Windows 10/11 和 Windows 全息设备设置，以使用 Intune 添加 VPN 连接

注意

Intune支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录，并且不会记录。 若要查看可以配置的设置，请创建设备配置策略，然后选择 “设置目录”。 有关详细信息，请转到 设置目录。

可以使用Microsoft Intune为设备添加和配置 VPN 连接。 本文介绍在) 创建虚拟专用网络 (VPN 时可以配置的一些设置和功能。 这些 VPN 设置用于设备配置文件，然后推送或部署到设备。

作为移动设备管理 (MDM) 解决方案的一部分，请使用这些设置来允许或禁用功能，包括使用特定 VPN 供应商、启用始终启用、使用 DNS、添加代理等。

这些设置适用于运行：

• windows 10/11
• Windows Holographic for Business

开始之前

• 部署 VPN 应用，并创建 Windows 客户端 VPN 设备配置文件。 可用设置取决于所选的 VPN 客户端应用。 某些设置仅适用于特定的 VPN 客户端。

• 某些 Microsoft 365 服务（如 Outlook）可能无法很好地使用第三方或合作伙伴 VPN。 如果你使用的是第三方或合作伙伴 VPN，并且遇到延迟或性能问题，请删除 VPN。

  如果删除 VPN 可解决该行为，则可以：

  • 使用第三方或合作伙伴 VPN 获取可能的解决方案。 Microsoft 不为第三方或合作伙伴 VPN 提供技术支持。
  • 不要将 VPN 与 Outlook 流量配合使用。
  • 如果需要使用 VPN，请使用拆分隧道 VPN。 并且，允许 Outlook 流量绕过 VPN。

  有关详细信息，请转到：

  • 概述：Microsoft 365 VPN 拆分隧道
  • 通过 Microsoft 365 使用第三方网络设备或解决方案
  • 在当今独特的远程工作方案中，安全专业人员和 IT 实现新式安全控制的另一种方法博客
  • Microsoft 365 网络连接原则

• 这些设置使用 VPNv2 CSP。

用户范围或设备范围

• 将此 VPN 配置文件与用户/设备范围一起使用：将配置文件应用于用户范围或设备范围：

  • 用户范围：VPN 配置文件安装在设备上的用户帐户中，例如 user@contoso.com。 如果其他用户登录到设备，则 VPN 配置文件不可用。
  • 设备范围：VPN 配置文件安装在设备上下文中，并应用于设备上的所有用户。 Windows 全息设备仅支持设备范围。

现有 VPN 配置文件应用于其现有范围。 默认情况下，新的 VPN 配置文件安装在用户范围内，但启用了设备隧道的配置文件 除外 。 启用了设备隧道的 VPN 配置文件使用设备范围。

连接类型

• 连接类型：从以下供应商列表中选择 VPN 连接类型：

  • Check Point Capsule VPN
  • Cisco AnyConnect
  • Citrix
  • F5 Access
  • Palo Alto Networks GlobalProtect
  • 脉冲安全
  • SonicWALL 移动连接
  • 自动 (本机类型)
  • IKEv2 (本机类型)
  • L2TP (本机类型)
  • PPTP (本机类型)

基本 VPN

根据所选的连接类型，将显示以下设置。 并非所有设置都适用于所有连接类型。

• 连接名称：输入此连接的名称。 最终用户在浏览其设备以获取可用 VPN 连接列表时会看到此名称。 例如，输入 Contoso VPN。

• 服务器：添加设备连接到的一个或多个 VPN 服务器。 添加服务器时，请输入以下信息：

  • 导入：浏览到包含服务器列表的逗号分隔文件，格式为：说明、IP 地址或 FQDN、默认服务器。 选择 “确定” ，将这些服务器导入到 “服务器” 列表中。
  • 导出：将现有服务器列表导出为逗号分隔值 (csv) 文件。
  • 说明：输入服务器的描述性名称，例如 Contoso VPN 服务器。
  • VPN 服务器地址：输入设备连接到的 VPN 服务器的 IP 地址或完全限定的域名 (FQDN) ，例如 192.168.1.1 或 vpn.contoso.com。
  • 默认服务器： 如果为 True ，则此服务器可作为设备用来建立连接的默认服务器。 仅将一台服务器设置为默认服务器。 错误 (默认) 不将此 VPN 服务器用作默认服务器。

• 使用内部 DNS 注册 IP 地址：选择“ 启用 ”以配置 VPN 配置文件，以便向内部 DNS 动态注册分配给 VPN 接口的 IP 地址。 选择“ 禁用 ”，不动态注册 IP 地址。

• Always On：启用 在发生以下事件时自动连接到 VPN 连接：

  • 用户登录到其设备。
  • 设备上的网络会更改。
  • 设备上的屏幕在关闭后重新打开。

  若要使用设备隧道连接（如 IKEv2）， 请启用 此设置。

  禁用 不会自动打开 VPN 连接。 用户可能需要手动打开 VPN。

• 身份验证方法：选择希望用户向 VPN 服务器进行身份验证的方式。 选项包括：

  • 证书：选择现有用户客户端证书配置文件对用户进行身份验证。 此选项提供增强的功能，例如零接触体验、按需 VPN 和每应用 VPN。

    若要在 Intune 中创建证书配置文件，请参阅使用证书进行身份验证。

  • 用户名和密码：要求用户输入其域用户名和密码进行身份验证，例如 user@contoso.com、 或 contoso\user。

  • 派生凭据：使用从用户的智能卡派生的证书。 如果未配置派生凭据颁发者，Intune会提示你添加一个。 有关详细信息，请参阅在 Intune 中使用派生凭据。

    注意

    目前，作为 VPN 配置文件的身份验证方法的派生凭据在 Windows 设备上无法按预期工作。 此行为仅影响 Windows 设备上的 VPN 配置文件，并将在未来版本中修复 (无 ETA) 。

  • EAP (IKEv2 仅) ：选择要进行身份验证的现有可扩展身份验证协议 (EAP) 客户端证书配置文件。 在 EAP XML 设置中输入身份验证参数。

    有关 EAP 身份验证的详细信息，请参阅 可扩展身份验证协议 (EAP) 用于网络访问 和 EAP 配置。

  • 计算机证书 (IKEv2 仅) ：选择现有设备客户端证书配置文件对设备进行身份验证。

    如果使用 设备隧道连接，则必须选择“ 计算机证书”。

    若要在 Intune 中创建证书配置文件，请参阅使用证书进行身份验证。

• 每次登录时记住凭据： 启用 会缓存身份验证凭据。 设置为“未配置”时，Intune不会更改或更新此设置。 默认情况下，OS 可能不会缓存身份验证凭据。

• 自定义 XML：输入配置 VPN 连接的任何自定义 XML 命令。

• EAP XML：输入配置 VPN 连接的任何 EAP XML 命令。

  有关详细信息，包括创建自定义 EAP XML，请参阅 EAP 配置。

• 设备隧道 (IKEv2 仅) ： 启用 会自动 将设备连接到 VPN，而无需进行任何用户交互或登录。 此设置适用于已加入Microsoft Entra ID的设备。

  若要使用此功能，必须配置以下设置：

  • 连接类型：设置为 IKEv2。
  • Always On：设置为“启用”。
  • 身份验证方法：设置为 “计算机证书”。

  每个启用了 设备隧道 的设备仅分配一个配置文件。

IKE 安全关联参数仅 (IKEv2)

重要

Windows 11要求：

• 配置了所有 IKE 安全关联参数 和 子安全关联参数 设置。

  或

• 未配置 任何 IKE 安全关联参数 和 子安全关联参数 设置。

这些加密设置在 IKE 安全关联协商期间使用， (也称为 main mode 或 phase 1 IKEv2 连接的) 。 这些设置必须与 VPN 服务器设置匹配。 如果设置不匹配，VPN 配置文件将无法连接。

• 加密算法：选择 VPN 服务器上使用的加密算法。 例如，如果 VPN 服务器使用 AES 128 位，则从列表中选择 AES-128 。

  设置为“未配置”时，Intune不会更改或更新此设置。

• 完整性检查算法：选择在 VPN 服务器上使用的完整性算法。 例如，如果 VPN 服务器使用 SHA1-96，则从列表中选择 SHA1-96 。

  设置为“未配置”时，Intune不会更改或更新此设置。

• Diffie-Hellman 组：选择 VPN 服务器上使用的 Diffie-Hellman 计算组。 例如，如果 VPN 服务器使用 Group2 (1024 位) ，则从列表中选择 2 。

  设置为“未配置”时，Intune不会更改或更新此设置。

子安全关联参数仅 (IKEv2)

重要

Windows 11要求：

• 配置了所有 IKE 安全关联参数 和 子安全关联参数 设置。

  或

• 未配置 任何 IKE 安全关联参数 和 子安全关联参数 设置。

这些加密设置在子安全关联协商期间使用， (也称为 quick mode 或 phase 2) IKEv2 连接。 这些设置必须与 VPN 服务器设置匹配。 如果设置不匹配，VPN 配置文件将无法连接。

• 密码转换算法：选择 VPN 服务器上使用的算法。 例如，如果 VPN 服务器使用 AES-CBC 128 位，则从列表中选择 CBC-AES-128 。

  设置为“未配置”时，Intune不会更改或更新此设置。

• 身份验证转换算法：选择在 VPN 服务器上使用的算法。 例如，如果 VPN 服务器使用 AES-GCM 128 位，则从列表中选择 GCM-AES-128 。

  设置为“未配置”时，Intune不会更改或更新此设置。

• PFS) 组 (完全前向保密：选择用于在 VPN 服务器上 (PFS) 完全向前保密的 Diffie-Hellman 计算组。 例如，如果 VPN 服务器使用 Group2 (1024 位) ，则从列表中选择 2 。

  设置为“未配置”时，Intune不会更改或更新此设置。

Pulse Secure 示例

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

F5 Edge 客户端示例

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

SonicWALL Mobile Connect 示例

登录组或域：无法在 VPN 配置文件中设置此属性。 相反，当以 或 DOMAIN\username 格式输入用户名和域时，username@domainMobile Connect 会分析此值。

示例：

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

CheckPoint Mobile VPN 示例

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

提示

有关编写自定义 XML 命令的详细信息，请参阅制造商的 VPN 文档。

应用和流量规则

• 将 WIP 或应用与此 VPN 关联：如果仅希望某些应用使用 VPN 连接，请启用此设置。 选项包括：

  • 未配置 (默认) ：Intune不会更改或更新此设置。
  • 将 WIP 与此连接关联：Windows 标识保护域中的所有应用都自动使用 VPN 连接。
    • 此连接的 WIP 域：输入 WINDOWS 标识保护 (WIP) 域。 例如，输入 contoso.com。
  • 将应用与此连接相关联：输入的应用会自动使用 VPN 连接。

    • 限制与这些应用的 VPN 连接： 禁用 (默认) 允许所有应用使用 VPN 连接。 启用 将 VPN 连接限制为输入的应用 (每个应用 VPN) 。 你添加的应用的流量规则会自动添加到 此 VPN 连接设置的网络流量规则 中。

      选择“ 启用”时，应用标识符列表将变为只读。 在启用此设置之前，请添加关联的应用。

    • 关联的应用：选择“ 导入 ”以导入 .csv 包含应用列表的文件。 看起来 .csv 类似于以下文件：

      %windir%\system32\notepad.exe,desktop Microsoft.Office.OneNote_8wekyb3d8bbwe,universal

      应用类型确定应用标识符。 对于通用应用，请输入包系列名称，例如 Microsoft.Office.OneNote_8wekyb3d8bbwe。 对于桌面应用，请输入应用的文件路径，例如 %windir%\system32\notepad.exe。

      若要获取包系列名称，可以使用 Get-AppxPackage Windows PowerShell cmdlet。 例如，若要获取 OneNote 程序包系列名称，请打开 Windows PowerShell，然后输入 Get-AppxPackage *OneNote。 有关详细信息，请参阅 查找安装在 Windows 客户端计算机上的应用的 PFN 和 Get-AppxPackage cmdlet。

  重要

  建议保护为每个应用 VPN 创建的所有应用列表。 如果未经授权的用户更改了此列表，并且你将其导入每应用 VPN 应用列表，则你可能会授权 VPN 访问不应具有访问权限的应用。 保护应用列表的一种方法是使用访问控制列表 (ACL) 。

• 此 VPN 连接的网络流量规则：可以添加适用于此 VPN 连接的网络规则。 使用此功能筛选到此 VPN 连接的网络流量。

  • 如果确实创建了网络流量规则，则 VPN 仅使用此规则中输入的协议、端口和 IP 地址范围。
  • 如果未创建网络流量规则，则会为此 VPN 连接启用所有协议、端口和地址范围。

  添加流量规则时，为避免 VPN 问题，建议添加限制最少的捕获全部规则。

  选择“ 添加” 以创建规则并输入以下信息。 还可以使用此信息导入.csv文件。

  • 名称：输入网络流量规则的名称。

  • 规则类型：输入此规则的隧道方法。 仅当此规则与应用关联时，此设置才适用。 选项包括：

    • 无 (默认)
    • 拆分隧道：此选项同时为客户端设备提供两个连接。 一个连接是安全的，旨在使网络流量保持私密。 第二个连接对网络开放，并允许 Internet 流量通过。
    • 强制隧道：此规则中的所有网络流量都通过 VPN。 此规则中的网络流量不会直接流向 Internet。

  • 方向：选择 VPN 连接允许的网络流量流。 选项包括：

    • 入站：仅允许来自外部站点的流量通过 VPN。 阻止出站流量进入 VPN。
    • 出站 (默认) ：仅允许通过 VPN 流向外部站点的流量。 入站流量被阻止进入 VPN。

    若要允许入站和出站，请创建两个单独的规则。 为入站创建一个规则，为出站创建另一个规则。

  • 协议：输入希望 VPN 使用的网络协议的端口号（从 0 到 255）。 例如，对于 TCP 或 UDP，17请输入 6 。

    输入协议时，会通过同一协议连接两个网络。 如果使用 TPC (6) 或 UDP () 17 协议，则还需要输入允许的本地 & 远程端口范围和允许的本地 & 远程 IP 地址范围。

    还可以使用此信息导入.csv文件。

  • 本地端口范围：如果使用 TPC () 6 或 UDP (17) 协议，请输入允许的本地网络端口范围。 例如，对于下部端口和120上部端口，输入 100 。

    可以创建允许的端口范围列表，例如 100-120、200、300-320。 对于单个端口，请在两个字段中输入相同的端口号。

    还可以使用此信息导入.csv文件。

  • 远程端口范围：如果使用 TPC () 6 或 UDP (17) 协议，请输入允许的远程网络端口范围。 例如，对于下部端口和120上部端口，输入 100 。

    可以创建允许的端口范围列表，例如 100-120、200、300-320。 对于单个端口，请在两个字段中输入相同的端口号。

    还可以使用此信息导入.csv文件。

  • 本地地址范围：输入可以使用 VPN 的允许的本地网络 IPv4 地址范围。 只有此范围内的客户端设备 IP 地址使用此 VPN。

    例如，对于下部端口和10.0.0.122上部端口，输入 10.0.0.22 。

    可以创建允许的 IP 地址列表。 对于单个 IP 地址，请在两个字段中输入相同的 IP 地址。

    还可以使用此信息导入.csv文件。

  • 远程地址范围：输入可以使用 VPN 的允许的远程网络 IPv4 地址范围。 只有此范围内的 IP 地址使用此 VPN。

    例如，对于下部端口和10.0.0.122上部端口，输入 10.0.0.22 。

    可以创建允许的 IP 地址列表。 对于单个 IP 地址，请在两个字段中输入相同的 IP 地址。

    还可以使用此信息导入.csv文件。

条件访问

• 此 VPN 连接的条件访问：启用来自客户端的设备符合性流。 启用后，VPN 客户端将与 Microsoft Entra ID 通信，以获取用于身份验证的证书。 VPN 应设置为使用证书身份验证，并且 VPN 服务器必须信任Microsoft Entra ID返回的服务器。

• 使用备用证书的单一登录 (SSO) ：对于设备符合性，请使用不同于 VPN 身份验证证书的证书进行 Kerberos 身份验证。 使用以下设置输入证书：

  • 名称：EKU) (扩展密钥用法的名称
  • 对象标识符：EKU 的对象标识符
  • 颁发者哈希：SSO 证书的指纹

DNS 设置

• DNS 后缀搜索列表：在 DNS 后缀中，输入 DNS 后缀和 Add。 可以添加许多后缀。

  使用 DNS 后缀时，可以使用其短名称搜索网络资源，而不是使用 FQDN () 的完全限定域名。 使用短名称进行搜索时，DNS 服务器会自动确定后缀。 例如， utah.contoso.com 位于 DNS 后缀列表中。 你 ping DEV-comp。 在此方案中，它解析为 DEV-comp.utah.contoso.com。

  DNS 后缀按列出的顺序解析，顺序可以更改。 例如， colorado.contoso.com 和 utah.contoso.com 位于 DNS 后缀列表中，两者都有一个名为 的资源 DEV-comp。 由于 colorado.contoso.com 是列表中的第一个，因此它解析为 DEV-comp.colorado.contoso.com。

  若要更改顺序，请选择 DNS 后缀左侧的点，然后将后缀拖到顶部：

  

• 名称解析策略表 (NRPT) 规则：名称解析策略表 (NRPT) 规则定义 DNS 在连接到 VPN 时如何解析名称。 建立 VPN 连接后，选择 VPN 连接使用的 DNS 服务器。

  可以添加包含域、DNS 服务器、代理和其他详细信息的规则。 这些规则可解析你输入的域。 当用户连接到你输入的域时，VPN 连接会使用这些规则。

  选择“ 添加” 以添加新规则。 对于每个服务器，请输入：

  • 域：输入完全限定的域名 (FQDN) 或 DNS 后缀以应用规则。 还可以在开头输入句点 (.) 作为 DNS 后缀。 例如，输入 contoso.com 或 .allcontososubdomains.com。
  • DNS 服务器：输入解析域的 IP 地址或 DNS 服务器。 例如，输入 10.0.0.3 或 vpn.contoso.com。
  • 代理：输入解析域的 Web 代理服务器。 例如，输入 http://proxy.com。
  • 自动连接： 启用后，当设备连接到你输入的域时，设备会自动连接到 VPN，例如 contoso.com。 如果未 配置 (默认) ，则设备不会自动连接到 VPN
  • 持久：设置为 “启用”时，规则将保留在“名称解析策略”表中， (NRPT) ，直到从设备手动删除规则，即使在 VPN 断开连接之后也是如此。 设置为 “未配置 (默认) 时，当 VPN 断开连接时，将从设备中删除 VPN 配置文件中的 NRPT 规则。

代理

• 自动配置脚本：使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如，输入 http://proxy.contoso.com/pac。
• 地址：输入代理服务器的 IP 地址或完全限定的主机名。 例如，输入 10.0.0.3 或 vpn.contoso.com。
• 端口号：输入代理服务器使用的端口号。 例如，输入 8080。
• 绕过本地地址的代理：如果 VPN 服务器需要代理服务器进行连接，则此设置适用。 如果不想对本地地址使用代理服务器，请选择 “启用”。

拆分隧道

• 拆分隧道：启用或禁用以允许设备根据流量决定使用哪个连接。 例如，酒店中的用户使用 VPN 连接访问工作文件，但使用酒店的标准网络进行常规 Web 浏览。
• 此 VPN 连接的拆分隧道路由：为第三方 VPN 提供程序添加可选路由。 输入目标前缀和每个连接的前缀大小。

受信任的网络检测

受信任的网络 DNS 后缀：当用户已连接到受信任的网络时，可以阻止设备自动连接到其他 VPN 连接。

在 DNS 后缀中，输入要信任的 DNS 后缀（例如 contoso.com），然后选择“ 添加”。 可以添加任意数量的后缀。

如果用户连接到列表中的 DNS 后缀，则该用户不会自动连接到另一个 VPN 连接。 用户继续使用你输入的 DNS 后缀的受信任列表。 即使设置了任何自动触发程序，仍使用受信任的网络。

例如，如果用户已连接到受信任的 DNS 后缀，则忽略以下自动触发器。 具体而言，列表中的 DNS 后缀会取消所有其他连接自动触发程序，包括：

• 始终打开
• 基于应用的触发器
• DNS 自动触发器

后续步骤

配置文件已创建，但可能尚未执行任何操作。 请务必分配配置文件，并监视配置文件状态。

在 Android、 iOS/iPadOS 和 macOS 设备上配置 VPN 设置。