Menyebarkan profil VPN AlwaysOn ke Windows 10 atau klien yang lebih baru dengan Microsoft Intune

Dalam artikel panduan ini, kami menunjukkan kepada Anda cara menggunakan Intune untuk membuat dan menyebarkan profil VPN AlwaysOn.

Namun, jika Anda ingin membuat profil VPN kustomXML, ikuti panduan dalam Menerapkan ProfileXML menggunakan Intune.

Prasyarat

Intune menggunakan grup pengguna Microsoft Entra, jadi Anda perlu:

• Pastikan Anda memiliki Infrastruktur Kunci Privat (PKI) yang mampu mengeluarkan sertifikat pengguna dan perangkat untuk autentikasi. Untuk informasi selengkapnya tentang sertifikat untuk Intune, lihat Menggunakan sertifikat untuk autentikasi di Microsoft Intune.

• Buat grup pengguna Microsoft Entra yang terkait dengan pengguna VPN dan tetapkan pengguna baru ke grup sesuai kebutuhan.

• Pastikan bahwa pengguna VPN memiliki izin koneksi server VPN.

Membuat XML konfigurasi Extensible Authentication Protocol (EAP)

Di bagian ini, Anda akan membuat XML konfigurasi Extensible Authentication Protocol (EAP).

1. Salin string XML berikut ke editor teks:

   Penting

   Kombinasi lain dari huruf besar atau kecil untuk 'true' dalam tag berikut menghasilkan konfigurasi parsial profil VPN:

   <AlwaysOn>true</AlwaysOn>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. <Ganti ServerNames>NPS.contoso.com</ServerNames> dalam xml sampel dengan FQDN dari NPS yang bergabung dengan domain tempat autentikasi berlangsung.

3. <Ganti TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 b7 35 ee d7 1c c2 68 menjadi 4b</TrustedRootCA> dalam sampel dengan thumbprint sertifikat otoritas sertifikat akar lokal Anda di kedua tempat.

   Penting

   Jangan gunakan contoh thumbprint di bagian <TrustedRootCA></TrustedRootCA> di bawah ini. TrustedRootCA harus menjadi thumbprint sertifikat otoritas sertifikat akar lokal yang mengeluarkan sertifikat autentikasi server untuk server RRAS dan NPS. Ini tidak boleh menjadi sertifikat akar cloud, atau thumbprint sertifikat CA penerbitan menengah.

4. Simpan XML untuk digunakan di bagian berikutnya.

Membuat kebijakan konfigurasi VPN AlwaysOn

1. Masuk ke pusat admin Microsoft Endpoint Manager.

2. Buka Perangkat>Profil konfigurasi.

3. Pilih + Buat profil.

4. Untuk Platform, pilih Windows 10 dan yang lebih baru

5. Untuk Jenis profil, pilih Templat.

6. Untuk Nama templat, pilih VPN.

7. Pilih Buat.

8. Untuk tab Dasar:

   • Masukkan Nama untuk profil VPN dan (opsional) deskripsi.

9. Untuk tab Pengaturan konfigurasi :

   1. Untuk Gunakan profil VPN ini dengan cakupan pengguna/perangkat, pilih Pengguna.

   2. Untuk jenis Koneksi ion:, pilih IKEv2.

   3. Untuk nama Koneksi ion: masukkan nama koneksi VPN; misalnya, Contoso AutoVPN.

   4. Untuk Server:, tambahkan alamat dan deskripsi server VPN. Untuk server default, atur Server default ke True.

   5. Untuk Daftarkan alamat IP dengan DNS internal, pilih Nonaktifkan.

   6. Untuk Always On:, pilih Aktifkan.

   7. Untuk Ingat kredensial di setiap masuk, pilih nilai yang sesuai dengan kebijakan keamanan Anda.

   8. Untuk Metode Autentikasi, pilih EAP.

   9. Untuk EAP XML, pilih XML yang Anda simpan di Buat XML EAP.

   10. Untuk Terowongan Perangkat, pilih Nonaktifkan. Untuk mempelajari selengkapnya tentang terowongan perangkat, lihat Mengonfigurasi terowongan perangkat VPN di Windows 10.

   11. Untuk Parameter Asosiasi Keamanan IKE

       • Atur Penerowongan terpisah ke Aktifkan.
       • Mengonfigurasi Deteksi Jaringan Tepercaya. Untuk menemukan akhiran DNS, Anda bisa menggunakan Get-NetConnectionProfile > Name pada sistem yang saat ini tersambung ke jaringan dan menerapkan profil domain (NetworkCategory:DomainAuthenticated).

   12. Biarkan pengaturan yang tersisa sebagai default, kecuali lingkungan Anda memerlukan konfigurasi lebih lanjut. Untuk informasi selengkapnya tentang pengaturan Profil EAP untuk Intune, lihat Pengaturan perangkat Windows 10/11 dan Windows Holographic untuk menambahkan koneksi VPN menggunakan Intune.

   13. Pilih Selanjutnya.

10. Untuk tab Tag Cakupan, biarkan pengaturan default dan pilih Berikutnya.

11. Untuk tab Penugasan :

    1. Pilih Tambahkan grup, dan tambahkan grup pengguna VPN Anda.

    2. Pilih Selanjutnya.

12. Untuk tab Aturan Penerapan, biarkan pengaturan default dan pilih Berikutnya.

13. Untuk tab Tinjau + Buat , tinjau semua pengaturan Anda, dan pilih Buat.

Menyinkronkan kebijakan konfigurasi VPN AlwaysOn dengan Intune

Untuk menguji kebijakan konfigurasi, masuk ke komputer klien Windows 10+ sebagai pengguna VPN lalu sinkronkan dengan Intune.

1. Pada menu Mulai, pilih Pengaturan.

2. Di Pengaturan, pilih Akun, dan pilih Akses kantor atau sekolah.

3. Pilih akun untuk menyambungkan ke ID Microsoft Entra Anda, dan pilih Info.

4. Pindah ke bawah dan pilih Sinkronkan untuk memaksa evaluasi dan pengambilan kebijakan Intune.

5. Saat sinkronisasi selesai, tutup Pengaturan. Setelah sinkronisasi, Anda harus dapat terhubung ke server VPN organisasi Anda.

Langkah berikutnya

• Untuk tutorial mendalam tentang cara menyiapkan Always On VPN, lihat Tutorial: Menyiapkan infrastruktur untuk AlwaysOn VPN.

• Untuk mempelajari cara mengonfigurasi profil VPN AlwaysOn dengan Microsoft Configuration Manager, lihat Menyebarkan profil VPN AlwaysOn ke klien Windows dengan Microsoft Configuration Manager

• Untuk informasi selengkapnya tentang opsi konfigurasi Always on VPN untuk penyedia layanan konfigurasi (CSP), lihat penyedia layanan konfigurasi VPNv2.

• Untuk memecahkan masalah penyebaran VPN di Microsoft Intune, lihat Pemecahan masalah profil VPN di Microsoft Intune.