Udostępnij przez

Wdrażanie profilu zawsze włączonej sieci VPN na klientach z systemem Windows 10 lub nowszym przy użyciu usługi Microsoft Intune

W tym artykule z instrukcjami pokazano, jak używać usługi Intune do tworzenia i wdrażania zawsze włączonych profilów sieci VPN.

Jeśli jednak chcesz utworzyć niestandardowy profil sieci VPNXML, postępuj zgodnie ze wskazówkami w temacie Zastosuj profilXML przy użyciu usługi Intune.

Prerequisites

Usługa Intune używa grup użytkowników firmy Microsoft Entra, więc musisz:

  • Upewnij się, że masz infrastrukturę kluczy prywatnych (PKI) umożliwiającą wystawianie certyfikatów użytkowników i urządzeń na potrzeby uwierzytelniania. Aby uzyskać więcej informacji na temat certyfikatów dla usługi Intune, zobacz Używanie certyfikatów do uwierzytelniania w usłudze Microsoft Intune.

  • Utwórz grupę użytkowników firmy Microsoft Entra skojarzona z użytkownikami sieci VPN i w razie potrzeby przypisz nowych użytkowników do grupy.

  • Upewnij się, że użytkownicy sieci VPN mają uprawnienia do połączenia z serwerem sieci VPN.

Tworzenie pliku XML konfiguracji protokołu EAP (Extensible Authentication Protocol)

W tej sekcji utworzysz kod XML konfiguracji protokołu EAP (Extensible Authentication Protocol).

  1. Skopiuj następujący ciąg XML do edytora tekstów:

    Important

    Każda inna kombinacja górnej lub małej litery dla wartości "true" w następujących tagach powoduje częściową konfigurację profilu sieci VPN:

    <AlwaysOn>true</AlwaysOn>
    <RememberCredentials>true</RememberCredentials>

    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>

  2. Zastąp ciąg <ServerNames>NPS.contoso.com</ServerNames> w przykładowym pliku XML nazwą FQDN serwera NPS, przyłączonego do domeny, w którym odbywa się uwierzytelnianie.

  3. Zastąp <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> w przykładzie odciskiem palca certyfikatu Twojego lokalnego urzędu certyfikacji głównego w obu miejscach.

    Important

    Nie używaj przykładowego odcisku palca w poniższej <sekcji TrustedRootCA></TrustedRootCA> . TrustedRootCA powinien być kciukowym odciskiem certyfikatu wewnętrznego głównego urzędu certyfikacji, który wystawił certyfikat uwierzytelniania serwera dla serwerów RRAS i NPS. Nie może to być główny certyfikat chmury ani odcisk palca certyfikatu pośredniego wydanego przez urząd certyfikacji.

  4. Zapisz kod XML do użycia w następnej sekcji.

Tworzenie zasad konfiguracji zawsze włączonej sieci VPN

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.

  2. Przejdź do Urządzenia>Profile konfiguracji.

  3. Wybierz + Utwórz profil.

  4. W polu Platforma wybierz pozycję Windows 10 i nowsze.

  5. W polu Typ profilu wybierz pozycję Szablony.

  6. W polu Nazwa szablonu wybierz pozycję SIEĆ VPN.

  7. Wybierz Utwórz.

  8. Na Podstawowe:

    • Wprowadź nazwę profilu sieci VPN i (opcjonalnie) opis.

  9. Na karcie Ustawienia konfiguracji :

    1. W części Użyj tego profilu sieci VPN w zakresie użytkownik/urządzenie wybierz Użytkownik.

    2. W polu Typ połączenia: wybierz pozycję IKEv2.

    3. W polu Nazwa połączenia: wprowadź nazwę połączenia sieci VPN; na przykład Contoso AutoVPN.

    4. W przypadku serwerów dodaj adresy i opisy serwera sieci VPN. W przypadku serwera domyślnego ustaw wartość Domyślny serwer na Wartość True.

    5. W obszarze Rejestrowanie adresów IP przy użyciu wewnętrznego systemu DNS wybierz pozycję Wyłącz.

    6. W opcji Zawsze włączone: wybierz Włącz.

    7. W obszarze Zapamiętaj poświadczenia przy każdym logowaniu wybierz wartość odpowiednią dla zasad zabezpieczeń.

    8. W polu Metoda uwierzytelniania wybierz pozycję EAP.

    9. W polu EAP XML wybierz kod XML zapisany w sekcji Tworzenie kodu XML protokołu EAP.

    10. W obszarze Tunel urządzenia wybierz pozycję Wyłącz. Aby dowiedzieć się więcej na temat tuneli urządzeń, zobacz Konfigurowanie tuneli urządzeń sieci VPN w systemie Windows 10.

    11. Parametry skojarzenia zabezpieczeń IKE

      • Ustaw opcję Tunelowanie podzielone na wartość Włącz.
      • Skonfiguruj Wykrywanie Zaufanej Sieci. Aby znaleźć sufiks DNS, można użyć Get-NetConnectionProfile > Name w systemie, który jest obecnie połączony z siecią i ma zastosowany profil domeny (NetworkCategory:DomainAuthenticated).

    12. Pozostaw pozostałe ustawienia jako domyślne, chyba że środowisko wymaga dalszej konfiguracji. Aby uzyskać więcej informacji na temat ustawień profilu protokołu EAP dla usługi Intune, zobacz Ustawienia urządzeń z systemem Windows 10/11 i Windows Holographic w celu dodawania połączeń sieci VPN przy użyciu usługi Intune.

    13. Wybierz Dalej.

  10. Na karcie Tagi zakresu pozostaw ustawienia domyślne i wybierz pozycję Dalej.

  11. Na karcie Przypisania :

    1. Wybierz pozycję Dodaj grupy i dodaj grupę użytkowników sieci VPN.

    2. Wybierz Dalej.

  12. Na karcie Reguły stosowania pozostaw ustawienia domyślne i wybierz pozycję Dalej.

  13. Na karcie Przeglądanie + tworzenie przejrzyj wszystkie ustawienia i wybierz pozycję Utwórz.

Synchronizowanie zasad konfiguracji Always On VPN z usługą Intune

Aby przetestować zasady konfiguracji, zaloguj się do komputera klienckiego z systemem Windows 10 lub nowszym jako użytkownik sieci VPN, a następnie zsynchronizuj się z usługą Intune.

  1. W menu Start wybierz pozycję Ustawienia.

  2. W obszarze Ustawienia wybierz pozycję Konta i wybierz pozycję Uzyskaj dostęp do miejsca pracy lub nauki.

  3. Wybierz konto, aby nawiązać połączenie z identyfikatorem Entra firmy Microsoft, a następnie wybierz pozycję Informacje.

  4. Aby wymusić ocenę zasad Intune i pobranie, przewiń w dół i wybierz Synchronizuj.

  5. Po zakończeniu synchronizacji zamknij pozycję Ustawienia. Po synchronizacji powinno być możliwe nawiązanie połączenia z serwerem sieci VPN organizacji.

Dalsze kroki

  • Last updated on