Ustawienia urządzenia z systemem Android Enterprise do konfigurowania sieci VPN w usłudze Intune

W tym artykule opisano różne ustawienia połączenia sieci VPN, które można kontrolować na urządzeniach z systemem Android Enterprise. W ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM) użyj tych ustawień, aby utworzyć połączenie sieci VPN, wybrać sposób uwierzytelniania sieci VPN, wybrać typ serwera sieci VPN i nie tylko.

Ta funkcja ma zastosowanie do:

• Urządzenia osobiste z systemem Android Enterprise z profilem służbowym (BYOD)
• Profil służbowy należący do firmy systemu Android Enterprise (COPE)
• W pełni zarządzane firmowe urządzenie z systemem Android Enterprise (COBO)
• Dedykowane urządzenia firmowe z systemem Android Enterprise (COSU)

Jako administrator usługi Intune możesz tworzyć i przypisywać ustawienia sieci VPN do urządzeń z systemem Android Enterprise. Aby dowiedzieć się więcej na temat profilów sieci VPN w usłudze Intune, zobacz Profile sieci VPN.

Uwaga

Aby skonfigurować zawsze włączoną sieć VPN, należy utworzyć profil sieci VPN, a także utworzyć profil ograniczeń urządzenia z skonfigurowanym ustawieniem zawsze włączonej sieci VPN.

Przed rozpoczęciem

• Utwórz profil konfiguracji urządzenia z systemem Android Enterprise VPN:

  • W pełni zarządzany, dedykowany i należący do firmy profil służbowy
  • Profil służbowy należący do użytkownika

• Niektóre usługi platformy Microsoft 365, takie jak Outlook, mogą nie działać dobrze przy użyciu sieci VPN innych firm lub partnerów. Jeśli używasz sieci VPN innej firmy lub partnera i występuje problem z opóźnieniem lub wydajnością, usuń sieć VPN.

  Jeśli usunięcie sieci VPN rozwiąże to zachowanie, możesz wykonać następujące czynności:

  • Aby uzyskać możliwe rozwiązania, skontaktuj się z siecią VPN innej firmy lub partnera. Firma Microsoft nie zapewnia pomocy technicznej dla sieci VPN innych firm ani partnerów.
  • Nie używaj sieci VPN z ruchem w programie Outlook.
  • Jeśli musisz użyć sieci VPN, użyj sieci VPN z tunelem podzielonym. Zezwalaj również na pomijanie sieci VPN przez ruch programu Outlook.

  Aby uzyskać więcej informacji, zobacz:

  • Omówienie: tunelowanie podzielone sieci VPN dla platformy Microsoft 365
  • Korzystanie z urządzeń sieciowych innych firm lub rozwiązań w usłudze Microsoft 365
  • Alternatywne sposoby zapewniania przez specjalistów ds. zabezpieczeń i it nowoczesnych mechanizmów kontroli zabezpieczeń w dzisiejszym blogu poświęconym unikatowym scenariuszom pracy zdalnej
  • Zasady dotyczące łączności sieciowej na platformie Microsoft 365

• Jeśli te urządzenia są potrzebne do uzyskiwania dostępu do zasobów lokalnych przy użyciu nowoczesnego uwierzytelniania i dostępu warunkowego, możesz użyć tunelu Microsoft Tunnel, który obsługuje tunelowanie podzielone.

W pełni zarządzany, dedykowany i Corporate-Owned profil służbowy

• Typ połączenia: wybierz typ połączenia sieci VPN. Dostępne opcje:

  • Cisco AnyConnect
  • SonicWall Mobile Connect
  • F5 Access
  • Pulse Secure
  • Microsoft Tunnel (nieobsługiwane na dedykowanych urządzeniach z systemem Android Enterprise).

Dostępne ustawienia zależą od wybranego klienta sieci VPN. Niektóre ustawienia są dostępne tylko dla określonych klientów sieci VPN.

Podstawowa sieć VPN (w pełni zarządzany, dedykowany i należący do firmy profil służbowy)

• Nazwa połączenia: wprowadź nazwę tego połączenia. Użytkownicy końcowi widzą tę nazwę podczas przeglądania urządzenia w poszukiwaniu dostępnych połączeń sieci VPN. Na przykład wprowadź Contoso VPN.

• Adres serwera sieci VPN lub nazwa FQDN: wprowadź adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) serwera sieci VPN, z którym łączą się urządzenia. Na przykład wprowadź 192.168.1.1 wartość lub vpn.contoso.com.

• Metoda uwierzytelniania: wybierz sposób uwierzytelniania urządzeń na serwerze sieci VPN. Dostępne opcje:

  • Certyfikaty: wybierz istniejący profil certyfikatu SCEP lub PKCS, aby uwierzytelnić połączenie. Konfigurowanie certyfikatów zawiera listę kroków tworzenia profilu certyfikatu.

  • Nazwa użytkownika i hasło: gdy użytkownicy końcowi logują się do serwera sieci VPN, są monitowane o wprowadzenie nazwy użytkownika i hasła.

  • Pochodne poświadczenia: użyj certyfikatu pochodzącego z karty inteligentnej użytkownika. Jeśli nie skonfigurowano wystawcy pochodnych poświadczeń, usługa Intune wyświetli monit o dodanie go.

    Aby uzyskać więcej informacji, zobacz Korzystanie z pochodnych poświadczeń w usłudze Intune.

• Wprowadź pary kluczy i wartości dla atrybutów sieci VPN usługi NetMotion Mobility: Dodaj lub zaimportuj klucze i wartości , które dostosowują połączenie sieci VPN. Te wartości są zwykle dostarczane przez dostawcę sieci VPN.

• Witryna Microsoft Tunnel (tylko microsoft tunnel): wybierz istniejącą witrynę. Klient sieci VPN nawiązuje połączenie z publicznym adresem IP lub nazwą FQDN tej witryny.

  Aby uzyskać więcej informacji, zobacz Microsoft Tunnel for Intune.

Sieć VPN dla aplikacji (w pełni zarządzany, dedykowany i należący do firmy profil służbowy)

• Dodaj: wybierz z listy pozycję Aplikacje zarządzane. Gdy użytkownicy uruchamiają dodane aplikacje, ruch jest automatycznie kierowany przez połączenie sieci VPN.

Aby uzyskać więcej informacji, zobacz Korzystanie z zasad sieci VPN i sieci VPN dla aplikacji na urządzeniach z systemem Android Enterprise.

Zawsze włączona sieć VPN (w pełni zarządzany, dedykowany i należący do firmy profil służbowy)

• Zawsze włączona sieć VPN: opcja Włącz włącza zawsze włączoną sieć VPN, dzięki czemu klienci sieci VPN automatycznie łączą się i ponownie łączą z siecią VPN, gdy jest to możliwe. Po ustawieniu opcji Nieskonfigurowane usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie zawsze włączona sieć VPN może być wyłączona dla wszystkich klientów sieci VPN.

  Dla zawsze włączonej sieci VPN na urządzeniu można skonfigurować tylko jednego klienta sieci VPN. Upewnij się, że na jednym urządzeniu wdrożono nie więcej niż jedną zawsze włączoną zasadę sieci VPN.

Serwer proxy (w pełni zarządzany, dedykowany i należący do firmy profil służbowy)

• Skrypt konfiguracji automatycznej: użyj pliku, aby skonfigurować serwer proxy. Wprowadź adres URL serwera proxy, który zawiera plik konfiguracji. Na przykład wprowadź http://proxy.contoso.com/pac.
• Adres: wprowadź adres IP lub w pełni kwalifikowaną nazwę hosta serwera proxy. Na przykład wprowadź 10.0.0.3 wartość lub vpn.contoso.com.
• Numer portu: wprowadź numer portu skojarzony z serwerem proxy. Na przykład wprowadź 8080.

Profil służbowy należący do użytkownika

• Typ połączenia: wybierz typ połączenia sieci VPN. Dostępne opcje:

  • Check Point Capsule VPN

  • Cisco AnyConnect

    Uwaga

    W przypadku aplikacji Cisco AnyConnect w profilu służbowym należącym do użytkownika może być kilka dodatkowych kroków umożliwiających użytkownikom końcowym ukończenie połączenia sieci VPN. Aby uzyskać więcej informacji, przejdź do pozycji Profile sieci VPN — jak wyglądają pomyślne profile sieci VPN.

  • SonicWall Mobile Connect

  • F5 Access

  • Pulse Secure

  • NetMotion Mobility

  • Microsoft Tunnel

Dostępne ustawienia zależą od wybranego klienta sieci VPN. Niektóre ustawienia są dostępne tylko dla określonych klientów sieci VPN.

Podstawowa sieć VPN (profil służbowy należący do użytkownika)

• Nazwa połączenia: wprowadź nazwę tego połączenia. Użytkownicy końcowi widzą tę nazwę podczas przeglądania urządzenia w poszukiwaniu dostępnych połączeń sieci VPN. Na przykład wprowadź Contoso VPN.

• Adres serwera sieci VPN: wprowadź adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) serwera sieci VPN, z którym łączą się urządzenia. Na przykład wprowadź 192.168.1.1 wartość lub vpn.contoso.com.

• Metoda uwierzytelniania: wybierz sposób uwierzytelniania urządzeń na serwerze sieci VPN. Dostępne opcje:

  • Certyfikaty: wybierz istniejący profil certyfikatu SCEP lub PKCS, aby uwierzytelnić połączenie. Konfigurowanie certyfikatów zawiera listę kroków tworzenia profilu certyfikatu.

  • Nazwa użytkownika i hasło: gdy użytkownicy końcowi logują się do serwera sieci VPN, są monitowane o wprowadzenie nazwy użytkownika i hasła.

  • Pochodne poświadczenia: użyj certyfikatu pochodzącego z karty inteligentnej użytkownika. Jeśli nie skonfigurowano wystawcy pochodnych poświadczeń, usługa Intune wyświetli monit o dodanie go.

    Aby uzyskać więcej informacji, zobacz Korzystanie z pochodnych poświadczeń w usłudze Intune.

• Odcisk palca (tylko Check Point Capsule VPN): wprowadź ciąg odcisku palca podany przez dostawcę sieci VPN, na przykład Contoso Fingerprint Code. Ten odcisk palca sprawdza, czy można zaufać serwerowi sieci VPN.

  Podczas uwierzytelniania odcisk palca jest wysyłany do klienta, dzięki czemu klient wie, że ufa każdemu serwerowi, który ma ten sam odcisk palca. Jeśli urządzenie nie ma odcisku palca, monituje użytkownika o zaufanie do serwera sieci VPN podczas wyświetlania odcisku palca. Użytkownik ręcznie weryfikuje odcisk palca i wybiera opcję zaufania w celu nawiązania połączenia.

• Wprowadź pary kluczy i wartości dla atrybutów sieci VPN usługi NetMotion Mobility: Dodaj lub zaimportuj klucze i wartości , które dostosowują połączenie sieci VPN. Te wartości są zwykle dostarczane przez dostawcę sieci VPN.

• Witryna Microsoft Tunnel (tylko microsoft tunnel): wybierz istniejącą witrynę. Klient sieci VPN nawiązuje połączenie z publicznym adresem IP lub nazwą FQDN tej witryny.

  Aby uzyskać więcej informacji, zobacz Microsoft Tunnel for Intune.

Sieć VPN dla aplikacji (profil służbowy należący do użytkownika)

• Dodaj: wybierz z listy pozycję Aplikacje zarządzane. Gdy użytkownicy uruchamiają dodane aplikacje, ruch jest automatycznie kierowany przez połączenie sieci VPN.

Aby uzyskać więcej informacji, zobacz Korzystanie z zasad sieci VPN i sieci VPN dla aplikacji na urządzeniach z systemem Android Enterprise.

Zawsze włączona sieć VPN (profil służbowy należący do użytkownika)

• Zawsze włączona sieć VPN: opcja Włącz włącza zawsze włączoną sieć VPN, dzięki czemu klienci sieci VPN automatycznie łączą się i ponownie łączą z siecią VPN, gdy jest to możliwe. Po ustawieniu opcji Nieskonfigurowane usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie zawsze włączona sieć VPN może być wyłączona dla wszystkich klientów sieci VPN.

  Dla zawsze włączonej sieci VPN na urządzeniu można skonfigurować tylko jednego klienta sieci VPN. Upewnij się, że na jednym urządzeniu wdrożono nie więcej niż jedną zawsze włączoną zasadę sieci VPN.

Serwer proxy (profil służbowy należący do użytkownika)

• Skrypt konfiguracji automatycznej: użyj pliku, aby skonfigurować serwer proxy. Wprowadź adres URL serwera proxy, który zawiera plik konfiguracji. Na przykład wprowadź http://proxy.contoso.com/pac.
• Adres: wprowadź adres IP lub w pełni kwalifikowaną nazwę hosta serwera proxy. Na przykład wprowadź 10.0.0.3 wartość lub vpn.contoso.com.
• Numer portu: wprowadź numer portu skojarzony z serwerem proxy. Na przykład wprowadź 8080.

Następne kroki

Przypisz profil i monitoruj jego stan.

Można również tworzyć profile sieci VPN dla administratora urządzeń z systemem Android, systemów iOS/iPadOS, macOS i Windows 10 i nowszych.

Rozwiązywanie problemów z profilem sieci VPN w Microsoft Intune