Развертывание профиля Vpn AlwaysOn в Windows 10 или более новых клиентах с помощью Microsoft Intune

  • Статья

В этой статье показано, как использовать Intune для создания и развертывания профилей VPN AlwaysOn.

Однако если вы хотите создать пользовательский профиль VPNXML, следуйте инструкциям в разделе Apply ProfileXML с помощью Intune.

Необходимые компоненты

Intune использует группы пользователей Microsoft Entra, поэтому вам необходимо:

  • Убедитесь, что у вас есть инфраструктура закрытого ключа (PKI) с возможностью выдачи сертификатов пользователей и устройств для проверки подлинности. Дополнительные сведения о сертификатах для Intune см. в статье "Использование сертификатов для проверки подлинности в Microsoft Intune".

  • Создайте группу пользователей Microsoft Entra, связанную с VPN-пользователями, и при необходимости назначьте новых пользователей группе.

  • Убедитесь, что у пользователей VPN есть разрешения на подключение VPN-сервера.

Создание XML-кода конфигурации протокола расширенной проверки подлинности (EAP)

В этом разделе описано, как создать XML-код конфигурации протокола расширенной проверки подлинности (EAP).

  1. Скопируйте следующую XML-строку в текстовый редактор:

    Внимание

    Любое другое сочетание верхнего или нижнего регистра для true в следующих тегах приводит к частичной конфигурации профиля VPN:

    <AlwaysOn true</AlwaysOn>>
    <RememberCredentials true</RememberCredentials>>

    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>

  2. Замените имя <сервера NPS.contoso.com</ServerNames>> в примере XML полным доменом NPS, присоединенного к домену, где выполняется проверка подлинности.

  3. <Замените TrustedRootCA>5a 89 fe cb 5b 49 a7 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 будет 4b</TrustedRootCA> в примере с отпечатком сертификата локального корневого центра сертификации в обоих местах.

    Внимание

    Не используйте пример отпечатка в <разделе TrustedRootCA></TrustedRootCA> ниже. TrustedRootCA должен быть отпечатком сертификата локального корневого центра сертификации, выдавшего сертификат проверки подлинности сервера для серверов RRAS и NPS. Это не должен быть корневой сертификат облака, а также отпечаток промежуточного выданного сертификата ЦС.

  4. Сохраните XML для использования в следующем разделе.

Создание политики конфигурации VPN AlwaysOn

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.

  2. Выберите Устройства>Профили конфигурации.

  3. Выберите + Создать профиль.

  4. В поле Платформа выберите Windows 10 и более поздние версии.

  5. Для типа профиля выберите "Шаблоны".

  6. Для имени шаблона выберите VPN.

  7. Нажмите кнопку создания.

  8. На вкладке "Основные сведения" :

    • Введите имя профиля VPN и (необязательно) описание.

  9. На вкладке "Параметры конфигурации ":

    1. Для использования этого профиля VPN с область пользователя или устройства выберите "Пользователь".

    2. Для типа Подключение ion:выберите IKEv2.

    3. Для имени Подключение ion: введите имя VPN-подключения, например Contoso AutoVPN.

    4. Для серверов: добавьте адреса и описания VPN-сервера. Для сервера по умолчанию задайте значение True для сервера по умолчанию.

    5. Для регистрации IP-адресов с помощью внутреннего DNS нажмите кнопку "Отключить".

    6. Для Always On:выберите "Включить".

    7. Чтобы помнить учетные данные на каждом входе, выберите значение, соответствующее политике безопасности.

    8. Для метода проверки подлинности выберите EAP.

    9. Для EAP XML выберите XML, сохраненный в файле Create the EAP XML.

    10. Для туннеля устройства нажмите кнопку "Отключить". Дополнительные сведения о туннелях устройств см. в статье "Настройка туннелей VPN-устройств в Windows 10".

    11. Параметры сопоставления безопасности IKE

      • Задайте для включения разбиение туннелирования.
      • Настройте обнаружение доверенной сети. Чтобы найти DNS-суффикс, можно использовать Get-NetConnectionProfile > Name в системе, которая в настоящее время подключена к сети и имеет примененный профиль домена (NetworkCategory:DomainAuthenticated).

    12. Оставьте оставшиеся параметры по умолчанию, если для вашей среды не требуется дополнительная настройка. Дополнительные сведения о параметрах профиля EAP для Intune см. в параметрах устройств Windows 10/11 и Windows Holographic, чтобы добавить VPN-подключения с помощью Intune.

    13. Выберите Далее.

  10. На вкладке "Теги области" оставьте параметры по умолчанию и нажмите кнопку "Далее".

  11. На вкладке "Назначения" :

    1. Выберите " Добавить группы" и добавьте группу пользователей VPN.

    2. Выберите Далее.

  12. На вкладке "Правила применимости" оставьте параметры по умолчанию и нажмите кнопку "Далее".

  13. На вкладке "Просмотр и создание" просмотрите все параметры и нажмите кнопку "Создать".

Синхронизация политики конфигурации VPN AlwaysOn с Intune

Чтобы проверить политику конфигурации, войдите на клиентский компьютер Windows 10+ в качестве VPN-пользователя, а затем синхронизируйте с Intune.

  1. В меню выберите Параметры.

  2. В Параметры выберите "Учетные записи" и выберите "Доступ к рабочим или учебным заведениям".

  3. Выберите учетную запись для подключения к идентификатору Microsoft Entra и выберите "Сведения".

  4. Перейдите вниз и нажмите кнопку "Синхронизация ", чтобы принудительно выполнить оценку политики Intune и получить их.

  5. По завершении синхронизации закройте Параметры. После синхронизации вы сможете подключиться к VPN-серверу организации.

Next Steps