用于在 Intune 中配置 VPN 的 Android Enterprise 设备设置

本文介绍可在 Android Enterprise 设备上控制的不同 VPN 连接设置。 作为移动设备管理 (MDM) 解决方案的一部分,请使用这些设置创建 VPN 连接、选择 VPN 身份验证方式、选择 VPN 服务器类型等。

此功能适用于:

  • Android Enterprise 个人拥有的工作配置文件设备 (BYOD)
  • Android Enterprise 公司拥有的工作配置文件 (COPE)
  • Android Enterprise 公司拥有的完全托管 (COBO)
  • Android Enterprise 公司拥有的专用设备 (COSU)

作为 Intune 管理员,可以创建 VPN 设置并将其分配给 Android Enterprise 设备。 若要详细了解 Intune 中的 VPN 配置文件,请参阅 VPN 配置文件

注意

若要配置 Always-On VPN,需要:

  1. 使用连接信息创建 VPN 配置文件,如本文所述。
  2. 创建配置了 Always-on VPN 设置 的设备限制 配置文件。
  3. 将这两个配置文件分配给组。

开始之前

完全托管、专用和 Corporate-Owned 工作配置文件

  • 连接类型:选择 VPN 连接类型。 选项包括:

    • Cisco AnyConnect
    • SonicWALL 移动连接
    • F5 Access
    • 脉冲安全
    • Microsoft隧道 (Android Enterprise 专用设备上不受支持。)

可用设置取决于所选的 VPN 客户端。 某些设置仅适用于特定的 VPN 客户端。

基本 VPN (完全托管、专用和公司拥有的工作配置文件)

  • 连接名称:输入此连接的名称。 最终用户在浏览其设备以查找可用的 VPN 连接时会看到此名称。 例如,输入 Contoso VPN

  • VPN 服务器地址或 FQDN:输入 IP 地址或完全限定的域名 (设备连接的 VPN 服务器的 FQDN) 。 例如,输入 192.168.1.1vpn.contoso.com

  • 身份验证方法:选择设备向 VPN 服务器进行身份验证的方式。 选项包括:

    • 证书:选择对连接进行身份验证的现有 SCEP 或 PKCS 证书配置文件。 配置证书 列出了创建证书配置文件的步骤。

    • 用户名和密码:最终用户登录到 VPN 服务器时,系统会提示用户输入其用户名和密码。

    • 派生凭据:使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者,Intune 会提示你添加一个。

      有关详细信息,请参阅 在 Intune 中使用派生凭据

  • 输入 NetMotion Mobility VPN 属性的键和值对:添加或导入自定义 VPN 连接的 密钥 。 这些值通常由 VPN 提供商提供。

  • Microsoft隧道站点 (Microsoft 隧道仅) :选择现有站点。 VPN 客户端连接到此站点的公共 IP 地址或 FQDN。

    有关详细信息,请参阅 Microsoft Tunnel for Intune

每应用 VPN (完全托管、专用和公司拥有的工作配置文件)

  • 添加:从列表中选择托管应用。 当用户启动你添加的应用时,流量会自动通过 VPN 连接路由。

有关详细信息,请参阅 在 Android Enterprise 设备上使用 VPN 和按应用 VPN 策略

始终启用 VPN (完全托管、专用和企业拥有的工作配置文件)

  • 始终启用 VPN启用 将打开始终启用 VPN,以便 VPN 客户端尽可能自动连接并重新连接到 VPN。 设置为 “未配置”时,Intune 不会更改或更新此设置。 默认情况下,可能会对所有 VPN 客户端禁用 Always-On VPN。

    一个设备上只能配置一个 VPN 客户端,用于始终启用 VPN。 请确保在单个设备上部署的始终启用 VPN 策略不超过一个。

代理 (完全托管、专用和公司拥有的工作配置文件)

  • 自动配置脚本:使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如,输入 http://proxy.contoso.com/pac
  • 地址:输入代理服务器的 IP 地址或完全限定的主机名。 例如,输入 10.0.0.3vpn.contoso.com
  • 端口号:输入与代理服务器关联的端口号。 例如,输入 8080

个人拥有的工作配置文件

  • 连接类型:选择 VPN 连接类型。 选项包括:

    • Check Point Capsule VPN

    • Cisco AnyConnect

      注意

      使用个人拥有的工作配置文件中的 Cisco AnyConnect,最终用户可能需要执行一些额外的步骤来完成 VPN 连接。 有关详细信息,请转到 VPN 配置文件 - 成功的 VPN 配置文件的外观

    • SonicWALL 移动连接

    • F5 Access

    • 脉冲安全

    • NetMotion 移动性

    • Microsoft Tunnel

可用设置取决于所选的 VPN 客户端。 某些设置仅适用于特定的 VPN 客户端。

基本 VPN (个人拥有的工作配置文件)

  • 连接名称:输入此连接的名称。 最终用户在浏览其设备以查找可用的 VPN 连接时会看到此名称。 例如,输入 Contoso VPN

  • VPN 服务器地址:输入 IP 地址或完全限定的域名, (设备连接的 VPN 服务器的 FQDN) 。 例如,输入 192.168.1.1vpn.contoso.com

  • 身份验证方法:选择设备向 VPN 服务器进行身份验证的方式。 选项包括:

    • 证书:选择对连接进行身份验证的现有 SCEP 或 PKCS 证书配置文件。 配置证书 列出了创建证书配置文件的步骤。

    • 用户名和密码:最终用户登录到 VPN 服务器时,系统会提示用户输入其用户名和密码。

    • 派生凭据:使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者,Intune 会提示你添加一个。

      有关详细信息,请参阅 在 Intune 中使用派生凭据

  • 指纹 (Check Point Capsule VPN 仅) :输入 VPN 供应商提供给你的指纹字符串,例如 Contoso Fingerprint Code。 此指纹验证 VPN 服务器是否受信任。

    进行身份验证时,会向客户端发送指纹,以便客户端知道信任具有相同指纹的任何服务器。 如果设备没有指纹,则会提示用户在显示指纹时信任 VPN 服务器。 用户手动验证指纹,并选择信任进行连接。

  • 输入 NetMotion Mobility VPN 属性的键和值对:添加或导入自定义 VPN 连接的 密钥 。 这些值通常由 VPN 提供商提供。

  • Microsoft隧道站点 (Microsoft 隧道仅) :选择现有站点。 VPN 客户端连接到此站点的公共 IP 地址或 FQDN。

    有关详细信息,请参阅 Microsoft Tunnel for Intune

每应用 VPN (个人拥有的工作配置文件)

  • 添加:从列表中选择托管应用。 当用户启动你添加的应用时,流量会自动通过 VPN 连接路由。

有关详细信息,请参阅 在 Android Enterprise 设备上使用 VPN 和按应用 VPN 策略

始终启用 VPN (个人拥有的工作配置文件)

  • 始终启用 VPN启用 将打开始终启用 VPN,以便 VPN 客户端尽可能自动连接并重新连接到 VPN。 设置为 “未配置”时,Intune 不会更改或更新此设置。 默认情况下,可能会对所有 VPN 客户端禁用 Always-On VPN。

    一个设备上只能配置一个 VPN 客户端,用于始终启用 VPN。 请确保在单个设备上部署的始终启用 VPN 策略不超过一个。

代理 (个人拥有的工作配置文件)

  • 自动配置脚本:使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如,输入 http://proxy.contoso.com/pac
  • 地址:输入代理服务器的 IP 地址或完全限定的主机名。 例如,输入 10.0.0.3vpn.contoso.com
  • 端口号:输入与代理服务器关联的端口号。 例如,输入 8080