Создание профилей VPN в Configuration Manager

Относится к Configuration Manager (Current Branch)

Важно!

Начиная с версии 2203 эта функция доступа к ресурсам компании больше не поддерживается. Дополнительные сведения см. в разделе Часто задаваемые вопросы об устаревании доступа к ресурсам.

Configuration Manager поддерживает несколько типов VPN-подключений. Дополнительные сведения о типах подключений, доступных для различных платформ устройств, см. в разделе Профили VPN.

Для vpn-подключений сторонних поставщиков разверните vpn-приложение перед развертыванием профиля VPN. Если вы не развернете приложение, пользователям будет предложено сделать это при попытке подключиться к VPN. Дополнительные сведения см. в разделе Развертывание приложений.

Создание профиля VPN

1. В консоли Configuration Manager перейдите в рабочую область Активы и соответствие, разверните узел Параметры соответствия, Разверните узел Доступ к ресурсам компании и выберите узел Профили VPN.

2. На вкладке Главная ленты в группе Создать выберите Создать профиль VPN.

3. На странице Общие мастера создания профиля VPN укажите следующие сведения:

   • Имя. Введите уникальное имя, чтобы определить профиль VPN в консоли.

     Примечание.

     Не используйте следующие символы в имени профиля VPN: \/:*?<>|; . Профиль VPN Windows не поддерживает эти специальные символы.

   • Описание. При необходимости введите описание, чтобы предоставить дополнительные сведения о профиле VPN.

   • Тип профиля VPN: выберите соответствующую платформу.

     Если выбрать платформу Windows 8.1, можно также импортировать из файла. Это действие импортирует данные профиля VPN из XML-файла. Если выбрать этот параметр, остальная часть мастера упростится на следующих страницах: Поддерживаемые платформы и Импорт профиля VPN.

4. На странице Поддерживаемые платформы выберите версии ОС, поддерживаемые этим профилем VPN.

5. На странице Подключение укажите следующие сведения:

   • Тип подключения. Выберите тип VPN-подключения. Дополнительные сведения о поддерживаемых типах см. в разделе Профили VPN.

   • Список серверов. Добавьте новый сервер, используемый для VPN-подключения. В зависимости от типа подключения можно добавить один или несколько VPN-серверов и указать, какой сервер используется по умолчанию.

   • Обход VPN при подключении к корпоративной сети. Настройте клиенты, чтобы не использовать VPN, когда они подключены к вашей внутренней сети. При необходимости укажите DNS-имя для конкретного подключения.

6. На странице Метод проверки подлинности мастера выберите метод, поддерживаемый типом подключения. Параметры и доступные параметры на этой странице зависят от выбранного типа подключения. Дополнительные сведения см. в справочнике по методу проверки подлинности.

7. Если vpn-сервер использует прокси-сервер, на странице Параметры прокси-сервера выберите один из параметров, подходящих для вашей среды. Затем укажите сведения о конфигурации для прокси-сервера.

8. Страница Приложения применяется только к профилям Windows 10. Добавьте классические и универсальные приложения, которые автоматически подключаются к этому VPN. Тип приложения определяет идентификатор приложения:

   • Для классического приложения укажите путь к файлу приложения.

   • Для универсального приложения укажите имя семейства пакетов (PFN). Сведения о том, как найти PFN для приложения, см. в статье Поиск имени семейства пакетов для VPN для каждого приложения.

   Вы также можете настроить параметр, чтобы только перечисленные приложения могли использовать этот VPN.

   Важно!

   Защитите все списки связанных приложений, которые компилируются для настройки VPN для каждого приложения. Если несанкционированный пользователь изменяет список и импортируете его в список VPN-приложений для каждого приложения, вы можете авторизовать VPN-доступ к приложениям, которые не должны иметь доступа.

9. Страница Границы применяется только к профилям Windows 10 для настройки границ VPN. Можно добавить следующие параметры:

   • Правила сетевого трафика. Задайте протоколы, локальный порт, удаленный порт и диапазоны адресов, чтобы включить VPN-подключение.

     Примечание.

     Если не создать правило сетевого трафика, будут включены все протоколы, порты и диапазоны адресов. После создания правила VPN-подключение использует только протоколы, порты и диапазоны адресов, указанные в этом правиле или в дополнительных правилах.

   • DNS-имена и серверы: DNS-серверы, используемые VPN-подключением после установки подключения устройством.

   • Маршруты: сетевые маршруты, использующие VPN-подключение. Создание более 60 маршрутов может привести к сбою политики.

10. Завершите работу мастера.

Новый профиль VPN отображается в узле Профили VPN рабочей области Активы и соответствие .

Справочник по методу проверки подлинности

Доступные методы проверки подлинности VPN зависят от типа подключения:

Сертификаты

Если сертификат клиента проходит проверку подлинности на сервере RADIUS, например на сервере политики сети, задайте для альтернативного имени субъекта в сертификате значение Имя участника-пользователя.

Поддерживаемые типы подключений:

• Pulse Secure
• F5 Edge Client
• Dell SonicWALL Mobile Connect
• Check Point mobile VPN

Имя пользователя и пароль

Поддерживаемые типы подключений:

• Pulse Secure
• F5 Edge Client
• Dell SonicWALL Mobile Connect
• Check Point mobile VPN

Майкрософт EAP-TTLS

Поддерживаемые типы подключений:

• Майкрософт SSL (SSTP)
• Майкрософт automatic
• PPTP
• IKEv2
• L2TP

Майкрософт защищенный EAP (PEAP)

Поддерживаемые типы подключений:

• Майкрософт SSL (SSTP)
• Майкрософт automatic
• IKEv2
• PPTP
• L2TP

Майкрософт защищенного пароля (EAP-MSCHAP версии 2)

Поддерживаемые типы подключений:

• Майкрософт SSL (SSTP)
• Майкрософт automatic
• IKEv2
• PPTP
• L2TP

Смарт-карта или другой сертификат

Поддерживаемые типы подключений:

• Майкрософт SSL (SSTP)
• Майкрософт automatic
• IKEv2
• PPTP
• L2TP

MSCHAP версии 2

Поддерживаемые типы подключений:

• Майкрософт SSL (SSTP)
• Майкрософт automatic
• IKEv2
• PPTP
• L2TP

Использование сертификатов компьютера

Поддерживаемые типы подключений:

• IKEv2

Дополнительные параметры проверки подлинности

Если клиентская версия Windows поддерживает его, доступен параметр Настройка метода проверки подлинности. Этот параметр открывает окно свойств Windows для настройки метода проверки подлинности.

В зависимости от выбранных параметров может потребоваться указать дополнительные сведения, например:

• Запомните учетные данные пользователя при каждом входе. Учетные данные пользователя запоминаются, чтобы пользователям не нужно было вводить их при каждом подключении.

• Выберите сертификат клиента для проверки подлинности клиента. Выберите ранее созданный профиль сертификата SCEP клиента для проверки подлинности VPN-подключения. Дополнительные сведения см. в статье Создание профилей сертификатов PFX.

Дальнейшие действия

• Для vpn-подключений сторонних поставщиков разверните vpn-приложение перед развертыванием профиля VPN. Если вы не развернете приложение, пользователям будет предложено сделать это при попытке подключиться к VPN. Дополнительные сведения см. в разделе Развертывание приложений.

• Разверните профиль VPN. Дополнительные сведения см. в статье Развертывание профилей.