共用方式為


如何在 Configuration Manager 中建立 VPN 設定檔

適用於:Configuration Manager (目前的分支)

重要事項

從 2203 版開始,不再支援此公司資源存取功能。 如需詳細資訊,請 參閱資源存取淘汰的常見問題。

Configuration Manager支援多個 VPN 連線類型。 如需不同裝置平臺可用連線類型的詳細資訊,請參閱 VPN 設定檔

針對協力廠商 VPN 連線,請先散發 VPN 應用程式,再部署 VPN 設定檔。 如果您未部署應用程式,當使用者嘗試連線到 VPN 時,系統會提示他們這麼做。 如需詳細資訊,請 參閱部署應用程式

建立 VPN 設定檔

  1. 在Configuration Manager主控台中,移至 [資產與相容性] 工作區,依序展開 [相容性設定]、[公司資源存取],然後選取[VPN 設定檔]節點。

  2. 在功能區的 [ 常用] 索引標籤上,選擇 [ 建立 ] 群組中的 [ 建立 VPN 設定檔]

  3. 在 [建立 VPN 設定檔精靈] 的 [一 ] 頁面上,指定下列資訊:

    • 名稱:輸入唯一的名稱,以在主控台中識別 VPN 設定檔。

      注意事項

      請勿在 VPN 設定檔名稱中使用下列字元: \/:*?<>|; 。 Windows VPN 設定檔不支援這些特殊字元。

    • 描述:選擇性地輸入描述,以提供 VPN 設定檔的進一步資訊。

    • VPN 配置檔案類型:選取適當的平臺。

      如果您選取Windows 8.1平臺,您也可以從檔案匯入。 此動作會從 XML 檔案匯入 VPN 設定檔資訊。 如果您選取此選項,精靈的其餘部分會簡化為下列頁面: 支援的平臺匯入 VPN 設定檔

  4. 在 [ 支援的平臺] 頁面上,選取此 VPN 設定檔支援的 OS 版本。

  5. 在 [ 連線] 頁面上,指定下列資訊:

    • 連線類型:選擇 VPN 連線類型。 如需支援類型的詳細資訊,請參閱 VPN 設定檔

    • 伺服器清單:新增要用於 VPN 連線的新伺服器。 視連線類型而定,您可以新增一或多部 VPN 伺服器,並指定預設的伺服器。

    • 連線到公司網路時略過 VPN:設定用戶端在內部網路上時不要使用 VPN。 如有必要,請指定連線特定的 DNS 名稱。

  6. 在精靈的 [ 驗證方法 ] 頁面上,選擇連線類型所支援的方法。 此頁面上的設定和可用選項會根據選取的連線類型而有所不同。 如需詳細資訊,請 參閱驗證方法參考

  7. 在 [ Proxy 設定] 頁面上,如果您的 VPN 使用 Proxy 伺服器,請根據您的環境選取其中一個選項。 然後提供 Proxy 的組態資訊。

  8. [應用程式]頁面僅適用于Windows 10設定檔。 新增自動連線至此 VPN 的桌面和通用應用程式。 應用程式的類型會決定應用程式識別碼:

    您也可以設定選項,讓 只有列出的應用程式可以使用此 VPN

    重要事項

    保護您編譯來設定個別應用程式 VPN 的所有相關聯應用程式清單。 如果未經授權的使用者變更您的清單,並將它匯入至個別應用程式 VPN 應用程式清單,您可能會授權 VPN 存取不應該具有存取權的應用程式。

  9. [界限]頁面僅適用于Windows 10設定檔以設定 VPN 界限。 您可以新增下列選項:

    • 網路流量規則:設定要為 VPN 連線啟用的通訊協定、本機埠、遠端埠和位址範圍。

      注意事項

      如果您未建立網路流量規則,則會啟用所有通訊協定、埠和位址範圍。 建立規則之後,VPN 連線只會使用您在該規則或其他規則中指定的通訊協定、埠和位址範圍。

    • DNS 名稱和伺服器:裝置建立連線之後,VPN 連線所使用的 DNS 伺服器。

    • 路由:使用 VPN 連線的網路路由。 建立超過 60 個路由可能會導致原則失敗。

  10. 完成精靈。

新的 VPN 設定檔會顯示在 [資產與相容性] 工作區的[VPN 設定檔] 節點中。

驗證方法參考

可用的 VPN 驗證方法取決於連線類型:

憑證

如果用戶端憑證向 RADIUS 伺服器進行驗證,例如網路原則伺服器,請將憑證中的主體別名設定為使用者主體名稱。

支援的連線類型:

  • Pulse Secure
  • F5 Edge 用戶端
  • Dell SonicWALL Mobile Connect
  • Check Point行動裝置 VPN

使用者名稱和密碼

支援的連線類型:

  • Pulse Secure
  • F5 Edge 用戶端
  • Dell SonicWALL Mobile Connect
  • Check Point行動裝置 VPN

Microsoft EAP-TTLS

支援的連線類型:

  • Microsoft SSL (SSTP)
  • Microsoft自動
  • PPTP
  • IKEv2
  • L2TP

Microsoft受保護的 EAP (PEAP

支援的連線類型:

  • Microsoft SSL (SSTP)
  • Microsoft自動
  • IKEv2
  • PPTP
  • L2TP

Microsoft安全密碼 (EAP-MSCHAP v2)

支援的連線類型:

  • Microsoft SSL (SSTP)
  • Microsoft自動
  • IKEv2
  • PPTP
  • L2TP

智慧卡或其他憑證

支援的連線類型:

  • Microsoft SSL (SSTP)
  • Microsoft自動
  • IKEv2
  • PPTP
  • L2TP

MSCHAP v2

支援的連線類型:

  • Microsoft SSL (SSTP)
  • Microsoft自動
  • IKEv2
  • PPTP
  • L2TP

使用電腦憑證

支援的連線類型:

  • IKEv2

其他驗證選項

當 Windows 用戶端版本支援它時,即可使用設定驗證方法的選項。 此選項會開啟 [Windows 屬性] 視窗來設定驗證方法。

根據選取的選項,系統可能會要求您指定更多資訊,例如:

  • 在每次登入時記住使用者認證:記住使用者認證,讓使用者不需要在每次連線時輸入認證。

  • 選取用戶端憑證以進行用戶端驗證:選取先前建立的用戶端 SCEP 憑證設定檔來驗證 VPN 連線。 如需詳細資訊,請 參閱建立 PFX 憑證設定檔

後續步驟

  • 針對協力廠商 VPN 連線,請先散發 VPN 應用程式,再部署 VPN 設定檔。 如果您未部署應用程式,當使用者嘗試連線到 VPN 時,系統會提示他們這麼做。 如需詳細資訊,請 參閱部署應用程式

  • 部署 VPN 設定檔。 如需詳細資訊,請 參閱如何部署設定檔