使用 Microsoft Intune 將 AlwaysOn VPN 配置檔部署至 Windows 10 或更新版本用戶端

在本作說明文章中，我們會示範如何使用 Intune 來建立及部署 Always On VPN 配置檔。

不過，如果您想要建立自定義 VPN 配置檔XML，請遵循使用 Intune 套用 ProfileXML 中的指引。

Prerequisites

Intune 使用 Microsoft Entra 使用者群組，因此您需要：

• 請確定您擁有能夠發行使用者和裝置憑證進行驗證的私鑰基礎結構 （PKI）。 如需 Intune 憑證的詳細資訊，請參閱 在 Microsoft Intune 中使用憑證進行驗證。

• 建立與 VPN 使用者相關聯的Microsoft Entra 使用者群組，並視需要將新使用者指派給群組。

• 請確定 VPN 使用者具有 VPN 伺服器連線許可權。

建立可延伸驗證通訊協定 （EAP） 組態 XML

在本節中，您將建立可延伸驗證通訊協定 （EAP） 組態 XML。

1. 將下列 XML 字串複製到文字編輯器：

   Important

   下列標籤中 'true' 的任何其他大寫或小寫組合，都會導致 VPN 配置檔的部分設定：

   <AlwaysOn>/AlwaysOn<>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. 將範例 XML 中的 <ServerNames>NPS.contoso.com</ServerNames> 取代為進行身份驗證的已加入網域的 NPS 的 FQDN。

3. 將範例中的<TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA>替換為您內部部署根憑證授權中心的憑證指紋，在兩處都需要進行替換。

   Important

   請勿在下方的 <TrustedRootCA></TrustedRootCA> 一節中使用範例指紋。 TrustedRootCA 必須是內部部署根憑證授權單位所發行的用於 RRAS 和 NPS 伺服器的伺服器驗證憑證的憑證指紋。 這不可是雲端根憑證，也不可是中繼簽發 CA 憑證雜湊值。

4. 儲存 XML 以供下一節使用。

建立AlwaysOn VPN設定原則

1. 登入 Microsoft Endpoint Manager 系統管理中心。

2. 前往 裝置>組態設定檔。

3. 選取 + 建立設定檔。

4. 針對 [平臺]，選取 [Windows 10 和更新版本]。

5. 針對 Profile type（設定檔類型），選取 Templates（範本）。

6. 針對 [範本名稱]，選取 [VPN]。

7. 選取 ，創建。

8. 對於 [基本] 索引標籤：

   • 輸入VPN配置檔案的 名稱 和（選擇性）描述。

9. 對於 [組態設定 ] 索引標籤：

   1. 針對 使用者/裝置範圍使用此 VPN 配置檔，選擇 使用者。

   2. 針對 [連線類型：]，選取 [IKEv2]。

   3. 針對 連線名稱： 輸入 VPN 連線的名稱;例如， Contoso AutoVPN。

   4. 對於 伺服器：，新增 VPN 伺服器位址和說明。 針對預設伺服器，請將 預設伺服器設定 為 True。

   5. 針對 [向內部 DNS 註冊 IP 位址]，選取 [ 停用]。

   6. 針對永遠開啟，選擇啟用。

   7. 針對 在每次登入時記住認證，選取適合您安全策略的值。

   8. 針對 驗證方法，選取 EAP。

   9. 針對 EAP XML，選取您在 建立 EAP XML 中儲存的 XML。

   10. 針對 Device Tunnel（裝置通道），選取停用。 若要深入瞭解裝置通道，請參閱 在 Windows 10 中設定 VPN 裝置通道。

   11. 針對 IKE 安全性關聯參數

       • 將 分割通道 設定為 啟用。
       • 設定 信任的網路偵測。 若要尋找 DNS 後綴，您可以在目前連線到網路的系統上使用 Get-NetConnectionProfile > Name，並套用網域配置檔（NetworkCategory:DomainAuthenticated）。

   12. 除非您的環境需要進一步的設定，否則請將其餘設定保留為預設值。 如需 Intune EAP 設定檔設定的詳細資訊，請參閱 Windows 10/11 和 Windows 全像攝影裝置設定，以使用 Intune 新增 VPN 連線。

   13. 選取 下一步。

10. 針對 [範圍標籤 ] 索引標籤，保留預設設定，然後選取 [下一步]。

11. 對於 「指派」 標籤：

    1. 選取 [ 新增群組]，然後新增您的 VPN 使用者群組。

    2. 選取 下一步。

12. 對於 [適用性規則] 索引標籤，保留預設設定並選取 [下一步]。

13. 針對 [ 檢閱 + 建立] 索引標籤，檢閱您的所有設定，然後選取 [ 建立]。

使用 Intune 同步處理 AlwaysOn VPN 設定原則

若要測試設定原則，請以 VPN 使用者身分登入 Windows 10+ 用戶端電腦，然後與 Intune 同步。

1. 在 [開始] 功能表上，選取 [設定]。

2. 在 [設定] 中，選取 [帳戶]，然後選取 [ 存取公司或學校]。

3. 選取要連線到您的 Microsoft Entra ID 的帳戶，然後選取 [ 資訊]。

4. 向下移動並選取 [同步處理] 以強制 Intune 原則評估和擷取。

5. 同步處理完成後，請關閉 [設定]。 同步處理之後，您應該能夠連線到組織的 VPN 伺服器。

後續步驟

• 如需如何設定 Always On VPN 的深入教學課程，請參閱 教學課程：設定 AlwaysOn VPN 的基礎結構。

• 若要瞭解如何使用 Microsoft Configuration Manager 設定 Always On VPN 配置檔，請參閱 使用 Microsoft Configuration Manager 將 Always On VPN 配置檔部署至 Windows 用戶端

• 如需設定服務提供者之 Always on VPN 組態選項的詳細資訊，請參閱 VPNv2 設定服務提供者。

• 要在 Microsoft Intune 中疑難排解 VPN 部署，請參閱 Microsoft Intune 中 VPN 設定檔問題的疑難排解。