用于在 Intune 中配置 VPN 的 Android Enterprise 设备设置
本文介绍可在 Android Enterprise 设备上控制的不同 VPN 连接设置。 作为移动设备管理 (MDM) 解决方案的一部分,请使用这些设置创建 VPN 连接、选择 VPN 身份验证方式、选择 VPN 服务器类型等。
此功能适用于:
- Android Enterprise 个人拥有的工作配置文件设备 (BYOD)
- Android Enterprise 公司拥有的工作配置文件 (COPE)
- Android Enterprise 公司拥有的完全托管 (COBO)
- Android Enterprise 公司拥有的专用设备 (COSU)
作为 Intune 管理员,可以创建 VPN 设置并将其分配给 Android Enterprise 设备。 若要详细了解 Intune 中的 VPN 配置文件,请参阅 VPN 配置文件。
开始之前
-
- 完全托管、专用和公司拥有的工作配置文件
- 个人拥有的工作配置文件
-
某些Microsoft 365 服务(如 Outlook)可能无法很好地使用第三方或合作伙伴 VPN。 如果你使用的是第三方或合作伙伴 VPN,并且遇到延迟或性能问题,请删除 VPN。
如果删除 VPN 可解决该行为,则可以:
- 使用第三方或合作伙伴 VPN 获取可能的解决方案。 Microsoft不提供第三方或合作伙伴 VPN 的技术支持。
- 不要将 VPN 与 Outlook 流量配合使用。
- 如果需要使用 VPN,请使用拆分隧道 VPN。 并且,允许 Outlook 流量绕过 VPN。
有关详细信息,请转到:
如果需要这些设备使用新式身份验证和条件访问访问本地资源,则可以使用 支持拆分隧道的 Microsoft 隧道。
完全托管、专用和 Corporate-Owned 工作配置文件
连接类型:选择 VPN 连接类型。 选项包括:
- Cisco AnyConnect
- SonicWALL 移动连接
- F5 Access
- 脉冲安全
- Microsoft隧道 (Android Enterprise 专用设备上不受支持。)
可用设置取决于所选的 VPN 客户端。 某些设置仅适用于特定的 VPN 客户端。
基本 VPN (完全托管、专用和公司拥有的工作配置文件)
连接名称:输入此连接的名称。 最终用户在浏览其设备以查找可用的 VPN 连接时会看到此名称。 例如,输入
Contoso VPN。VPN 服务器地址或 FQDN:输入 IP 地址或完全限定的域名 (设备连接的 VPN 服务器的 FQDN) 。 例如,输入
192.168.1.1或vpn.contoso.com。身份验证方法:选择设备向 VPN 服务器进行身份验证的方式。 选项包括:
证书:选择对连接进行身份验证的现有 SCEP 或 PKCS 证书配置文件。 配置证书 列出了创建证书配置文件的步骤。
用户名和密码:最终用户登录到 VPN 服务器时,系统会提示用户输入其用户名和密码。
派生凭据:使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者,Intune 会提示你添加一个。
有关详细信息,请参阅 在 Intune 中使用派生凭据。
输入 NetMotion Mobility VPN 属性的键和值对:添加或导入自定义 VPN 连接的 密钥 和 值 。 这些值通常由 VPN 提供商提供。
Microsoft隧道站点 (Microsoft 隧道仅) :选择现有站点。 VPN 客户端连接到此站点的公共 IP 地址或 FQDN。
有关详细信息,请参阅 Microsoft Tunnel for Intune。
每应用 VPN (完全托管、专用和公司拥有的工作配置文件)
- 添加:从列表中选择托管应用。 当用户启动你添加的应用时,流量会自动通过 VPN 连接路由。
有关详细信息,请参阅 在 Android Enterprise 设备上使用 VPN 和按应用 VPN 策略。
始终启用 VPN (完全托管、专用和企业拥有的工作配置文件)
始终启用 VPN: 启用 将打开始终启用 VPN,以便 VPN 客户端尽可能自动连接并重新连接到 VPN。 设置为 “未配置”时,Intune 不会更改或更新此设置。 默认情况下,可能会对所有 VPN 客户端禁用 Always-On VPN。
一个设备上只能配置一个 VPN 客户端,用于始终启用 VPN。 请确保在单个设备上部署的始终启用 VPN 策略不超过一个。
代理 (完全托管、专用和公司拥有的工作配置文件)
-
自动配置脚本:使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如,输入
http://proxy.contoso.com/pac。 -
地址:输入代理服务器的 IP 地址或完全限定的主机名。 例如,输入
10.0.0.3或vpn.contoso.com。 -
端口号:输入与代理服务器关联的端口号。 例如,输入
8080。
个人拥有的工作配置文件
连接类型:选择 VPN 连接类型。 选项包括:
Check Point Capsule VPN
Cisco AnyConnect
注意
使用个人拥有的工作配置文件中的 Cisco AnyConnect,最终用户可能需要执行一些额外的步骤来完成 VPN 连接。 有关详细信息,请转到 VPN 配置文件 - 成功的 VPN 配置文件的外观。
SonicWALL 移动连接
F5 Access
脉冲安全
NetMotion 移动性
Microsoft Tunnel
可用设置取决于所选的 VPN 客户端。 某些设置仅适用于特定的 VPN 客户端。
基本 VPN (个人拥有的工作配置文件)
连接名称:输入此连接的名称。 最终用户在浏览其设备以查找可用的 VPN 连接时会看到此名称。 例如,输入
Contoso VPN。VPN 服务器地址:输入 IP 地址或完全限定的域名, (设备连接的 VPN 服务器的 FQDN) 。 例如,输入
192.168.1.1或vpn.contoso.com。身份验证方法:选择设备向 VPN 服务器进行身份验证的方式。 选项包括:
证书:选择对连接进行身份验证的现有 SCEP 或 PKCS 证书配置文件。 配置证书 列出了创建证书配置文件的步骤。
用户名和密码:最终用户登录到 VPN 服务器时,系统会提示用户输入其用户名和密码。
派生凭据:使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者,Intune 会提示你添加一个。
有关详细信息,请参阅 在 Intune 中使用派生凭据。
指纹 (Check Point Capsule VPN 仅) :输入 VPN 供应商提供给你的指纹字符串,例如
Contoso Fingerprint Code。 此指纹验证 VPN 服务器是否受信任。进行身份验证时,会向客户端发送指纹,以便客户端知道信任具有相同指纹的任何服务器。 如果设备没有指纹,则会提示用户在显示指纹时信任 VPN 服务器。 用户手动验证指纹,并选择信任进行连接。
输入 NetMotion Mobility VPN 属性的键和值对:添加或导入自定义 VPN 连接的 密钥 和 值 。 这些值通常由 VPN 提供商提供。
Microsoft隧道站点 (Microsoft 隧道仅) :选择现有站点。 VPN 客户端连接到此站点的公共 IP 地址或 FQDN。
有关详细信息,请参阅 Microsoft Tunnel for Intune。
每应用 VPN (个人拥有的工作配置文件)
- 添加:从列表中选择托管应用。 当用户启动你添加的应用时,流量会自动通过 VPN 连接路由。
有关详细信息,请参阅 在 Android Enterprise 设备上使用 VPN 和按应用 VPN 策略。
始终启用 VPN (个人拥有的工作配置文件)
始终启用 VPN: 启用 将打开始终启用 VPN,以便 VPN 客户端尽可能自动连接并重新连接到 VPN。 设置为 “未配置”时,Intune 不会更改或更新此设置。 默认情况下,可能会对所有 VPN 客户端禁用 Always-On VPN。
一个设备上只能配置一个 VPN 客户端,用于始终启用 VPN。 请确保在单个设备上部署的始终启用 VPN 策略不超过一个。
代理 (个人拥有的工作配置文件)
-
自动配置脚本:使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如,输入
http://proxy.contoso.com/pac。 -
地址:输入代理服务器的 IP 地址或完全限定的主机名。 例如,输入
10.0.0.3或vpn.contoso.com。 -
端口号:输入与代理服务器关联的端口号。 例如,输入
8080。
相关文章
为 Android 设备管理员、 iOS/iPadOS、 macOS 和 Windows 创建 VPN 配置文件。