Tworzenie profilów sieci VPN w celu nawiązywania połączenia z serwerami sieci VPN w Intune

Ważne

22 października 2022 r. Microsoft Intune kończy obsługę urządzeń z systemem Windows 8.1. Po tej dacie pomoc techniczna i automatyczne aktualizacje na tych urządzeniach nie będą dostępne. Aby uzyskać więcej informacji, przejdź do tematu Plan for Change: Ending support for Windows 8.1 (Planowanie zmian: zakończenie obsługi Windows 8.1).

Jeśli obecnie używasz Windows 8.1, zalecamy przejście na urządzenia Windows 10/11. Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi Windows 10/11. Aby uzyskać więcej informacji, przejdź do tematu Koniec obsługi systemu Windows 7 i Windows 8.1.

Wirtualne sieci prywatne (VPN) zapewniają użytkownikom bezpieczny dostęp zdalny do sieci organizacji. Urządzenia używają profilu połączenia sieci VPN, aby rozpocząć połączenie z serwerem sieci VPN. Profile sieci VPN w Microsoft Intune przypisywania ustawień sieci VPN do użytkowników i urządzeń w organizacji. Użyj tych ustawień, aby użytkownicy mogli łatwo i bezpiecznie łączyć się z siecią organizacyjną.

Ta funkcja ma zastosowanie do:

  • Administratora urządzenia z systemem Android

  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym

  • iOS/iPadOS

  • macOS

  • Windows 10

  • Windows 11

    Ważne

    W przypadku urządzeń Windows 11 występuje problem między klientem Windows 11 a programem CSP VPNv2 systemu Windows. Urządzenie z co najmniej jednym profilem sieci VPN Intune utraci łączność sieci VPN, gdy urządzenie przetwarza wiele zmian w profilach sieci VPN dla urządzenia jednocześnie. Gdy urządzenie zaewidencjonuje za pomocą Intune po raz drugi, przetwarza zmiany profilu sieci VPN i przywraca łączność.

    Następujące zmiany mogą spowodować utratę funkcji sieci VPN:

    • Zmiany profilu sieci VPN, które zostały wcześniej przetworzone przez urządzenie Windows 11. Ta akcja powoduje usunięcie oryginalnego profilu i zastosowanie zaktualizowanego profilu.
    • Dwa nowe profile sieci VPN mają zastosowanie do urządzenia w tym samym czasie.
    • Aktywny profil sieci VPN zostanie usunięty w tym samym czasie, gdy zostanie przypisany nowy profil sieci VPN.

    Ten problem nie ma zastosowania, gdy:

    • Urządzenie Windows 11 nie ma przypisanego istniejącego profilu sieci VPN i otrzymuje jeden Intune profilu sieci VPN.
    • Windows 11 urządzenia z przypisanym profilem sieci VPN i są przypisane do innego profilu sieci VPN bez żadnych innych zmian profilu.
    • Urządzenie Windows 10 uaktualnia się do Windows 11, a jeśli nie ma żadnych zmian w profilach sieci VPN tego urządzenia. Po uaktualnieniu do Windows 11 wszelkie zmiany w profilach sieci VPN urządzeń lub dodanie nowych profilów sieci VPN spowoduje wyzwolenie problemu.

    Ten problem i ostrzeżenie pozostają do momentu zaktualizowania klienta Windows 11 w systemie Windows, który rozwiązuje ten problem.

  • Windows 8.1 i nowsze

Na przykład chcesz skonfigurować wszystkie urządzenia z systemem iOS/iPadOS przy użyciu ustawień wymaganych do nawiązania połączenia z udziałem plików w sieci organizacji. Tworzysz profil sieci VPN, który zawiera te ustawienia. Ten profil można przypisać do wszystkich użytkowników, którzy mają urządzenia z systemem iOS/iPadOS. Użytkownicy widzą połączenie sieci VPN na liście dostępnych sieci i mogą łączyć się przy minimalnym nakładzie pracy.

W tym artykule wymieniono aplikacje sieci VPN, których można użyć, pokazano, jak utworzyć profil sieci VPN i przedstawiono wskazówki dotyczące zabezpieczania profilów sieci VPN. Przed utworzeniem profilu sieci VPN należy wdrożyć aplikację sieci VPN. Jeśli potrzebujesz pomocy przy wdrażaniu aplikacji przy użyciu Microsoft Intune, zobacz Co to jest zarządzanie aplikacjami w Microsoft Intune?.

Przed rozpoczęciem

Typy połączeń sieci VPN

Ważne

Przed użyciem profilów sieci VPN przypisanych do urządzenia należy zainstalować aplikację sieci VPN dla profilu. Aby ułatwić przypisywanie aplikacji przy użyciu Intune, zobacz Dodawanie aplikacji do Microsoft Intune.

Profile sieci VPN można tworzyć przy użyciu następujących typów połączeń:

  • Automatyczne

    • Windows 10/11
  • Check Point Capsule VPN

    • Administratora urządzenia z systemem Android
    • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
    • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Cisco AnyConnect

    • Administratora urządzenia z systemem Android
    • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
    • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
  • Cisco (IPSec)

    • iOS/iPadOS
  • Citrix SSO

    • Administratora urządzenia z systemem Android
    • Urządzenia osobiste z systemem Android Enterprise z profilem służbowym: korzystanie z zasad konfiguracji aplikacji
    • W pełni zarządzane i należące do firmy profile służbowe systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
    • iOS/iPadOS
    • Windows 10/11
  • Niestandardowa sieć VPN

    • iOS/iPadOS
    • macOS

    Tworzenie niestandardowych profilów sieci VPN przy użyciu ustawień identyfikatora URI w sekcji Tworzenie profilu z ustawieniami niestandardowymi.

  • F5 Access

    • Administratora urządzenia z systemem Android
    • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
    • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10/11
  • L2TP

    • Windows 10/11
  • Microsoft Tunnel

    • Urządzenia osobiste z systemem Android Enterprise z profilem służbowym.
    • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise.

    Ważne

    Od 14 czerwca 2021 r. zarówno autonomiczna aplikacja tunelu, jak i autonomiczny typ połączenia klienta dla systemu Android są przestarzałe i po 26 października 2021 r. nie są obsługiwane.

  • Microsoft Tunnel

    • iOS/iPadOS
  • Microsoft Tunnel (klient autonomiczny) (wersja zapoznawcza)

    • iOS/iPadOS

    Ważne

    Planowanie zmian. 29 kwietnia 2022 r. zarówno typ połączenia microsoft tunnel, jak i Ochrona punktu końcowego w usłudze Microsoft Defender, ponieważ aplikacja kliencka tunelu stała się ogólnie dostępna. Dzięki tej ogólnej dostępności użycie typu połączenia Microsoft Tunnel (klient autonomiczny)(wersja zapoznawcza) i autonomicznej aplikacji klienckiej tunelu są przestarzałe i wkrótce zostaną wycofane z pomocy technicznej.

    • 29 lipca 2022 r. autonomiczna aplikacja kliencka tunelu nie będzie już dostępna do pobrania. Tylko ogólnie dostępna wersja Ochrona punktu końcowego w usłudze Microsoft Defender będzie dostępna jako aplikacja kliencka tunelu.
    • 1 sierpnia 2022 r. typ połączenia Microsoft Tunnel (klient autonomiczny) (wersja zapoznawcza) przestanie łączyć się z usługą Microsoft Tunnel.

    Aby uniknąć zakłóceń w działaniu usługi Microsoft Tunnel, zaplanuj migrację użycia przestarzałej aplikacji klienckiej tunelu i typu połączenia z tymi, które są teraz ogólnie dostępne.

  • NetMotion Mobility

    • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
    • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10/11
  • Pulse Secure

    • Administratora urządzenia z systemem Android
    • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
    • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1
  • SonicWall Mobile Connect

    • Administratora urządzenia z systemem Android
    • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
    • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Zscaler

Tworzenie profilu

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.

  2. Wybierz pozycję Urządzenia > Profile konfiguracji > Utwórz profil.

  3. Wprowadź następujące właściwości:

    • Platforma: wybierz platformę urządzeń. Dostępne opcje:
      • Administrator urządzenia z systemem Android
      • Android Enterprise > W pełni zarządzany, dedykowany i Corporate-Owned profil służbowy
      • Android Enterprise > Profil służbowy należący do użytkownika
      • iOS/iPadOS
      • macOS
      • Windows 10 lub nowszy
      • Windows 8.1 i nowsze
    • Profil: wybierz pozycję VPN. Możesz też wybrać pozycję Szablony > VPN.
  4. Wybierz pozycję Utwórz.

  5. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą profilu jest profil sieci VPN dla całej firmy.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.
  6. Wybierz pozycję Dalej.

  7. Ustawienia, które można skonfigurować w obszarze Ustawienia konfiguracji, różnią się w zależności od wybranej platformy. Wybierz platformę, aby uzyskać szczegółowe ustawienia:

  8. Wybierz pozycję Dalej.

  9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli RBAC i tagów zakresu w rozproszonej strukturze informatycznej.

    Wybierz pozycję Dalej.

  10. W obszarze Przypisania wybierz użytkownika lub grupy, które otrzymają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

  11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Zabezpieczanie profilów sieci VPN

Profile sieci VPN mogą używać wielu różnych typów połączeń i protokołów od różnych producentów. Te połączenia są zwykle zabezpieczone za pomocą następujących metod.

Certyfikaty

Podczas tworzenia profilu sieci VPN należy wybrać profil certyfikatu SCEP lub PKCS utworzony wcześniej w Intune. Ten profil jest znany jako certyfikat tożsamości. Jest on używany do uwierzytelniania względem profilu zaufanego certyfikatu (lub certyfikatu głównego), który jest utworzony, aby umożliwić urządzeniu użytkownika nawiązywanie połączenia. Zaufany certyfikat jest przypisywany do komputera, który uwierzytelnia połączenie sieci VPN, zazwyczaj serwer sieci VPN.

Jeśli używasz uwierzytelniania opartego na certyfikatach dla profilu sieci VPN, wdróż profil sieci VPN, profil certyfikatu i zaufany profil główny w tych samych grupach. To przypisanie gwarantuje, że każde urządzenie rozpoznaje zasadność urzędu certyfikacji.

Aby uzyskać więcej informacji o sposobie tworzenia i używania profilów certyfikatów w Intune, zobacz How to configure certificates with Microsoft Intune (Jak skonfigurować certyfikaty przy użyciu Microsoft Intune).

Uwaga

Certyfikaty dodane przy użyciu profilu zaimportowanego certyfikatu PKCS nie są obsługiwane w przypadku uwierzytelniania sieci VPN. Certyfikaty dodane przy użyciu profilu certyfikatów PKCS są obsługiwane w przypadku uwierzytelniania sieci VPN.

Nazwa użytkownika i hasło

Użytkownik uwierzytelnia się na serwerze sieci VPN, podając nazwę użytkownika i hasło lub poświadczenia pochodne.

Następne kroki