如何在 Configuration Manager 中建立 VPN 設定檔

適用於：Configuration Manager (目前的分支)

重要事項

從 2203 版開始，不再支援此公司資源存取功能。 如需詳細資訊，請 參閱資源存取淘汰的常見問題。

Configuration Manager支援多個 VPN 連線類型。 如需不同裝置平臺可用連線類型的詳細資訊，請參閱 VPN 設定檔。

針對協力廠商 VPN 連線，請先散發 VPN 應用程式，再部署 VPN 設定檔。 如果您未部署應用程式，當使用者嘗試連線到 VPN 時，系統會提示他們這麼做。 如需詳細資訊，請 參閱部署應用程式。

建立 VPN 設定檔

1. 在Configuration Manager主控台中，移至 [資產與相容性] 工作區，依序展開 [相容性設定]、[公司資源存取]，然後選取[VPN 設定檔]節點。

2. 在功能區的 [ 常用] 索引標籤上，選擇 [ 建立 ] 群組中的 [ 建立 VPN 設定檔]。

3. 在 [建立 VPN 設定檔精靈] 的 [一 般 ] 頁面上，指定下列資訊：

   • 名稱：輸入唯一的名稱，以在主控台中識別 VPN 設定檔。

     注意事項

     請勿在 VPN 設定檔名稱中使用下列字元： \/:*?<>|; 。 Windows VPN 設定檔不支援這些特殊字元。

   • 描述：選擇性地輸入描述，以提供 VPN 設定檔的進一步資訊。

   • VPN 配置檔案類型：選取適當的平臺。

     如果您選取Windows 8.1平臺，您也可以從檔案匯入。 此動作會從 XML 檔案匯入 VPN 設定檔資訊。 如果您選取此選項，精靈的其餘部分會簡化為下列頁面： 支援的平臺 和 匯入 VPN 設定檔。

4. 在 [ 支援的平臺] 頁面上，選取此 VPN 設定檔支援的 OS 版本。

5. 在 [ 連線] 頁面上，指定下列資訊：

   • 連線類型：選擇 VPN 連線類型。 如需支援類型的詳細資訊，請參閱 VPN 設定檔。

   • 伺服器清單：新增要用於 VPN 連線的新伺服器。 視連線類型而定，您可以新增一或多部 VPN 伺服器，並指定預設的伺服器。

   • 連線到公司網路時略過 VPN：設定用戶端在內部網路上時不要使用 VPN。 如有必要，請指定連線特定的 DNS 名稱。

6. 在精靈的 [ 驗證方法 ] 頁面上，選擇連線類型所支援的方法。 此頁面上的設定和可用選項會根據選取的連線類型而有所不同。 如需詳細資訊，請 參閱驗證方法參考。

7. 在 [ Proxy 設定] 頁面上，如果您的 VPN 使用 Proxy 伺服器，請根據您的環境選取其中一個選項。 然後提供 Proxy 的組態資訊。

8. [應用程式]頁面僅適用于Windows 10設定檔。 新增自動連線至此 VPN 的桌面和通用應用程式。 應用程式的類型會決定應用程式識別碼：

   • 針對 傳統型應用程式，提供應用程式的檔案路徑。

   • 針對 通用應用程式，請提供套件系列名稱 (PFN) 。 若要瞭解如何尋找應用程式的 PFN，請 參閱尋找每個應用程式 VPN 的套件系列名稱。

   您也可以設定選項，讓 只有列出的應用程式可以使用此 VPN。

   重要事項

   保護您編譯來設定個別應用程式 VPN 的所有相關聯應用程式清單。 如果未經授權的使用者變更您的清單，並將它匯入至個別應用程式 VPN 應用程式清單，您可能會授權 VPN 存取不應該具有存取權的應用程式。

9. [界限]頁面僅適用于Windows 10設定檔以設定 VPN 界限。 您可以新增下列選項：

   • 網路流量規則：設定要為 VPN 連線啟用的通訊協定、本機埠、遠端埠和位址範圍。

     注意事項

     如果您未建立網路流量規則，則會啟用所有通訊協定、埠和位址範圍。 建立規則之後，VPN 連線只會使用您在該規則或其他規則中指定的通訊協定、埠和位址範圍。

   • DNS 名稱和伺服器：裝置建立連線之後，VPN 連線所使用的 DNS 伺服器。

   • 路由：使用 VPN 連線的網路路由。 建立超過 60 個路由可能會導致原則失敗。

10. 完成精靈。

新的 VPN 設定檔會顯示在 [資產與相容性] 工作區的[VPN 設定檔] 節點中。

驗證方法參考

可用的 VPN 驗證方法取決於連線類型：

憑證

如果用戶端憑證向 RADIUS 伺服器進行驗證，例如網路原則伺服器，請將憑證中的主體別名設定為使用者主體名稱。

支援的連線類型：

• Pulse Secure
• F5 Edge 用戶端
• Dell SonicWALL Mobile Connect
• Check Point行動裝置 VPN

使用者名稱和密碼

支援的連線類型：

• Pulse Secure
• F5 Edge 用戶端
• Dell SonicWALL Mobile Connect
• Check Point行動裝置 VPN

Microsoft EAP-TTLS

支援的連線類型：

• Microsoft SSL (SSTP)
• Microsoft自動
• PPTP
• IKEv2
• L2TP

Microsoft受保護的 EAP (PEAP

支援的連線類型：

• Microsoft SSL (SSTP)
• Microsoft自動
• IKEv2
• PPTP
• L2TP

Microsoft安全密碼 (EAP-MSCHAP v2)

支援的連線類型：

• Microsoft SSL (SSTP)
• Microsoft自動
• IKEv2
• PPTP
• L2TP

智慧卡或其他憑證

支援的連線類型：

• Microsoft SSL (SSTP)
• Microsoft自動
• IKEv2
• PPTP
• L2TP

MSCHAP v2

支援的連線類型：

• Microsoft SSL (SSTP)
• Microsoft自動
• IKEv2
• PPTP
• L2TP

使用電腦憑證

支援的連線類型：

• IKEv2

其他驗證選項

當 Windows 用戶端版本支援它時，即可使用設定驗證方法的選項。 此選項會開啟 [Windows 屬性] 視窗來設定驗證方法。

根據選取的選項，系統可能會要求您指定更多資訊，例如：

• 在每次登入時記住使用者認證：記住使用者認證，讓使用者不需要在每次連線時輸入認證。

• 選取用戶端憑證以進行用戶端驗證：選取先前建立的用戶端 SCEP 憑證設定檔來驗證 VPN 連線。 如需詳細資訊，請 參閱建立 PFX 憑證設定檔。

後續步驟

• 針對協力廠商 VPN 連線，請先散發 VPN 應用程式，再部署 VPN 設定檔。 如果您未部署應用程式，當使用者嘗試連線到 VPN 時，系統會提示他們這麼做。 如需詳細資訊，請 參閱部署應用程式。

• 部署 VPN 設定檔。 如需詳細資訊，請 參閱如何部署設定檔。