Windows 10/11 和 Windows 全息设备设置，以使用 Intune 添加 VPN 连接

注意

Intune支持的设置可能比本文中列出的设置更多。 并非所有设置都已记录，并且不会记录。 若要查看可以配置的设置，请创建设备配置策略，然后选择 “设置目录”。 有关详细信息，请转到设置目录。

可以使用Microsoft Intune为设备添加和配置 VPN 连接。 本文介绍在) 创建虚拟专用网络 (VPN 时可以配置的一些设置和功能。 这些 VPN 设置用于设备配置文件，然后推送或部署到设备。

作为 移动 (MD M) 的 ， 使用 这些 来 允许 或 ， 使用 、 、 使用 、 等 。

这些设置适用于运行：

• windows 10/11
• Windows is Holographic for Business

开始之前

范围 或 范围

现有 VPN 配置文件应用于其现有范围。 默认情况下，新的 VPN 配置文件安装在用户范围内，但启用了设备隧道的配置文件 除外 。 启用了设备隧道的 VPN 配置文件使用设备范围。

基本

根据所选的 ，将显示以下设置。 并非所有设置都适用于所有 。

• 连接名称：输入此连接的名称。 最终用户在浏览其设备以获取可用 VPN 连接列表时会看到此名称。 例如，输入 Contoso VPN。

• 服务器：添加设备连接到的一个或多个 VPN 服务器。 添加服务器时，请输入以下信息：

  • 导入：浏览到包含服务器列表的逗号分隔文件，格式为：说明、IP 地址或 FQDN、默认服务器。 选择 “确定” ，将这些服务器导入到 “服务器” 列表中。
  • 导出：将现有服务器列表导出为逗号分隔值 (csv) 。
  • 说明 ： 的 ， 例如 。
  • VPN 服务器地址：输入设备连接到的 VPN 服务器的 IP 地址或完全限定的域名 (FQDN) ，例如 192.168.1.1 或 pn.contoso.com。
  • 默认服务器： 如果为 True ，则此服务器可作为设备用来建立连接的默认服务器。 仅将一台服务器设置为默认服务器。
    错误 (默认) 不将此 VPN 服务器用作默认服务器。

• 使用内部 DNS 注册 IP 地址：选择“ 启用 ”以配置 VPN 配置文件，以便向内部 DNS 动态注册分配给 VPN 接口的 IP 地址。 选择“ 禁用 ”，不动态注册 IP 地址。

• Always On：启用 在发生以下事件时自动连接到 VPN 连接：

  • 用户 is 登录 到 其 。
  • 设备上的网络会更改。
  • 设备上的屏幕在关闭后重新打开。

  若要使用设备隧道连接（如 IKEv2）， 请启用 此设置。

  禁用 不会自动打开 VPN 连接。 用户可能需要手动打开 VPN。

• ： 向 进行 的 。 选项 is 包括 ：

  • 证书：选择现有用户客户端证书配置文件对用户进行身份验证。 此选项提供增强的功能，例如零接触体验、按需 VPN 和每应用 VPN。

    若要在 Intune 中创建证书配置文件，请参阅使用证书进行身份验证。

  • 用户名和密码：要求用户输入其域用户名和密码进行身份验证，例如 user@contoso.com、 或contoso\user。

  • 派生凭据：使用从用户的智能卡派生的证书。 如果未配置派生凭据颁发者，Intune会提示你添加一个。 有关详细信息，请参阅在 Intune 中使用派生凭据。

    注意

    目前，作为 VPN 配置文件的身份验证方法的派生凭据在 Windows 设备上无法按预期工作。 此行为仅影响 Windows 设备上的 VPN 配置文件，并将在未来版本中修复 (无 ETA) 。

  • EAP KEv 2 仅 ) ： 要 进行 的 可 (EA 。 在 EAP 中 身份 is 验证 。

    有关 EAP 身份验证的详细信息，请参阅 可扩展身份验证协议 (EAP) 用于网络访问 和 EAP 配置。

  • 计算机证书 (IKEv2 仅) ：选择现有设备客户端证书配置文件对设备进行身份验证。

    如果使用 设备隧道连接，则必须选择“ 计算机证书”。

    若要在 Intune 中创建证书配置文件，请参阅使用证书进行身份验证。

• 时 ： 会 。 为 “ ” 时 ， Intune is 更改 不 会 或 此 。 下 ， OS is 验证 可能 不 会 。

• ML ： 的 任何 。

• EAP ML ： 的 任何 EAP 。

  有关详细信息，包括创建自定义 EAP XML，请参阅 EAP 配置。

• KEv is 连接 2 仅 ) ： 会 将 到 ， 而 进行 任何 或 。 此 适用 于 已 加入 Micros of Entra 的 。

  若要使用此功能，必须配置以下设置：

  • ：设置为 IKEv2。
  • On ： 为 “ ” 。
  • 身份验证方法：设置为 “计算机证书”。

  每个启用了 设备隧道 的设备仅分配一个配置 。

IKE 安全关联参数仅 (IKEv2)

这些加密设置在 IKE 安全关联协商期间使用， (也称为 main mode 或phase 1 IKEv2 连接的) 。 这些设置必须与 VPN 服务器设置匹配。 如果设置不匹配，VPN 配置文件将无法连接。

• 加密算法：选择 VPN 服务器上使用的加密算法。 例如，如果 VPN 服务器使用 AES 128 位，则从列表中选择 AES-128 。

  为 “ ” 时 ， Intune is 更改 不 会 或 此 。

• 完整性检查算法：选择在 VPN 服务器上使用的完整性算法。 例如，如果 VPN 服务器使用 SHA1-96，则从列表中选择 SHA1-96 。

  为 “ ” 时 ， Intune is 更改 不 会 或 此 。

• Diffie-Hellman 组：选择 VPN 服务器上使用的 Diffie-Hellman 计算组。 例如，如果 VPN 服务器使用 Group2 (1024 位) ，则从列表中选择 2 。

  为 “ ” 时 ， Intune is 更改 不 会 或 此 。

安全 参数 is KEv 仅 KEv 2 )

这些加密设置在子安全关联协商期间使用， (也称为 或 2) Ev is 连接 2 。 这些 设置 is 设置 必须 与 。 如果 不 ， 文件 is 连接 将 无法 。

• 密码转换算法：选择 VPN 服务器上使用的算法。 例如，如果 VPN 服务器使用 AES-CBC 128 位，则从列表中选择 CBC-AES-128 。

  为 “ ” 时 ， Intune is 更改 不 会 或 此 。

• 身份验证转换算法：选择在 VPN 服务器上使用的算法。 例如，如果 VPN 服务器使用 AES-GCM 128 位，则从列表中选择 GCM-AES-128 。

  为 “ ” 时 ， Intune is 更改 不 会 或 此 。

• PFS) 组 (完全前向保密：选择用于在 VPN 服务器上 (PFS) 完全向前保密的 Diffie-Hellman 计算组。 例如，如果 VPN 服务器使用 Group2 (1024 位) ，则从列表中选择 2 。

  为 “ ” 时 ， Intune is 更改 不 会 或 此 。

Pulse Secure 示例

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

Edge

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

SonicWALL Mobile Connect 示例

登录组或域：无法在 VPN 配置文件中设置此属性。 相反，当以 或DOMAIN\username 格式输入用户名和域时，username@domainMobile Connect 会分析此值。

：

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

CheckPoint Mobile

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

提示

有关 的 ， 的 。

应用和流量规则

• 将 WIP 或应用与此 VPN 关联：如果仅希望某些应用使用 VPN 连接，请启用此设置。 选项包括：

  • ： Intune 不 会 或 此 。
  • 将 WIP 与此连接关联：Windows 标识保护域中的所有应用都自动使用 VPN 连接。
    • 此 的 域 is 输入 ： I S (W 。 例如 ， contoso.com。
  • 将应用与此连接相关联：输入的应用会自动使用 VPN 连接。

    • 限制与这些应用的 VPN 连接： 禁用 (默认) 允许所有应用使用 VPN 连接。
      启用 将 VPN 连接限制为输入的应用 (每个应用 VPN) 。 你添加的应用的流量规则会自动添加到 此 VPN 连接设置的网络流量规则 中。

      选择“ 启用”时，应用标识符列表将变为只读。 在启用此设置之前，请添加关联的应用。

    • 关联的应用：选择“ 导入 ”以导入 . csv 包含应用列表的 。 看起来 . csv 以下 ：

      %windir%\system32\notepad.exe,desktop Microsoft.Office.OneNote_8wekyb3d8bbwe,universal

      应用 类型 is 确定 确定 应用 标识符 。 对于 通用 应用 ， ， 例如Microsoft.Office.OneNote_8wekyb3d8bbwe。 对于 应用 ， 应用 的 ， 例如%windir%\system32\notepad.exe。

      若 要 ， 可以 使用Get-AppxPackage Windows 。 例如 ， 若 要 OneNote ， Windows ， 然后 Get-AppxPackage *OneNote。 有关详细信息，请参阅 查找安装在 Windows 客户端计算机上的应用的 PFN 和 Get-AppxPackage cmdlet。

  重要

  建议保护为每个应用 VPN 创建的所有应用列表。 如果未经授权的用户更改了此列表，并且你将其导入每应用 VPN 应用列表，则你可能会授权 VPN 访问不应具有访问权限的应用。 保护应用列表的一种方法是使用访问控制列表 (ACL) 。

• 此 VPN 连接的网络流量规则：可以添加适用于此 VPN 连接的网络规则。 使用此功能筛选到此 VPN 连接的网络流量。

  • 如果确实创建了网络流量规则，则 VPN 仅使用此规则中输入的协议、端口和 IP 地址范围。
  • 如果未创建网络流量规则，则会为此 VPN 连接启用所有协议、端口和地址范围。

  添加流量规则时，为避免 VPN 问题，建议添加限制最少的捕获全部规则。

  选择“ 添加” 以创建规则并输入以下信息。 还 可以 使用 此 . csv 。

  • ： 的 。

  • ： 此 的 。 仅 与 应用 时 ， 此 设置 is 适用 才 适用 。 选项 is 包括 ：

    • 无
    • ：此选项同时为客户端设备提供两个连接。 一个连接是安全的，旨在使网络流量保持私密。 第二个连接对网络开放，并允许 Internet 流量通过。
    • 强制隧道：此规则中的所有网络流量都通过 VPN。 此规则中的网络流量不会直接流向 Internet。

  • ： 允许 的 流量 is 流 。 选项 is 包括 ：

    • 入站：仅允许来自外部站点的流量通过 VPN。 阻止出站流量进入 VPN。
    • ： 仅 允许 通过 的 。 被 进入 。

    若要允许入站和出站，请创建两个单独的规则。 为入站创建一个规则，为出站创建另一个规则。

  • 协议：输入希望 VPN 使用的网络协议的端口号（从 0 到 255）。 例如，对于 TCP 或UDP，17请输入 6 。

    输入协议时，会通过同一协议连接两个网络。 如果使用 TPC (6) 或UDP () 17 协议，则还需要输入允许的本地 & 远程端口范围和允许的本地 & 远程 IP 地址范围。

    还 可以 使用 此 . csv 。

  • 本地端口范围：如果使用 TPC () 6 或UDP (17) 协议，请输入允许的本地网络端口范围。 例如，对于下部端口和120 端口 is 输入 ， 100 。

    可以创建允许的端口范围列表，例如 100-120、200、300-320。 对于单个端口，请在两个字段中输入相同的端口号。

    还 可以 使用 此 . csv 。

  • 范围 ： 如果 使用 TPC 6 或UDP (17) 协议，请输入允许的远程网络端口范围。 例如，对于下部端口和120 端口 is 输入 ， 100 。

    可以创建允许的端口范围列表，例如 100-120、200、300-320。 对于单个端口，请在两个字段中输入相同的端口号。

    还 可以 使用 此 . csv 。

  • 本地地址范围：输入可以使用 VPN 的允许的本地网络 IPv4 地址范围。 只有此范围内的客户端设备 IP 地址使用此 VPN。

    例如，对于下部端口和10.0.0.122 端口 is 输入 ， 10 . 0 . 0 . 22 。

    可以 允许 的 。 对于 ， 在 两 个 中 相同 的 。

    还 可以 使用 此 . csv 。

  • 远程地址范围：输入可以使用 VPN 的允许的远程网络 IPv4 地址范围。 只有此范围内的 IP 地址使用此 VPN。

    例如，对于下部端口和10.0.0.122 端口 is 输入 ， 10 . 0 . 0 . 22 。

    可以 允许 的 。 对于 ， 在 两 个 中 相同 的 。

    还 可以 使用 此 . csv 。

条件 is 访问

• 此 VPN 连接的条件 is 访问 ：启用来自客户端的设备符合性流。 启用后，VPN 客户端将与 Microsoft Entra ID 通信，以获取用于身份验证的证书。 VPN 应设置为使用证书身份验证，并且 VPN 服务器必须信任Microsoft Entra ID返回的服务器。

• 使用 的 (S SO) ： 对于 ， 使用 的 进行 。 使用 以下 ：

  • 名称：EKU) (扩展密钥用法的名称
  • 对象标识符：EKU 的对象标识符
  • 颁发者哈希：SSO 证书的指纹

DNS 设置

• 列表 is 输入 ： 在 中 ， 和 。 可以 许多 。

  使用 DNS 后缀时，可以使用其短名称搜索网络资源，而不是使用 FQDN () 的完全限定域名。 使用短名称进行搜索时，DNS 服务器会自动确定后缀。 例如， utah.contoso.com 位于 DNS 后缀列表中。 你 ping DEV-comp。 在 此 中 ， 它 is 解析 为DEV-comp.utah.contoso.com。

  按 的 ， 顺序 is 更改 可以 。 例如 ，colorado.contoso.com 和 utah.contoso.com 位于 DNS 后缀列表中，两者都有一个名为 的资源 DEV-comp。 由于colorado.contoso.com 是列表中的第一个，因此它解析为 DEV-comp.colorado.contoso.com。

  若要更改顺序，请选择 DNS 后缀左侧的点，然后将后缀拖到顶部：

• 名称解析策略表 (NRPT) 规则：名称解析策略表 (NRPT) 规则定义 DNS 在连接到 VPN 时如何解析名称。 建立 VPN 连接后，选择 VPN 连接使用的 DNS 服务器。

  可以添加包含域、DNS 服务器、代理和其他详细信息的规则。 这些规则可解析你输入的域。 当用户连接到你输入的域时，VPN 连接会使用这些规则。

  “ ” 以 。 对于 每个 ， ：

  • 域：输入完全限定的域名 (FQDN) 或DNS 后缀以应用规则。 还可以在开头输入句点 (.) 作为 DNS 后缀。 例如，输入 contoso.com 或.allcontososubdomains.com。
  • DNS 服务器：输入解析域的 IP 地址或 DNS 服务器。 例如，输入 10.0.0.3 或 pn.contoso.com。
  • ： 的 。 例如 ， http://proxy.com。
  • 自动连接： 启用后，当设备连接到你输入的域时，设备会自动连接到 VPN，例如 contoso.com。 如果未 配置 (默认) ，则设备不会自动连接到 VPN
  • 持久：设置为 “启用”时，规则将保留在“名称解析策略”表中， (NRPT) ，直到从设备手动删除规则，即使在 VPN 断开连接之后也是如此。 设置为 “未配置 (默认) 时，当 VPN 断开连接时，将从设备中删除 VPN 配置文件中的 NRPT 规则。

代理

• 自动配置脚本：使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如，输入 http://proxy.contoso.com/pac。
• ： 的 或 完全 的 。 例如 ， 10.0.0.3 或 pn.contoso.com。
• 端口号：输入代理服务器使用的端口号。 例如，输入 8080。
• 绕过本地地址的代理：如果 VPN 服务器需要代理服务器进行连接，则此设置适用。 如果不想对本地地址使用代理服务器，请选择 “启用”。

• ：启用或禁用以允许设备根据流量决定使用哪个连接。 例如，酒店中的用户使用 VPN 连接访问工作文件，但使用酒店的标准网络进行常规 Web 浏览。
• 此 VPN 连接的 路由：为第三方 VPN 提供程序添加可选路由。 输入目标前缀和每个连接的前缀大小。

的

受信任的网络 DNS 后缀：当用户已连接到受信任的网络时，可以阻止设备自动连接到其他 VPN 连接。

在 DNS 后缀中，输入要信任的 DNS 后缀（例如 contoso.com），然后选择“ 添加”。 可以添加任意数量的后缀。

如果 到 中 的 ， 则 该 用户 is 连接 不 会 到 另 一个 。 用户 is 使用 继续 使用 你 的 的 。 即使 了 任何 ， 仍 使用 的 。

例如，如果用户已连接到受信任的 DNS 后缀，则忽略以下自动触发器。 具体而言，列表中的 DNS 后缀会取消所有其他连接自动触发程序，包括：

后续步骤

配置文件已创建，但可能尚未执行任何操作。 请务必分配配置文件，并监视配置文件状态。

在 、 和 上 。