使用 Microsoft Intune 自訂設定檔為 Android 裝置建立個別應用程式 VPN 設定檔

重要事項

Microsoft 2024 年 12 月 31 日，Intune 將終止在可存取 Google Mobile Services (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後，裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理，建議您在支持結束之前，先切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊，請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。

您可以為在 Intune 中註冊的 Android 8.0 和更新版本裝置建立個別應用程式 VPN 設定檔。 首先，建立使用 Pulse Secure 或 Citrix 連線類型的 VPN 配置檔。 然後，建立自定義設定原則，將 VPN 配置檔與特定應用程式產生關聯。

本功能適用於：

• 在 Intune 中註冊的 Android 裝置系統管理員 (DA)

若要在 Android Enterprise 裝置上使用個別應用程式 VPN，請使用 應用程式設定原則。 應用程式設定原則支援更多 VPN 用戶端應用程式。 在 Android Enterprise 裝置上，您可以使用本文中的步驟。 但不建議這麼做，而且您只能使用 Pulse Secure 和 Citrix VPN 連線。

將原則指派給 Android DA 裝置或使用者群組之後，使用者應該啟動 Pulse Secure 或 Citrix VPN 用戶端。 然後，VPN 用戶端只允許來自指定應用程式的流量使用開啟的 VPN 連線。

注意事項

Android 裝置系統管理員僅支援 Pulse Secure 和 Citrix 連線類型。 在 Android Enterprise 裝置上，使用 應用程式設定原則。

先決條件

• 若要建立原則，請至少使用具有 Policy and Profile Manager 內建角色的帳戶登入 Microsoft Intune 系統管理中心。 如需內建角色的詳細資訊，請移至 Microsoft Intune 的角色型訪問控制。
• 裝置必須註冊並由Intune管理 MDM。 如需 Android 裝置註冊選項的相關信息，請移至 Microsoft Intune 的 Android 註冊指南。

步驟 1 - 建立 VPN 配置檔

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。

3. 輸入下列內容：

   • 平台：選取 [Android 裝置系統管理員]。
   • 配置檔類型：選取 [VPN]。

4. 選取 [建立]。

5. 在 [基本資訊] 中，輸入下列內容：

   • 名稱：輸入設定檔的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，良好的配置檔名稱是 整個公司的 Android DA 個別應用程式 VPN 配置檔。
   • 描述：輸入設定檔的描述。 這是選擇性設定，但建議進行。

6. 選取[下一步]。

7. 在 [ 組態設定] 中，設定您要在設定檔中的設定：

   • Android 裝置系統管理員裝置的 VPN 設定。

   記下您在建立 VPN 設定檔時輸入的 [ 連線名稱 ] 值。 下一個步驟需要此名稱。 在此範例中，連線名稱為 MyAppVpnProfile。

8. 選 取 [下一步]，然後繼續建立您的配置檔。 如需詳細資訊，請移至 建立 VPN 設定檔。

步驟 2 - 建立自定義設定原則

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。

3. 輸入下列內容：

   • 平台：選取 [Android 裝置系統管理員]。
   • 配置檔類型：選取 [自定義]。

4. 選取 [建立]。

5. 在 [基本資訊] 中，輸入下列內容：

   • 名稱：輸入自訂配置檔的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，良好的配置檔名稱為 Android DA - OMA-URI VPN。
   • 描述：輸入設定檔的描述。 這是選擇性設定，但建議進行。

6. 選取[下一步]。

7. 在 [組態>設定OMA-URI 設定] 中，選取 [新增]。 輸入下列 OMA-URI 值：

   • 名稱：輸入設定的名稱。
   • 描述：輸入設定檔的描述。 這是選擇性設定，但建議進行。
   • OMA-URI：輸入 ./Vendor/MSFT/VPN/Profile/*Name*/PackageList，其中 Name 是您在步驟 1 中記下的連接名稱。 在這裡範例中，字串是 ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/PackageList。
   • 數據類型：輸入 字串。
   • 值：輸入以分號分隔的套件清單，以與配置檔產生關聯。 例如，如果您想要 Excel 和 Google Chrome 瀏覽器使用 VPN 連線，請輸入 com.microsoft.office.excel;com.android.chrome。

   您的設定看起來類似下列設定：

   

8. 選 取 [下一步]，然後繼續建立您的配置檔。 如需詳細資訊，請移至 建立 VPN 設定檔。

將封鎖和允許的應用程式清單設定 (選擇性)

使用 BLACKLIST 值來輸入無法使用 VPN 連線的應用程式清單。 所有其他應用程式都會透過 VPN 連線。 或者，使用 WHITELIST 值來輸入可使用 VPN 連線的應用程式清單。 不在清單上的應用程式不會透過 VPN 連線。

1. 在 [ 自定義 OMA-URI 設定] 窗格上，選擇 [ 新增]。
2. 輸入設定名稱。
3. 在 OMA-URI 中，輸入 ./Vendor/MSFT/VPN/Profile/*Name*/Mode，其中 Name 是您在步驟 1 中記下的 VPN 設定檔名稱。 在我們的範例中，字串是 ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/Mode。
4. 在 [數據類型] 中，輸入 String。
5. 在 [值] 中，輸入 BLACKLIST 或 WHITELIST。

步驟 3 - 指派這兩個原則

將這兩個裝置配置檔指派 給必要的使用者或裝置。

資源

• 如需所有 Android 裝置系統管理員 VPN 設定的清單，請移至 Android 裝置設定以設定 VPN。
• 若要深入瞭解 VPN 設定和 Intune，請移至 在 Microsoft Intune 中設定 VPN 設定。