Come creare i profili VPN in Configuration Manager
Si applica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Le informazioni contenute in questo argomento si applicano solo alle versioni di System Center 2012 R2 Configuration Manager.
Usare i collegamenti seguenti per informazioni sulla procedura per creare profili VPN in System Center 2012 Configuration Manager:
Passaggio 1: avviare la Creazione guidata profilo VPN.
Passaggio 2: fornire informazioni generali sul profilo VPN
Passaggio 3: fornire le informazioni di connessione sul profilo VPN
Passaggio 4: configurare il metodo di autenticazione per il profilo VPN
Passaggio 5: configurare le impostazioni proxy per il profilo VPN
Passaggio 6: Configurare altre impostazioni DNS (se necessario)
Passaggio 7: configurare piattaforme supportate per il profilo VPN
Passaggio 8: completare la procedura guidata
Passaggio 1: avviare la Creazione guidata profilo VPN.
-
Nella console di Configuration Manager fare clic su Asset e conformità.
-
Nell'area di lavoro Asset e conformità della console di Configuration Manager espandere Impostazioni di conformità, Accesso risorse aziendali e quindi fare clic su Profili VPN.
-
Nella scheda Home nel gruppo Crea fare clic su Crea profilo VPN.
Passaggio 2: fornire informazioni generali sul profilo VPN
-
Nella pagina Generale della Creazione guidata profilo VPN specificare le seguenti informazioni:
- **Nome**: immettere un nome univoco per il profilo VPN (fino a 256 caratteri). <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221339.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Non usare i caratteri \/:*?<>|, o lo spazio nel nome del profilo VPN perché questi caratteri non sono supportati dal profilo VPN Windows Server.</p></td> </tr> </tbody> </table> </div> - **Descrizione**: immettere una descrizione che consenta di individuare il profilo nella console di Configuration Manager (fino a 256 caratteri). - **Importa un profilo VPN esistente da un file**: se si seleziona questa opzione, viene visualizzata la pagina **Importa profilo VPN**. In questa pagina, è possibile importare informazioni sul profilo VPN, che sono state in precedenza esportate in un file XML (solo per sistemi operativi Windows 8.1 e Windows RT).
Passaggio 3: fornire le informazioni di connessione sul profilo VPN
-
Nella pagina Connessione della procedura guidata specificare le informazioni seguenti:
- **Tipo di connessione:** Dall'elenco a discesa selezionare il tipo di connessione per la connessione VPN. È possibile scegliere tra i tipi di connessione nella tabella seguente che mostra le piattaforme supportate. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221339.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Importante</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Prima di usare i profili VPN distribuiti in un dispositivo, è necessario assicurarsi che siano installate eventuali app VPN di terze parti necessarie. È possibile usare le informazioni nell'argomento <a href="gg682159(v=technet.10).md">Come creare applicazioni in Configuration Manager</a> per distribuire l'app mediante Configuration Manager.</p></td> </tr> </tbody> </table> </div> <table style="width:100%;"> <colgroup> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> </colgroup> <thead> <tr class="header"> <th><p>Tipo di connessione</p></th> <th><p>iOS</p></th> <th><p>Android</p></th> <th><p>Windows 8.1</p></th> <th><p>Windows RT</p></th> <th><p>Windows RT 8.1</p></th> <th><p>Windows Phone 8.1</p></th> </tr> </thead> <tbody> <tr class="odd"> <td><p><strong>Cisco AnyConnect</strong></p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>No</p></td> <td><p>No</p></td> <td><p>No</p></td> <td><p>No</p></td> </tr> <tr class="even"> <td><p><strong>Pulse Secure</strong></p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>No</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> </tr> <tr class="odd"> <td><p><strong>F5 Edge Client</strong></p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>No</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> </tr> <tr class="even"> <td><p><strong>Dell SonicWALL Mobile Connect</strong></p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>No</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> </tr> <tr class="odd"> <td><p><strong>VPN mobile Check Point</strong></p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>No</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> </tr> <tr class="even"> <td><p><strong>Microsoft SSL (SSTP)</strong></p></td> <td><p>No</p></td> <td><p>No</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>No</p></td> </tr> <tr class="odd"> <td><p><strong>Microsoft Automatico</strong></p></td> <td><p>No</p></td> <td><p>No</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>No</p></td> </tr> <tr class="even"> <td><p><strong>IKEv2</strong></p></td> <td><p>No</p></td> <td><p>No</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> </tr> <tr class="odd"> <td><p><strong>PPTP</strong></p></td> <td><p>Sì</p></td> <td><p>No</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>No</p></td> </tr> <tr class="even"> <td><p><strong>L2TP</strong></p></td> <td><p>Sì</p></td> <td><p>No</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>Sì</p></td> <td><p>No</p></td> </tr> </tbody> </table> <div class="alert"> > [!NOTE] > <P>Per supportare Windows Phone 8.1, è necessario installare l'estensione facoltativa per Windows Phone 8.1. Per informazioni su come installare l'estensione, vedere <A href="dn574730(v=technet.10).md">Pianificazione dell'uso delle estensioni in Configuration Manager</A>.A partire da System Center 2012 Configuration Manager SP2 questa estensione viene incorporata in Configuration Manager.</P> </div> - **Elenco server:** Fare clic su **Aggiungi** per aggiungere un nuovo server da usare per la connessione VPN. In base al tipo di connessione è possibile aggiungere uno o più server VPN e specificare quale tra i server sarà il server predefinito. <div class="alert"> > [!NOTE] > <P>I dispositivi che eseguono iOS non supportano l'utilizzo di più server VPN. Se si configurano più server VPN e si distribuisce il profilo VPN a un dispositivo iOS, verrà usato solo il server predefinito.</P> </div>Nella tabella seguente potrebbero essere visualizzate le ulteriori opzioni che dipendono dal tipo di connessione selezionato. Per altre informazioni, vedere la documentazione del server VPN.
Opzione
Altre informazioni
Tipo di connessione
Area di autenticazione
Specificare il nome dell'area di autenticazione da usare. Un'area di autenticazione è un raggruppamento di risorse di autenticazione usate dal tipo di connessione Pulse Secure.
Pulse Secure
Ruolo
Specificare il nome del ruolo utente che ha accesso a questa connessione.
Pulse Secure
Gruppo o dominio di accesso
Specificare il nome del gruppo di accesso o di dominio a cui connettersi.
Dell SonicWALL Mobile Connect
Impronta digitale
Specificare una stringa, ad esempio "Codice impronta digitale Contoso", che verrà usata per verificare l'attendibilitàò del server VPN.
Un'impronta digitale può essere:
Inviata al client in modo da informarlo che può considerare attendibile un server che presenta la stessa impronta digitale durante la connessione.
Se il dispositivo non ha ancora l'impronta digitale, richiederà all'utente di considerare attendibile il server VPN usato per la connessione durante la visualizzazione dell'impronta digitale (l'utente verifica manualmente l'impronta digitale e fa clic su Attendibilità per connettersi).
VPN mobile Check Point
Invia tutto il traffico di rete tramite la connessione VPN
Se questa opzione non è selezionata, è possibile specificare route aggiuntive per la connessione (per i tipi di connessione Microsoft SSL (SSTP), Microsoft Automatico, IKEv2, PPTP e L2TP), caratteristica nota come split o tunneling VPN.
Solo le connessioni alla rete aziendale vengono inviate tramite un tunnel VPN. Il tunneling VPN non viene usato quando si esegue la connessione alle risorse su Internet.
All
Suffisso DNS specifico della connessione
Facoltativamente, specificare il suffisso DNS (Domain Name System) specifico per la connessione.
Microsoft SSL (SSTP)
Microsoft Automatico
IKEv2
PPTP
L2TP
Disabilita VPN quando il dispositivo è connesso alla rete Wi-Fi aziendale
Specifica che la connessione VPN non verrà usata quando il dispositivo è connesso alla rete Wi-Fi aziendale.
Cisco AnyConnect
Pulse Secure
F5 Edge Client
Dell SonicWALL Mobile Connect
VPN mobile Check Point
Microsoft SSL (SSTP)
Microsoft Automatico
IKEv2
L2TP
Disabilita VPN quando il dispositivo è connesso alla rete Wi-Fi domestica
Specifica che la connessione VPN non verrà usata quando il dispositivo è connesso a una rete Wi-Fi domestica.
All
VPN per app (iOS 7 e versioni successive, Mac OS X 10.9 e versioni successive)
Selezionare questa opzione se si vuole associare questa connessione VPN a un'app iOS in modo da aprire la connessione quando si esegue l'app. È possibile associare il profilo VPN a un'app quando viene distribuito.
Cisco AnyConnect
Pulse Secure
F5 Edge Client
Dell SonicWALL Mobile Connect
VPN mobile Check Point
XML personalizzato (opzionale)
Consente di specificare i comandi XML personalizzati che consentono di configurare la connessione VPN.
Esempi:
Per Pulse Secure:
<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>
Per VVPN CheckPoint Mobile:
<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />
Per Dell SonicWALL Mobile Connect:
<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>
Per F5 Edge Client:
<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>
Per altre informazioni su come scrivere comandi XML personalizzati, fare riferimento alla documentazione della VPN fornita dai singoli produttori.
Cisco AnyConnect
Pulse Secure
F5 Edge Client
Dell SonicWALL Mobile Connect
VPN mobile Check Point
Passaggio 4: configurare il metodo di autenticazione per il profilo VPN
-
Nella pagina Metodo di autenticazione della procedura guidata specificare le informazioni seguenti:
- **Metodo di autenticazione:** Dall'elenco a discesa selezionare il metodo di autenticazione che verrà usato dalla connessione VPN. Le voci nell'elenco a discesa potrebbero essere diverse a seconda del tipo di connessione precedentemente selezionato. I metodi di autenticazione disponibili e i tipi di connessione supportati sono elencati nella tabella seguente. <table> <colgroup> <col style="width: 50%" /> <col style="width: 50%" /> </colgroup> <thead> <tr class="header"> <th><p>Metodo di autenticazione</p></th> <th><p>Tipi di connessione supportati</p></th> </tr> </thead> <tbody> <tr class="odd"> <td><p><strong>Certificati</strong></p> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Gg712310.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Suggerimento</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Se il certificato client viene usato per eseguire l'autenticazione in un server RADIUS, ad esempio un server dei criteri di rete, è necessario impostare il nome alternativo oggetto nel certificato sul nome dell'entità utente.</p></td> </tr> </tbody> </table> </div></td> <td><ul> <li><p>Cisco AnyConnect</p></li> <li><p>Pulse Secure</p></li> <li><p>F5 Edge Client</p></li> <li><p>Dell SonicWALL Mobile Connect</p></li> <li><p>VPN mobile Check Point</p></li> </ul></td> </tr> <tr class="even"> <td><p><strong>Nome utente e password</strong></p></td> <td><ul> <li><p>Pulse Secure</p></li> <li><p>F5 Edge Client</p></li> <li><p>Dell SonicWALL Mobile Connect</p></li> <li><p>VPN mobile Check Point</p></li> </ul></td> </tr> <tr class="odd"> <td><p><strong>Microsoft EAP-TTLS</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatico</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="even"> <td><p><strong>Microsoft PEAP (Protected EAP)</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatico</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="odd"> <td><p><strong>Password protetta Microsoft (EAP-MSCHAP v2)</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatico</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="even"> <td><p><strong>Smart card o altro certificato</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatico</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="odd"> <td><p><strong>MSCHAP v2</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatico</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="even"> <td><p><strong>RSA SecurID</strong> (solo iOS)</p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatico</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="odd"> <td><p><strong>Usa certificati computer</strong></p></td> <td><ul> <li><p>IKEv2</p></li> </ul></td> </tr> </tbody> </table> A seconda delle opzioni selezionate, potrebbe essere necessario specificare altre informazioni, ad esempio: - **Memorizza le credenziali utente a ogni accesso**: selezionare questa opzione per garantire che le credenziali utente vengano memorizzate in modo che l'utente non debba immetterle ogni volta che viene stabilita una connessione. - **Selezionare un certificato client per l'autenticazione client** : selezionare il certificato SCEP client creato in precedenza che verrà usato per autenticare la connessione VPN. Per altre informazioni sull'uso di profili certificato in Configuration Manager, vedere [Profili certificato in Configuration Manager](dn261202\(v=technet.10\).md). <div class="alert"> > [!NOTE] > <P>Per i dispositivi iOS, il profilo SCEP selezionato verrà incorporato nel profilo VPN. Per altre piattaforme, viene aggiunta una regola di applicabilità per garantire che il profilo VPN non venga installato se il certificato non è presente o non è conforme.</P> > <P>Se il certificato SCEP specificato non è conforme o non è stato distribuito, il profilo VPN non verrà installato nel dispositivo.</P> </div> - Per alcuni metodi di autenticazione, è possibile fare clic su **Configura** per aprire la finestra di dialogo delle proprietà di Windows (se la versione di Windows in cui è in esecuzione la console di Configuration Manager supporta questo metodo di autenticazione) che consente di configurare le proprietà del metodo di autenticazione. <div class="alert"> > [!NOTE] > <P>I dispositivi che eseguono iOS supportano solo <STRONG>RSA SecurID</STRONG> e <STRONG>MSCHAP v2</STRONG> per il metodo di autenticazione quando il tipo di connessione è <STRONG>PPTP</STRONG>. Per evitare la segnalazione di errori, distribuire un profilo VPN PPTP distinto nei dispositivi che eseguono iOS.</P> </div>
Passaggio 5: configurare le impostazioni proxy per il profilo VPN
Per configurare le impostazioni proxy per il profilo VPN
-
Nella pagina Impostazioni proxy di Creazione guidata profilo VPN, selezionare la casella di controllo Configura impostazioni proxy per questo profilo VPN se la connessione VPN in uso usa un server proxy.
-
Specificare i dettagli relativi al server proxy e alle relative impostazioni. Per altre informazioni, vedere la documentazione di Windows Server.
Passaggio 6: Configurare altre impostazioni DNS (se necessario)
Nella pagina Configura connessione VPN automatica della procedura guidata, è possibile configurare le impostazioni seguenti:
Abilita VPN su richiesta : selezionare questa opzione se si desidera configurare altre impostazioni DNS in questa pagina della procedura guidata per i dispositivi Windows Phone 8.1.
Elenco dei suffissi DNS (solo per i dispositivi Windows Phone 8.1): configura i domini che stabiliranno una connessione VPN. Per ogni dominio specificato, aggiungere il suffisso DNS, l'indirizzo del server DNS e una delle azioni su richiesta seguenti:
Non stabilire mai: non viene mai aperta una connessione VPN
Stabilisci se necessario: viene aperta una connessione VPN solo se il dispositivo deve connettersi alle risorse
Stabilisci sempre: viene aperta sempre la connessione VPN
Unisci: copia i suffissi DNS configurati nell'Elenco reti attendibili.
Elenco reti attendibili (solo per i dispositivi Windows Phone 8.1): viene specificato un suffisso DNS per ogni riga. Se il dispositivo è in una rete attendibile, la connessione VPN non verrà aperta.
Elenco ricerca suffissi (solo per i dispositivi Windows Phone 8.1): viene specificato un suffisso DNS per ogni riga. Per cercare ogni suffisso DNS specificato durante la connessione a un sito Web verrà usato un nome breve.
Ad esempio, si può specificare i suffissi DNS domain1.contoso.com e domain2.contoso.com, indicando come URL http://mywebsite. Verranno quindi cercati i seguenti indirizzi:
Nota
Solo per i dispositivi Windows Phone 8.1
Se è selezionata l'opzione Invia tutto il traffico di rete tramite la connessione VPN e la connessione VPN usa il tunneling completo, per il primo profilo sottoposto a provisioning nel dispositivo, la connessione VPN verrà aperta automaticamente. Se si desidera un profilo diverso per aprire automaticamente una connessione, è necessario renderlo il profilo predefinito nel dispositivo.
Se non è selezionata l'opzione Invia tutto il traffico di rete tramite la connessione VPN e la connessione VPN usa lo split tunneling, può essere aperta una connessione VPN automaticamente se si configurano le route o un suffisso DNS specifico per la connessione.
Passaggio 7: configurare piattaforme supportate per il profilo VPN
Usare la seguente procedura per specificare le piattaforme supportate per il profilo VPN.
Le piattaforme supportate sono i sistemi operativi in cui verrà installato il profilo VPN.
Per specificare le piattaforme supportate per il profilo VPN
-
Nella pagina Piattaforme supportate della Creazione guidata profilo VPN, selezionare i sistemi operativi in cui il profilo VPN verrà installato o fare clic su Seleziona tutto per installare il profilo VPN in tutti i sistemi operativi disponibili.
Passaggio 8: completare la procedura guidata
Nella pagina Riepilogo della procedura guidata, rivedere le azioni da eseguire, quindi completare la procedura. Il nuovo profilo VPN viene visualizzato nel nodo Profili VPN dell'area di lavoro Asset e conformità.
Per informazioni su come distribuire il profilo VPN, vedere Come distribuire i profili VPN in Configuration Manager.