在 Microsoft Intune 中新增適用於 iOS 與 iPadOS 裝置的 VPN 設定

Microsoft Intune 包含許多可部署到iOS/iPadOS裝置的 VPN 設定。 這些設定可用來建立和設定組織網路的 VPN 連線。 本文說明這些設定。 某些設定僅適用於某些 VPN 用戶端，例如 Citrix、Zscaler 等等。

本功能適用於：

• iOS/iPadOS

開始之前

• 建立 iOS/iPadOS VPN 裝置組態配置檔。

• 某些 Microsoft 365 服務，例如 Outlook，可能無法使用第三方或合作夥伴 VPN 來順利執行。 如果您使用第三方或合作夥伴 VPN，並遇到延遲或效能問題，請移除 VPN。

  如果移除 VPN 可解決此行為，您可以：

  • 請與第三方或合作夥伴 VPN 合作，以取得可能的解決方案。 Microsoft 不提供第三方或合作夥伴 VPN 的技術支援。
  • 請勿搭配 Outlook 流量使用 VPN。
  • 如果您需要使用 VPN，請使用分割通道 VPN。 此外，允許 Outlook 流量略過 VPN。

  如需詳細資訊，請移至：

  • 概觀：Microsoft 365 的 VPN 分割通道
  • 搭配 Microsoft 365 使用第三方網路裝置或解決方案
  • 安全性專業人員和IT在現今獨特的遠端工作案例部落格中達成新式安全性控制的替代方式
  • Microsoft 365 網路連線原則

• 如果您需要這些裝置才能使用新式驗證和條件式存取來存取內部部署資源，則可以使用支援分割通道的 Microsoft Tunnel。

注意事項

• 這些設定適用於用戶註冊以外的所有註冊類型。 用戶註冊僅限於 個別應用程式 VPN。 如需註冊類型的詳細資訊，請參閱 iOS/iPadOS 註冊。

• 可用的設定取決於您選擇的 VPN 用戶端。 某些設定僅適用於特定 VPN 用戶端。

• 這些設定會使用 Apple VPN承載 (開啟Apple的網站) 。

連線類型

從下列廠商清單中選取 VPN 連線類型：

• Check Point 艙 VPN

• Cisco Legacy AnyConnect

  適用於 Cisco Legacy AnyConnect 應用程式 4.0.5x 版和更早版本。

• Cisco AnyConnect

  適用於 Cisco AnyConnect 應用程式 4.0.7x 版和更新版本。

• SonicWall Mobile Connect

• F5 舊版存取

  適用於 F5 Access 應用程式 2.1 版和更早版本。

• F5 Access

  適用於 F5 Access 應用程式 3.0 版和更新版本。

• Palo Alto Networks GlobalProtect (舊版)

  適用於 Palo Alto Networks GlobalProtect 應用程式 4.1 版和更早版本。

• Palo Alto Networks GlobalProtect

  適用於 Palo Alto Networks GlobalProtect 應用程式 5.0 版和更新版本。

• Pulse Secure

• Cisco (IPSec)

• Citrix VPN

• Citrix SSO

• Zscaler

  若要使用條件式存取，或允許使用者略過 Zscaler 登入畫面，您必須將 Zscaler Private Access (ZPA) 與 Microsoft Entra 帳戶整合。 如需詳細步驟，請參閱 Zscaler 檔。

• NetMotion Mobility

• IKEv2

  本文中 (的 IKEv2 設定) 說明屬性。

• Microsoft Tunnel

  適用於包含 Tunnel 用戶端功能的 適用於端點的 Microsoft Defender 應用程式。

• 自定義 VPN

注意事項

Cisco、Citrix、F5 和 Palo Alto 已宣佈其舊版客戶端無法在 iOS 12 和更新版本上運作。 您應該儘快移轉至新的應用程式。 如需詳細資訊，請參閱 Microsoft Intune 支援小組部落格。

基底 VPN 設定

• 線上名稱：使用者在瀏覽其裝置以取得可用 VPN 連線清單時，會看到此名稱。

• 自定義功能變數名稱 (僅限 Zscaler) ：使用使用者所屬的網域預先填入 Zscaler 應用程式的登入字段。 例如，如果用戶名稱是 Joe@contoso.net，則 contoso.net 當應用程式開啟時，網域會靜態地出現在字段中。 如果您未輸入功能變數名稱，則會使用 #D7F74250EB86D44DC84EDF94F4BD0FC1C 中 UPN 的網域部分。

• VPN 伺服器地址：裝置連線之 VPN 伺服器的 IP 位址或完整功能變數名稱 (FQDN) 。 例如，輸入 192.168.1.1 或 vpn.contoso.com。

• 組織的雲端名稱 僅 (Zscaler) ：輸入您組織布建所在的雲端名稱。 您用來登入 Zscaler 的網址具有名稱。

• 驗證方法：選擇裝置向 VPN 伺服器進行驗證的方式。

  • 憑證：在 [驗證憑證] 下，選取現有的SCEP或PKCS憑證配置檔來驗證連線。 設定憑證 提供憑證配置檔的一些指引。

  • 使用者名稱和密碼：用戶必須輸入使用者名稱和密碼，才能登入 VPN 伺服器。

    注意事項

    如果使用者名稱和密碼作為 Cisco IPsec VPN 的驗證方法，則必須透過自定義 Apple Configurator 配置檔傳遞 SharedSecret。

  • 衍生認證：使用衍生自用戶智慧卡的憑證。 如果未設定任何衍生認證簽發者，Intune 會提示您新增認證簽發者。 如需詳細資訊，請參閱在 Microsoft Intune 中使用衍生認證。

• 排除的 URL (僅限 Zscaler) ：連線到 Zscaler VPN 時，列出的 URL 可在 Zscaler 雲端外部存取。 您最多可以新增 50 個 URL。

• 分割通道： [啟用 ] 或 [ 停用] 可讓裝置決定要使用的聯機，視流量而定。 例如，旅館中的使用者會使用 VPN 連線來存取工作檔案，但會使用旅館的標準網路進行一般網頁流覽。

• VPN 識別碼 (自定義 VPN、Zscaler 和 Citrix) ：您所使用 VPN 應用程式的識別碼，並由您的 VPN 提供者提供。

• 輸入組織自定義 VPN 屬性的索引鍵/值組 (自定義 VPN、Zscaler 和 Citrix) ：新增或匯入自定義 VPN 連線 的索引鍵 和 值 。 請記住，這些值通常是由您的 VPN 提供者提供。

• 啟用網路訪問控制 (NAC) (Cisco AnyConnect、Citrix SSO、F5 Access) ：當您選擇 [我同意] 時，裝置標識符會包含在 VPN 配置檔中。 此標識碼可用於對 VPN 進行驗證，以允許或防止網路存取。

  搭配 ISE 使用 Cisco AnyConnect 時，請務必：

  • 如果您尚未這麼做，請將 ISE 與 NAC 的 Intune 整合，如在 Cisco Identity Services 引擎系統管理員指南中將 Microsoft Intune 設定為 MDM 伺服器中所述。
  • 在 VPN 設定檔中啟用 NAC。

  重要事項

  (NAC) 服務的網路訪問控制已被取代，並取代為 Microsoft 的最新 NAC 服務，也就是合規性擷取服務 (CR 服務) 。 若要支援 Cisco ISE 內的變更，Intune 變更裝置識別碼格式。 因此，使用原始 NAC 服務的現有配置檔將會停止運作。

  若要使用CR服務並防止VPN連線停機，請重新部署這個相同的 VPN 裝置組態配置檔。 配置檔不需要變更。 您只需要重新部署。 當裝置與 Intune 服務同步處理並接收 VPN 組態配置檔時，CR 服務變更會自動部署到裝置。 此外，您的 VPN 連線應該會繼續運作。

  搭配閘道使用 Citrix SSO 時，請務必：

  • 確認您使用的是 Citrix Gateway 12.0.59 或更新版本。
  • 確認您的使用者已在其裝置上安裝 Citrix SSO 1.1.6 或更新版本。
  • 整合 Citrix 閘道與 NAC Intune。 請參閱整合 Microsoft Intune/Enterprise Mobility Suite 與 NetScaler (LDAP+OTP 案例) Citrix 部署指南。
  • 在 VPN 設定檔中啟用 NAC。

  使用 F5 Access 時，請務必：

  • 確認您使用的是 F5 BIG-IP 13.1.1.5 或更新版本。
  • 整合 BIG-IP 與 NAC 的 Intune。 請參閱 概觀：設定 APM 以使用端點管理系統進行裝置狀態檢查 F5 指南。
  • 在 VPN 設定檔中啟用 NAC。

  對於支援裝置識別碼的 VPN 合作夥伴，例如 Citrix SSO 的 VPN 用戶端可以取得識別碼。 然後，它可以查詢 Intune 以確認裝置已註冊，以及 VPN 配置檔是否符合規範。

  • 若要移除此設定，請重新建立配置檔，而不要選取 [我同意]。 然後，重新指派配置檔。

• 輸入 NetMotion Mobility VPN 屬性的索引鍵和值組 ， (僅限 NetMotion Mobility) ：輸入或匯入索引鍵和值組。 這些值可能由您的 VPN 提供者提供。

• Microsoft Tunnel 網站 (僅限 Microsoft Tunnel) ：選取現有的網站。 VPN 用戶端會連線到此網站的公用IP位址或 FQDN。

  如需詳細資訊，請參閱適用於 Intune 的 Microsoft Tunnel。

IKEv2 設定

當您選擇 [連線類型>IKEv2] 時，就會套用這些設定。

• Always-on VPN： 啟用 會設定 VPN 用戶端自動連線並重新連線至 VPN。 當使用者鎖定裝置、裝置重新啟動或無線網路變更時，一律開啟的 VPN 聯機會保持連線或立即連線。 當設定為 [停用 (預設) 時，會停用所有 VPN 用戶端的永遠開啟 VPN。 啟用時，也請設定：

  • 網路介面：所有 IKEv2 設定僅適用於您選擇的網路介面。 選項包括：

    • Wi-Fi 和行動數據 (預設) ：IKEv2 設定適用於裝置上的 Wi-Fi 和行動介面。
    • 行動數據：IKEv2 設定僅適用於裝置上的行動電話介面。 如果您要部署至停用或移除 Wi-Fi 介面的裝置，請選取此選項。
    • Wi-Fi：IKEv2 設定僅適用於裝置上的 Wi-Fi 介面。

  • 停用 VPN 設定的使用者： [啟用 ] 可讓使用者關閉永遠開啟的 VPN。 停用 預設 () 防止使用者將它關閉。此設定的預設值是最安全的選項。

  • 語音信箱：選擇啟用 Always-On VPN 時，語音信箱流量會發生什麼情況。 選項包括：

    • 強制透過 VPN 的網路流量 (預設) ：此設定是最安全的選項。
    • 允許網路流量通過 VPN 外部
    • 捨棄網路流量

  • AirPrint：選擇啟用 Always-On VPN 時，AirPrint 流量會發生什麼情況。 選項包括：

    • 強制透過 VPN 的網路流量 (預設) ：此設定是最安全的選項。
    • 允許網路流量通過 VPN 外部
    • 捨棄網路流量

  • 行動數據服務：在iOS 13.0+ 上，選擇啟用Always-On VPN時，行動數據流量會發生什麼情況。 選項包括：

    • 強制透過 VPN 的網路流量 (預設) ：此設定是最安全的選項。
    • 允許網路流量通過 VPN 外部
    • 捨棄網路流量

  • 允許來自非原生網頁網路應用程式的流量通過外部 VPN：網頁驗證網路是指通常在餐廳和旅館中找到的 Wi-Fi 熱點。 選項包括：

    • 否：強制所有網頁網路 (CN) 透過 VPN 通道的應用程式流量。
    • 是，所有應用程式：允許所有 CN 應用程式流量略過 VPN。
    • 是，特定應用程式： 新增 流量可略過 VPN 的 CN 應用程式清單。 輸入 CN 應用程式的套件組合識別碼。 例如，輸入 com.contoso.app.id.package。

  • 從網頁工作表應用程式傳送至 VPN 外部的流量：Captive WebSheet 是處理網頁驗證登入的內建網頁瀏覽器。 [啟用 ] 可讓瀏覽器應用程式流量略過 VPN。 停用 (預設) 強制 WebSheet 流量使用永遠開啟的 VPN。 預設值是最安全的選項。

  • 網路位址轉換 (NAT) 保留間隔 (秒) ：若要保持連線至 VPN，裝置會傳送網路封包以維持作用中狀態。 在 20-1440 之間，以秒為單位輸入這些封包傳送頻率的值。 例如，輸入的 60 值，每隔 60 秒傳送網路封包至 VPN。 根據預設，此值會設定為 110 秒。

  • 當裝置處於睡眠狀態時，將 NAT Keepalive 卸載至硬體：當裝置處於睡眠狀態時， 啟用 (預設) NAT 會持續傳送持續連線封包，讓裝置保持連線至 VPN。 [停用 ] 會關閉這項功能。

• 遠端識別碼：輸入 IKEv2 伺服器的網路 IP 位址、FQDN、UserFQDN 或 ASN1DN。 例如，輸入 10.0.0.3 或 vpn.contoso.com。 一般而言，您會輸入與本文) 中聯機 名稱 (相同的值。 但確實取決於您的 IKEv2 伺服器設定。

• 本機標識碼：輸入裝置上 IKEv2 VPN 用戶端的裝置 FQDN 或主體通用名稱。 或者，您可以將此值保留空白 (預設) 。 一般而言，本機標識碼應該符合使用者或裝置憑證的身分識別。 IKEv2 伺服器可能需要相符的值，才能驗證用戶端的身分識別。

• 用戶端驗證類型：選擇 VPN 用戶端向 VPN 驗證方式。 選項包括：

  • 使用者驗證 (預設) ：用戶認證會向 VPN 進行驗證。
  • 機器驗證：裝置認證會向 VPN 進行驗證。

• 驗證方法：選擇要傳送至伺服器的客戶端認證類型。 選項包括：

  • 憑證：使用現有的憑證配置檔向 VPN 進行驗證。 請確定此憑證配置檔已指派給使用者或裝置。 否則，VPN 聯機會失敗。

    • 憑證類型：選取憑證所使用的加密類型。 請確定 VPN 伺服器已設定為接受這種類型的憑證。 選項包括：
      • RSA (預設)
      • ECDSA256
      • ECDSA384
      • ECDSA521

  • 共用密碼 (計算機驗證僅) ：可讓您輸入要傳送至 VPN 伺服器的共享密碼。

    • 共用密碼：輸入共享密碼，也稱為 PSK) (預先共用密鑰。 請確定值符合 VPN 伺服器上設定的共享密碼。

• 伺服器證書簽發者一般名稱：允許 VPN 伺服器向 VPN 用戶端進行驗證。 輸入傳送至裝置上 VPN 用戶端之 VPN 伺服器證書的憑證簽發者 (CN) 一般名稱。 請確定 CN 值符合 VPN 伺服器上的設定。 否則，VPN 聯機會失敗。

• 伺服器證書一般名稱：輸入憑證本身的 CN。 如果保留空白，則會使用遠端標識碼值。

• 無作用對等偵測速率：選擇 VPN 用戶端檢查 VPN 通道是否作用中的頻率。 選項包括：

  • 未設定：使用 iOS/iPadOS 系統預設值，這可能與選擇 [中] 相同。
  • 無：停用無效的對等偵測。
  • 低：每隔 30 分鐘傳送一則保留訊息。
  • 中 (預設) ：每隔 10 分鐘傳送一則保留訊息。
  • 高：每隔 60 秒傳送一則保留訊息。

• TLS 版本範圍最小值：輸入要使用的最低 TLS 版本。 輸入 1.0、 1.1或 1.2。 如果保留空白，則會使用的 1.0 預設值。 使用使用者驗證和憑證時，您必須設定此設定。

• TLS 版本範圍上限：輸入要使用的最大 TLS 版本。 輸入 1.0、 1.1或 1.2。 如果保留空白，則會使用的 1.2 預設值。 使用使用者驗證和憑證時，您必須設定此設定。

• 完美轉寄密碼：選 取 [啟用 ] 以開啟 PFS) (完整轉寄密碼。 PFS 是一項IP安全性功能，可在會話密鑰遭到入侵時減少影響。 停用 (預設) 不使用 PFS。

• 憑證撤銷檢查：選取 [啟用 ] 以確定憑證在允許 VPN 連線成功之前不會撤銷。 這項檢查最費力。 如果 VPN 伺服器在判斷憑證是否已撤銷之前逾時，則會授與存取權。 停用 (預設) 不會檢查是否已撤銷憑證。

• 使用 IPv4/IPv6 內部子網屬性：某些 IKEv2 伺服器會使用 INTERNAL_IP4_SUBNET 或 INTERNAL_IP6_SUBNET 屬性。 [啟用 ] 會強制 VPN 連線使用這些屬性。 停用 (預設) 不會強制 VPN 連線使用這些子網屬性。

• 行動性和多路 (MOBIKE) ：MOBIKE 可讓 VPN 用戶端變更其 IP 位址，而不需要重新建立與 VPN 伺服器的安全性關聯。 啟用 (預設) 開啟MOBIKE，這可改善在網路之間傳輸時的 VPN 連線。 停用 會關閉MOBIKE。

• 重新導向：如果從 VPN 伺服器收到重新導向要求， 啟用 (預設) 重新導向 IKEv2 連線。如果從 VPN 伺服器收到重新導向要求， 停用 會防止 IKEv2 連線重新導向。

• 傳輸單位上限：輸入從 1 到 65536 的 MTU (以位元組為單位) 的最大傳輸單位。 當設定為 [未設定] 或保留空白時，Intune 不會變更或更新此設定。 根據預設，Apple 可能會將此值設定為 1280。

  這個設定適用於：

  • iOS/iPadOS 14 和更新版本

• 安全性關聯參數：輸入與 VPN 伺服器建立安全性關聯時要使用的參數：

  • 加密演算法：選取您想要的演算法：

    • Des
    • 3DES
    • AES-128
    • AES-256 (預設)
    • AES-128-GCM
    • AES-256-GCM

    注意事項

    如果您將加密演算法設定為 AES-128-GCM 或 AES-256-GCM，則 AES-256 會使用預設值。 這是已知問題，將在未來的版本中修正。 沒有ETA。

  • 完整性演算法：選取您想要的演算法：

    • SHA1-96
    • SHA1-160
    • SHA2-256 (預設)
    • SHA2-384
    • SHA2-512

  • Diffie-Hellman 群組：選取您想要的群組。 預設值為群組 2。

  • 存留 期 (分鐘) ：輸入安全性關聯保持作用中的時間，直到密鑰旋轉為止。 輸入介於 和 (1440 分鐘之間的 101440 整個值為 24 小時) 。 預設值為 1440。

• 子安全性關聯參數：iOS/iPadOS 可讓您為 IKE 連線和任何子連線設定個別的參數。 輸入與 VPN 伺服器建立 子 安全性關聯時所使用的參數：

  • 加密演算法：選取您想要的演算法：

    • Des
    • 3DES
    • AES-128
    • AES-256 (預設)
    • AES-128-GCM
    • AES-256-GCM

    注意事項

    如果您將加密演算法設定為 AES-128-GCM 或 AES-256-GCM，則 AES-256 會使用預設值。 這是已知問題，將在未來的版本中修正。 沒有ETA。

• 完整性演算法：選取您想要的演算法：

  • SHA1-96
  • SHA1-160
  • SHA2-256 (預設)
  • SHA2-384
  • SHA2-512

  另請設定：

  • Diffie-Hellman 群組：選取您想要的群組。 預設值為群組 2。
  • 存留 期 (分鐘) ：輸入安全性關聯保持作用中的時間，直到密鑰旋轉為止。 輸入介於 和 (1440 分鐘之間的 101440 整個值為 24 小時) 。 預設值為 1440。

自動 VPN

• 自動 VPN 類型：選取您想要設定的 VPN 類型 - 隨選 VPN 或個別應用程式 VPN。 請確定您只使用一個選項。 同時使用它們會造成連線問題。

  • 未設定 (預設) ：Intune 不會變更或更新此設定。

  • 隨選 VPN：隨選 VPN 會使用規則來自動連線或中斷 VPN 連線。 當您的裝置嘗試連線到 VPN 時，它會在您建立的參數和規則中尋找相符專案，例如相符的功能變數名稱。 如果有相符專案，則會執行您選擇的動作。

    例如，您可以建立只有在裝置未連線到公司 Wi-Fi 網路時，才會使用 VPN 連線的條件。 或者，如果裝置無法存取您輸入的 DNS 搜尋網域，則不會啟動 VPN 連線。

    • 隨選規則>新增：選取 [新增 ] 以新增規則。 如果沒有現有的 VPN 連線，請使用這些設定來建立隨選規則。 如果符合您的規則，則裝置會執行您選取的動作。

      • 我想要執行下列動作：如果裝置值與隨選規則相符，請選取您想要裝置執行的動作。 選項包括：

        • 建立 VPN：如果裝置值與隨選規則相符，則裝置會連線到 VPN。

        • 中斷 VPN 連線：如果裝置值與隨選規則相符，則 VPN 聯機會中斷連線。

        • 評估每個連線嘗試：如果裝置值與隨選規則相符，請使用 選擇是否要連線 設定來決定 每個 VPN 連線嘗試會發生什麼事：

          • 視需要連線：如果裝置位於內部網路上，或已建立內部網路的 VPN 連線，則隨選 VPN 將不會連線。 不會使用這些設定。

            如果沒有現有的 VPN 連線，則針對 每個 VPN 連線嘗試，決定使用者是否應該使用 DNS 功能變數名稱進行連線。 此規則僅適用於 [ 當使用者嘗試存取這些網域 ] 清單中的網域。 所有其他網域都會被忽略。

            • 當使用者嘗試存取這些網域時：輸入一或多個 DNS 網域，例如 contoso.com。 如果使用者嘗試連線到此清單中的網域，則裝置會使用 DNS 來解析您輸入的網域。 如果網域未解析，表示其無法存取內部資源，則會依需求連線到 VPN。 如果網域確實已解析，表示其已可存取內部資源，則不會連線到 VPN。

              注意事項

              • 如果 [當使用者嘗試存取這些網域 時] 設定是空的，則裝置會使用網路連線服務上設定的 DNS 伺服器 (Wi-Fi/乙太網路) 來解析網域。 其概念是這些 DNS 伺服器是公用伺服器。

                [當使用者嘗試存取這些網域] 清單中的網域是內部資源。 內部資源不在公用 DNS 伺服器上，且無法解析。 因此，裝置會連線到 VPN。 現在，網域已使用 VPN 連線的 DNS 伺服器進行解析，且內部資源可供使用。

                如果裝置位於內部網路上，則網域會解析，而且不會建立 VPN 連線，因為內部網域已經可用。 您不想要在已在內部網路上的裝置上浪費 VPN 資源。

              • 如果已填 入 [當使用者嘗試存取這些網域 ] 設定，則會使用此清單上的 DNS 伺服器來解析清單中的網域。

                此概念與第一個項目符號 (當用戶嘗試存取這些網域 設定為空白) 相反。 例如， [當使用者嘗試存取這些網域 時] 清單具有內部 DNS 伺服器。 外部網路上的裝置無法路由傳送至內部 DNS 伺服器。 名稱解析逾時，裝置隨選連線到 VPN。 現在可以使用內部資源。

                請記住，這項資訊僅適用於 [當使用者嘗試存取這些網域 ] 清單中的網域。 所有其他網域都會使用公用 DNS 伺服器來解析。 當裝置連線到內部網路時，清單中的 DNS 伺服器可以存取，而且不需要連線到 VPN。

            • 使用下列 DNS 伺服器來解析這些網域 (選擇性) ：輸入一或多個 DNS 伺服器 IP 位址，例如 10.0.0.22。 您輸入的 DNS 伺服器是用來解析 [ 當使用者嘗試存取這些網域 ] 設定中的網域。

            • 當此 URL 無法連線時，請強制連線 VPN：選擇性。 輸入規則用來作為測試的 HTTP 或 HTTPS 探查 URL。 例如，輸入 https://probe.Contoso.com。 每當用戶嘗試存取網域時，就會在 [當使用者嘗試存取這些網域 ] 設定中探查此 URL。 使用者看不到 URL 字串探查網站。

              如果探查因為 URL 無法連線或未傳回 200 HTTP 狀態代碼而失敗，則裝置會連線到 VPN。

              其概念是 URL 只能在內部網路上存取。 如果可以存取 URL，則不需要 VPN 連線。 如果無法存取 URL，則裝置會在外部網路上，並依需求連線到 VPN。 建立 VPN 連線之後，即可使用內部資源。

          • 永不連線：針對每個 VPN 連線嘗試，當使用者嘗試存取您輸入的網域時，裝置永遠不會連線到 VPN。

            • 當使用者嘗試存取這些網域時：輸入一或多個 DNS 網域，例如 contoso.com。 如果使用者嘗試連線到此清單中的網域，則不會建立 VPN 連線。 如果他們嘗試連線到不在此清單中的網域，則裝置會連線到 VPN。

        • 忽略：如果裝置值與隨選規則相符，則會忽略 VPN 連線。

      • 我想要限制為：在 [ 我想要執行下列 設定] 中，如果您選取 [ 建立 VPN]、[ 中斷 VPN 連線] 或 [ 忽略]，則選取規則必須符合的條件。 選項包括：

        • 特定 SSID：輸入規則適用的一或多個無線網路名稱。 此網路名稱是 SSID) (服務集識別碼。 例如，輸入 Contoso VPN。
        • 特定搜尋網域：輸入套用規則的一或多個 DNS 網域。 例如，輸入 contoso.com。
        • 所有網域：選取此選項可將您的規則套用至組織中的所有網域。

      • 但只有在此 URL 探查成功時：選擇性。 輸入規則用來作為測試的URL。 例如，輸入 https://probe.Contoso.com。 如果裝置在未重新導向的情況下存取此 URL，則會啟動 VPN 連線。 而且，裝置會連線到目標URL。 使用者看不到 URL 字串探查網站。

        例如，URL 會在裝置透過 VPN 連線到目標 URL 之前，測試 VPN 連線到月臺的能力。

    • 禁止使用者停用自動 VPN：您的選項：

      • 未設定：Intune 不會變更或更新此設定。
      • 是：防止使用者關閉自動 VPN。 它會強制使用者讓自動 VPN 保持啟用並執行。
      • 否：允許使用者關閉自動 VPN。

      這個設定適用於：

      • iOS 14 和更新版本
      • iPadOS 14 和更新版本

  • 個別應用程式 VPN：將此 VPN 連線與特定應用程式建立關聯，以啟用個別應用程式 VPN。 當應用程式執行時，VPN 連線就會啟動。 當您指派應用程式軟體或程式時，可以將 VPN 設定檔與應用程式產生關聯。 如需詳細資訊，請 參閱如何指派和監視應用程式。

    IKEv2 連線不支援個別應用程式 VPN。 如需詳細資訊，請參閱 為iOS/iPadOS裝置設定個別應用程式 VPN。

    • 提供者類型：僅適用於 Pulse Secure 和自定義 VPN。

      搭配 Pulse Secure 或自定義 VPN 使用個別應用程式 VPN 配置檔時，請選擇應用程式層通道 (應用程式 Proxy) 或封包層級通道 (封包通道) ：

      • app-proxy：針對應用層通道選取此選項。
      • packet-tunnel：針對封包層通道選取此選項。

      如果您不確定要使用哪一個選項，請檢查 VPN 提供者的檔。

    • 將觸發此 VPN 的 Safari URL：新增一或多個網站 URL。 使用裝置上的 Safari 瀏覽器瀏覽這些 URL 時，會自動建立 VPN 連線。 例如，輸入 contoso.com。

    • 相關聯的網域：在 VPN 配置檔中輸入相關聯的網域，以搭配此 VPN 連線使用。

      如需詳細資訊，請參閱 相關聯的網域。

    • 排除的網域：輸入可在個別應用程式 VPN 連線時略過 VPN 連線的網域。 例如，輸入 contoso.com。 即使 VPN 已連線，網域的 contoso.com 流量也會使用公用因特網。

    • 禁止使用者停用自動 VPN：您的選項：

      • 未設定：Intune 不會變更或更新此設定。
      • 是：防止使用者在 VPN 設定檔設定內關閉 [隨選連線] 切換。 它會強制使用者讓個別應用程式 VPN 或隨選規則保持啟用並執行。
      • 否：允許使用者關閉 [隨選連線] 切換，這會停用個別應用程式 VPN 和隨選規則。

      這個設定適用於：

      • iOS 14 和更新版本
      • iPadOS 14 和更新版本

個別應用程式 VPN

這些設定適用於下列 VPN 連線類型：

• Microsoft Tunnel

設定：

• 個別應用程式 VPN： 啟用 會將特定應用程式與此 VPN 連線產生關聯。 當應用程式執行時，流量會自動透過 VPN 連線路由傳送。 當您指派軟體時，可以將 VPN 設定檔與應用程式產生關聯。 如需詳細資訊，請 參閱如何指派和監視應用程式。

  如需詳細資訊，請參閱適用於 Intune 的 Microsoft Tunnel。

• 將觸發此 VPN 的 Safari URL：新增一或多個網站 URL。 使用裝置上的 Safari 瀏覽器瀏覽這些 URL 時，會自動建立 VPN 連線。 例如，輸入 contoso.com。

• 相關聯的網域：在 VPN 配置檔中輸入相關聯的網域，以搭配此 VPN 連線使用。

  如需詳細資訊，請參閱 相關聯的網域。

• 排除的網域：輸入可在個別應用程式 VPN 連線時略過 VPN 連線的網域。 例如，輸入 contoso.com。 即使 VPN 已連線，網域的 contoso.com 流量也會使用公用因特網。

Proxy

如果您使用 Proxy，請設定下列設定。

• 自動設定文稿：使用檔案來設定 Proxy 伺服器。 輸入包含組態檔的 Proxy 伺服器 URL。 例如，輸入 http://proxy.contoso.com/pac。
• 位址：輸入 Proxy 伺服器的IP位址或完整主機名。 例如，輸入 10.0.0.3 或 vpn.contoso.com。
• 埠號碼：輸入與 Proxy 伺服器相關聯的埠號碼。 例如，輸入 8080。

後續步驟

配置檔已建立，但可能尚未執行任何動作。 請務必 指派配置檔 並 監視其狀態。

在 Android、Android Enterprise、macOS 和 Windows 10 裝置上設定 VPN 設定。