Dodawanie ustawień sieci VPN na urządzeniach z systemem iOS i iPadOS w usłudze Microsoft Intune

Microsoft Intune zawiera wiele ustawień sieci VPN, które można wdrożyć na urządzeniach z systemem iOS/iPadOS. Te ustawienia służą do tworzenia i konfigurowania połączeń sieci VPN z siecią organizacji. W tym artykule opisano te ustawienia. Niektóre ustawienia są dostępne tylko dla niektórych klientów sieci VPN, takich jak Citrix, Zscaler i inne.

Ta funkcja ma zastosowanie do:

• iOS/iPadOS

Przed rozpoczęciem

• Utwórz profil konfiguracji urządzenia sieci VPN z systemem iOS/iPadOS.

• Niektóre usługi platformy Microsoft 365, takie jak Outlook, mogą nie działać dobrze przy użyciu sieci VPN innych firm lub partnerów. Jeśli używasz sieci VPN innej firmy lub partnera i występuje problem z opóźnieniem lub wydajnością, usuń sieć VPN.

  Jeśli usunięcie sieci VPN rozwiąże to zachowanie, możesz wykonać następujące czynności:

  • Aby uzyskać możliwe rozwiązania, skontaktuj się z siecią VPN innej firmy lub partnera. Firma Microsoft nie zapewnia pomocy technicznej dla sieci VPN innych firm ani partnerów.
  • Nie używaj sieci VPN z ruchem w programie Outlook.
  • Jeśli musisz użyć sieci VPN, użyj sieci VPN z tunelem podzielonym. Zezwalaj również na pomijanie sieci VPN przez ruch programu Outlook.

  Aby uzyskać więcej informacji, zobacz:

  • Omówienie: tunelowanie podzielone sieci VPN dla platformy Microsoft 365
  • Korzystanie z urządzeń sieciowych innych firm lub rozwiązań w usłudze Microsoft 365
  • Alternatywne sposoby zapewniania przez specjalistów ds. zabezpieczeń i it nowoczesnych mechanizmów kontroli zabezpieczeń w dzisiejszym blogu poświęconym unikatowym scenariuszom pracy zdalnej
  • Zasady dotyczące łączności sieciowej na platformie Microsoft 365

• Jeśli te urządzenia są potrzebne do uzyskiwania dostępu do zasobów lokalnych przy użyciu nowoczesnego uwierzytelniania i dostępu warunkowego, możesz użyć tunelu Microsoft Tunnel, który obsługuje tunelowanie podzielone.

Uwaga

• Te ustawienia są dostępne dla wszystkich typów rejestracji z wyjątkiem rejestracji użytkowników. Rejestracja użytkowników jest ograniczona do sieci VPN dla aplikacji. Aby uzyskać więcej informacji na temat typów rejestracji, zobacz Rejestracja w systemie iOS/iPadOS.

• Dostępne ustawienia zależą od wybranego klienta sieci VPN. Niektóre ustawienia są dostępne tylko dla określonych klientów sieci VPN.

• Te ustawienia używają ładunku sieci VPN firmy Apple (otwiera witrynę internetową firmy Apple).

Typ połączenia

Wybierz typ połączenia sieci VPN z następującej listy dostawców:

• Check Point Capsule VPN

• Cisco Legacy AnyConnect

  Dotyczy aplikacji Cisco Legacy AnyConnect w wersji 4.0.5x i starszej.

• Cisco AnyConnect

  Dotyczy aplikacji Cisco AnyConnect w wersji 4.0.7x lub nowszej.

• SonicWall Mobile Connect

• F5 Access Legacy

  Dotyczy aplikacji F5 Access w wersji 2.1 lub starszej.

• F5 Access

  Dotyczy aplikacji F5 Access w wersji 3.0 lub nowszej.

• Palo Alto Networks GlobalProtect (starsza wersja)

  Dotyczy aplikacji Palo Alto Networks GlobalProtect w wersji 4.1 lub starszej.

• Palo Alto Networks GlobalProtect

  Dotyczy aplikacji Palo Alto Networks GlobalProtect w wersji 5.0 lub nowszej.

• Pulse Secure

• Cisco (IPSec)

• Citrix VPN

• Citrix SSO

• Zscaler

  Aby korzystać z dostępu warunkowego lub zezwolić użytkownikom na pomijanie ekranu logowania Zscaler, musisz zintegrować usługę Zscaler Private Access (ZPA) z kontem Microsoft Entra. Aby uzyskać szczegółowe instrukcje, zobacz dokumentację narzędzia Zscaler.

• NetMotion Mobility

• IKEv2

  Ustawienia protokołu IKEv2 (w tym artykule) opisują właściwości.

• Microsoft Tunnel

  Dotyczy aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender, która zawiera funkcje klienta tunnel.

• Niestandardowa sieć VPN

Uwaga

Cisco, Citrix, F5 i Palo Alto ogłosiły, że ich starszi klienci nie pracują w systemie iOS 12 i nowszych wersjach. Należy jak najszybciej przeprowadzić migrację do nowych aplikacji. Aby uzyskać więcej informacji, zobacz blog zespołu pomocy technicznej Microsoft Intune.

Podstawowe ustawienia sieci VPN

• Nazwa połączenia: użytkownicy końcowi widzą tę nazwę podczas przeglądania urządzenia w poszukiwaniu listy dostępnych połączeń sieci VPN.

• Niestandardowa nazwa domeny (tylko Zscaler): wstępnie wypełnij pole logowania aplikacji Zscaler domeną, do której należą użytkownicy. Jeśli na przykład nazwa użytkownika to Joe@contoso.net, domena contoso.net jest wyświetlana statycznie w polu po otwarciu aplikacji. Jeśli nie wprowadzisz nazwy domeny, zostanie użyta część domeny nazwy UPN w Tożsamość Microsoft Entra.

• Adres serwera sieci VPN: adres IP lub w pełni kwalifikowana nazwa domeny (FQDN) serwera sieci VPN, z którym łączą się urządzenia. Na przykład wprowadź 192.168.1.1 wartość lub vpn.contoso.com.

• Nazwa chmury organizacji (tylko Zscaler): wprowadź nazwę chmury, w której aprowizowano organizację. Adres URL używany do logowania się do aplikacji Zscaler ma nazwę .

• Metoda uwierzytelniania: wybierz sposób uwierzytelniania urządzeń na serwerze sieci VPN.

  • Certyfikaty: W obszarze Certyfikat uwierzytelniania wybierz istniejący profil certyfikatu SCEP lub PKCS, aby uwierzytelnić połączenie. Artykuł Configure certificates (Konfigurowanie certyfikatów ) zawiera wskazówki dotyczące profilów certyfikatów.

  • Nazwa użytkownika i hasło: użytkownicy końcowi muszą wprowadzić nazwę użytkownika i hasło, aby zalogować się na serwerze sieci VPN.

    Uwaga

    Jeśli nazwa użytkownika i hasło są używane jako metoda uwierzytelniania dla sieci VPN Cisco IPsec, muszą dostarczyć aplikację SharedSecret za pośrednictwem niestandardowego profilu programu Apple Configurator.

  • Pochodne poświadczenia: użyj certyfikatu pochodzącego z karty inteligentnej użytkownika. Jeśli nie skonfigurowano wystawcy pochodnych poświadczeń, Intune monituje o dodanie go. Aby uzyskać więcej informacji, zobacz Używanie pochodnych poświadczeń w Microsoft Intune.

• Wykluczone adresy URL (tylko Zscaler): po nawiązaniu połączenia z siecią VPN Zscaler wymienione adresy URL są dostępne poza chmurą Zscaler. Możesz dodać maksymalnie 50 adresów URL.

• Tunelowanie podzielone: włącz lub wyłącz , aby umożliwić urządzeniom podjęcie decyzji o tym, którego połączenia użyć, w zależności od ruchu. Na przykład użytkownik w hotelu używa połączenia sieci VPN do uzyskiwania dostępu do plików służbowych, ale używa standardowej sieci hotelowej do regularnego przeglądania internetu.

• Identyfikator sieci VPN (niestandardowa sieć VPN, Zscaler i Citrix): identyfikator używanej aplikacji sieci VPN i jest dostarczany przez dostawcę sieci VPN.

• Wprowadź pary klucz/wartość dla niestandardowych atrybutów sieci VPN organizacji (Niestandardowa sieć VPN, Zscaler i Citrix): Dodaj lub zaimportuj klucze i wartości , które dostosowują połączenie sieci VPN. Pamiętaj, że te wartości są zwykle dostarczane przez dostawcę sieci VPN.

• Włącz kontrolę dostępu do sieci (NAC) (Cisco AnyConnect, Citrix SSO, F5 Access): Po wybraniu opcji Wyrażam zgodę identyfikator urządzenia jest uwzględniony w profilu sieci VPN. Tego identyfikatora można użyć do uwierzytelniania w sieci VPN w celu zezwolenia na dostęp do sieci lub uniemożliwienia mu dostępu.

  W przypadku korzystania z rozwiązania Cisco AnyConnect z usługą ISE upewnij się, że:

  • Jeśli jeszcze tego nie zrobiono, zintegruj rozwiązanie ISE z usługą Intune na potrzeby translatora adresów sieciowych zgodnie z opisem w temacie Configure Microsoft Intune as an MDM Server in the Cisco Identity Services Engine Administrator Guide (Konfigurowanie Microsoft Intune jako serwera MDM) w przewodniku administratora aparatu usług Cisco Identity Services.
  • Włącz translator adresów sieciowych w profilu sieci VPN.

  Ważna

  Usługa kontroli dostępu do sieci (NAC) jest przestarzała i zastąpiona najnowszą usługą NAC firmy Microsoft, czyli usługą pobierania zgodności (CR Service). Aby obsługiwać zmiany w środowisku Cisco ISE, Intune zmienić format identyfikatora urządzenia. W związku z tym istniejące profile z oryginalną usługą NAC przestaną działać.

  Aby użyć usługi CR i zapobiec przestojom z połączeniem sieci VPN, ponownie wdróż ten sam profil konfiguracji urządzenia sieci VPN. Nie są potrzebne żadne zmiany w profilu. Wystarczy zostać ponownie wdrożone. Gdy urządzenie synchronizuje się z usługą Intune i odbiera profil konfiguracji sieci VPN, zmiany usługi CR są automatycznie wdrażane na urządzeniu. Połączenia sieci VPN powinny nadal działać.

  W przypadku korzystania z logowania jednokrotnego Citrix z usługą Gateway upewnij się, że:

  • Upewnij się, że używasz usługi Citrix Gateway 12.0.59 lub nowszej.
  • Upewnij się, że użytkownicy mają zainstalowaną aplikację Citrix SSO 1.1.6 lub nowszą na swoich urządzeniach.
  • Integracja usługi Citrix Gateway z usługą Intune na potrzeby translatora adresów sieciowych. Zobacz przewodnik wdrażania rozwiązania Citrix Integrating Microsoft Intune/Enterprise Mobility Suite with NetScaler (LDAP+OTP Scenario).
  • Włącz translator adresów sieciowych w profilu sieci VPN.

  W przypadku korzystania z programu F5 Access upewnij się, że:

  • Upewnij się, że używasz F5 BIG-IP 13.1.1.5 lub nowszej.
  • Integracja funkcji BIG-IP z Intune na potrzeby translatora adresów sieciowych. Zapoznaj się z przewodnikiem Overview: Configuring APM for device posture checks with endpoint management systems F5 (Omówienie: konfigurowanie programu APM pod kątem sprawdzania stanu urządzenia przy użyciu systemów zarządzania punktami końcowymi ).
  • Włącz translator adresów sieciowych w profilu sieci VPN.

  W przypadku partnerów sieci VPN, którzy obsługują identyfikator urządzenia, klient sieci VPN, taki jak logowanie jednokrotne Citrix, może uzyskać identyfikator. Następnie może wysyłać zapytania Intune, aby potwierdzić, że urządzenie jest zarejestrowane, oraz czy profil sieci VPN jest zgodny lub niezgodny.

  • Aby usunąć to ustawienie, utwórz ponownie profil i nie wybieraj pozycji Zgadzam się. Następnie ponownie przypisz profil.

• Wprowadź pary kluczy i wartości dla atrybutów sieci VPN netmotion mobility (tylko netmotion mobility): wprowadź lub zaimportuj pary kluczy i wartości. Te wartości mogą być dostarczane przez dostawcę sieci VPN.

• Witryna Microsoft Tunnel (tylko microsoft tunnel): wybierz istniejącą witrynę. Klient sieci VPN nawiązuje połączenie z publicznym adresem IP lub nazwą FQDN tej witryny.

  Aby uzyskać więcej informacji, zobacz Microsoft Tunnel for Intune.

Ustawienia protokołu IKEv2

Te ustawienia mają zastosowanie po wybraniu pozycji Typ> połączeniaIKEv2.

• Zawsze włączona sieć VPN: opcja Włącz ustawia klienta sieci VPN w celu automatycznego nawiązywania połączenia i ponownego nawiązywania połączenia z siecią VPN. Zawsze włączone połączenia sieci VPN pozostają połączone lub natychmiast nawiązują połączenie, gdy użytkownik zablokuje swoje urządzenie, urządzenie zostanie ponownie uruchomione lub sieć bezprzewodowa zmieni się. Po ustawieniu opcji Wyłącz (wartość domyślna) zawsze włączona sieć VPN dla wszystkich klientów sieci VPN jest wyłączona. Po włączeniu skonfiguruj również:

  • Interfejs sieciowy: wszystkie ustawienia protokołu IKEv2 mają zastosowanie tylko do wybranego interfejsu sieciowego. Dostępne opcje:

    • Sieć Wi-Fi i sieć komórkowa (ustawienie domyślne): ustawienia protokołu IKEv2 mają zastosowanie do interfejsów Wi-Fi i komórkowych na urządzeniu.
    • Sieć komórkowa: ustawienia protokołu IKEv2 mają zastosowanie tylko do interfejsu komórkowego na urządzeniu. Wybierz tę opcję, jeśli wdrażasz na urządzeniach z wyłączonym lub usuniętym interfejsem Wi-Fi.
    • Wi-Fi: ustawienia protokołu IKEv2 mają zastosowanie tylko do interfejsu Wi-Fi na urządzeniu.

  • Użytkownik wyłącza konfigurację sieci VPN: ustawienie Włącz umożliwia użytkownikom wyłączanie zawsze włączonej sieci VPN. Ustawienie Wyłącz (ustawienie domyślne) uniemożliwia użytkownikom wyłączenie go. Wartość domyślna tego ustawienia jest najbezpieczniejszą opcją.

  • Poczta głosowa: wybierz, co się stanie z ruchem poczty głosowej, gdy włączona jest zawsze włączona sieć VPN. Dostępne opcje:

    • Wymuszanie ruchu sieciowego za pośrednictwem sieci VPN (ustawienie domyślne): to ustawienie jest najbezpieczniejszą opcją.
    • Zezwalanie na ruch sieciowy przekazywany poza sieć VPN
    • Porzuć ruch sieciowy

  • AirPrint: wybierz, co się dzieje z ruchem AirPrint, gdy włączono zawsze włączoną sieć VPN. Dostępne opcje:

    • Wymuszanie ruchu sieciowego za pośrednictwem sieci VPN (ustawienie domyślne): to ustawienie jest najbezpieczniejszą opcją.
    • Zezwalanie na ruch sieciowy przekazywany poza sieć VPN
    • Porzuć ruch sieciowy

  • Usługi komórkowe: w systemie iOS 13.0 lub nowszym wybierz, co się stanie z ruchem komórkowym, gdy włączona jest zawsze włączona sieć VPN. Dostępne opcje:

    • Wymuszanie ruchu sieciowego za pośrednictwem sieci VPN (ustawienie domyślne): to ustawienie jest najbezpieczniejszą opcją.
    • Zezwalanie na ruch sieciowy przekazywany poza sieć VPN
    • Porzuć ruch sieciowy

  • Zezwalaj na przekazywanie ruchu z nienatywnej aplikacji sieciowej w niewoli poza sieć VPN: sieć zniewolona odnosi się do Wi-Fi hotspotów zwykle występujących w restauracjach i hotelach. Dostępne opcje:

    • Nie: wymusza cały ruch aplikacji w usłudze Captive Networking (CN) przez tunel VPN.
    • Tak, wszystkie aplikacje: zezwala na pomijanie sieci VPN przez cały ruch aplikacji CN.
    • Tak, określone aplikacje: dodaj listę aplikacji CN, których ruch może pominąć sieć VPN. Wprowadź identyfikatory pakietu aplikacji CN. Na przykład wprowadź com.contoso.app.id.package.

  • Ruch z aplikacji Captive Websheet do przekazania poza sieć VPN: Captive WebSheet to wbudowana przeglądarka internetowa, która obsługuje logowanie do niewoli. Opcja Włącz umożliwia pomijanie sieci VPN przez ruch aplikacji przeglądarki. Ustawienie Wyłącz (domyślne) wymusza użycie ruchu w arkuszu WebSheet w celu korzystania z zawsze włączonej sieci VPN. Wartość domyślna jest najbezpieczniejszą opcją.

  • Interwał na żywo tłumaczenia adresów sieciowych (NAT) (sekundy): aby pozostać w kontakcie z siecią VPN, urządzenie wysyła pakiety sieciowe, aby pozostały aktywne. Wprowadź wartość w sekundach na temat tego, jak często te pakiety są wysyłane z zakresu od 20 do 1440. Na przykład wprowadź wartość 60 , aby wysyłać pakiety sieciowe do sieci VPN co 60 sekund. Domyślnie ta wartość jest ustawiona na sekundy 110 .

  • Odciążanie translatora adresów sieciowych do sprzętu, gdy urządzenie jest w stanie uśpienia: gdy urządzenie jest w stanie uśpienia, ustawienie Włącz (ustawienie domyślne) ma funkcję NAT w sposób ciągły wysyłania pakietów utrzymywania aktywności, dzięki czemu urządzenie pozostaje połączone z siecią VPN. Wyłączenie powoduje wyłączenie tej funkcji.

• Identyfikator zdalny: wprowadź adres IP sieci, nazwę FQDN, nazwę UserFQDN lub nazwę ASN1DN serwera IKEv2. Na przykład wprowadź 10.0.0.3 wartość lub vpn.contoso.com. Zazwyczaj wprowadza się tę samą wartość co nazwa połączenia (w tym artykule). Jednak zależy to od ustawień serwera IKEv2.

• Identyfikator lokalny: wprowadź nazwę FQDN urządzenia lub nazwę pospolitą podmiotu klienta sieci VPN IKEv2 na urządzeniu. Możesz też pozostawić tę wartość pustą (wartość domyślna). Zazwyczaj identyfikator lokalny powinien być zgodny z tożsamością certyfikatu użytkownika lub urządzenia. Serwer IKEv2 może wymagać dopasowania wartości, aby mógł zweryfikować tożsamość klienta.

• Typ uwierzytelniania klienta: wybierz sposób uwierzytelniania klienta sieci VPN w sieci VPN. Dostępne opcje:

  • Uwierzytelnianie użytkownika (domyślne): poświadczenia użytkownika są uwierzytelniane w sieci VPN.
  • Uwierzytelnianie maszynowe: poświadczenia urządzenia są uwierzytelniane w sieci VPN.

• Metoda uwierzytelniania: wybierz typ poświadczeń klienta do wysłania na serwer. Dostępne opcje:

  • Certyfikaty: używa istniejącego profilu certyfikatu do uwierzytelniania w sieci VPN. Upewnij się, że ten profil certyfikatu jest już przypisany do użytkownika lub urządzenia. W przeciwnym razie połączenie sieci VPN kończy się niepowodzeniem.

    • Typ certyfikatu: wybierz typ szyfrowania używany przez certyfikat. Upewnij się, że serwer sieci VPN jest skonfigurowany do akceptowania tego typu certyfikatu. Dostępne opcje:
      • RSA (wartość domyślna)
      • ECDSA256
      • ECDSA384
      • ECDSA521

  • Klucz tajny udostępniony (tylko uwierzytelnianie maszynowe): umożliwia wprowadzenie wspólnego wpisu tajnego w celu wysłania do serwera sieci VPN.

    • Wspólny wpis tajny: wprowadź wspólny wpis tajny, znany również jako klucz wstępny (PSK). Upewnij się, że wartość jest zgodna z kluczem tajnym udostępnionym skonfigurowanym na serwerze sieci VPN.

• Nazwa pospolita wystawcy certyfikatu serwera: umożliwia serwerowi sieci VPN uwierzytelnianie na kliencie sieci VPN. Wprowadź nazwę pospolitą wystawcy certyfikatu (CN) certyfikatu serwera sieci VPN, który jest wysyłany do klienta sieci VPN na urządzeniu. Upewnij się, że wartość cn jest zgodna z konfiguracją na serwerze sieci VPN. W przeciwnym razie połączenie sieci VPN kończy się niepowodzeniem.

• Nazwa pospolita certyfikatu serwera: wprowadź nazwę CN dla samego certyfikatu. Jeśli wartość identyfikatora zdalnego pozostanie pusta, zostanie użyta.

• Współczynnik wykrywania nieaktywnych elementów równorzędnych: wybierz, jak często klient sieci VPN sprawdza, czy tunel VPN jest aktywny. Dostępne opcje:

  • Nieskonfigurowane: używa domyślnego systemu iOS/iPadOS, który może być taki sam jak w przypadku wybrania opcji Średni.
  • Brak: wyłącza wykrywanie martwych elementów równorzędnych.
  • Niski: wysyła komunikat keepalive co 30 minut.
  • Średni (wartość domyślna): wysyła komunikat keepalive co 10 minut.
  • Wysoki: wysyła komunikat keepalive co 60 sekund.

• Minimalny zakres wersji protokołu TLS: wprowadź minimalną wersję protokołu TLS do użycia. Wprowadź 1.0, 1.1lub 1.2. W przypadku pozostawienia wartości pustej jest używana wartość domyślna 1.0 . W przypadku korzystania z uwierzytelniania użytkownika i certyfikatów należy skonfigurować to ustawienie.

• Maksymalny zakres wersji protokołu TLS: wprowadź maksymalną wersję protokołu TLS do użycia. Wprowadź 1.0, 1.1lub 1.2. W przypadku pozostawienia wartości pustej jest używana wartość domyślna 1.2 . W przypadku korzystania z uwierzytelniania użytkownika i certyfikatów należy skonfigurować to ustawienie.

• Idealna tajemnica do przodu: wybierz pozycję Włącz , aby włączyć doskonałą tajemnicę do przodu (PFS). PFS to funkcja zabezpieczeń adresów IP, która zmniejsza wpływ naruszenia zabezpieczeń klucza sesji. Ustawienie Wyłącz (domyślne) nie używa protokołu PFS.

• Sprawdzanie odwołania certyfikatów: wybierz pozycję Włącz , aby upewnić się, że certyfikaty nie zostały odwołane przed zezwoleniem na pomyślne połączenie sieci VPN. To sprawdzanie jest najlepszym rozwiązaniem. Jeśli serwer sieci VPN przekroczy limit czasu przed określeniem, czy certyfikat zostanie odwołany, dostęp zostanie udzielony. Ustawienie Wyłącz (ustawienie domyślne) nie sprawdza odwołania certyfikatów.

• Użyj atrybutów wewnętrznej podsieci IPv4/IPv6: niektóre serwery IKEv2 używają INTERNAL_IP4_SUBNET atrybutów lub INTERNAL_IP6_SUBNET . Opcja Włącz wymusza użycie tych atrybutów przez połączenie sieci VPN. Ustawienie Wyłącz (ustawienie domyślne) nie wymusza użycia tych atrybutów podsieci przez połączenie sieci VPN.

• Mobilność i multihoming (MOBIKE): mobike umożliwia klientom sieci VPN zmianę adresu IP bez ponownego tworzenia skojarzenia zabezpieczeń z serwerem sieci VPN. Włącz (ustawienie domyślne) włącza funkcję MOBIKE, co może poprawić połączenia sieci VPN podczas podróży między sieciami. Wyłączenie powoduje wyłączenie funkcji MOBIKE.

• Przekierowanie: ustawienie Włącz (domyślne) przekierowuje połączenie IKEv2, jeśli żądanie przekierowania zostanie odebrane z serwera sieci VPN. Ustawienie Wyłącz uniemożliwia przekierowywanie połączenia IKEv2 w przypadku odebrania żądania przekierowania z serwera sieci VPN.

• Maksymalna jednostka transmisji: wprowadź maksymalną jednostkę transmisji (MTU) w bajtach od 1 do 65536. Po ustawieniu wartości Nieskonfigurowane lub puste Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie firma Apple może ustawić tę wartość na 1280.

  To ustawienie dotyczy:

  • System iOS/iPadOS 14 i nowsze

• Parametry skojarzenia zabezpieczeń: wprowadź parametry do użycia podczas tworzenia skojarzeń zabezpieczeń z serwerem sieci VPN:

  • Algorytm szyfrowania: wybierz odpowiedni algorytm:

    • DES
    • 3DES
    • AES-128
    • AES-256 (wartość domyślna)
    • AES-128-GCM
    • AES-256-GCM

    Uwaga

    Jeśli ustawisz wartość algorytmu szyfrowania na AES-128-GCM wartość lub AES-256-GCM, zostanie użyta wartość domyślna AES-256 . Jest to znany problem i zostanie rozwiązany w przyszłej wersji. Nie ma eta.

  • Algorytm integralności: wybierz odpowiedni algorytm:

    • SHA1-96
    • SHA1-160
    • SHA2-256 (wartość domyślna)
    • SHA2-384
    • SHA2-512

  • Grupa Diffie-Hellman: wybierz odpowiednią grupę. Wartość domyślna to grupa 2.

  • Okres istnienia (minuty): wprowadź, jak długo skojarzenie zabezpieczeń pozostaje aktywne, dopóki klucze nie zostaną obrócone. Wprowadź wartość całkowitą z zakresu od 10 do 1440 (1440 minut to 24 godziny). Wartość domyślna to 1440.

• Parametry skojarzenia zabezpieczeń podrzędnych: system iOS/iPadOS umożliwia skonfigurowanie oddzielnych parametrów dla połączenia IKE i wszystkich połączeń podrzędnych. Wprowadź parametry używane podczas tworzenia podrzędnych skojarzeń zabezpieczeń z serwerem sieci VPN:

  • Algorytm szyfrowania: wybierz odpowiedni algorytm:

    • DES
    • 3DES
    • AES-128
    • AES-256 (wartość domyślna)
    • AES-128-GCM
    • AES-256-GCM

    Uwaga

    Jeśli ustawisz wartość algorytmu szyfrowania na AES-128-GCM wartość lub AES-256-GCM, zostanie użyta wartość domyślna AES-256 . Jest to znany problem i zostanie rozwiązany w przyszłej wersji. Nie ma eta.

• Algorytm integralności: wybierz odpowiedni algorytm:

  • SHA1-96
  • SHA1-160
  • SHA2-256 (wartość domyślna)
  • SHA2-384
  • SHA2-512

  Skonfiguruj również:

  • Grupa Diffie-Hellman: wybierz odpowiednią grupę. Wartość domyślna to grupa 2.
  • Okres istnienia (minuty): wprowadź, jak długo skojarzenie zabezpieczeń pozostaje aktywne, dopóki klucze nie zostaną obrócone. Wprowadź wartość całkowitą z zakresu od 10 do 1440 (1440 minut to 24 godziny). Wartość domyślna to 1440.

Automatyczna sieć VPN

• Typ automatycznej sieci VPN: wybierz typ sieci VPN, który chcesz skonfigurować — sieć VPN na żądanie lub sieć VPN dla aplikacji. Upewnij się, że używasz tylko jednej opcji. Używanie ich jednocześnie powoduje problemy z połączeniem.

  • Nie skonfigurowano (ustawienie domyślne): Intune nie zmienia ani nie aktualizuje tego ustawienia.

  • Sieć VPN na żądanie: sieć VPN na żądanie używa reguł do automatycznego łączenia lub rozłączania połączenia sieci VPN. Gdy urządzenia próbują nawiązać połączenie z siecią VPN, wyszukuj dopasowania w utworzonych parametrach i regułach, takich jak zgodna nazwa domeny. Jeśli istnieje dopasowanie, wybrana akcja zostanie uruchomiona.

    Można na przykład utworzyć warunek, w którym połączenie sieci VPN jest używane tylko wtedy, gdy urządzenie nie jest połączone z firmową siecią Wi-Fi. Jeśli też urządzenie nie może uzyskać dostępu do wprowadzonej domeny wyszukiwania DNS, połączenie sieci VPN nie zostanie uruchomione.

    • Reguły> na żądanieDodaj: wybierz pozycję Dodaj, aby dodać regułę. Jeśli nie istnieje połączenie sieci VPN, użyj tych ustawień, aby utworzyć regułę na żądanie. Jeśli reguła jest zgodna, urządzenie wykonuje wybraną akcję.

      • Chcę wykonać następujące czynności: jeśli istnieje dopasowanie między wartością urządzenia a regułą na żądanie, wybierz akcję, którą chcesz wykonać na urządzeniu. Dostępne opcje:

        • Ustanawianie sieci VPN: jeśli istnieje dopasowanie między wartością urządzenia a regułą na żądanie, urządzenie nawiązuje połączenie z siecią VPN.

        • Rozłącz sieć VPN: jeśli istnieje dopasowanie między wartością urządzenia a regułą na żądanie, połączenie sieci VPN zostanie rozłączone.

        • Oceń każdą próbę połączenia: jeśli istnieje dopasowanie między wartością urządzenia a regułą na żądanie, użyj ustawienia Wybierz, czy nawiązać połączenie , aby zdecydować, co się stanie dla każdej próby połączenia sieci VPN:

          • Połącz w razie potrzeby: jeśli urządzenie znajduje się w sieci wewnętrznej lub jeśli istnieje już ustanowione połączenie sieci VPN z siecią wewnętrzną, sieć VPN na żądanie nie będzie się łączyć. Te ustawienia nie są używane.

            Jeśli nie istnieje połączenie sieci VPN, w przypadku każdej próby nawiązania połączenia sieci VPN zdecyduj, czy użytkownicy powinni nawiązać połączenie przy użyciu nazwy domeny DNS. Ta reguła ma zastosowanie tylko do domen na liście Gdy użytkownicy próbują uzyskać dostęp do tych domen . Wszystkie inne domeny są ignorowane.

            • Gdy użytkownicy próbują uzyskać dostęp do tych domen: wprowadź co najmniej jedną domenę DNS, na przykład contoso.com. Jeśli użytkownicy spróbują nawiązać połączenie z domeną na tej liście, urządzenie będzie używać systemu DNS do rozpoznawania wprowadzonych domen. Jeśli domena nie zostanie rozpoznana, co oznacza, że nie ma dostępu do zasobów wewnętrznych, nawiąże połączenie z siecią VPN na żądanie. Jeśli domena rozwiąże problem, co oznacza, że ma już dostęp do zasobów wewnętrznych, nie łączy się z siecią VPN.

              Uwaga

              • Jeśli ustawienie Kiedy użytkownicy próbują uzyskać dostęp do tych domen jest puste, urządzenie używa serwerów DNS skonfigurowanych w usłudze połączenia sieciowego (Wi-Fi/ethernet), aby rozpoznać domenę. Chodzi o to, że te serwery DNS są serwerami publicznymi.

                Domeny na liście Kiedy użytkownicy próbują uzyskać dostęp do tych domen są zasobami wewnętrznymi . Zasoby wewnętrzne nie znajdują się na publicznych serwerach DNS i nie można ich rozpoznać. Dlatego urządzenie nawiązuje połączenie z siecią VPN. Teraz domena jest rozpoznawana przy użyciu serwerów DNS połączenia sieci VPN, a zasób wewnętrzny jest dostępny.

                Jeśli urządzenie znajduje się w sieci wewnętrznej, domena zostanie rozpoznana, a połączenie sieci VPN nie zostanie utworzone, ponieważ domena wewnętrzna jest już dostępna. Nie chcesz tracić zasobów sieci VPN na urządzeniach znajdujących się już w sieci wewnętrznej.

              • Jeśli ustawienie Kiedy użytkownicy próbują uzyskać dostęp do tych domen jest wypełnione, serwery DNS na tej liście są używane do rozpoznawania domen na liście.

                Pomysł jest przeciwieństwem pierwszego punktora (gdy użytkownicy próbują uzyskać dostęp do tych domen ustawienie jest puste). Na przykład lista Gdy użytkownicy próbują uzyskać dostęp do tych domen ma wewnętrzne serwery DNS. Urządzenie w sieci zewnętrznej nie może kierować do wewnętrznych serwerów DNS. Ustępuje limit czasu rozpoznawania nazw, a urządzenie nawiązuje połączenie z siecią VPN na żądanie. Teraz dostępne są zasoby wewnętrzne.

                Pamiętaj, że te informacje dotyczą tylko domen na liście Gdy użytkownicy próbują uzyskać dostęp do tych domen . Wszystkie inne domeny są rozpoznane przy użyciu publicznych serwerów DNS. Gdy urządzenie jest połączone z siecią wewnętrzną, serwery DNS na liście są dostępne i nie ma potrzeby nawiązywania połączenia z siecią VPN.

            • Użyj następujących serwerów DNS, aby rozpoznać te domeny (opcjonalnie): wprowadź co najmniej jeden adres IP serwera DNS, na przykład 10.0.0.22. Wprowadzone serwery DNS służą do rozpoznawania domen w ustawieniu Kiedy użytkownicy próbują uzyskać dostęp do tych domen .

            • Jeśli ten adres URL jest nieosiągalny, wymuś połączenie sieci VPN: Opcjonalnie. Wprowadź adres URL sondowania HTTP lub HTTPS używany przez regułę jako test. Na przykład wprowadź https://probe.Contoso.com. Ten adres URL jest sondowany za każdym razem, gdy użytkownik próbuje uzyskać dostęp do domeny w ustawieniu Kiedy użytkownicy próbują uzyskać dostęp do tych domen . Użytkownik nie widzi witryny sondy ciągu adresu URL.

              Jeśli sonda nie powiedzie się, ponieważ adres URL jest nieosiągalny lub nie zwraca kodu stanu HTTP 200, urządzenie nawiązuje połączenie z siecią VPN.

              Chodzi o to, że adres URL jest dostępny tylko w sieci wewnętrznej. Jeśli można uzyskać dostęp do adresu URL, połączenie sieci VPN nie jest potrzebne. Jeśli nie można uzyskać dostępu do adresu URL, urządzenie znajduje się w sieci zewnętrznej i nawiązuje połączenie z siecią VPN na żądanie. Po nawiązaniu połączenia sieci VPN dostępne są zasoby wewnętrzne.

          • Nigdy nie łącz się: w przypadku każdej próby nawiązania połączenia sieci VPN użytkownicy próbują uzyskać dostęp do wprowadzonych domen, a następnie urządzenie nigdy nie łączy się z siecią VPN.

            • Gdy użytkownicy próbują uzyskać dostęp do tych domen: wprowadź co najmniej jedną domenę DNS, na przykład contoso.com. Jeśli użytkownicy spróbują nawiązać połączenie z domeną na tej liście, połączenie sieci VPN nie zostanie utworzone. Jeśli spróbują nawiązać połączenie z domeną, która nie znajduje się na tej liście, urządzenie nawiąże połączenie z siecią VPN.

        • Ignoruj: jeśli między wartością urządzenia a regułą na żądanie występuje dopasowanie, połączenie sieci VPN jest ignorowane.

      • Chcę ograniczyć do: W polu Chcę wykonać następujące ustawienie, jeśli wybierzesz pozycję Ustanawianie sieci VPN, Odłącz sieć VPN lub Ignoruj, a następnie wybierz warunek, który musi spełniać reguła. Dostępne opcje:

        • Określone identyfikatory SSID: wprowadź co najmniej jedną nazwę sieci bezprzewodowej, do których ma zastosowanie reguła. Ta nazwa sieci jest identyfikatorem zestawu usług (SSID). Na przykład wprowadź Contoso VPN.
        • Określone domeny wyszukiwania: wprowadź co najmniej jedną domenę DNS, do których ma zastosowanie reguła. Na przykład wprowadź contoso.com.
        • Wszystkie domeny: wybierz tę opcję, aby zastosować regułę do wszystkich domen w organizacji.

      • Ale tylko wtedy, gdy ta sonda adresu URL powiedzie się: Opcjonalnie. Wprowadź adres URL używany przez regułę jako test. Na przykład wprowadź https://probe.Contoso.com. Jeśli urządzenie uzyskuje dostęp do tego adresu URL bez przekierowania, zostanie uruchomione połączenie sieci VPN. Urządzenie łączy się z docelowym adresem URL. Użytkownik nie widzi witryny sondy ciągu adresu URL.

        Na przykład adres URL testuje możliwość połączenia sieci VPN z lokacją, zanim urządzenie połączy się z docelowym adresem URL za pośrednictwem sieci VPN.

    • Blokuj użytkownikom możliwość wyłączania automatycznej sieci VPN: Dostępne opcje:

      • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
      • Tak: uniemożliwia użytkownikom wyłączanie automatycznej sieci VPN. Wymusza to na użytkownikach utrzymywanie automatycznej sieci VPN włączonej i działającej.
      • Nie: umożliwia użytkownikom wyłączanie automatycznej sieci VPN.

      To ustawienie dotyczy:

      • System iOS 14 i nowsze
      • iPadOS 14 i nowsze

  • Sieć VPN dla aplikacji: włącza sieć VPN dla aplikacji, kojarząc to połączenie sieci VPN z określoną aplikacją. Po uruchomieniu aplikacji zostanie uruchomione połączenie sieci VPN. Profil sieci VPN można skojarzyć z aplikacją podczas przypisywania oprogramowania lub programu aplikacji. Aby uzyskać więcej informacji, zobacz Jak przypisywać i monitorować aplikacje.

    Sieć VPN dla aplikacji nie jest obsługiwana w przypadku połączenia IKEv2. Aby uzyskać więcej informacji, zobacz Konfigurowanie sieci VPN dla aplikacji dla urządzeń z systemem iOS/iPadOS.

    • Typ dostawcy: dostępne tylko dla pulse secure i niestandardowej sieci VPN.

      W przypadku korzystania z profilów sieci VPN dla aplikacji z funkcją Pulse Secure lub niestandardową siecią VPN wybierz tunelowanie w warstwie aplikacji (app-proxy) lub tunelowanie na poziomie pakietu (packet-tunnel):

      • app-proxy: wybierz tę opcję na potrzeby tunelowania w warstwie aplikacji.
      • packet-tunnel: wybierz tę opcję w przypadku tunelowania w warstwie pakietów.

      Jeśli nie masz pewności, której opcji użyć, zapoznaj się z dokumentacją dostawcy sieci VPN.

    • Adresy URL przeglądarki Safari, które będą wyzwalać tę sieć VPN: dodaj co najmniej jeden adres URL witryny internetowej. Gdy te adresy URL są odwiedzane przy użyciu przeglądarki Safari na urządzeniu, połączenie sieci VPN jest ustanawiane automatycznie. Na przykład wprowadź contoso.com.

    • Skojarzone domeny: wprowadź skojarzone domeny w profilu sieci VPN do użycia z tym połączeniem sieci VPN.

      Aby uzyskać więcej informacji, zobacz skojarzone domeny.

    • Wykluczone domeny: wprowadź domeny, które mogą pominąć połączenie sieci VPN, gdy sieć VPN dla aplikacji jest połączona. Na przykład wprowadź contoso.com. Ruch do contoso.com domeny korzysta z publicznego Internetu, nawet jeśli sieć VPN jest połączona.

    • Blokuj użytkownikom możliwość wyłączania automatycznej sieci VPN: Dostępne opcje:

      • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
      • Tak: uniemożliwia użytkownikom wyłączenie przełącznika Połącz na żądanie w ustawieniach profilu sieci VPN. Wymusza to na użytkownikach utrzymywanie włączonych i uruchomionych reguł sieci VPN dla aplikacji lub reguł na żądanie.
      • Nie: umożliwia użytkownikom wyłączenie przełącznika Połącz na żądanie, który wyłącza reguły sieci VPN i na żądanie dla aplikacji.

      To ustawienie dotyczy:

      • System iOS 14 i nowsze
      • iPadOS 14 i nowsze

Sieć VPN dla aplikacji

Te ustawienia dotyczą następujących typów połączeń sieci VPN:

• Microsoft Tunnel

Ustawienia:

• Sieć VPN dla aplikacji: pozycja Włącz kojarzy określoną aplikację z tym połączeniem sieci VPN. Po uruchomieniu aplikacji ruch jest automatycznie kierowany przez połączenie sieci VPN. Profil sieci VPN można skojarzyć z aplikacją podczas przypisywania oprogramowania. Aby uzyskać więcej informacji, zobacz Jak przypisywać i monitorować aplikacje.

  Aby uzyskać więcej informacji, zobacz Microsoft Tunnel for Intune.

• Adresy URL przeglądarki Safari, które będą wyzwalać tę sieć VPN: dodaj co najmniej jeden adres URL witryny internetowej. Gdy te adresy URL są odwiedzane przy użyciu przeglądarki Safari na urządzeniu, połączenie sieci VPN jest ustanawiane automatycznie. Na przykład wprowadź contoso.com.

• Skojarzone domeny: wprowadź skojarzone domeny w profilu sieci VPN do użycia z tym połączeniem sieci VPN.

  Aby uzyskać więcej informacji, zobacz skojarzone domeny.

• Wykluczone domeny: wprowadź domeny, które mogą pominąć połączenie sieci VPN, gdy sieć VPN dla aplikacji jest połączona. Na przykład wprowadź contoso.com. Ruch do contoso.com domeny korzysta z publicznego Internetu, nawet jeśli sieć VPN jest połączona.

Serwera proxy

Jeśli używasz serwera proxy, skonfiguruj następujące ustawienia.

• Skrypt konfiguracji automatycznej: użyj pliku, aby skonfigurować serwer proxy. Wprowadź adres URL serwera proxy, który zawiera plik konfiguracji. Na przykład wprowadź http://proxy.contoso.com/pac.
• Adres: wprowadź adres IP lub w pełni kwalifikowaną nazwę hosta serwera proxy. Na przykład wprowadź 10.0.0.3 wartość lub vpn.contoso.com.
• Numer portu: wprowadź numer portu skojarzony z serwerem proxy. Na przykład wprowadź 8080.

Następne kroki

Profil został utworzony, ale może jeszcze nic nie robić. Pamiętaj, aby przypisać profil i monitorować jego stan.

Skonfiguruj ustawienia sieci VPN na urządzeniach z systemami Android, Android Enterprise, macOS i Windows 10.