在 Intune 中建立 VPN 設定檔以連線到 VPN 伺服器
重要事項
在 2022 年 10 月 22 日,Microsoft Intune 終止了對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。
如果您目前使用 Windows 8.1,請移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。
重要事項
Microsoft 2024 年 12 月 31 日,Intune 將終止在可存取 Google Mobile Services (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,先切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。
虛擬私人網路 (VPN) 可讓使用者安全地從遠端存取組織網路。 裝置使用 VPN 連線設定檔來開始與 VPN 伺服器的連線。 Microsoft Intune 中的 VPN 設定檔會將 VPN 設定指派給組織中的使用者和裝置。 使用這些設定,讓使用者可以輕鬆且安全地連線到您的組織網路。
本功能適用於:
- Android 裝置系統管理員
- 具有工作配置檔的Android Enterprise 個人擁有裝置
- iOS/iPadOS
- macOS
- Windows 10
- Windows 11
- Windows 8.1 和更新版本
例如,您想要使用必要的設定來設定所有 iOS/iPadOS 裝置,以連線到組織網路上的檔案共用。 您會建立包含這些設定的 VPN 設定檔。 您可以將此設定檔指派給擁有 iOS/iPadOS 裝置的所有使用者。 使用者會在可用的網路清單中看到 VPN 連線,而且可以用最少的精力進行連線。
本文列出您可以使用的 VPN 應用程式、示範如何建立 VPN 配置檔,並包含保護 VPN 設定檔的指引。 您必須先部署 VPN 應用程式,才能建立 VPN 設定檔。 如果您需要使用 Microsoft Intune 部署應用程式的協助,請移至 Microsoft Intune 中的應用程式管理是什麼?。
開始之前
Windows 10/11 企業版多重會話遠端桌面支援裝置通道的 VPN 配置檔。
如果您針對 VPN 設定檔使用憑證式驗證,請將 VPN 配置檔、憑證設定檔和受信任的根配置檔部署到相同的群組。 此步驟可確保每個裝置都能辨識證書頒發機構單位的合法性。 如需詳細資訊,請移 至如何使用 Microsoft Intune 設定憑證。
iOS/iPadOS 和 macOS 的用戶註冊僅支援 個別應用程式 VPN。
您可以使用 Intune 自訂設定原則 來建立下列平臺的 VPN 設定檔:
- Android 4 和更新版本
- 執行 Windows 8.1 和更新版本的已註冊裝置
- 執行 Windows 10/11 的已註冊裝置
- Windows Holographic for Business
針對 Windows 11 裝置, Windows 11 用戶端與 Windows VPNv2 CSP 之間有問題。
當裝置同時處理裝置 VPN 配置檔的多項變更時,具有一或多個 Intune VPN 配置檔的裝置會失去其 VPN 連線能力。 當裝置第二次簽入 Intune 時,它會處理 VPN 配置檔變更,並還原連線。
下列變更可能會導致 VPN 功能遺失:
- 您可以變更或更新先前由 Windows 11 裝置處理的現有 VPN 設定檔。 此動作會刪除原始設定檔,並套用更新的配置檔。
- 兩個新的 VPN 設定檔同時套用至裝置。
- 在指派新的 VPN 設定檔的同時,會移除作用中的 VPN 配置檔。
此問題不適用,且 VPN 連線仍會保留在下列案例中:
Windows 11 裝置沒有指派現有的 VPN 配置檔,而且裝置會收到一個 Intune VPN 配置檔。
Windows 11 裝置已指派現有的 VPN 配置檔,並指派另一個 VPN 配置檔,而不會變更其他設定檔。
Windows 10 裝置升級至 Windows 11,該裝置的 VPN 配置檔沒有任何變更。 升級至 Windows 11 之後,對裝置 VPN 配置檔或新增 VPN 配置檔所做的任何變更都會觸發此問題。
Windows 11 需要:
已設定所有 IKE 安全性關聯參數 和 子安全性關聯參數 設定
OR
未設定 任何 IKE 安全性關聯參數 和 子安全性關聯參數 設定
如果您只設定其中一個 IKE 安全性關聯參數 或 子安全性關聯參數 設定,則會遺失 VPN 功能。
步驟 1 - 部署 VPN 應用程式
您必須先安裝 VPN 應用程式,才能使用指派給裝置的 VPN 設定檔。 此 VPN 應用程式會連線到您的 VPN 伺服器。
有不同的 VPN 應用程式可供使用。 在使用者裝置上,您會部署組織使用的 VPN 應用程式。 部署 VPN 應用程式之後,您會建立並部署 VPN 裝置組態設定檔,以設定 VPN 伺服器設定,包括 VPN 伺服器名稱 (或 FQDN) 和驗證方法。
某些平臺和 VPN 應用程式需要應用程式設定原則來預先設定 VPN 應用程式,而不是 VPN 裝置組態設定檔。 本節也會列出必須使用應用程式設定原則的平臺和 VPN 應用程式。
若要協助您使用 Intune 指派應用程式,請移至將 應用程式新增至 Microsoft Intune。
VPN 連線類型
您可以使用下列 VPN 連線類型來建立 VPN 設定檔:
自動
- Windows 10/11
Check Point 密封體 VPN
- Android 裝置系統管理員
- 具有工作配置檔的Android Enterprise 個人擁有裝置
- Android Enterprise 完全受控和公司擁有的工作配置檔:使用 應用程式設定原則
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Cisco AnyConnect
- Android 裝置系統管理員
- 具有工作配置檔的Android Enterprise 個人擁有裝置
- Android Enterprise 完全受控和公司擁有的工作配置檔
- iOS/iPadOS
- macOS
- Windows 10/11
Cisco (IPSec)
- iOS/iPadOS
Citrix SSO
自定義 VPN
- iOS/iPadOS
- macOS
在使用自訂 設定建立設定檔中,使用 URI 設定建立自定義 VPN 設定檔。
F5 Access
- Android 裝置系統管理員
- 具有工作配置檔的Android Enterprise 個人擁有裝置
- Android Enterprise 完全受控和公司擁有的工作配置檔
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
IKEv2
- iOS/iPadOS
- Windows 10/11
L2TP
- Windows 10/11
Microsoft Tunnel
- 具有工作配置檔的Android Enterprise 個人擁有裝置
- Android Enterprise 完全受控和公司擁有的工作配置檔
- iOS/iPadOS
NetMotion Mobility
- 具有工作配置檔的Android Enterprise 個人擁有裝置
- Android Enterprise 完全受控和公司擁有的工作配置檔
- iOS/iPadOS
- macOS
Palo Alto Networks GlobalProtect
PPTP
- Windows 10/11
Pulse Secure
- Android 裝置系統管理員
- 具有工作配置檔的Android Enterprise 個人擁有裝置
- Android Enterprise 完全受控和公司擁有的工作配置檔
- iOS/iPadOS
- Windows 10/11
- Windows 8.1
SonicWall Mobile Connect
- Android 裝置系統管理員
- 具有工作配置檔的Android Enterprise 個人擁有裝置
- Android Enterprise 完全受控和公司擁有的工作配置檔
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Zscaler
步驟 2 - 建立配置檔
將 VPN 應用程式指派給裝置之後,下一個步驟會建立設定 VPN 連線的裝置設定原則。 如果您的 VPN 應用程式連線類型使用應用程式設定原則來設定應用程式,請略過此步驟。
選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。
輸入下列內容:
-
平台:選擇裝置的平臺。 選項包括:
- Android 裝置系統管理員
- Android 企業版>完全受管理的、專用的和企業擁有的工作設定檔
- Android 企業版>個人擁有的工作設定檔
- iOS/iPadOS
- macOS
- Windows 10 和更新版本
- Windows 8.1 和更新版本
- 配置檔類型:選取 [VPN]。 或者,選取 [範本>VPN]。
-
平台:選擇裝置的平臺。 選項包括:
選取 [建立]。
在 [基本資訊] 中,輸入下列內容:
- 名稱:輸入設定檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的配置檔名稱是 整家公司的 VPN 配置檔。
- 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
選取[下一步]。
在 [組態設定] 中,視您選擇的平臺而定,您可以設定的設定會不同。 選取您的平臺以取得詳細設定:
- Android 裝置系統管理員
- Android 企業版
- iOS/iPadOS
- macOS
- Windows 10 (包括 Windows Holographic for Business)
- Windows 8.1
選取[下一步]。
在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如
US-NC IT Team
或JohnGlenn_ITDepartment
。 如需範圍標籤的詳細資訊,請移至 使用分散式IT的 RBAC 和範圍標籤。選取 [下一步]。
在 [指派] 中,選取會接收您設定檔的使用者或群組。 如需指派配置檔的詳細資訊,請移至 指派使用者和裝置配置檔。
選取[下一步]。
在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。
保護您的 VPN 設定檔
VPN 配置檔可以使用來自不同製造商的許多不同連線類型和通訊協定。 這些連線通常會透過下列方法來保護。
憑證
當您建立 VPN 設定檔時,您會選擇先前在 Intune 中建立的 SCEP 或 PKCS 憑證設定檔。 此設定檔也稱為身分識別憑證。 它用來針對您建立的受信任憑證設定檔 (或 根憑證) 進行驗證,以允許使用者的裝置連線。 系統會將受信任的憑證指派給驗證 VPN 連線的電腦,通常是 VPN 伺服器。
如果您針對 VPN 設定檔使用憑證式驗證,之後請將 VPN 設定檔、憑證設定檔和受信任的根設定檔部署到相同的群組。 這項指派可確保每個裝置都能夠辨識憑證授權單位的合法性。
如需如何在 Intune 中建立和使用憑證配置檔的詳細資訊,請移 至如何使用 Microsoft Intune 設定憑證。
注意事項
VPN 驗證不支援使用 PKCS 匯 入憑證配置檔新增的憑證。 VPN 驗證支援使用 PKCS 憑證 配置檔新增的憑證。
用戶名稱和密碼
用戶藉由提供使用者名稱和密碼或 衍生認證,向 VPN 伺服器進行驗證。
後續步驟
- 指派設定檔 並 監視其狀態。
- 您也可以在 Android 裝置系統管理員/Android Enterprise 和 iOS/iPadOS 裝置上建立和使用個別應用程式 VPN。