在 Intune 中設定 VPN 的 Android Enterprise 裝置設定

  • 文章

本文說明您可以在 Android Enterprise 裝置上控制的不同 VPN 連線設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定來建立 VPN 連線、選擇 VPN 驗證的方式、選取 VPN 伺服器類型等等。

本功能適用於:

  • Android Enterprise 個人擁有的裝置,其工作設定檔 (BYOD)
  • Android Enterprise 公司擁有的工作設定檔 (COPE)
  • Android Enterprise 公司擁有完全受控 (COBO)
  • Android Enterprise 公司擁有的專用裝置 (COSU)

身為 Intune 系統管理員,您可以建立 VPN 設定並指派給 Android Enterprise 裝置。 若要深入瞭解 Intune 中的 VPN 設定檔,請參閱 VPN 設定檔

注意事項

若要設定 Always-on VPN,您必須建立 VPN 設定檔,同時建立已設定 Always-on VPN 設定的 裝置限制 設定檔。

開始之前

完全受控、專用和 Corporate-Owned 工作設定檔

  • 連線類型:選取 VPN 連線類型。 選項包括:

    • Cisco AnyConnect
    • SonicWall Mobile Connect
    • F5 Access
    • Pulse Secure
    • Android Enterprise 專用裝置不支援Microsoft Tunnel (。)

可用的設定取決於您選擇的 VPN 用戶端。 某些設定僅適用于特定 VPN 用戶端。

基本 VPN (完全受控、專用和公司擁有的工作設定檔)

  • 連線名稱:輸入此連線的名稱。 使用者在流覽其裝置以取得可用的 VPN 連線時,會看到此名稱。 例如,輸入 Contoso VPN

  • VPN 伺服器位址或 FQDN:輸入裝置連線之 VPN 伺服器的 IP 位址或完整功能變數名稱 (FQDN) 。 例如,輸入 192.168.1.1vpn.contoso.com

  • 驗證方法:選擇裝置向 VPN 伺服器進行驗證的方式。 選項包括:

    • 憑證:選取現有的 SCEP 或 PKCS 憑證設定檔來驗證連線。 設定憑證 會列出建立憑證設定檔的步驟。

    • 使用者名稱和密碼:當終端使用者登入 VPN 伺服器時,系統會提示他們輸入其使用者名稱和密碼。

    • 衍生認證:使用衍生自使用者智慧卡的憑證。 如果未設定任何衍生認證簽發者,Intune 會提示您新增認證簽發者。

      如需詳細資訊,請 參閱在 Intune 中使用衍生認證

  • 輸入 NetMotion Mobility VPN 屬性的索引鍵和值組:新增或匯入自訂 VPN 連線 的索引鍵 。 這些值通常是由您的 VPN 提供者提供。

  • Microsoft Tunnel 網站 (僅限 Microsoft Tunnel) :選取現有的網站。 VPN 用戶端會連線到此網站的公用 IP 位址或 FQDN。

    如需詳細資訊,請參閱 適用于 Intune 的 Microsoft Tunnel

個別應用程式 VPN (完全受控、專用和公司擁有的工作設定檔)

  • 新增:從清單中選取 [Managed 應用程式]。 當使用者啟動您新增的應用程式時,流量會自動透過 VPN 連線路由傳送。

如需詳細資訊,請 參閱在 Android Enterprise 裝置上使用 VPN 和個別應用程式 VPN 原則

Always-on VPN (完全受控、專用和公司擁有的工作設定檔)

  • 永遠開啟 VPN啟用 會開啟 Always-On VPN,讓 VPN 用戶端盡可能自動連線並重新連線至 VPN。 當設定為 [未設定]時,Intune 不會變更或更新此設定。 根據預設,所有 VPN 用戶端可能會停用 Always-On VPN。

    裝置上只有一個 VPN 用戶端可以設定為 Always-On VPN。 請務必將一個以上的一律開啟 VPN 原則部署到單一裝置。

Proxy (完全受控、專用和公司擁有的工作設定檔)

  • 自動設定腳本:使用檔案來設定 Proxy 伺服器。 輸入包含組態檔的 Proxy 伺服器 URL。 例如,輸入 http://proxy.contoso.com/pac
  • 位址:輸入 Proxy 伺服器的 IP 位址或完整主機名稱。 例如,輸入 10.0.0.3vpn.contoso.com
  • 埠號碼:輸入與 Proxy 伺服器相關聯的埠號碼。 例如,輸入 8080

個人擁有的工作設定檔

  • 連線類型:選取 VPN 連線類型。 選項包括:

    • Check Point艙 VPN

    • Cisco AnyConnect

      注意事項

      使用個人擁有工作設定檔中的 Cisco AnyConnect,終端使用者可能需要一些額外的步驟來完成 VPN 連線。 如需詳細資訊,請移至 VPN 設定檔 - 成功的 VPN 設定檔外觀

    • SonicWall Mobile Connect

    • F5 Access

    • Pulse Secure

    • NetMotion Mobility

    • Microsoft Tunnel

可用的設定取決於您選擇的 VPN 用戶端。 某些設定僅適用于特定 VPN 用戶端。

基本 VPN (個人擁有的工作設定檔)

  • 連線名稱:輸入此連線的名稱。 使用者在流覽其裝置以取得可用的 VPN 連線時,會看到此名稱。 例如,輸入 Contoso VPN

  • VPN 伺服器位址:輸入裝置所連線之 VPN 伺服器的 IP 位址或完整功能變數名稱 (FQDN) 。 例如,輸入 192.168.1.1vpn.contoso.com

  • 驗證方法:選擇裝置向 VPN 伺服器進行驗證的方式。 選項包括:

    • 憑證:選取現有的 SCEP 或 PKCS 憑證設定檔來驗證連線。 設定憑證 會列出建立憑證設定檔的步驟。

    • 使用者名稱和密碼:當終端使用者登入 VPN 伺服器時,系統會提示他們輸入其使用者名稱和密碼。

    • 衍生認證:使用衍生自使用者智慧卡的憑證。 如果未設定任何衍生認證簽發者,Intune 會提示您新增認證簽發者。

      如需詳細資訊,請 參閱在 Intune 中使用衍生認證

  • 指紋 (Check Point 僅限) :輸入 VPN 廠商提供給您的指紋字串,例如 Contoso Fingerprint Code 。 此指紋會驗證 VPN 伺服器是否可受到信任。

    驗證時,指紋會傳送至用戶端,讓用戶端知道信任任何具有相同指紋的伺服器。 如果裝置沒有指紋,則會提示使用者在顯示指紋時信任 VPN 伺服器。 使用者會手動驗證指紋,並選擇信任以進行連線。

  • 輸入 NetMotion Mobility VPN 屬性的索引鍵和值組:新增或匯入自訂 VPN 連線 的索引鍵 。 這些值通常是由您的 VPN 提供者提供。

  • Microsoft Tunnel 網站 (僅限 Microsoft Tunnel) :選取現有的網站。 VPN 用戶端會連線到此網站的公用 IP 位址或 FQDN。

    如需詳細資訊,請參閱 適用于 Intune 的 Microsoft Tunnel

個別應用程式 VPN (個人擁有的工作設定檔)

  • 新增:從清單中選取 [Managed 應用程式]。 當使用者啟動您新增的應用程式時,流量會自動透過 VPN 連線路由傳送。

如需詳細資訊,請 參閱在 Android Enterprise 裝置上使用 VPN 和個別應用程式 VPN 原則

永遠開啟 VPN (個人擁有的工作設定檔)

  • 永遠開啟 VPN啟用 會開啟 Always-On VPN,讓 VPN 用戶端盡可能自動連線並重新連線至 VPN。 當設定為 [未設定]時,Intune 不會變更或更新此設定。 根據預設,所有 VPN 用戶端可能會停用 Always-On VPN。

    裝置上只有一個 VPN 用戶端可以設定為 Always-On VPN。 請務必將一個以上的一律開啟 VPN 原則部署到單一裝置。

Proxy (個人擁有的工作設定檔)

  • 自動設定腳本:使用檔案來設定 Proxy 伺服器。 輸入包含組態檔的 Proxy 伺服器 URL。 例如,輸入 http://proxy.contoso.com/pac
  • 位址:輸入 Proxy 伺服器的 IP 位址或完整主機名稱。 例如,輸入 10.0.0.3vpn.contoso.com
  • 埠號碼:輸入與 Proxy 伺服器相關聯的埠號碼。 例如,輸入 8080

後續步驟

指派設定檔監視其狀態

您也可以為Android 裝置系統管理員iOS/iPadOSmacOSWindows 10 及更新版本建立 VPN 設定檔。

針對 Microsoft Intune 中的 VPN 設定檔問題進行疑難排解