Tworzenie profilów sieci VPN w celu nawiązania połączenia z serwerami sieci VPN w usłudze Intune

Ważna

22 października 2022 r. usługa Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje tych urządzeń nie są dostępne.

Jeśli obecnie używasz systemu Windows 8.1, przejdź do urządzeń z systemem Windows 10/11. Usługa Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi z systemem Windows 10/11.

Ważna

Usługa Microsoft Intune kończy obsługę zarządzania urządzeniami z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w usłudze Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Wirtualne sieci prywatne (VPN) zapewniają użytkownikom bezpieczny dostęp zdalny do sieci organizacji. Urządzenia używają profilu połączenia sieci VPN, aby rozpocząć połączenie z serwerem sieci VPN. Profile sieci VPN w usłudze Microsoft Intune przypisują ustawienia sieci VPN do użytkowników i urządzeń w organizacji. Użyj tych ustawień, aby użytkownicy mogli łatwo i bezpiecznie łączyć się z siecią organizacyjną.

Ta funkcja ma zastosowanie do:

• Administratora urządzenia z systemem Android
• Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
• iOS/iPadOS
• macOS
• Windows 10
• Windows 11
• Windows 8.1 i nowsze

Na przykład chcesz skonfigurować wszystkie urządzenia z systemem iOS/iPadOS przy użyciu ustawień wymaganych do nawiązania połączenia z udziałem plików w sieci organizacji. Tworzysz profil sieci VPN, który zawiera te ustawienia. Ten profil można przypisać do wszystkich użytkowników, którzy mają urządzenia z systemem iOS/iPadOS. Użytkownicy widzą połączenie sieci VPN na liście dostępnych sieci i mogą łączyć się przy minimalnym nakładzie pracy.

W tym artykule wymieniono aplikacje sieci VPN, których można użyć, pokazano, jak utworzyć profil sieci VPN i przedstawiono wskazówki dotyczące zabezpieczania profilów sieci VPN. Przed utworzeniem profilu sieci VPN należy wdrożyć aplikację sieci VPN. Jeśli potrzebujesz pomocy dotyczącej wdrażania aplikacji przy użyciu usługi Microsoft Intune, przejdź do tematu Co to jest zarządzanie aplikacjami w usłudze Microsoft Intune?.

Przed rozpoczęciem

• Profile sieci VPN dla tunelu urządzenia są obsługiwane w przypadku pulpitów zdalnych z wieloma sesjami systemu Windows 10/11 Enterprise.

• Jeśli używasz uwierzytelniania opartego na certyfikatach dla profilu sieci VPN, wdróż profil sieci VPN, profil certyfikatu i zaufany profil główny w tych samych grupach. Ten krok zapewnia, że każde urządzenie może rozpoznać zasadność urzędu certyfikacji. Aby uzyskać więcej informacji, zobacz How to configure certificates with Microsoft Intune (Jak skonfigurować certyfikaty w usłudze Microsoft Intune).

• Rejestracja użytkownika dla systemów iOS/iPadOS i macOS obsługuje tylko sieć VPN dla aplikacji.

• Niestandardowe zasady konfiguracji usługi Intune umożliwiają tworzenie profilów sieci VPN dla następujących platform:

  • System Android 4 lub nowszy
  • Zarejestrowane urządzenia z systemem Windows 8.1 lub nowszym
  • Zarejestrowane urządzenia z systemem Windows 10/11
  • Windows Holographic for Business

• W przypadku urządzeń z systemem Windows 11 występuje problem między klientem systemu Windows 11 a programem CSP VPNv2 systemu Windows.

  Urządzenie z co najmniej jednym profilem sieci VPN usługi Intune traci łączność sieci VPN, gdy urządzenie przetwarza wiele zmian w profilach sieci VPN dla urządzenia jednocześnie. Gdy urządzenie zostanie zaewidencjonowane za pomocą usługi Intune po raz drugi, przeprowadź zmiany profilu sieci VPN, a łączność zostanie przywrócona.

  Następujące zmiany mogą spowodować utratę funkcji sieci VPN:

  • Zmieniasz lub aktualizujesz istniejący profil sieci VPN, który był wcześniej przetwarzany przez urządzenie z systemem Windows 11. Ta akcja powoduje usunięcie oryginalnego profilu i zastosowanie zaktualizowanego profilu.
  • Dwa nowe profile sieci VPN mają zastosowanie do urządzenia w tym samym czasie.
  • Aktywny profil sieci VPN zostanie usunięty w tym samym czasie, gdy zostanie przypisany nowy profil sieci VPN.

  Ten problem nie ma zastosowania, a łączność sieci VPN pozostaje w następujących scenariuszach:

  • Urządzenie z systemem Windows 11 nie ma przypisanego istniejącego profilu sieci VPN, a urządzenia otrzymują jeden profil sieci VPN usługi Intune.

  • Urządzenia z systemem Windows 11 mają przypisany istniejący profil sieci VPN i mają przypisany inny profil sieci VPN bez żadnych innych zmian profilu.

  • Urządzenie z systemem Windows 10 jest uaktualnione do systemu Windows 11 i nie ma żadnych zmian w profilach sieci VPN tego urządzenia. Po uaktualnieniu do systemu Windows 11 wszelkie zmiany w profilach sieci VPN urządzeń lub dodanie nowych profilów sieci VPN spowoduje wyzwolenie problemu.

  • System Windows 11 wymaga następujących czynności:

    • Skonfigurowano wszystkie parametry skojarzenia zabezpieczeń IKE i parametry skojarzenia zabezpieczeń podrzędnych

      LUB

    • Żadne z parametrów skojarzenia zabezpieczeń IKE i parametrów skojarzenia zabezpieczeń podrzędnych nie są skonfigurowane

    Jeśli skonfigurujesz tylko jeden z ustawień parametrów skojarzenia zabezpieczeń IKE lub parametrów skojarzenia zabezpieczeń podrzędnych , nastąpi utrata funkcji sieci VPN.

Krok 1. Wdrażanie aplikacji sieci VPN

Aby można było używać profilów sieci VPN przypisanych do urządzenia, należy zainstalować aplikację sieci VPN. Ta aplikacja sieci VPN nawiązuje połączenie z serwerem sieci VPN.

Dostępne są różne aplikacje sieci VPN. Na urządzeniach użytkowników wdrażasz aplikację sieci VPN używaną przez organizację. Po wdrożeniu aplikacji sieci VPN należy utworzyć i wdrożyć profil konfiguracji urządzenia sieci VPN, który konfiguruje ustawienia serwera sieci VPN, w tym nazwę serwera sieci VPN (lub nazwę FQDN) i metodę uwierzytelniania.

Niektóre platformy i aplikacje sieci VPN wymagają zasad konfiguracji aplikacji do wstępnej konfiguracji aplikacji sieci VPN zamiast profilu konfiguracji urządzenia sieci VPN. W tej sekcji wymieniono również platformy i aplikacje sieci VPN, które muszą korzystać z zasad konfiguracji aplikacji.

Aby ułatwić przypisanie aplikacji przy użyciu usługi Intune, przejdź do pozycji Dodawanie aplikacji do usługi Microsoft Intune.

Typy połączeń sieci VPN

Profile sieci VPN można tworzyć przy użyciu następujących typów połączeń sieci VPN:

• Automatyczne

  • Windows 10/11

• Check Point Capsule VPN

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• Cisco AnyConnect

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11

• Cisco (IPSec)

  • iOS/iPadOS

• Citrix SSO

  • Administratora urządzenia z systemem Android
  • Urządzenia osobiste z systemem Android Enterprise z profilem służbowym: korzystanie z zasad konfiguracji aplikacji
  • W pełni zarządzane i należące do firmy profile służbowe systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
  • iOS/iPadOS
  • Windows 10/11

• Niestandardowa sieć VPN

  • iOS/iPadOS
  • macOS

  Tworzenie niestandardowych profilów sieci VPN przy użyciu ustawień identyfikatora URI w sekcji Tworzenie profilu z ustawieniami niestandardowymi.

• F5 Access

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• IKEv2

  • iOS/iPadOS
  • Windows 10/11

• L2TP

  • Windows 10/11

• Microsoft Tunnel

  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS

• NetMotion Mobility

  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • macOS

• Palo Alto Networks GlobalProtect

  • Urządzenia osobiste z systemem Android Enterprise z profilem służbowym: korzystanie z zasad konfiguracji aplikacji
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
  • iOS/iPadOS
  • Windows 10/11

• PPTP

  • Windows 10/11

• Pulse Secure

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • Windows 10/11
  • Windows 8.1

• SonicWall Mobile Connect

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• Zscaler

  • Urządzenia osobiste z systemem Android Enterprise z profilem służbowym: korzystanie z zasad konfiguracji aplikacji
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
  • iOS/iPadOS

Krok 2. Tworzenie profilu

Po przypisaniu aplikacji sieci VPN do urządzenia w następnym kroku zostaną utworzone zasady konfiguracji urządzenia, które konfigurują połączenie sieci VPN. Jeśli typ połączenia aplikacji sieci VPN używa zasad konfiguracji aplikacji do skonfigurowania aplikacji, pomiń ten krok.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja>Utwórz>Nowe zasady.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz platformę urządzeń. Dostępne opcje:
     • Administrator urządzenia z systemem Android
     • Android Enterprise>W pełni zarządzany, dedykowany i Corporate-Owned profil służbowy
     • Android Enterprise>Profil służbowy należący do użytkownika
     • iOS/iPadOS
     • macOS
     • Windows 10 lub nowszy
     • System Windows 8.1 lub nowszy
   • Typ profilu: wybierz pozycję VPN. Możesz też wybrać pozycję Szablony>VPN.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą profilu jest profil sieci VPN dla całej firmy.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. Ustawienia, które można skonfigurować w obszarze Ustawienia konfiguracji, różnią się w zależności od wybranej platformy. Wybierz platformę, aby uzyskać szczegółowe ustawienia:

   • Administrator urządzenia z systemem Android
   • Android Enterprise
   • iOS/iPadOS
   • macOS
   • Windows 10 (w tym Windows Holographic for Business)
   • Windows 8.1

8. Wybierz pozycję Dalej.

9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, przejdź do tematu Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonej infrastruktury IT.

   Wybierz pozycję Dalej.

10. W obszarze Przypisania wybierz użytkowników lub grupy, które otrzymają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Zabezpieczanie profilów sieci VPN

Profile sieci VPN mogą używać wielu różnych typów połączeń i protokołów od różnych producentów. Te połączenia są zwykle zabezpieczone za pomocą następujących metod.

Certyfikaty

Podczas tworzenia profilu sieci VPN wybierasz profil certyfikatu SCEP lub PKCS utworzony wcześniej w usłudze Intune. Ten profil jest znany jako certyfikat tożsamości. Jest on używany do uwierzytelniania względem profilu zaufanego certyfikatu (lub certyfikatu głównego), który jest utworzony, aby umożliwić urządzeniu użytkownika nawiązywanie połączenia. Zaufany certyfikat jest przypisywany do komputera, który uwierzytelnia połączenie sieci VPN, zazwyczaj serwer sieci VPN.

Jeśli używasz uwierzytelniania opartego na certyfikatach dla profilu sieci VPN, wdróż profil sieci VPN, profil certyfikatu i zaufany profil główny w tych samych grupach. To przypisanie gwarantuje, że każde urządzenie rozpoznaje zasadność urzędu certyfikacji.

Aby uzyskać więcej informacji na temat tworzenia i używania profilów certyfikatów w usłudze Intune, przejdź do tematu How to configure certificates with Microsoft Intune (Jak skonfigurować certyfikaty za pomocą usługi Microsoft Intune).

Uwaga

Certyfikaty dodane przy użyciu profilu zaimportowanego certyfikatu PKCS nie są obsługiwane w przypadku uwierzytelniania sieci VPN. Certyfikaty dodane przy użyciu profilu certyfikatów PKCS są obsługiwane w przypadku uwierzytelniania sieci VPN.

Nazwa użytkownika i hasło

Użytkownik uwierzytelnia się na serwerze sieci VPN, podając nazwę użytkownika i hasło lub poświadczenia pochodne.

Następne kroki

• Przypisz profil i monitoruj jego stan.
• Sieci VPN dla aplikacji można również tworzyć i używać na urządzeniach administratora urządzeń z systemem Android/urządzeniach z systemem Android Enterprise i iOS/iPadOS .