在 Intune 中設定 VPN 的 Android Enterprise 裝置設定
本文說明您可以在 Android Enterprise 裝置上控制的不同 VPN 連線設定。 作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些設定來建立 VPN 連線、選擇 VPN 驗證的方式、選取 VPN 伺服器類型等等。
本功能適用於:
- Android Enterprise 個人擁有的裝置,其工作配置檔 (BYOD)
- Android Enterprise 公司擁有的工作配置檔 (COPE)
- Android Enterprise 公司擁有完全受控 (COBO)
- Android Enterprise 公司擁有的專用裝置 (COSU)
身為 Intune 系統管理員,您可以建立 VPN 設定並指派給 Android Enterprise 裝置。 若要深入瞭解 Intune 中的 VPN 設定檔,請參閱 VPN 配置檔。
注意事項
若要設定 Always-On VPN,您需要:
- 使用您的連線資訊建立 VPN 配置檔,如本文所述。
- 建立已設定 Always-on VPN 設定的 裝置限制 配置檔。
- 將這兩個配置檔指派給您的群組。
開始之前
建立 Android Enterprise VPN 裝置組態設定檔:
- 完全受控、專用和公司擁有的工作配置檔
- 個人擁有的工作配置檔
-
某些Microsoft 365服務,例如 Outlook,可能無法使用第三方或合作夥伴 VPN 來順利執行。 如果您使用第三方或合作夥伴 VPN,並遇到延遲或效能問題,請移除 VPN。
如果移除 VPN 可解決此行為,您可以:
- 請與第三方或合作夥伴 VPN 合作,以取得可能的解決方案。 Microsoft不提供第三方或合作夥伴 VPN 的技術支援。
- 請勿搭配 Outlook 流量使用 VPN。
- 如果您需要使用 VPN,請使用分割通道 VPN。 此外,允許 Outlook 流量略過 VPN。
如需詳細資訊,請移至:
如果您需要這些裝置才能使用新式驗證和條件式存取來存取內部部署資源,則可以使用支援分割通道 的 Microsoft 通道。
完全受控、專用和 Corporate-Owned 工作配置檔
線上類型:選取 VPN 連線類型。 選項包括:
- Cisco AnyConnect
- SonicWall Mobile Connect
- F5 Access
- Pulse Secure
- Android Enterprise 專用裝置不支援 Microsoft Tunnel (。)
可用的設定取決於您選擇的 VPN 用戶端。 某些設定僅適用於特定 VPN 用戶端。
基本 VPN (完全受控、專用和公司擁有的工作配置檔)
線上名稱:輸入此連線的名稱。 用戶在瀏覽裝置以取得可用的 VPN 連線時,會看到此名稱。 例如,輸入
Contoso VPN。VPN 伺服器位址或 FQDN:輸入裝置連線之 VPN 伺服器的 IP 位址或完整功能變數名稱 (FQDN) 。 例如,輸入
192.168.1.1或vpn.contoso.com。驗證方法:選擇裝置向 VPN 伺服器進行驗證的方式。 選項包括:
憑證:選取驗證連線的現有SCEP或PKCS憑證配置檔。 設定憑證 會列出建立憑證配置檔的步驟。
使用者名稱和密碼:當終端使用者登入 VPN 伺服器時,系統會提示使用者輸入其使用者名稱和密碼。
衍生認證:使用衍生自用戶智慧卡的憑證。 如果未設定任何衍生認證簽發者,Intune 會提示您新增認證簽發者。
如需詳細資訊,請 參閱在 Intune 中使用衍生認證。
輸入 NetMotion Mobility VPN 屬性的索引鍵和值組:新增或匯入自定義 VPN 連線 的索引鍵 和 值 。 這些值通常是由您的 VPN 提供者提供。
Microsoft Tunnel 網站 (Microsoft 通道僅) :選取現有的月臺。 VPN 用戶端會連線到此網站的公用IP位址或 FQDN。
如需詳細資訊, 請參閱 Microsoft Tunnel for Intune。
個別應用程式 VPN (完全受控、專用和公司擁有的工作配置檔)
- 新增:從清單中選取 [Managed 應用程式]。 當用戶啟動您新增的應用程式時,流量會自動透過 VPN 連線路由傳送。
如需詳細資訊,請 參閱在Android Enterprise裝置上使用 VPN 和個別應用程式 VPN 原則。
Always-on VPN (完全受控、專用和公司擁有的工作配置檔)
永遠開啟 VPN: 啟用 會開啟 Always-On VPN,讓 VPN 用戶端盡可能自動連線並重新連線至 VPN。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。 根據預設,所有 VPN 用戶端可能會停用 Always-On VPN。
裝置上只有一個 VPN 用戶端可以設定為 Always-On VPN。 請務必將一個以上的一律開啟 VPN 原則部署到單一裝置。
Proxy (完全受控、專用和公司擁有的工作配置檔)
-
自動設定文稿:使用檔案來設定 Proxy 伺服器。 輸入包含組態檔的 Proxy 伺服器 URL。 例如,輸入
http://proxy.contoso.com/pac。 -
位址:輸入 Proxy 伺服器的IP位址或完整主機名。 例如,輸入
10.0.0.3或vpn.contoso.com。 -
埠號碼:輸入與 Proxy 伺服器相關聯的埠號碼。 例如,輸入
8080。
個人擁有的工作配置檔
線上類型:選取 VPN 連線類型。 選項包括:
Check Point 密封體 VPN
Cisco AnyConnect
注意事項
使用個人擁有工作配置檔中的 Cisco AnyConnect,終端使用者可能需要一些額外的步驟來完成 VPN 連線。 如需詳細資訊,請移至 VPN 設定檔 - 成功的 VPN 設定文件外觀。
SonicWall Mobile Connect
F5 Access
Pulse Secure
NetMotion Mobility
Microsoft Tunnel
可用的設定取決於您選擇的 VPN 用戶端。 某些設定僅適用於特定 VPN 用戶端。
基本 VPN (個人擁有的工作設定檔)
線上名稱:輸入此連線的名稱。 用戶在瀏覽裝置以取得可用的 VPN 連線時,會看到此名稱。 例如,輸入
Contoso VPN。VPN 伺服器地址:輸入裝置所連線之 VPN 伺服器的 IP 位址或完整功能變數名稱 (FQDN) 。 例如,輸入
192.168.1.1或vpn.contoso.com。驗證方法:選擇裝置向 VPN 伺服器進行驗證的方式。 選項包括:
憑證:選取驗證連線的現有SCEP或PKCS憑證配置檔。 設定憑證 會列出建立憑證配置檔的步驟。
使用者名稱和密碼:當終端使用者登入 VPN 伺服器時,系統會提示使用者輸入其使用者名稱和密碼。
衍生認證:使用衍生自用戶智慧卡的憑證。 如果未設定任何衍生認證簽發者,Intune 會提示您新增認證簽發者。
如需詳細資訊,請 參閱在 Intune 中使用衍生認證。
指紋 (只) 檢查點封艙 VPN:輸入 VPN 廠商提供給您的指紋字串,例如
Contoso Fingerprint Code。 此指紋會驗證 VPN 伺服器是否可受到信任。驗證時,指紋會傳送至用戶端,讓用戶端知道信任任何具有相同指紋的伺服器。 如果裝置沒有指紋,則會提示用戶在顯示指紋時信任 VPN 伺服器。 使用者會手動驗證指紋,並選擇信任以進行連線。
輸入 NetMotion Mobility VPN 屬性的索引鍵和值組:新增或匯入自定義 VPN 連線 的索引鍵 和 值 。 這些值通常是由您的 VPN 提供者提供。
Microsoft Tunnel 網站 (Microsoft 通道僅) :選取現有的月臺。 VPN 用戶端會連線到此網站的公用IP位址或 FQDN。
如需詳細資訊, 請參閱 Microsoft Tunnel for Intune。
個別應用程式 VPN (個人擁有的工作設定檔)
- 新增:從清單中選取 [Managed 應用程式]。 當用戶啟動您新增的應用程式時,流量會自動透過 VPN 連線路由傳送。
如需詳細資訊,請 參閱在Android Enterprise裝置上使用 VPN 和個別應用程式 VPN 原則。
永遠開啟 VPN (個人擁有的工作設定檔)
永遠開啟 VPN: 啟用 會開啟 Always-On VPN,讓 VPN 用戶端盡可能自動連線並重新連線至 VPN。 當設定為 [未設定] 時,Intune 不會變更或更新此設定。 根據預設,所有 VPN 用戶端可能會停用 Always-On VPN。
裝置上只有一個 VPN 用戶端可以設定為 Always-On VPN。 請務必將一個以上的一律開啟 VPN 原則部署到單一裝置。
Proxy (個人擁有的工作配置檔)
-
自動設定文稿:使用檔案來設定 Proxy 伺服器。 輸入包含組態檔的 Proxy 伺服器 URL。 例如,輸入
http://proxy.contoso.com/pac。 -
位址:輸入 Proxy 伺服器的IP位址或完整主機名。 例如,輸入
10.0.0.3或vpn.contoso.com。 -
埠號碼:輸入與 Proxy 伺服器相關聯的埠號碼。 例如,輸入
8080。
相關文章
建立 Android 裝置系統管理員、 iOS/iPadOS、 macOS 和 Windows 的 VPN 配置檔。