在 Microsoft Intune 中新增適用於 iOS 與 iPadOS 裝置的 VPN 設定

Microsoft Intune包含許多可部署到 iOS/iPadOS 裝置的 VPN 設定。 這些設定可用來建立和設定組織網路的 VPN 連線。 本文說明這些設定。 某些設定僅適用于某些 VPN 用戶端，例如 Citrix、Zscaler 等等。

在您開始之前

• 建立 iOS/iPadOS VPN 裝置組態設定檔。

• 某些Microsoft 365 服務，例如 Outlook，可能無法使用協力廠商或合作夥伴 VPN 來順利執行。 如果您使用協力廠商或合作夥伴 VPN，並遇到延遲或效能問題，請移除 VPN。

  如果移除 VPN 可解決此行為，您可以：

  • 請與協力廠商或合作夥伴 VPN 合作，以取得可能的解決方案。 Microsoft不提供協力廠商或合作夥伴 VPN 的技術支援。
  • 請勿搭配 Outlook 流量使用 VPN。
  • 如果您需要使用 VPN，請使用分割通道 VPN，例如Microsoft通道。 此外，允許 Outlook 流量略過 VPN。

  如需詳細資訊，請移至：

  • 概觀：適用于 Microsoft 365 的 VPN 分割通道
  • 使用協力廠商網路裝置或解決方案搭配 Microsoft 365
  • 安全性專業人員和 IT 在現今獨特的遠端工作案例部落格中達成新式安全性控制的替代方式
  • Microsoft 365 網路連線原則

注意事項

• 這些設定適用于使用者註冊以外的所有註冊類型。 使用者註冊僅限於 個別應用程式 VPN。 如需註冊類型的詳細資訊，請參閱 iOS/iPadOS 註冊。

• 可用的設定取決於您選擇的 VPN 用戶端。 某些設定僅適用于特定 VPN 用戶端。

• 這些設定會使用 Apple VPN 承載 (開啟 Apple 的網站) 。

連線類型

從下列廠商清單中選取 VPN 連線類型：

• Check Point艙 VPN

• Cisco Legacy AnyConnect

  適用于 Cisco Legacy AnyConnect 應用程式 4.0.5x 版和更早版本。

• Cisco AnyConnect

  適用于 Cisco AnyConnect 應用程式 4.0.7x 版和更新版本。

• SonicWall Mobile Connect

• F5 舊版存取

  適用于 F5 Access 應用程式 2.1 版和更早版本。

• F5 Access

  適用于 F5 Access 應用程式 3.0 版和更新版本。

• Palo Alto Networks GlobalProtect (舊版)

  適用于 Palo Alto Networks GlobalProtect 應用程式 4.1 版和更早版本。

• Palo Alto Networks GlobalProtect

  適用于 Palo Alto Networks GlobalProtect 應用程式 5.0 版和更新版本。

• Pulse Secure

• Cisco (IPSec)

• Citrix VPN

• Citrix SSO

• Zscaler

  若要使用條件式存取，或允許使用者略過 Zscaler 登入畫面，您必須將 Zscaler Private Access (ZPA) 與 Azure AD 帳戶整合。 如需詳細步驟，請參閱 Zscaler 檔。

• NetMotion Mobility

• IKEv2

  本文中 (的IKEv2 設定) 說明屬性。

• Microsoft Tunnel (獨立用戶端) (預覽)

  適用于 Microsoft Tunnel 用戶端應用程式。

  重要事項

  規劃變更。 在 2022 年 4 月 29 日，當通道用戶端應用程式正式推出時，Microsoft信道連線類型和適用於端點的 Microsoft Defender。 在此正式運作後，Microsoft Tunnel (獨立用戶端) (預覽) 連線類型和獨立通道用戶端應用程式的使用已過時，且很快就會退出支援。

  • 在 2022 年 7 月 29 日，獨立通道用戶端應用程式將不再可供下載。 只有正式推出的適用於端點的 Microsoft Defender版本可作為通道用戶端應用程式使用。
  • 在 2022 年 8 月 1 日，Microsoft通道 (獨立用戶端) (預覽) 連線類型將停止連線到 Microsoft Tunnel。

  若要避免Microsoft通道的服務中斷，請規劃將您使用已淘汰的通道用戶端應用程式和連線類型移轉至現在已正式運作的應用程式。

• Microsoft Tunnel

  適用于包含 Tunnel 用戶端功能的適用於端點的 Microsoft Defender應用程式。

  重要事項

  在 2022 年 4 月 29 日，此連線類型正式推出，並支援適用於端點的 Microsoft Defender作為通道用戶端應用程式。 不過，連線類型會繼續反映 預覽。

• 自訂 VPN

注意事項

Cisco、Citrix、F5 和 Palo Alto 已宣佈其舊版用戶端無法在 iOS 12 和更新版本上運作。 您應該儘快移轉至新的應用程式。 如需詳細資訊，請參閱Microsoft Intune支援小組部落格。

基底 VPN 設定

• 連線名稱：使用者在流覽其裝置以取得可用 VPN 連線清單時，會看到此名稱。

• 自定義功能變數名稱 (僅限 Zscaler) ：使用使用者所屬的網域預先填入 Zscaler 應用程式的登入欄位。 例如，如果使用者名稱是 Joe@contoso.net ，則 contoso.net 當應用程式開啟時，網域會靜態地出現在 欄位中。 如果您未輸入功能變數名稱，則會使用 Azure Active Directory (AD) 中 UPN 的網域部分。

• VPN 伺服器位址：裝置連線之 VPN 伺服器的 IP 位址或完整功能變數名稱 (FQDN) 。 例如，輸入 192.168.1.1 或 vpn.contoso.com 。

• 組織的雲端名稱 僅 (Zscaler) ：輸入您組織布建所在的雲端名稱。 您用來登入 Zscaler 的 URL 具有名稱。

• 驗證方法：選擇裝置向 VPN 伺服器進行驗證的方式。

  • 憑證：在 [驗證憑證]下，選取現有的 SCEP 或 PKCS 憑證設定檔來驗證連線。 設定憑證 提供憑證設定檔的一些指引。

  • 使用者名稱和密碼：使用者必須輸入使用者名稱和密碼，才能登入 VPN 伺服器。

    注意事項

    如果使用者名稱和密碼作為 Cisco IPsec VPN 的驗證方法，則必須透過自訂 Apple Configurator 設定檔傳遞 SharedSecret。

  • 衍生認證：使用衍生自使用者智慧卡的憑證。 如果未設定任何衍生認證簽發者，Intune會提示您新增認證簽發者。 如需詳細資訊，請參閱在 Microsoft Intune 中使用衍生認證。

• 排除的 URL (僅限 Zscaler) ：連線到 Zscaler VPN 時，列出的 URL 可在 Zscaler 雲端外部存取。

• 分割通道： [啟用 ] 或 [ 停用] 可讓裝置決定要使用的連線，視流量而定。 例如，旅館中的使用者會使用 VPN 連線來存取工作檔案，但會使用旅館的標準網路進行一般網頁流覽。

• VPN 識別碼 (自訂 VPN、Zscaler 和 Citrix) ：您所使用 VPN 應用程式的識別碼，並由您的 VPN 提供者提供。

• 輸入您組織自訂 VPN 屬性的索引鍵/值組 ， (自訂 VPN、Zscaler 和 Citrix) ：新增或匯入自訂 VPN 連線 的索引鍵 和 值 。 請記住，這些值通常是由您的 VPN 提供者提供。

• 啟用網路存取控制 (NAC) (Cisco AnyConnect、Citrix SSO、F5 Access) ：當您選擇 [我同意] 時，裝置識別碼會包含在 VPN 設定檔中。 此識別碼可用於對 VPN 進行驗證，以允許或防止網路存取。

  搭配 ISE 使用 Cisco AnyConnect 時，請務必：

  • 如果您尚未這麼做，請將 ISE 與 NAC 的Intune整合，如在Cisco Identity Services 引擎系統管理員指南中將Microsoft Intune設定為 MDM 伺服器中所述。
  • 在 VPN 設定檔中啟用 NAC。

  搭配閘道使用 Citrix SSO 時，請務必：

  • 確認您使用的是 Citrix Gateway 12.0.59 或更新版本。
  • 確認您的使用者已在其裝置上安裝 Citrix SSO 1.1.6 或更新版本。
  • 整合 Citrix 閘道與 NAC Intune。 請參閱整合 Microsoft Intune/Enterprise Mobility Suite 與 NetScaler (LDAP+OTP 案例) Citrix 部署指南。
  • 在 VPN 設定檔中啟用 NAC。

  使用 F5 Access 時，請務必：

  • 確認您使用的是 F5 BIG-IP 13.1.1.5 或更新版本。
  • 整合 BIG-IP 與 NAC Intune。 請參閱 概觀：設定 APM 以使用端點管理系統進行裝置狀態檢查 F5 指南。
  • 在 VPN 設定檔中啟用 NAC。

  對於支援裝置識別碼的 VPN 合作夥伴，例如 Citrix SSO 的 VPN 用戶端可以取得識別碼。 然後，它可以查詢Intune來確認裝置已註冊，以及 VPN 設定檔是否符合規範。

  • 若要移除此設定，請重新建立設定檔，而不要選取 [我同意]。 然後，重新指派設定檔。

• 輸入 NetMotion Mobility VPN 屬性的索引鍵和值組 (僅限 NetMotion Mobility) ：輸入或匯入索引鍵和值組。 這些值可能由您的 VPN 提供者提供。

• Microsoft Tunnel 網站 (Microsoft通道僅) ：選取現有的月臺。 VPN 用戶端會連線到此網站的公用 IP 位址或 FQDN。

  如需詳細資訊，請參閱 Microsoft Tunnel for Intune。

IKEv2 設定

當您選擇[連線類型>IKEv2] 時，就會套用這些設定。

• Always-on VPN： 啟用 會設定 VPN 用戶端自動連線並重新連線至 VPN。 當使用者鎖定裝置、裝置重新開機或無線網路變更時，一律開啟的 VPN 連線會保持連線或立即連線。 當設定為 [停用 (預設) 時，會停用所有 VPN 用戶端的永遠開啟 VPN。 啟用時，也請設定：

  • 網路介面：所有 IKEv2 設定僅適用于您選擇的網路介面。 選項包括：

    • Wi-Fi 和行動資料 (預設) ：IKEv2 設定適用于裝置上的Wi-Fi和行動介面。
    • 行動資料：IKEv2 設定僅適用于裝置上的行動電話介面。 如果您要部署至停用或移除Wi-Fi介面的裝置，請選取此選項。
    • Wi-Fi：IKEv2 設定僅適用于裝置上的Wi-Fi介面。

  • 停用 VPN 設定的使用者： [啟用 ] 可讓使用者關閉永遠開啟的 VPN。 停用 預設 () 防止使用者將它關閉。此設定的預設值是最安全的選項。

  • 語音信箱：選擇啟用 Always-On VPN 時，語音信箱流量會發生什麼情況。 選項包括：

    • 強制透過 VPN 的網路流量 (預設) ：此設定是最安全的選項。
    • 允許網路流量通過 VPN 外部
    • 捨棄網路流量

  • AirPrint：選擇啟用 Always-On VPN 時，AirPrint 流量會發生什麼情況。 選項包括：

    • 強制透過 VPN 的網路流量 (預設) ：此設定是最安全的選項。
    • 允許網路流量通過 VPN 外部
    • 捨棄網路流量

  • 行動資料服務：在 iOS 13.0+ 上，選擇啟用 Always-On VPN 時，行動資料流量會發生什麼情況。 選項包括：

    • 強制透過 VPN 的網路流量 (預設) ：此設定是最安全的選項。
    • 允許網路流量通過 VPN 外部
    • 捨棄網路流量

  • 允許來自非原生網頁網路應用程式的流量通過外部 VPN：網頁驗證網路是指通常在餐廳和旅館中找到的Wi-Fi熱點。 選項包括：

    • 否：強制所有網頁網路 (CN) 透過 VPN 通道的應用程式流量。
    • 是，所有應用程式：允許所有 CN 應用程式流量略過 VPN。
    • 是，特定應用程式： 新增 流量可略過 VPN 的 CN 應用程式清單。 輸入 CN 應用程式的套件組合識別碼。 例如，輸入 com.contoso.app.id.package。

  • 從網頁工作表應用程式傳送至 VPN 外部的流量：Captive WebSheet 是處理網頁驗證登入的內建網頁瀏覽器。 [啟用 ] 可讓瀏覽器應用程式流量略過 VPN。 停用 (預設) 強制 WebSheet 流量使用永遠開啟的 VPN。 預設值是最安全的選項。

  • 網路位址轉譯 (NAT) 保留間隔 (秒) ：若要保持連線至 VPN，裝置會傳送網路封包以維持作用中狀態。 在 20-1440 之間，以秒為單位輸入這些封包傳送頻率的值。 例如，輸入 的 60 值，每隔 60 秒傳送網路封包至 VPN。 根據預設，此值會設定為 110 秒。

  • 當裝置處於睡眠狀態時，將 NAT Keepalive 卸載至硬體：當裝置處於睡眠狀態時， 啟用 (預設) NAT 會持續傳送持續連線封包，讓裝置保持連線至 VPN。 [停用 ] 會關閉這項功能。

• 遠端識別碼：輸入 IKEv2 伺服器的網路 IP 位址、FQDN、UserFQDN 或 ASN1DN。 例如，輸入 10.0.0.3 或 vpn.contoso.com 。 一般而言，您會輸入與本文) 中連線 名稱 (相同的值。 但確實取決於您的 IKEv2 伺服器設定。

• 本機識別碼：輸入裝置上 IKEv2 VPN 用戶端的裝置 FQDN 或主體通用名稱。 或者，您可以將此值保留空白 (預設) 。 一般而言，本機識別碼應該符合使用者或裝置憑證的身分識別。 IKEv2 伺服器可能需要相符的值，才能驗證用戶端的身分識別。

• 用戶端驗證類型：選擇 VPN 用戶端向 VPN 驗證方式。 選項包括：

  • 使用者驗證 (預設) ：使用者認證會向 VPN 進行驗證。
  • 機器驗證：裝置認證會向 VPN 進行驗證。

• 驗證方法：選擇要傳送至伺服器的用戶端認證類型。 選項包括：

  • 憑證：使用現有的憑證設定檔向 VPN 進行驗證。 請確定此憑證設定檔已指派給使用者或裝置。 否則，VPN 連線會失敗。

    • 憑證類型：選取憑證所使用的加密類型。 請確定 VPN 伺服器已設定為接受這種類型的憑證。 選項包括：
      • RSA (預設)
      • ECDSA256
      • ECDSA384
      • ECDSA521

  • 共用密碼 (電腦驗證僅) ：可讓您輸入要傳送至 VPN 伺服器的共用密碼。

    • 共用密碼：輸入共用密碼，也稱為 PSK) (預先共用金鑰。 請確定值符合 VPN 伺服器上設定的共用密碼。

• 伺服器憑證簽發者通用名稱：允許 VPN 伺服器向 VPN 用戶端進行驗證。 輸入傳送至裝置上 VPN 用戶端之 VPN 伺服器證書的憑證簽發者通用名稱 (CN) 。 請確定 CN 值符合 VPN 伺服器上的設定。 否則，VPN 連線會失敗。

• 伺服器憑證一般名稱：輸入憑證本身的 CN。 如果保留空白，則會使用遠端識別碼值。

• 無作用對等偵測速率：選擇 VPN 用戶端檢查 VPN 通道是否作用中的頻率。 選項包括：

  • 未設定：使用 iOS/iPadOS 系統預設值，這可能與選擇 [中]相同。
  • 無：停用不正確對等偵測。
  • 低：每隔 30 分鐘傳送一則保留訊息。
  • 中 (預設) ：每隔 10 分鐘傳送一則保留訊息。
  • 高：每隔 60 秒傳送一則保留訊息。

• TLS 版本範圍最小值：輸入要使用的最低 TLS 版本。 輸入 1.0 、 1.1 或 1.2 。 如果保留空白，則會使用 的 1.0 預設值。 使用使用者驗證和憑證時，您必須設定此設定。

• TLS 版本範圍上限：輸入要使用的最大 TLS 版本。 輸入 1.0 、 1.1 或 1.2 。 如果保留空白，則會使用 的 1.2 預設值。 使用使用者驗證和憑證時，您必須設定此設定。

• 完美轉寄密碼：選 取 [啟用 ] 以開啟 PFS) (完整轉寄密碼。 PFS 是一項 IP 安全性功能，可在工作階段金鑰遭到入侵時減少影響。 停用 (預設) 不使用 PFS。

• 憑證撤銷檢查：選取 [ 啟用 ] 以確定憑證在允許 VPN 連線成功之前不會撤銷。 這項檢查最費力。 如果 VPN 伺服器在判斷憑證是否已撤銷之前逾時，則會授與存取權。 停用 (預設) 不會檢查是否已撤銷憑證。

• 使用 IPv4/IPv6 內部子網屬性：某些 IKEv2 伺服器會使用 INTERNAL_IP4_SUBNET 或 INTERNAL_IP6_SUBNET 屬性。 [啟用 ] 會強制 VPN 連線使用這些屬性。 停用 (預設) 不會強制 VPN 連線使用這些子網屬性。

• 行動性和多路 (MOBIKE) ：MOBIKE 可讓 VPN 用戶端變更其 IP 位址，而不需要重新建立與 VPN 伺服器的安全性關聯。 啟用 (預設) 開啟 MOBIKE，這可改善在網路之間傳輸時的 VPN 連線。 停用 會關閉 MOBIKE。

• 重新導向：如果從 VPN 伺服器收到重新導向要求， 啟用 (預設) 重新導向 IKEv2 連線。如果從 VPN 伺服器收到重新導向要求， 停用 會防止 IKEv2 連線重新導向。

• 傳輸單位上限：輸入從 1 到 65536 的 MTU (以位元組為單位) 的最大傳輸單位。 當設定為[未設定] 或保留空白時，Intune不會變更或更新此設定。 根據預設，Apple 可能會將此值設定為 1280。

  此設定適用于：

  • iOS/iPadOS 14 和更新版本

• 安全性關聯參數：輸入與 VPN 伺服器建立安全性關聯時要使用的參數：

  • 加密演算法：選取您想要的演算法：

    • Des
    • 3DES
    • AES-128
    • AES-256 (預設)
    • AES-128-GCM
    • AES-256-GCM

    注意事項

    如果您將加密演算法設定為 AES-128-GCM 或 AES-256-GCM ，則 AES-256 會使用預設值。 這是已知問題，將在未來的版本中修正。 沒有 ETA。

  • 完整性演算法：選取您想要的演算法：

    • SHA1-96
    • SHA1-160
    • SHA2-256 (預設)
    • SHA2-384
    • SHA2-512

  • Diffie-Hellman 群組：選取您想要的群組。 預設值為群組 2 。

  • 存留 期 (分鐘) ：輸入安全性關聯保持作用中的時間，直到金鑰旋轉為止。 輸入介於 和 (1440 分鐘之間的 101440 整個值為 24 小時) 。 預設值為 1440 。

• 子安全性關聯參數：iOS/iPadOS 可讓您為 IKE 連線和任何子連線設定個別的參數。 輸入與 VPN 伺服器建立 子 安全性關聯時所使用的參數：

  • 加密演算法：選取您想要的演算法：

    • Des
    • 3DES
    • AES-128
    • AES-256 (預設)
    • AES-128-GCM
    • AES-256-GCM

    注意事項

    如果您將加密演算法設定為 AES-128-GCM 或 AES-256-GCM ，則 AES-256 會使用預設值。 這是已知問題，將在未來的版本中修正。 沒有 ETA。

• 完整性演算法：選取您想要的演算法：

  • SHA1-96
  • SHA1-160
  • SHA2-256 (預設)
  • SHA2-384
  • SHA2-512
  • Diffie-Hellman 群組：選取您想要的群組。 預設值為群組 2 。
  • 存留 期 (分鐘) ：輸入安全性關聯保持作用中的時間，直到金鑰旋轉為止。 輸入介於 和 (1440 分鐘之間的 101440 整個值為 24 小時) 。 預設值為 1440 。

自動 VPN

• 自動 VPN 類型：選取您要設定的 VPN 類型：隨選 VPN 或個別應用程式 VPN：

  • 未設定 (預設) ：Intune不會變更或更新此設定。

  • 隨選 VPN：隨選 VPN 會使用規則來自動連線或中斷 VPN 連線。 當您的裝置嘗試連線到 VPN 時，它會在您建立的參數和規則中尋找相符專案，例如相符的功能變數名稱。 如果有相符專案，則會執行您選擇的動作。

    例如，您可以建立只有在裝置未連線到公司Wi-Fi網路時，才會使用 VPN 連線的條件。 或者，如果裝置無法存取您輸入的 DNS 搜尋網域，則不會啟動 VPN 連線。

    • 隨選規則>新增：選取[新增] 以新增規則。 如果沒有現有的 VPN 連線，請使用這些設定來建立隨選規則。 如果符合您的規則，則裝置會執行您選取的動作。

      • 我想要執行下列動作：如果裝置值與隨選規則相符，請選取您想要裝置執行的動作。 選項包括：

        • 建立 VPN：如果裝置值與隨選規則相符，則裝置會連線到 VPN。

        • 中斷 VPN連線：如果裝置值與隨選規則相符，則 VPN 連線會中斷連線。

        • 評估每個連線嘗試：如果裝置值與隨選規則相符，請使用 選擇是否要聯 機設定來決定 每個 VPN 連線嘗試會發生什麼事：

          • 視需要聯機：如果裝置位於內部網路上，或已建立內部網路的 VPN 連線，則隨選 VPN 將不會連線。 不會使用這些設定。

            如果沒有現有的 VPN 連線，則針對 每個 VPN 連線嘗試，決定使用者是否應該使用 DNS 功能變數名稱進行連線。 此規則僅適用于 [ 當使用者嘗試存取這些網域 ] 清單中的網域。 所有其他網域都會被忽略。

            • 當使用者嘗試存取這些網域時：輸入一或多個 DNS 網域，例如 contoso.com 。 如果使用者嘗試連線到此清單中的網域，則裝置會使用 DNS 來解析您輸入的網域。 如果網域未解析，表示其無法存取內部資源，則會依需求連線到 VPN。 如果網域確實已解析，表示其已可存取內部資源，則不會連線到 VPN。

              注意事項

              • 如果 [當使用者嘗試存取這些網域 時] 設定是空的，則裝置會使用網路聯機服務上設定的 DNS 伺服器 (Wi-Fi/乙太網路) 來解析網域。 其概念是這些 DNS 伺服器是公用伺服器。

                [當使用者嘗試存取這些網域] 清單中的網域是內部資源。 內部資源不在公用 DNS 伺服器上，且無法解析。 因此，裝置會連線到 VPN。 現在，網域已使用 VPN 連線的 DNS 伺服器進行解析，且內部資源可供使用。

                如果裝置位於內部網路上，則網域會解析，而且不會建立 VPN 連線，因為內部網域已經可用。 您不想要在已經在內部網路上的裝置上浪費 VPN 資源。

              • 如果已填 入 [當使用者嘗試存取這些網域 ] 設定，則會使用此清單上的 DNS 伺服器來解析清單中的網域。

                此概念與第一個專案符號 (當使用者嘗試存取這些網域 設定為空白) 相反。 例如， [當使用者嘗試存取這些網域 時] 清單具有內部 DNS 伺服器。 外部網路上的裝置無法路由傳送至內部 DNS 伺服器。 名稱解析逾時，裝置隨選連線到 VPN。 現在可以使用內部資源。

                請記住，這項資訊僅適用于 使用者嘗試存取這些網域清單中的網域 。 所有其他網域都會使用公用 DNS 伺服器來解析。 當裝置連線到內部網路時，可存取清單中的 DNS 伺服器，而且不需要連線到 VPN。

            • 使用下列 DNS 伺服器來解析這些網域 (選擇性) ：輸入一或多個 DNS 伺服器 IP 位址，例如 10.0.0.22 。 您輸入的 DNS 伺服器是用來解析 [ 當使用者嘗試存取這些網域 ] 設定中的網域。

            • 當此 URL 無法連線時，請強制連線 VPN：選擇性。 輸入規則用來作為測試的 HTTP 或 HTTPS 探查 URL。 例如，輸入 https://probe.Contoso.com 。 每當使用者嘗試存取網域時，就會在 [當使用者嘗試存取這些網域 ] 設定中探查此 URL。 使用者看不到 URL 字串探查網站。

              如果探查因為 URL 無法連線或未傳回 200 HTTP 狀態碼而失敗，則裝置會連線到 VPN。

              其概念是 URL 只能在內部網路上存取。 如果可以存取 URL，則不需要 VPN 連線。 如果無法存取 URL，則裝置會在外部網路上，並依需求連線到 VPN。 建立 VPN 連線之後，即可使用內部資源。

          • 永不聯機：針對每個 VPN 連線嘗試，當使用者嘗試存取您輸入的網域時，裝置永遠不會連線到 VPN。

            • 當使用者嘗試存取這些網域時：輸入一或多個 DNS 網域，例如 contoso.com 。 如果使用者嘗試連線到此清單中的網域，則不會建立 VPN 連線。 如果他們嘗試連線到不在此清單中的網域，則裝置會連線到 VPN。

        • 忽略：如果裝置值與隨選規則相符，則會忽略 VPN 連線。

      • 我想要限制為：在 [ 我想要執行下列 設定] 中，如果您選取 [ 建立 VPN]、[ 中斷 VPN連線] 或 [ 忽略]，則選取規則必須符合的條件。 選項包括：

        • 特定 SSID：輸入規則將套用的一或多個無線網路名稱。 此網路名稱是 SSID) (服務組識別元。 例如，輸入 Contoso VPN。
        • 特定搜尋網域：輸入將套用規則的一或多個 DNS 網域。 例如，輸入 contoso.com。
        • 所有網域：選取此選項可將您的規則套用至組織中的所有網域。

      • 但只有在此 URL 探查成功時：選擇性。 輸入規則用來作為測試的 URL。 例如，輸入 https://probe.Contoso.com 。 如果裝置在未重新導向的情況下存取此 URL，則會啟動 VPN 連線。 而且，裝置會連線到目標 URL。 使用者看不到 URL 字串探查網站。

        例如，URL 會在裝置透過 VPN 連線到目標 URL 之前，測試 VPN 連線到月臺的能力。

    • 禁止使用者停用自動 VPN：您的選項：

      • 未設定：Intune 不會變更或更新此設定。
      • 是：防止使用者關閉自動 VPN。 它會強制使用者讓自動 VPN 保持啟用並執行。
      • 否：允許使用者關閉自動 VPN。

      此設定適用于：

      • iOS 14 和更新版本
      • iPadOS 14 和更新版本

  • 個別應用程式 VPN：將此 VPN 連線與特定應用程式建立關聯，以啟用個別應用程式 VPN。 當應用程式執行時，VPN 連線就會啟動。 當您指派應用程式軟體或程式時，可以將 VPN 設定檔與應用程式產生關聯。 如需詳細資訊，請 參閱如何指派和監視應用程式。

    IKEv2 連線不支援個別應用程式 VPN。 如需詳細資訊，請參閱 為 iOS/iPadOS 裝置設定個別應用程式 VPN。

    • 提供者類型：僅適用于 Pulse Secure 和自訂 VPN。

      搭配 Pulse Secure 或自訂 VPN 使用個別應用程式 VPN 設定檔時，請選擇應用程式層通道 (應用程式 Proxy) 或封包層級通道 (封包通道) ：

      • app-proxy：針對應用層通道選取此選項。
      • packet-tunnel：針對封包層通道選取此選項。

      如果您不確定要使用哪一個選項，請檢查 VPN 提供者的檔。

    • 將觸發此 VPN 的 Safari URL：新增一或多個網站 URL。 使用裝置上的 Safari 瀏覽器流覽這些 URL 時，會自動建立 VPN 連線。 例如，輸入 contoso.com。

    • 相關聯的網域：在 VPN 設定檔中輸入相關聯的網域，以搭配此 VPN 連線使用。

      如需詳細資訊，請參閱 相關聯的網域。

    • 排除的網域：輸入可在個別應用程式 VPN 連線時略過 VPN 連線的網域。 例如，輸入 contoso.com。 contoso.com即使 VPN 已連線，網域的流量也會使用公用網際網路。

    • 禁止使用者停用自動 VPN：您的選項：

      • 未設定：Intune 不會變更或更新此設定。
      • 是：防止使用者在 VPN 設定檔設定內關閉 [隨選連線] 切換。 它會強制使用者讓個別應用程式 VPN 或隨選規則保持啟用並執行。
      • 否：允許使用者關閉 [隨選連線] 切換，這會停用個別應用程式 VPN 和隨選規則。

      此設定適用于：

      • iOS 14 和更新版本
      • iPadOS 14 和更新版本

個別應用程式 VPN

這些設定適用于下列 VPN 連線類型：

• Microsoft Tunnel (獨立用戶端) (預覽)
• Microsoft Tunnel

設定：

• 個別應用程式 VPN： 啟用 會將特定應用程式與此 VPN 連線產生關聯。 當應用程式執行時，流量會自動透過 VPN 連線路由傳送。 當您指派軟體時，可以將 VPN 設定檔與應用程式產生關聯。 如需詳細資訊，請 參閱如何指派和監視應用程式。

  如需詳細資訊，請參閱 Microsoft Tunnel for Intune。

• 將觸發此 VPN 的 Safari URL：新增一或多個網站 URL。 使用裝置上的 Safari 瀏覽器流覽這些 URL 時，會自動建立 VPN 連線。 例如，輸入 contoso.com。

• 相關聯的網域：在 VPN 設定檔中輸入相關聯的網域，以搭配此 VPN 連線使用。

  如需詳細資訊，請參閱 相關聯的網域。

• 排除的網域：輸入可在個別應用程式 VPN 連線時略過 VPN 連線的網域。 例如，輸入 contoso.com。 contoso.com即使 VPN 已連線，網域的流量也會使用公用網際網路。

Proxy

如果您使用 Proxy，請設定下列設定。

• 自動設定腳本：使用檔案來設定 Proxy 伺服器。 輸入包含組態檔的 Proxy 伺服器 URL。 例如，輸入 http://proxy.contoso.com/pac。
• 位址：輸入 Proxy 伺服器的 IP 位址或完整主機名稱。 例如，輸入 10.0.0.3 或 vpn.contoso.com 。
• 埠號碼：輸入與 Proxy 伺服器相關聯的埠號碼。 例如，輸入 8080。

後續步驟

設定檔已建立，但可能尚未執行任何動作。 請務必 指派設定檔 並 監視其狀態。

在Android、Android Enterprise、macOS和Windows 10裝置上設定 VPN 設定。