Развертывание профиля Vpn AlwaysOn в Windows 10 или более новых клиентах с помощью Microsoft Intune

В этой статье показано, как использовать Intune для создания и развертывания профилей VPN AlwaysOn.

Однако если вы хотите создать пользовательский профиль VPNXML, следуйте инструкциям в разделе Apply ProfileXML с помощью Intune.

Prerequisites

Intune использует группы пользователей Microsoft Entra, поэтому вам необходимо:

• Убедитесь, что у вас есть инфраструктура закрытого ключа (PKI) с возможностью выдачи сертификатов пользователей и устройств для проверки подлинности. Дополнительные сведения о сертификатах для Intune см. в статье "Использование сертификатов для проверки подлинности в Microsoft Intune".

• Создайте группу пользователей Microsoft Entra, связанную с VPN-пользователями, и при необходимости назначьте новых пользователей группе.

• Убедитесь, что у пользователей VPN есть разрешения на подключение VPN-сервера.

Создание XML-кода конфигурации протокола расширенной проверки подлинности (EAP)

В этом разделе описано, как создать XML-код конфигурации протокола расширенной проверки подлинности (EAP).

1. Скопируйте следующую XML-строку в текстовый редактор:

   Important

   Любое другое сочетание верхнего или нижнего регистра для true в следующих тегах приводит к частичной конфигурации профиля VPN:

   <AlwaysOn>true</AlwaysOn>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. Замените <ServerNames>NPS.contoso.com</ServerNames> в примере XML полным доменным именем (FQDN) NPS, присоединенного к домену, где выполняется проверка подлинности.

3. <Замените TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> в примере на отпечаток сертификата вашего локального корневого центра сертификации в обоих местах.

   Important

   Не используйте образец отпечатка в разделе <TrustedRootCA></TrustedRootCA> ниже. TrustedRootCA должен быть отпечатком сертификата локального корневого центра сертификации, выдавшего сертификат проверки подлинности сервера для серверов RRAS и NPS. Это не должен быть ни корневой сертификат облака, ни отпечаток промежуточного сертификата УЦ.

4. Сохраните XML для использования в следующем разделе.

Создание политики конфигурации VPN AlwaysOn

1. Войдите в Центр администрирования Microsoft Endpoint Manager.

2. Go to Devices>Configuration profiles.

3. Выберите и создайте профиль.

4. For Platform, select Windows 10 and later.

5. For Profile type, select Templates.

6. For Template name, select VPN.

7. Select Create.

8. For the Basics tab:

   • Enter a Name for the VPN profile and (optionally) a description.

9. For the Configuration settings tab:

   1. Для использования этого профиля VPN с областью действия пользователя или устройства выберите "Пользователь".

   2. For Connection type:, select IKEv2.

   3. For Connection name: enter the name of the VPN connection; for example, Contoso AutoVPN.

   4. For Servers:, add the VPN server addresses and descriptions. For the default server, set Default server to True.

   5. Для регистрации IP-адресов с помощью внутреннего DNS нажмите кнопку "Отключить".

   6. For Always On:, select Enable.

   7. Чтобы помнить учетные данные на каждом входе, выберите значение, соответствующее политике безопасности.

   8. For Authentication Method, select EAP.

   9. For EAP XML, select the XML you saved in Create the EAP XML.

   10. For Device Tunnel, select Disable. Дополнительные сведения о туннелях устройств см. в статье "Настройка туннелей VPN-устройств в Windows 10".

   11. Параметры ассоциации безопасности IKE

       • Set Split tunneling to Enable.
       • Настройте обнаружение доверенной сети. Чтобы найти DNS-суффикс, можно использовать Get-NetConnectionProfile > Name в системе, которая в настоящее время подключена к сети и имеет примененный профиль домена (NetworkCategory:DomainAuthenticated).

   12. Оставьте оставшиеся параметры по умолчанию, если для вашей среды не требуется дополнительная настройка. Дополнительные сведения о параметрах профиля EAP для Intune см. в параметрах устройств Windows 10/11 и Windows Holographic, чтобы добавить VPN-подключения с помощью Intune.

   13. Select Next.

10. For the Scope Tags tab, leave default settings and select Next.

11. For the Assignments tab:

    1. Select Add groups, and add your VPN user group.

    2. Select Next.

12. For the Applicability Rules tab, leave default settings and select Next.

13. На вкладке "Просмотр и создание" просмотрите все параметры и нажмите кнопку "Создать".

Синхронизация политики конфигурации VPN AlwaysOn с Intune

Чтобы проверить политику конфигурации, войдите на клиентский компьютер Windows 10+ в качестве VPN-пользователя, а затем синхронизируйте с Intune.

1. On the Start menu, select Settings.

2. In Settings, select Accounts, and select Access work or school.

3. Select the account to connect to your Microsoft Entra ID, and select Info.

4. Move down and select Sync to force an Intune policy evaluation and retrieval.

5. When the synchronization is complete, close Settings. После синхронизации вы сможете подключиться к VPN-серверу организации.

Next Steps

• См. подробное руководство по настройке Always On VPN: Руководство: Настройка инфраструктуры для Always On VPN.

• Сведения о настройке профилей VPN AlwaysOn с помощью Microsoft Configuration Manager см. в статье "Развертывание профиля VPN AlwaysOn" на клиентах Windows с помощью Microsoft Configuration Manager

• Для получения более подробной информации о параметрах конфигурации Always on VPN для поставщика служб конфигурации (CSP) см. в разделе поставщик конфигурации VPNv2.

• Сведения об устранении неполадок с развертыванием VPN в Microsoft Intune см. в разделе "Устранение неполадок с профилем VPN" в Microsoft Intune.