuje jako certifikát identity. Používá se k ověření profilu důvěryhodného certifikátu (nebo kořenového certifikátu), který vytvoříte, aby se zařízení uživatele mohlo připojit. Důvěryhodný certifikát je přiřazen k počítači, který ověřuje připojení VPN, obvykle k serveru VPN.

Pokud pro svůj profil VPN používáte ověřování na základě certifikátů, nasaďte profil VPN, profil certifikátu a důvěryhodný kořenový profil do stejných skupin. Toto přiřazení zajistí, aby každé zařízení rozpoznalo oprávněnost vaší certifikační autority.

Další informace o vytváření a používání profilů certifikátů v Intune najdete v tématu Konfigurace certifikátů pomocí Microsoft Intune.

Poznámka

Certifikáty přidané pomocí importovaného profilu certifikátu PKCS se nepodporují pro ověřování VPN. Certifikáty přidané pomocí profilu certifikátů PKCS se podporují pro ověřování VPN.

Uživatelské jméno a heslo

Uživatel se ověří na serveru VPN zadáním uživatelského jména a hesla nebo odvozených přihlašovacích údajů.

Další kroky