共用方式為

在 Intune 中為 iOS/iPadOS 裝置設定個別應用程式的虛擬專用網 (VPN)

  • 發行項

在 Microsoft Intune 中,您可以建立和使用指派給應用程式 (VPN) 虛擬專用網。 此功能稱為 個別應用程式 VPN。 您可以選擇可在 Intune 管理的裝置上使用 VPN 的受控應用程式。 當您使用個別應用程式 VPN 時,終端使用者會自動透過 VPN 連線,並取得組織資源的存取權,例如檔。

本功能適用於:

  • iOS 9 和更新版本
  • iPadOS 13.0 及更新版本

檢查 VPN 提供者的檔案,以查看您的 VPN 是否支援個別應用程式 VPN。

本文說明如何建立個別應用程式 VPN 設定檔,並將此設定檔指派給您的應用程式。 使用下列步驟為您的終端使用者建立順暢的個別應用程式 VPN 體驗。 對於支援個別應用程式 VPN 的大部分 VPN,用戶會開啟應用程式,並自動連線到 VPN。

某些 VPN 允許使用個別應用程式 VPN 進行使用者名稱和密碼驗證。 也就是說,用戶必須輸入使用者名稱和密碼才能連線到 VPN。

重要事項

  • 在 iOS/iPadOS 上,IKEv2 VPN 配置檔不支援個別應用程式 VPN。

具有 Microsoft Tunnel 或 Zscaler 的個別應用程式 VPN

Microsoft Tunnel 和 Zscaler Private Access (ZPA) 與 Microsoft Entra ID 整合以進行驗證。 使用 Tunnel 或 ZPA 時,您不需要 (本文所述的受信任憑證或 SCEP 或 PKCS 憑證設定檔) 。

如果您已針對 Zscaler 設定個別應用程式 VPN 設定檔,則開啟其中一個相關聯的應用程式並不會自動連線到 ZPA。 相反地,用戶必須登入 Zscaler 應用程式。 然後,遠端訪問僅限於相關聯的應用程式。

先決條件

  • 您的 VPN 廠商可以有個別應用程式 VPN 的其他需求,例如特定硬體或授權。 在 Intune 中設定個別應用程式 VPN 之前,請務必查看其檔,並符合這些必要條件。

  • 從 VPN 伺服器匯出受信任的跟證書 .cer 檔案。 您會將此檔案新增至您在 Intune 中建立的受信任憑證配置檔,如本文所述。

    若要匯出檔案:

    1. 在您的 VPN 伺服器上,開啟管理控制台。

    2. 確認您的 VPN 伺服器使用憑證式驗證。

    3. 匯出受信任的跟證書檔案。 它具有 .cer 延伸模組。

    4. 新增發行憑證以向 VPN 伺服器進行驗證的證書頒發機構單位 (CA) 名稱。

      如果裝置所呈現的 CA 符合 VPN 伺服器上 [信任的 CA] 清單中的 CA,則 VPN 伺服器會成功驗證裝置。

    為了證明其身分識別,VPN 伺服器會出示必須接受的憑證,而不需要裝置提示。 若要確認憑證的自動核准,請在本文) 的 Intune (中建立受信任的憑證配置檔。 Intune 受信任的憑證配置檔必須包含 VPN 伺服器的跟證書 (.cer 檔案) 由證書頒發機構單位 (CA) 所發行。

  • 若要建立原則,請至少使用具有 Policy and Profile Manager 內建角色的帳戶登入 Microsoft Intune 系統管理中心。 如需內建角色的詳細資訊,請移至 Microsoft Intune 的角色型訪問控制

步驟 1 - 為您的 VPN 使用者建立群組

在 Microsoft Entra ID 中建立或選擇現有的群組。 此群組:

  • 必須包含將使用個別應用程式 VPN 的使用者或裝置。
  • 將會收到您建立的所有 Intune 原則。

如需建立新群組的步驟,請移至 [新增群組] 來組織使用者和裝置

步驟 2 - 建立受信任的憑證配置檔

將 CA 所發行的 VPN 伺服器跟證書匯入 Intune 配置檔。 此跟證書是.cer您在本文) 的必要條件 (中導出的檔案。 受信任的憑證配置檔會指示 iOS/iPadOS 裝置自動信任 VPN 伺服器所呈現的 CA。

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]

  3. 輸入下列內容:

    • 平台:選取 [iOS/iPadOS]
    • 配置檔類型:選取 [信任的憑證]

  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入設定檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的配置檔名稱為 適用於整個公司的 iOS/iPadOS 受信任憑證 VPN 配置檔
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。

  6. 選取[下一步]。

  7. 在 [ 組態設定] 中,選取資料夾圖示,然後流覽至您從 VPN 管理控制台導出的 VPN 憑證 (.cer 檔案) 。

  8. 取 [下一步],然後繼續建立您的配置檔。 如需詳細資訊,請移至 建立 VPN 設定檔

    在 intune 和 Intune 系統管理中心Microsoft為 iOS/iPadOS 裝置建立受信任的憑證配置檔。

步驟 3 - 建立 SCEP 或 PKCS 憑證配置檔

您在 步驟 2 中建立的受信任跟證書設定檔可讓裝置自動信任 VPN 伺服器。

在此步驟中,請在 Intune 中建立 SCEP 或 PKCS 憑證配置檔。 SCEP 或 PKCS 憑證會提供從 iOS/iPadOS VPN 用戶端到 VPN 伺服器的認證。 憑證可讓裝置以無訊息方式進行驗證,而不會提示輸入使用者名稱和密碼。

若要在 Intune 中設定及指派客戶端驗證憑證,請移至下列其中一篇文章:

請務必設定憑證以進行客戶端驗證。 您可以直接在SCEP憑證配置檔中設定客戶端驗證, (擴充金鑰使用 方式清單 >客戶端驗證) 。 針對 PKCS,請在證書頒發機構單位的證書範本中設定客戶端驗證, (CA) 。

在 Intune 和 Intune 系統管理中心Microsoft建立 SCEP 憑證配置檔。包含主體名稱格式、金鑰使用方式、擴充金鑰使用方式等等。

步驟 4 - 建立個別應用程式 VPN 設定檔

此 VPN 設定檔包含具有用戶端認證的 SCEP 或 PKCS 憑證、VPN 連線資訊,以及可啟用 iOS/iPadOS 應用程式所使用之個別應用程式 VPN 的個別應用程式 VPN 旗標。

  1. [Microsoft Intune 系統管理中心] 中,選取 [裝置>管理裝置>][設定>] [建立>新原則]

  2. 輸入下列屬性,然後選取 [ 建立]

    • 平台:選取 [iOS/iPadOS]
    • 配置檔類型:選取 [VPN]

  3. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入自訂配置檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的配置檔名稱是 myApp 的 iOS/iPadOS 個別應用程式 VPN 配置檔
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。

  4. 在 [組態設定] 中,進行下列設定:

    • 線上類型:選取您的 VPN 用戶端應用程式。

    • 基底 VPN:設定您的設定。 iOS/iPadOS VPN 設定 會描述所有設定。 使用個別應用程式 VPN 時,請務必設定下列屬性,如下所示:

      • 驗證方法:選取 [憑證]
      • 驗證憑證:選取現有的SCEP或PKCS憑證 >[確定]
      • 分割通道:選 取 [停用] 以強制所有流量在 VPN 連線作用中時使用 VPN 信道。

      此螢幕快照顯示 Intune 和 Intune 系統管理中心的個別應用程式 VPN 配置檔、IP 位址或 FQDN、驗證方法和分割通道Microsoft。

      如需其他設定的資訊,請移至 iOS/iPadOS VPN 設定

    • 自動 VPN>自動 VPN 的>類型個別應用程式 VPN

      此螢幕快照顯示在 Microsoft Intune 中,將 iOS/iPadOS 裝置上的自動 VPN 設定為個別應用程式 VPN。

  5. 取 [下一步],然後繼續建立您的配置檔。 如需詳細資訊,請移至 建立 VPN 設定檔

步驟 5 - 建立應用程式與 VPN 配置檔的關聯

新增 VPN 配置檔之後,請將應用程式和 Microsoft Entra 群組與設定檔建立關聯。

  1. [Microsoft Intune 系統管理中心] 中,選取 [ 所有應用程式>]

  2. 從 [屬性>指派編輯] 列表>中選>應用程式。

  3. 移至 [註冊裝置的必要或可用] 區段。

  4. 選取 [新增群組> ] 選取您在本文中 (建立 的群組) >選取]

  5. [VPN] 中,選取您在本文中 (建立 的個別應用程式 VPN 配置檔) 。

    兩個螢幕快照,顯示將應用程式指派給 Intune 和 Intune 系統管理中心的個別應用程式 VPN 配置檔Microsoft。

  6. 選取 [確定>儲存]

當下列所有條件都存在時,應用程式與配置檔之間的關聯會維持在使用者要求從公司入口網站應用程式重新安裝為止:

  • 應用程式是以 可用 的安裝意圖為目標。
  • 配置檔和應用程式會指派給相同的群組。
  • 終端使用者要求在公司入口網站應用程式中安裝應用程式。 此要求會導致應用程式和配置檔安裝在裝置上。
  • 您可以從應用程式指派中移除或變更個別應用程式 VPN 設定。

當下列所有條件都存在時,會在下一次裝置簽入期間移除應用程式與配置檔之間的關聯:

  • 應用程式是以 必要的 安裝意圖為目標。
  • 配置檔和應用程式會指派給相同的群組。
  • 您會從應用程式指派中移除個別應用程式 VPN 設定。

確認 iOS/iPadOS 裝置上的連線

設定個別應用程式 VPN 並與您的應用程式相關聯之後,請確認連線可從裝置運作。

嘗試連線之前

  • 請確定您將本文中所述的所有原則部署到相同的群組。 否則,個別應用程式 VPN 體驗將無法運作。

  • 如果您使用 Pulse Secure VPN 應用程式或自訂 VPN 用戶端應用程式,則可以選擇使用應用程式或封包層通道:

    • 針對應用層通道,請將 ProviderType 值設定為 app-proxy
    • 針對封包層通道,請將 ProviderType 值設定為 封包通道

    請檢查 VPN 提供者的檔,以確定您使用的是正確的值。

使用個別應用程式 VPN 進行連線

不需要選取 VPN 或輸入您的認證,即可連線以驗證零觸控體驗。 零觸控體驗表示:

  • 裝置不會要求您信任 VPN 伺服器。 這表示使用者看不到 [動態信任 ] 對話方塊。
  • 使用者不需要輸入認證。
  • 當用戶開啟其中一個相關聯的應用程式時,使用者的裝置會連線到 VPN。

資源