Déployer un profil VPN Always On sur des clients Windows 10 ou versions ultérieures avec Microsoft Intune

Dans cet article de procédure, nous vous montrons comment utiliser Intune pour créer et déployer des profils VPN Always On.

Toutefois, si vous souhaitez créer un profileXML VPN personnalisé, suivez les instructions fournies dans Appliquer ProfileXML à l’aide d’Intune.

Conditions préalables

Intune utilise des groupes d’utilisateurs Microsoft Entra. Vous devez donc :

• Vérifiez que vous disposez d’une infrastructure à clé privée (PKI) capable d’émettre des certificats d’utilisateur et d’appareil pour l’authentification. Pour plus d’informations sur les certificats pour Intune, consultez Utiliser des certificats pour l’authentification dans Microsoft Intune.

• Créez un groupe d’utilisateurs Microsoft Entra associé aux utilisateurs VPN et affectez de nouveaux utilisateurs au groupe en fonction des besoins.

• Vérifiez que les utilisateurs VPN disposent d’autorisations de connexion au serveur VPN.

Créer le xml de configuration EAP (Extensible Authentication Protocol)

Dans cette section, vous allez créer un xml de configuration EAP (Extensible Authentication Protocol).

1. Copiez la chaîne XML suivante dans un éditeur de texte :

   Important

   Toute autre combinaison de majuscules ou minuscules pour « true » dans les balises suivantes entraîne une configuration partielle du profil VPN :

   <AlwaysOn>true</AlwaysOn>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. Remplacez les <ServerNames>NPS.contoso.com</ServerNames> dans l’exemple XML par le FQDN du NPS lié au domaine où l’authentification a lieu.

3. Remplacez <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> dans l’exemple par l’empreinte du certificat de votre autorité de certification racine locale aux deux emplacements.

   Important

   N’utilisez pas l’exemple d’empreinte numérique dans la section <TrustedRootCA></TrustedRootCA> ci-dessous. TrustedRootCA doit être l’empreinte numérique du certificat de l’autorité de certification racine locale qui a émis le certificat d’authentification serveur pour les serveurs RRAS et NPS. Il ne doit pas s’agir du certificat racine cloud ni de l’empreinte numérique du certificat d’autorité de certification émettrice intermédiaire.

4. Enregistrez le code XML à utiliser dans la section suivante.

Créer la stratégie de configuration VPN Always On

1. Connectez-vous au Centre d’administration Microsoft Endpoint Manager.

2. Accédez auxprofils de configuration>.

3. Sélectionnez + Créer un profil.

4. Pour Plateforme, sélectionnez Windows 10 et ultérieur.

5. Pour le type de profil, sélectionnez Modèles.

6. Pour le nom du modèle, sélectionnez VPN.

7. Cliquez sur Créer.

8. Pour l’onglet Informations de base :

   • Entrez un nom pour le profil VPN et (éventuellement) une description.

9. Pour l’onglet Paramètres de configuration :

   1. Pour utiliser ce profil VPN avec une étendue utilisateur/appareil, sélectionnez Utilisateur.

   2. Pour le type de connexion :, sélectionnez IKEv2.

   3. Pour le nom de la connexion : entrez le nom de la connexion VPN ; par exemple, Contoso AutoVPN.

   4. Pour les serveurs :, ajoutez les adresses et descriptions du serveur VPN. Pour le serveur par défaut, définissez le serveur par défaut sur True.

   5. Pour inscrire des adresses IP avec dns interne, sélectionnez Désactiver.

   6. Pour Always On :, sélectionnez Activer.

   7. Pour Mémoriser les informations d’identification à chaque ouverture de session, sélectionnez la valeur appropriée à votre stratégie de sécurité.

   8. Pour la méthode d’authentification, sélectionnez EAP.

   9. Pour EAP XML, sélectionnez le code XML que vous avez enregistré dans Créer le code XML EAP.

   10. Pour Device Tunnel, sélectionnez Désactiver. Pour en savoir plus sur les tunnels d’appareil, consultez Configurer des tunnels d’appareil VPN dans Windows 10.

   11. Pour les Paramètres d’association de sécurité IKE

       • Définissez Tunnel fractionné sur Activer.
       • Configurer la détection de réseau approuvé. Pour rechercher le suffixe DNS, vous pouvez utiliser Get-NetConnectionProfile > Name sur un système actuellement connecté au réseau et auquel le profil de domaine est appliqué (NetworkCategory:DomainAuthenticated).

   12. Conservez les paramètres restants comme paramètres par défaut, sauf si votre environnement nécessite une configuration supplémentaire. Pour plus d’informations sur les paramètres de profil EAP pour Intune, consultez les paramètres d’appareil Windows 10/11 et Windows Holographic pour ajouter des connexions VPN à l’aide d’Intune.

   13. Cliquez sur Suivant.

10. Sous l’onglet Balises d’étendue, conservez les paramètres par défaut et sélectionnez Suivant.

11. Pour l’onglet Affectations :

    1. Sélectionnez Ajouter des groupes et ajoutez votre groupe d’utilisateurs VPN.

    2. Cliquez sur Suivant.

12. Sous l’onglet Règles d’applicabilité , conservez les paramètres par défaut, puis sélectionnez Suivant.

13. Pour l’onglet Vérifier + Créer , passez en revue tous vos paramètres, puis sélectionnez Créer.

Synchroniser la stratégie de configuration VPN Always On avec Intune

Pour tester la stratégie de configuration, connectez-vous à un ordinateur client Windows 10+ en tant qu’utilisateur VPN, puis synchronisez-le avec Intune.

1. Dans le menu Démarrer, sélectionnez Paramètres.

2. Dans Paramètres, sélectionnez Comptes, puis Accédez au travail ou à l’école.

3. Sélectionnez le compte à connecter à votre ID Microsoft Entra, puis sélectionnez Informations.

4. Faites défiler vers le bas et cliquez sur Synchroniser pour forcer l’évaluation et la récupération d’une stratégie Intune.

5. Une fois la synchronisation terminée, fermez Les paramètres. Après la synchronisation, vous devez être en mesure de vous connecter au serveur VPN de votre organisation.

Étapes suivantes

• Pour obtenir un didacticiel détaillé sur la configuration d’un VPN Always On, consultez Tutoriel : Configurer l’infrastructure pour un VPN Always On.

• Pour savoir comment configurer des profils VPN Always On avec Microsoft Configuration Manager, consultez Déployer un profil VPN Always On sur des clients Windows avec Microsoft Configuration Manager

• Pour plus d’informations sur les options de configuration VPN Always On pour le fournisseur de services de configuration (CSP), consultez le fournisseur de services de configuration VPNv2.

• Pour résoudre les problèmes de déploiement VPN dans Microsoft Intune, consultez Résolution des problèmes de profil VPN dans Microsoft Intune.