Déployer un profil VPN Always On sur des clients Windows 10 ou plus récents avec Microsoft Intune

Dans cet article de procédure, nous vous montrons comment utiliser Intune pour créer et déployer des profils VPN Always On.

Toutefois, si vous souhaitez créer un profileXML personnalisé, suivez les instructions fournies dans Appliquer un profilXML à l’aide de Intune.

Prérequis

Intune utilise des groupes d’utilisateurs Microsoft Entra. Vous devez donc :

• Assurez-vous de disposer d’une infrastructure de clé privée (PKI) capable d’émettre des certificats d’utilisateur et d’appareil pour l’authentification. Pour plus d’informations sur les certificats pour Intune, consultez Utiliser des certificats pour l’authentification dans Microsoft Intune.

• Créez un groupe d’utilisateurs Microsoft Entra associé aux utilisateurs VPN et affectez de nouveaux utilisateurs au groupe en fonction des besoins.

• Assurez-vous que les utilisateurs VPN disposent des autorisations de connexion au serveur VPN.

Créer le XML de configuration EAP (Extensible Authentication Protocol)

Dans cette section, vous allez créer un fichier XML de configuration EAP (Extensible Authentication Protocol).

1. Copiez la chaîne XML suivante dans un éditeur de texte :

   Important

   Toute autre combinaison de majuscules ou minuscules pour « true » dans les balises suivantes entraîne une configuration partielle du profil VPN :

   <AlwaysOn>true</AlwaysOn>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. Remplacez <serverNames >NPS.contoso.com</ServerNames> dans l’exemple XML par le nom de domaine complet du npS joint au domaine où l’authentification a lieu.

3. Remplacez <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> dans l’exemple par l’empreinte du certificat de votre autorité de certification racine locale aux deux emplacements.

   Important

   N’utilisez pas l’exemple d’empreinte numérique dans la section <TrustedRootCA></TrustedRootCA> ci-dessous. TrustedRootCA doit être l’empreinte du certificat de l’autorité de certification racine locale qui a émis le certificat d’authentification serveur pour les serveurs RRAS et NPS. Il ne doit pas s’agir du certificat racine Cloud, ni de l’empreinte du certificat d’autorité de certification émettrice intermédiaire.

4. Enregistrez les XML car vous en aurez besoin dans la section suivante.

Créer la stratégie de configuration VPN Always On

1. Se connecter dans le Microsoft Endpoint Manager admin center.

2. Accédez à Appareils>Profils de configuration.

3. Sélectionnez + Créer un profil.

4. Pour Plateforme, sélectionnez Windows 10 et ultérieur.

5. Pour Type de profil, sélectionnez Modèles.

6. Pour le Nom du modèle, sélectionnez VPN.

7. Sélectionnez Create (Créer).

8. Pour l’onglet Informations de base :

   • Entrez un Nom pour le profil VPN et (éventuellement) une description.

9. Onglet pour les Paramètres de configuration :

   1. Pour Utiliser ce profil VPN avec une étendue utilisateur/appareil, sélectionnez Utilisateur.

   2. Pour Type de connexion : sélectionnez IKEv2.

   3. Pour Nom de la connexion : entrez le nom de la connexion VPN ; par exemple, Contoso AutoVPN.

   4. Pour Serveurs :, ajoutez les adresses et descriptions du serveur VPN. Pour le serveur par défaut, définissez Serveur par défaut sur True.

   5. Pour Inscrire des adresses IP avec un DNS interne, sélectionnez Désactiver.

   6. Pour Always On Toujours :, sélectionnez Activer.

   7. Pour Mémoriser les informations d’identification à chaque ouverture de session, sélectionnez la valeur appropriée en fonction de votre stratégie de sécurité.

   8. Pour Méthode d’authentification, sélectionnez EAP.

   9. Pour EAP XML, sélectionnez le code XML que vous avez enregistré dans Créer le XML EAP.

   10. Pour Tunnel d’appareil, sélectionnez Désactiver. Pour en savoir plus sur les tunnels d’appareil, consultez Configurer des tunnels d’appareil VPN dans Windows 10.

   11. Pour les Paramètres d’association de sécurité IKE

       • Définissez Tunnel fractionné sur Activer.
       • Détection de réseaux approuvés. Pour rechercher le suffixe DNS, vous pouvez utiliser Get-NetConnectionProfile > Name sur un système qui est actuellement connecté au réseau et auquel le profil de domaine est appliqué (NetworkCategory:DomainAuthenticated).

   12. Conservez les autres paramètres par défaut, sauf si votre environnement nécessite une configuration supplémentaire. Pour plus d’informations sur les paramètres de profil EAP pour Intune, consultez Paramètres des appareils Windows 10/11 et Windows Holographic pour ajouter des connexions VPN à l’aide de Intune.

   13. Sélectionnez Suivant.

10. Sous l’onglet Balises d’étendue, conservez les paramètres par défaut et sélectionnez Suivant.

11. Pour l’onglet Attributions :

    1. Sélectionnez Ajouter des groupes, puis ajoutez votre groupe d’utilisateurs VPN.

    2. Sélectionnez Suivant.

12. Sous l’onglet Règles d’applicabilité, conservez les paramètres par défaut et sélectionnez Suivant.

13. Pour l’onglet Vérifier et créer, examinez vos paramètres et cliquez sur Créer.

Synchroniser la stratégie de configuration VPN Always On avec Intune

Pour tester la stratégie de configuration, connectez-vous à un ordinateur client Windows 10+ en tant qu’utilisateur VPN, puis synchronisez-vous avec Intune.

1. Dans le menu Démarrer, sélectionnez Paramètres.

2. Dans Paramètres, sélectionnez Comptes, puis Accès Professionnel ou Scolaire.

3. Sélectionnez le compte à connecter à votre Microsoft Entra ID, puis sélectionnez Informations.

4. Faites défiler vers le bas et cliquez sur Synchroniser pour forcer l’évaluation et la récupération d’une stratégie Intune.

5. Une fois la synchronisation terminée, fermez Paramètres. Après la synchronisation, vous devez être en mesure de vous connecter au serveur VPN de votre organisation.

Étapes suivantes

• Pour obtenir un tutoriel détaillé sur la configuration de VPN Always On, consultez Tutoriel : Configurer l’infrastructure pour VPN Always On.

• Pour savoir comment configurer des profils VPN Always On avec Gestionnaire de configuration Microsoft, consultez Déployer un profil VPN Always On sur des clients Windows avec Gestionnaire de configuration Microsoft

• Pour plus d’informations sur les options de configuration VPN Always on pour le fournisseur de services de configuration (CSP), consultez Fournisseur de services de configuration VPNv2.

• Pour résoudre les problèmes de déploiement VPN dans Microsoft Intune, consultez Résolution des problèmes de profil VPN dans Microsoft Intune.