使用 Microsoft Intune 自定義配置檔來建立 Android 裝置的每個應用程式 VPN 配置檔

重要事項

Android 裝置管理員 (DA) 管理功能已淘汰，且無法再適用於可存取 Google Mobile Services (GMS) 的裝置。 如果您目前使用 DA 管理，我們建議您切換到其他 Android 管理選項。 支援和說明文件仍適用於部分未搭載 GMS 的 Android 15 及更早版本裝置。 如需詳細資訊，請參閱 終止對 GMS 裝置上 Android 裝置管理員的支援。

您可以為在 Intune 中註冊的 Android 8.0 和更新版本裝置建立每個應用程式 VPN 配置檔。 首先，建立使用 Pulse Secure 或 Citrix 連線類型的 VPN 設定檔。 然後，建立自訂組態原則，將 VPN 設定檔與特定應用程式相關聯。

本功能適用於：

• Android 裝置系統管理員 (DA) 已在 Intune 中註冊

若要在 Android Enterprise 裝置上使用每個應用程式 VPN，請使用 應用程式設定原則。 應用程式設定原則支援更多 VPN 用戶端應用程式。 在 Android Enterprise 裝置上，您可以使用本文中的步驟。 但是，不建議這樣做，而且您只能使用 Pulse Secure 和 Citrix VPN 連線。

將原則指派給 Android DA 裝置或使用者群組後，使用者應啟動 Pulse Secure 或 Citrix VPN 用戶端。 然後，VPN 用戶端僅允許來自指定應用程式的流量使用開啟的 VPN 連線。

注意事項

Android 裝置管理員僅支援 Pulse Secure 和 Citrix 連線類型。 在 Android Enterprise 裝置上，使用 應用程式設定原則。

必要條件

• 使用具有原則和配置檔管理員內建角色的帳戶登入 Microsoft Intune 系統管理中心。 如需內建角色的詳細資訊，請移至 Microsoft Intune 的角色型存取控制。
• 裝置必須由 Intune 註冊且 MDM 管理。 如需 Android 裝置註冊選項的相關資訊，請移至 Microsoft Intune 的 Android 註冊指南。

步驟 1 - 建立 VPN 設定檔

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。

3. 輸入下列內容：

   • 平台：選取 Android 裝置管理員。
   • 設定檔類型：選取 VPN。

4. 選取 [建立]。

5. 在 [基本資訊] 中，輸入下列內容：

   • 名稱：輸入設定檔的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，一個好的配置檔名稱是 整個公司的 Android DA 每個應用程式 VPN 配置檔。
   • 描述：輸入設定檔的描述。 這是選擇性設定，但建議進行。

6. 選取[下一步]。

7. 在 組態設定中，設定您想要在設定檔中的設定：

   • Android 裝置管理員裝置的 VPN 設定。

   記下您在建立VPN配置檔案時輸入的 連線名稱 值。 下一個步驟需要此名稱。 在此範例中，連線名稱為 MyAppVpnProfile。

8. 選取 [下一步]，然後繼續建立您的設定檔。 如需詳細資訊，請移至 建立 VPN 設定檔。

步驟 2 - 建立自訂組態原則

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [裝置]>[管理裝置]>[設定]>[建立]>[新原則]。

3. 輸入下列內容：

   • 平台：選取 Android 裝置管理員。
   • 設定檔類型：選取自訂。

4. 選取 [建立]。

5. 在 [基本資訊] 中，輸入下列內容：

   • 名稱：輸入自訂設定檔的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，一個好的配置檔名稱是 Android DA - OMA-URI VPN。
   • 描述：輸入設定檔的描述。 這是選擇性設定，但建議進行。

6. 選取[下一步]。

7. 在 [ 組態設定>OMA-URI 設定] 中，選取 [新增]。 輸入下列 OMA-URI 值：

   • 名稱：輸入設定的名稱。
   • 描述：輸入設定檔的描述。 這是選擇性設定，但建議進行。
   • OMA-URI：輸入 ./Vendor/MSFT/VPN/Profile/*Name*/PackageList，其中 名稱 是您在步驟 1 中記下的連線名稱。 在此範例中，字串是 ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/PackageList。
   • 資料類型：輸入 字串。
   • 值：輸入要與設定檔相關聯的套件以分號分隔的清單。 例如，如果您希望 Excel 和 Google Chrome 瀏覽器使用 VPN 連線，請輸入 com.microsoft.office.excel;com.android.chrome。

   您的設定看起來類似於下列設定：

   

8. 選取 [下一步]，然後繼續建立您的設定檔。 如需詳細資訊，請移至 建立 VPN 設定檔。

將封鎖和允許的應用程式清單設定為選擇性) (

使用 BLACKLIST 值輸入無法使用 VPN 連線的應用程式清單。 所有其他應用程序都通過 VPN 連接。 或者，使用 WHITELIST 值輸入可以使用 VPN 連線的應用程式清單。 不在清單中的應用程式不會透過 VPN 連線。

1. 在 [自訂 OMA-URI 設定] 窗格中，選擇 [新增]。
2. 輸入設定名稱。
3. 在 OMA-URI 中，輸入 ./Vendor/MSFT/VPN/Profile/*Name*/Mode，其中 名稱 是您在步驟 1 中記下的 VPN 設定檔名稱。 在我們的範例中，字串是 ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/Mode。
4. 在 [資料類型] 中，輸入 [字串]。
5. 在 [值] 中，輸入 BLACKLIST 或 WHITELIST。

步驟 3 - 指派這兩個原則

將這兩個裝置設定檔指派給所需的使用者或裝置。

資源

• 如需所有 Android 裝置管理員 VPN 設定的清單，請前往 Android 裝置設定以設定 VPN。
• 若要深入瞭解 VPN 設定和 Intune，請移至 在 Microsoft Intune 中設定 VPN 設定。