Tworzenie profilów sieci VPN w celu nawiązania połączenia z serwerami sieci VPN w usłudze Intune

Wirtualne sieci prywatne (VPN) zapewniają użytkownikom bezpieczny dostęp zdalny do sieci organizacji. Urządzenia używają profilu połączenia sieci VPN, aby rozpocząć połączenie z serwerem sieci VPN. Profile sieci VPN w usłudze Microsoft Intune przypisują ustawienia sieci VPN do użytkowników i urządzeń w organizacji. Użyj tych ustawień, aby użytkownicy mogli łatwo i bezpiecznie łączyć się z siecią organizacyjną.

Ta funkcja ma zastosowanie do:

• Administratora urządzenia z systemem Android
• Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
• iOS/iPadOS
• macOS
• System Windows

Na przykład chcesz skonfigurować wszystkie urządzenia z systemem iOS/iPadOS przy użyciu ustawień wymaganych do nawiązania połączenia z udziałem plików w sieci organizacji. Tworzysz profil sieci VPN, który zawiera te ustawienia. Ten profil można przypisać do wszystkich użytkowników, którzy mają urządzenia z systemem iOS/iPadOS. Użytkownicy widzą połączenie sieci VPN na liście dostępnych sieci i mogą łączyć się przy minimalnym nakładzie pracy.

W tym artykule wymieniono aplikacje sieci VPN, których można użyć, pokazano, jak utworzyć profil sieci VPN i przedstawiono wskazówki dotyczące zabezpieczania profilów sieci VPN. Przed utworzeniem profilu sieci VPN należy wdrożyć aplikację sieci VPN. Jeśli potrzebujesz pomocy dotyczącej wdrażania aplikacji przy użyciu usługi Microsoft Intune, przejdź do tematu Co to jest zarządzanie aplikacjami w usłudze Microsoft Intune?.

Przed rozpoczęciem

• Profile sieci VPN dla tunelu urządzenia są obsługiwane w przypadku pulpitów zdalnych z wieloma sesjami systemu Windows Enterprise.

• Jeśli używasz uwierzytelniania opartego na certyfikatach dla profilu sieci VPN, wdróż profil sieci VPN, profil certyfikatu i zaufany profil główny w tych samych grupach. Ten krok zapewnia, że każde urządzenie może rozpoznać zasadność urzędu certyfikacji. Aby uzyskać więcej informacji, zobacz How to configure certificates with Microsoft Intune (Jak skonfigurować certyfikaty w usłudze Microsoft Intune).

• Rejestracja użytkownika dla systemów iOS/iPadOS i macOS obsługuje tylko sieć VPN dla aplikacji.

• Niestandardowe zasady konfiguracji usługi Intune umożliwiają tworzenie profilów sieci VPN dla następujących platform:

  • System Android 4 lub nowszy
  • Zarejestrowane urządzenia z systemem Windows 8.1 i nowszym
  • Zarejestrowane urządzenia z systemem Windows
  • Windows Holographic for Business

• W przypadku urządzeń Windows 11 występuje problem między klientem Windows 11 a programem CSP VPNv2 systemu Windows.

  Urządzenie z co najmniej jednym profilem sieci VPN usługi Intune traci łączność sieci VPN, gdy urządzenie przetwarza wiele zmian w profilach sieci VPN dla urządzenia jednocześnie. Gdy urządzenie zostanie zaewidencjonowane za pomocą usługi Intune po raz drugi, przeprowadź zmiany profilu sieci VPN, a łączność zostanie przywrócona.

  Następujące zmiany mogą spowodować utratę funkcji sieci VPN:

  • Zmieniasz lub aktualizujesz istniejący profil sieci VPN, który był wcześniej przetwarzany przez urządzenie Windows 11. Ta akcja powoduje usunięcie oryginalnego profilu i zastosowanie zaktualizowanego profilu.
  • Dwa nowe profile sieci VPN mają zastosowanie do urządzenia w tym samym czasie.
  • Aktywny profil sieci VPN zostanie usunięty w tym samym czasie, gdy zostanie przypisany nowy profil sieci VPN.

  Ten problem nie ma zastosowania, a łączność sieci VPN pozostaje w następujących scenariuszach:

  • Urządzenie Windows 11 nie ma przypisanego istniejącego profilu sieci VPN, a urządzenia otrzymują jeden profil sieci VPN usługi Intune.

  • Windows 11 urządzenia mają przypisany istniejący profil sieci VPN i są przypisane do innego profilu sieci VPN bez żadnych innych zmian profilu.

  • Urządzenie Windows 10 uaktualnia do Windows 11 i nie ma żadnych zmian w profilach sieci VPN tego urządzenia. Po uaktualnieniu do Windows 11 wszelkie zmiany w profilach sieci VPN urządzeń lub dodanie nowych profilów sieci VPN spowoduje wyzwolenie problemu.

  • Windows 11 wymaga tego:

    • Skonfigurowano wszystkie parametry skojarzenia zabezpieczeń IKE i parametry skojarzenia zabezpieczeń podrzędnych

      LUB

    • Żadne z parametrów skojarzenia zabezpieczeń IKE i parametrów skojarzenia zabezpieczeń podrzędnych nie są skonfigurowane

    Jeśli skonfigurujesz tylko jeden z ustawień parametrów skojarzenia zabezpieczeń IKE lub parametrów skojarzenia zabezpieczeń podrzędnych , nastąpi utrata funkcji sieci VPN.

  Ważna

  14 października 2025 r. Windows 10 dobiegło końca wsparcia i nie otrzyma aktualizacji dotyczących jakości i funkcji. Windows 10 jest dozwoloną wersją w usłudze Intune. Urządzenia z tą wersją mogą nadal rejestrować się w usłudze Intune i korzystać z kwalifikujących się funkcji, ale funkcjonalność nie będzie gwarantowana i może się różnić.

Krok 1. Wdrażanie aplikacji sieci VPN

Aby można było używać profilów sieci VPN przypisanych do urządzenia, należy zainstalować aplikację sieci VPN. Ta aplikacja sieci VPN nawiązuje połączenie z serwerem sieci VPN.

Dostępne są różne aplikacje sieci VPN. Na urządzeniach użytkowników wdrażasz aplikację sieci VPN używaną przez organizację. Po wdrożeniu aplikacji sieci VPN należy utworzyć i wdrożyć profil konfiguracji urządzenia sieci VPN, który konfiguruje ustawienia serwera sieci VPN, w tym nazwę serwera sieci VPN (lub nazwę FQDN) i metodę uwierzytelniania.

Niektóre platformy i aplikacje sieci VPN wymagają zasad konfiguracji aplikacji do wstępnej konfiguracji aplikacji sieci VPN zamiast profilu konfiguracji urządzenia sieci VPN. W tej sekcji wymieniono również platformy i aplikacje sieci VPN, które muszą korzystać z zasad konfiguracji aplikacji.

Aby ułatwić przypisanie aplikacji przy użyciu usługi Intune, przejdź do pozycji Dodawanie aplikacji do usługi Microsoft Intune.

Typy połączeń sieci VPN

Profile sieci VPN można tworzyć przy użyciu następujących typów połączeń sieci VPN:

• Automatyczne

  • System Windows

• Check Point Capsule VPN

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
  • iOS/iPadOS
  • macOS
  • System Windows

• Cisco AnyConnect

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • macOS
  • System Windows

• Cisco (IPSec)

  • iOS/iPadOS

• Citrix SSO

  • Administratora urządzenia z systemem Android
  • Urządzenia osobiste z systemem Android Enterprise z profilem służbowym: korzystanie z zasad konfiguracji aplikacji
  • W pełni zarządzane i należące do firmy profile służbowe systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
  • iOS/iPadOS
  • System Windows

• Niestandardowa sieć VPN

  • iOS/iPadOS
  • macOS

  Tworzenie niestandardowych profilów sieci VPN przy użyciu ustawień identyfikatora URI w sekcji Tworzenie profilu z ustawieniami niestandardowymi.

• F5 Access

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • macOS
  • System Windows

• IKEv2

  • iOS/iPadOS
  • System Windows

• L2TP

  • System Windows

• Microsoft Tunnel

  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS

• NetMotion Mobility

  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • macOS

• Palo Alto Networks GlobalProtect

  • Urządzenia osobiste z systemem Android Enterprise z profilem służbowym: korzystanie z zasad konfiguracji aplikacji
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
  • iOS/iPadOS
  • System Windows

• PPTP

  • System Windows

• Pulse Secure

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • System Windows

• SonicWall Mobile Connect

  • Administratora urządzenia z systemem Android
  • Urządzenia prywatne z rozwiązaniem Android Enterprise z profilem służbowym
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise
  • iOS/iPadOS
  • macOS
  • System Windows

• Zscaler

  • Urządzenia osobiste z systemem Android Enterprise z profilem służbowym: korzystanie z zasad konfiguracji aplikacji
  • W pełni zarządzany i należący do firmy profil służbowy systemu Android Enterprise: korzystanie z zasad konfiguracji aplikacji
  • iOS/iPadOS

Krok 2. Tworzenie profilu

Po przypisaniu aplikacji sieci VPN do urządzenia w następnym kroku zostaną utworzone zasady konfiguracji urządzenia, które konfigurują połączenie sieci VPN. Jeśli typ połączenia aplikacji sieci VPN używa zasad konfiguracji aplikacji do skonfigurowania aplikacji, pomiń ten krok.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Wybierz kolejno pozycje Urządzenia>Zarządzanie urządzeniami>Konfiguracja>Utwórz>Nowe zasady.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz platformę urządzeń. Dostępne opcje:
     • Administrator urządzenia z systemem Android
     • Android Enterprise>W pełni zarządzany, dedykowany i Corporate-Owned profil służbowy
     • Android Enterprise>Profil służbowy należący do użytkownika
     • iOS/iPadOS
     • macOS
     • Windows 10 lub nowszy
     • System Windows 8.1 lub nowszy
   • Typ profilu: wybierz pozycję VPN. Możesz też wybrać pozycję Szablony>VPN.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą profilu jest profil sieci VPN dla całej firmy.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. Ustawienia, które można skonfigurować w obszarze Ustawienia konfiguracji, różnią się w zależności od wybranej platformy. Wybierz platformę, aby uzyskać szczegółowe ustawienia:

   • Administrator urządzenia z systemem Android
   • Android Enterprise
   • iOS/iPadOS
   • macOS
   • Windows (w tym Windows Holographic for Business)

8. Wybierz pozycję Dalej.

9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, przejdź do tematu Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonej infrastruktury IT.

   Wybierz pozycję Dalej.

10. W obszarze Przypisania wybierz użytkowników lub grupy, które otrzymają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Zabezpieczanie profilów sieci VPN

Profile sieci VPN mogą używać wielu różnych typów połączeń i protokołów od różnych producentów. Te połączenia są zwykle zabezpieczone za pomocą następujących metod.

Certyfikaty

Podczas tworzenia profilu sieci VPN wybierasz profil certyfikatu SCEP lub PKCS utworzony wcześniej w usłudze Intune. Ten profil jest znany jako certyfikat tożsamości. Jest on używany do uwierzytelniania względem profilu zaufanego certyfikatu (lub certyfikatu głównego), który jest utworzony, aby umożliwić urządzeniu użytkownika nawiązywanie połączenia. Zaufany certyfikat jest przypisywany do komputera, który uwierzytelnia połączenie sieci VPN, zazwyczaj serwer sieci VPN.

Jeśli używasz uwierzytelniania opartego na certyfikatach dla profilu sieci VPN, wdróż profil sieci VPN, profil certyfikatu i zaufany profil główny w tych samych grupach. To przypisanie gwarantuje, że każde urządzenie rozpoznaje zasadność urzędu certyfikacji.

Aby uzyskać więcej informacji na temat tworzenia i używania profilów certyfikatów w usłudze Intune, przejdź do tematu How to configure certificates with Microsoft Intune (Jak skonfigurować certyfikaty za pomocą usługi Microsoft Intune).

Nazwa użytkownika i hasło

Użytkownik uwierzytelnia się na serwerze sieci VPN, podając nazwę użytkownika i hasło lub poświadczenia pochodne.

Następne kroki

• Przypisz profil i monitoruj jego stan.
• Sieci VPN dla aplikacji można również tworzyć i używać na urządzeniach administratora urządzeń z systemem Android/urządzeniach z systemem Android Enterprise i iOS/iPadOS .