Condividi tramite

Distribuire il profilo VPN Always On ai client Windows 10 o versioni successive con Microsoft Intune

  • Articolo

Questo articolo illustra come usare Intune per creare e distribuire profili VPN Always On.

Tuttavia, se si vuole creare un profilo VPN XML personalizzato, seguire le indicazioni riportate in Applicare ProfileXML con Intune.

Prerequisiti

Intune usa i gruppi di utenti di Microsoft Entra, pertanto è necessario:

  • Assicurarsi di disporre di un'infrastruttura a chiave privata (PKI) in grado di emettere certificati utente e dispositivo per l'autenticazione. Per altre informazioni sui certificati per Intune, vedere Usare i certificati per l'autenticazione in Microsoft Intune.

  • Creare un gruppo di utenti Microsoft Entra associato agli utenti VPN e assegnare nuovi utenti al gruppo secondo necessità.

  • Assicurarsi che gli utenti VPN dispongano delle autorizzazioni di connessione al server VPN.

Creare il codice XML di configurazione EAP (Extensible Authentication Protocol)

In questa sezione verrà creato un codice XML di configurazione EAP (Extensible Authentication Protocol).

  1. Copiare la stringa XML seguente in un editor di testo:

    Importante

    Qualsiasi altra combinazione di maiuscole o minuscole per "true" nei tag seguenti comporta una configurazione parziale del profilo VPN:

    <AlwaysOn>true</AlwaysOn>
    <RememberCredentials>true</RememberCredentials>

    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>

  2. Sostituire <ServerNames> NPS.contoso.com< /ServerNames> nel codice XML di esempio con il nome di dominio completo del Server dei criteri di rete aggiunto al dominio in cui viene eseguita l'autenticazione.

  3. Sostituire <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> nell'esempio con l'identificazione personale del certificato dell'autorità di certificazione radice locale in entrambe le posizioni.

    Importante

    Non usare l'identificazione personale di esempio nella sezione <TrustedRootCA></TrustedRootCA> seguente. TrustedRootCA deve essere l'identificazione personale del certificato dell'autorità di certificazione radice locale che ha emesso il certificato di autenticazione server per i server RRAS e dei criteri di rete. Non deve trattarsi del certificato radice cloud, né dell'identificazione personale del certificato CA di emissione intermedio.

  4. Salvare il codice XML per usarlo nella sezione successiva.

Creare i criteri di configurazione Always On VPN

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.

  2. Passare a Dispositivi>Profili di configurazione.

  3. Selezionare + Crea profilo.

  4. Per Piattaforma, selezionare Windows 10 e versioni successive.

  5. Per Tipo di profilo, selezionare Modelli.

  6. Per Nome modello, selezionare VPN.

  7. Seleziona Crea.

  8. Per la scheda Informazioni di base:

    • Immettere un Nome per il profilo VPN e (facoltativamente) una descrizione.

  9. Per la scheda Impostazioni di configurazione:

    1. Per Usa questo profilo VPN con ambito utente/dispositivo, selezionare Utente.

    2. Per Tipo di connessione:, selezionare IKEv2.

    3. Per Nome connessione: immettere il nome della connessione VPN, ad esempio Contoso AutoVPN.

    4. Per Server:, aggiungere gli indirizzi e le descrizioni del server VPN. Per il server predefinito, impostare Server predefinito su True.

    5. Per Registra indirizzi IP con DNS interno, selezionare Disabilita.

    6. Per Always On:, selezionare Abilita.

    7. Per Memorizza credenziali a ogni accesso, selezionare il valore appropriato per i criteri di sicurezza.

    8. Per Metodo di autenticazione, selezionare EAP.

    9. Per EAP XML, selezionare il codice XML salvato in Crea il codice XML EAP.

    10. Per Tunnel dispositivo, selezionare Disabilita. Per altre informazioni sui tunnel dei dispositivi, vedere Configurare i tunnel dei dispositivi VPN in Windows 10.

    11. Per Parametri dell'associazione di sicurezza IKE

      • Impostare Tunneling diviso su Abilita.
      • Configurare Rilevamento di rete attendibile. Per trovare il suffisso DNS, è possibile usare Get-NetConnectionProfile > Name in un sistema attualmente connesso alla rete a cui è applicato il profilo di dominio (NetworkCategory:DomainAuthenticated).

    12. Lasciare le impostazioni rimanenti come predefinite, a meno che l'ambiente non richieda un'ulteriore configurazione. Per altre informazioni sulle impostazioni del profilo EAP per Intune, vedere Impostazioni dei dispositivi Windows 10/11 e Windows Holographic per aggiungere connessioni VPN con Intune.

    13. Selezionare Avanti.

  10. Per la scheda Tag ambito, lasciare le impostazioni predefinite e selezionare Avanti.

  11. Per la scheda Assegnazioni:

    1. Selezionare Aggiungi gruppi e aggiungere il gruppo di utenti VPN.

    2. Selezionare Avanti.

  12. Per la scheda Regole di applicabilità, lasciare le impostazioni predefinite e selezionare Avanti.

  13. Per la scheda Rivedi e crea, esaminare tutte le impostazioni e selezionare Crea.

Sincronizzare i criteri di configurazione Always On VPN con Intune

Per testare i criteri di configurazione, accedere a un computer client Windows 10+ come utente VPN e quindi eseguire la sincronizzazione con Intune.

  1. Scegliere Impostazioni dal menu Start.

  2. In Impostazioni, selezionare Account e quindi selezionare Accedi all'azienda o all'istituto di istruzione.

  3. Selezionare l'account da connettere all'ID Microsoft Entra e selezionare Info.

  4. Spostarsi verso il basso e selezionare Sincronizza per forzare la valutazione e il recupero dei criteri di Intune.

  5. Al termine della sincronizzazione, chiudere Impostazioni. Dopo la sincronizzazione, dovrebbe essere possibile connettersi al server VPN dell'organizzazione.

Passaggi successivi