Поделиться через


Автоматически инициируемые параметры профиля VPN

Windows может использовать различные функции для автоматического запуска VPN, избегая ручного подключения пользователей, когда VPN требуется для доступа к необходимым ресурсам. Существует три типа правил автоматически инициируемых правил.

  • Триггер приложения
  • Триггер на основе имени
  • Режим "Всегда включен"

Примечание.

Автоматически активированные VPN-подключения не будут работать, если включено перенаправление папок для AppData . Перенаправление папок для AppData должно быть отключено, либо автоматически активируемый профиль VPN должен быть развернут в контексте SYSTEM, который изменяет путь к месту хранения файла rasphone.pbk .

Триггер приложения

Профили VPN можно настроить для автоматического подключения при выполнении определенных приложений:

  • Вы можете настроить классические приложения или приложения универсальной платформы Windows (UWP) для активации VPN-подключения.
  • Вы можете настроить VPN для каждого приложения и указать правила трафика для каждого приложения.

Примечание.

Идентификатор классического приложения — это путь к файлу. Идентификатор приложения UWP — это имя семейства пакетов.

Поиск имени семейства пакетов (PFN) для настройки VPN для каждого приложения

Дополнительные сведения см. в разделе Фильтры трафика.

Триггер на основе имени

Вы можете настроить правило на основе имени домена, чтобы определенное имя домена активировало VPN-подключение.
Автоматический триггер на основе имен можно настроить с помощью VPNv2/<ProfileName>/DomainNameInformationList/dniRowId/AutoTrigger параметра поставщика службы конфигурации VPNv2 (CSP).

Существует четыре типа триггеров на основе имени.

  • Краткое имя: например, если HRweb настроен в качестве триггера и стек видит запрос на разрешение DNS для HRweb, vpn-триггеры
  • Полное доменное имя (FQDN): например, если HRweb.corp.contoso.com настроен в качестве триггера и стек видит запрос разрешения DNS для HRweb.corp.contoso.com, VPN активирует
  • Суффикс: например, если corp.contoso.com настроен в качестве триггера и стек видит запрос на разрешение DNS с соответствующим суффиксом (например , HRweb.corp.contoso.com), vpn-триггер. Для любого разрешения коротких имен запрашиваются триггеры VPN и DNS-серверы для <ShortName.corp.contoso.com>
  • Все: если используется, все разрешения DNS активируют VPN

Режим "Всегда включен"

Always On — это функция Windows, которая позволяет активному профилю VPN автоматически подключаться по следующим триггерам:

  • Вход пользователя в систему.
  • Изменение в сети.
  • Включение экрана устройства.

При активации триггер выполняется попытка подключения к VPN. Если возникает ошибка или требуется ввод каких-либо данных пользователем, пользователь видит всплывающее уведомление о дополнительном взаимодействии.

Если устройство имеет несколько профилей с триггерами AlwaysOn, пользователь может указать активный профиль в разделе Параметры > Сеть & профиль> VPN ><через Интернет>, установив флажок Разрешить приложениям автоматически использовать это VPN-подключение. По умолчанию первый профиль, настроенный в MDM, отмечен как активный. Устройства с несколькими пользователями имеют одинаковые ограничения: только один профиль и, следовательно, только один пользователь, может использовать триггеры AlwaysOn.

Сохранение предпочтения AlwaysOn для пользователя

Другая функция Windows заключается в сохранении предпочтений пользователя AlwaysOn. Если пользователь вручную снимает флажок Подключиться автоматически , Windows запоминает предпочтения пользователя для имени профиля, добавляя имя профиля в значение реестра AutoTriggerDisabledProfilesList.

Если средство управления удаляет или добавляет то же имя профиля обратно и для параметра AlwaysOn имеет значение true, Windows не устанавливает флажок, если имя профиля существует в следующем значении реестра, чтобы сохранить предпочтения пользователей.

Ключ:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
Ценность:AutoTriggerDisabledProfilesList
Тип:REG_MULTI_SZ

Обнаружение доверенной сети

Функция обнаружения доверенной сети настраивает VPN так, чтобы подключение не активировался, когда устройство находится в доверенной сети. Чтобы настроить обнаружение доверенной сети, необходимо предоставить список DNS-суффиксов. Стек VPN проверяет сетевое имя профиля подключения физического интерфейса: если он соответствует любому из суффиксов, настроенных в списке, и сеть является частной или подготовлена MDM, VPN не активируется.

Обнаружение доверенной сети можно настроить с помощью VPNv2/<ProfileName>/TrustedNetworkDetection параметра в VPNv2 CSP.

Настройка VPN-подключения, инициируемого приложением

Сведения о настройке XML см. в разделе Параметры профиля VPN и VPNv2 CSP.

На следующем рисунке показана связь приложений с VPN-подключением в политике конфигурации профиля VPN с помощью Microsoft Intune.

Создание профиля VPN в Intune: параметры сопоставления приложений.