Přidání nastavení SÍTĚ VPN na zařízeních s iOSem a iPadOS v Microsoft Intune
Microsoft Intune obsahuje mnoho nastavení sítě VPN, která se dají nasadit na zařízení s iOS/iPadOS. Tato nastavení slouží k vytvoření a konfiguraci připojení VPN k síti vaší organizace. Tento článek popisuje tato nastavení. Některá nastavení jsou dostupná jenom pro některé klienty VPN, například Citrix, Zscaler a další.
Tato funkce platí pro:
- iOS/iPadOS
Než začnete
Vytvořte konfigurační profil zařízení VPN se systémem iOS/iPadOS.
-
Některé služby Microsoft 365, například Outlook, nemusí fungovat dobře s využitím sítí VPN třetích stran nebo partnerů. Pokud používáte síť VPN třetí strany nebo partnera a máte problém s latencí nebo výkonem, odeberte tuto síť VPN.
Pokud odebrání sítě VPN vyřeší chování, můžete:
- Spolupracujte s třetí stranou nebo partnerskou sítí VPN pro možná řešení. Microsoft neposkytuje technickou podporu pro sítě VPN třetích stran nebo partnera.
- Nepoužívejte síť VPN s provozem Outlooku.
- Pokud potřebujete použít síť VPN, použijte síť VPN s rozděleným tunelovým propojením. A umožněte provozu Outlooku obejít síť VPN.
Pro více informací přejděte na:
- Přehled: Dělené tunelové propojení VPN pro Microsoft 365
- Používání síťových zařízení nebo řešení třetích stran s Microsoftem 365
- Alternativní způsoby, jak odborníci na zabezpečení a IT dosáhnout moderních kontrolních mechanismů zabezpečení v dnešních jedinečných scénářích práce na dálku
- Principy síťového připojení Microsoft 365
Pokud tato zařízení potřebujete pro přístup k místním prostředkům pomocí moderního ověřování a podmíněného přístupu, můžete použít tunel Microsoft, který podporuje rozdělené tunelování.
Poznámka
Tato nastavení jsou dostupná pro všechny typy registrací kromě registrace uživatelů. Registrace uživatelů je omezená na síť VPN pro jednotlivé aplikace. Další informace o typech registrace najdete v tématu Registrace iOS/iPadOS.
Dostupná nastavení závisí na zvoleném klientovi VPN. Některá nastavení jsou dostupná jenom pro konkrétní klienty VPN.
Tato nastavení používají datovou část Apple VPN (otevře web společnosti Apple).
Typ připojení
V následujícím seznamu dodavatelů vyberte typ připojení VPN:
Check Point Capsule VPN
Cisco Legacy AnyConnect
Platí pro aplikaci Cisco Legacy AnyConnect verze 4.0.5x a starší.
Cisco AnyConnect
Platí pro aplikaci Cisco AnyConnect verze 4.0.7x a novější.
SonicWall Mobile Connect
Starší verze F5 Access
Platí pro aplikaci F5 pro Access verze 2.1 a starší.
F5 Access
Platí pro aplikaci F5 pro Access verze 3.0 a novější.
Palo Alto Networks GlobalProtect (starší verze)
Platí pro aplikaci Palo Alto Networks GlobalProtect verze 4.1 a starší.
Palo Alto Networks GlobalProtect
Platí pro aplikaci Palo Alto Networks GlobalProtect verze 5.0 a novější.
Pulse Secure
Cisco (IPSec)
Citrix VPN
Citrix SSO
Zscaler
Pokud chcete používat podmíněný přístup nebo umožnit uživatelům obejít přihlašovací obrazovku Zscaler, musíte integrovat Zscaler Private Access (ZPA) se svým účtem Microsoft Entra. Podrobný postup najdete v dokumentaci ke Zscaler.
NetMotion Mobility
IKEv2
Nastavení IKEv2 (v tomto článku) popisuje vlastnosti.
Microsoft Tunnel
Platí pro aplikaci Microsoft Defender for Endpoint, která zahrnuje funkce tunelového klienta.
Vlastní síť VPN
Poznámka
Cisco, Citrix, F5 a Palo Alto oznámily, že jejich starší klienti nefungují v iOS 12 a novějších verzích. Na nové aplikace byste měli migrovat co nejdříve. Další informace najdete na blogu týmu podpory Microsoft Intune.
Základní nastavení sítě VPN
Název připojení: Koncoví uživatelé uvidí tento název, když na svém zařízení hledají seznam dostupných připojení VPN.
Vlastní název domény (jenom Zscaler): Předem naplňte přihlašovací pole aplikace Zscaler doménou, do které patří vaši uživatelé. Pokud je
Joe@contoso.net
například uživatelské jméno , zobrazícontoso.net
se při otevření aplikace v poli staticky doména. Pokud nezadáte název domény, použije se doménová část hlavního názvu uživatele (UPN) v ID Microsoft Entra.Adresa serveru VPN: IP adresa nebo plně kvalifikovaný název domény (FQDN) serveru VPN, ke kterému se zařízení připojují. Zadejte
192.168.1.1
například nebovpn.contoso.com
.Název cloudu organizace (jenom Zscaler): Zadejte název cloudu, ve kterém je vaše organizace zřízená. Adresa URL, kterou používáte pro přihlášení ke službě Zscaler, má název.
Metoda ověřování: Zvolte způsob ověřování zařízení na serveru VPN.
Certifikáty: V části Ověřovací certifikát vyberte existující profil certifikátu SCEP nebo PKCS pro ověření připojení. Konfigurace certifikátů obsahuje některé pokyny k profilům certifikátů.
Uživatelské jméno a heslo: Koncoví uživatelé musí zadat uživatelské jméno a heslo, aby se mohli přihlásit k serveru VPN.
Poznámka
Pokud se jako metoda ověřování sítě VPN Cisco IPsec používá uživatelské jméno a heslo, musí uživatel doručit sharedSecret prostřednictvím vlastního profilu Apple Configuratoru.
Odvozené přihlašovací údaje: Použijte certifikát odvozený z čipové karty uživatele. Pokud není nakonfigurovaný žádný odvozený vystavitel přihlašovacích údajů, Intune vás vyzve k jeho přidání. Další informace najdete v tématu Použití odvozených přihlašovacích údajů v Microsoft Intune.
Vyloučené adresy URL (jenom Zscaler): Při připojení k síti VPN Zscaler jsou uvedené adresy URL přístupné mimo cloud Zscaler. Můžete přidat až 50 adres URL.
Dělené tunelování: Povolením nebo zakázáním umožníte zařízením rozhodnout se, které připojení použít, v závislosti na provozu. Například uživatel v hotelu používá připojení VPN pro přístup k pracovním souborům, ale pro pravidelné procházení webu používá standardní síť hotelu.
Identifikátor VPN (Vlastní VPN, Zscaler a Citrix): Identifikátor aplikace VPN, kterou používáte a který poskytuje váš poskytovatel VPN.
Zadejte páry klíč/hodnota pro vlastní atributy VPN vaší organizace (Vlastní VPN, Zscaler a Citrix): Přidejte nebo naimportujte klíče a hodnoty , které přizpůsobí připojení VPN. Nezapomeňte, že tyto hodnoty obvykle poskytuje váš poskytovatel SÍTĚ VPN.
Povolit řízení přístupu k síti (NAC) (Cisco AnyConnect, Citrix SSO, F5 Access): Když zvolíte Souhlasím, id zařízení se zahrne do profilu VPN. Toto ID se dá použít k ověřování v síti VPN, aby se povolil nebo znemožňoval přístup k síti.
Pokud používáte Cisco AnyConnect s ISE, nezapomeňte:
- Pokud jste to ještě neudělali, integrujte ISE s Intune pro NAC, jak je popsáno v tématu Konfigurace Microsoft Intune jako serveru MDM v příručce pro správce cisco identity services engine.
- V profilu SÍTĚ VPN povolte NAC.
Důležité
Služba řízení přístupu k síti (NAC) je zastaralá a nahrazená nejnovější službou Microsoftu NAC, což je Služba načítání dodržování předpisů (CR Service). Kvůli podpoře změn v rámci Cisco ISE změnila Služba Intune formát ID zařízení. Takže vaše stávající profily s původní službou NAC přestanou fungovat.
Pokud chcete používat službu CR a zabránit výpadkům připojení VPN, nasaďte znovu stejný konfigurační profil zařízení VPN. V profilu nejsou potřeba žádné změny. Stačí, když se znovu nasadíte. Když se zařízení synchronizuje se službou Intune a obdrží konfigurační profil SÍTĚ VPN, změny služby CR se do zařízení automaticky nasadí. A vaše připojení VPN by měla dál fungovat.
Při používání jednotného přihlašování Citrixu s bránou nezapomeňte:
- Ověřte, že používáte Citrix Gateway 12.0.59 nebo novější.
- Ověřte, že uživatelé mají na svých zařízeních nainstalovaný Citrix SSO 1.1.6 nebo novější.
- Integrace Citrix Gateway s Intune pro NAC Projděte si průvodce integrací Microsoft Intune/Enterprise Mobility Suite s NetScaler (scénář LDAP+OTP) Citrixu.
- V profilu SÍTĚ VPN povolte NAC.
Pokud používáte F5 Access, nezapomeňte:
- Ověřte, že používáte F5 BIG-IP 13.1.1.5 nebo novější.
- Integrace BIG-IP s Intune pro NAC Projděte si příručku Přehled: Konfigurace APM pro kontroly stavu zařízení pomocí systémů pro správu koncových bodů F5.
- V profilu SÍTĚ VPN povolte NAC.
Pro partnery VPN, kteří podporují ID zařízení, může id získat klient VPN, například Citrix SSO. Pak se může do Intune dotazovat, jestli je zařízení zaregistrované, a jestli profil SÍTĚ VPN vyhovuje předpisům, nebo jestli nedodržuje předpisy.
- Pokud chcete toto nastavení odebrat, znovu vytvořte profil a nevybírejte možnost Souhlasím. Potom profil znovu přiřaďte.
Zadejte páry klíč a hodnota pro atributy SÍTĚ VPN NetMotion Mobility (pouze NetMotion Mobility): Zadejte nebo importujte páry klíč a hodnota. Tyto hodnoty může zadat váš poskytovatel SÍTĚ VPN.
Web Microsoft Tunnel (jenom Microsoft Tunnel): Vyberte existující web. Klient VPN se připojí k veřejné IP adrese nebo plně kvalifikovanému názvu domény této lokality.
Další informace najdete v tématu Microsoft Tunnel for Intune.
Nastavení IKEv2
Tato nastavení platí, když zvolíte Typ> připojeníIKEv2.
Always-on VPN: Povolit nastaví klienta VPN tak, aby se k síti VPN automaticky připojil a znovu se k němu připojil. Nepřetržitá připojení VPN zůstanou připojená nebo se okamžitě připojí, když uživatel uzamkne své zařízení, zařízení se restartuje nebo se změní bezdrátová síť. Pokud je nastavená možnost Zakázat (výchozí), je trvale zapnutá síť VPN pro všechny klienty VPN zakázaná. Pokud je tato možnost povolená, nakonfigurujte také:
Síťové rozhraní: Všechna nastavení IKEv2 platí jenom pro síťové rozhraní, které zvolíte. Možnosti:
- Wi-Fi a mobilní síť (výchozí): Nastavení IKEv2 platí pro Wi-Fi a mobilní rozhraní v zařízení.
- Mobilní síť: Nastavení IKEv2 platí jenom pro mobilní rozhraní na zařízení. Tuto možnost vyberte, pokud nasazujete do zařízení se zakázaným nebo odebraným rozhraním Wi-Fi.
- Wi-Fi: Nastavení IKEv2 se vztahuje jenom na Wi-Fi rozhraní na zařízení.
Uživatel zakáže konfiguraci sítě VPN: Povolit umožňuje uživatelům vypnout nepřetržitou síť VPN. Možnost Zakázat (výchozí) zabrání uživatelům v jeho vypnutí. Výchozí hodnota tohoto nastavení je nejbezpečnější možností.
Hlasová schránka: Zvolte, co se stane s přenosem hlasové pošty, když je povolená nepřetržitá síť VPN. Možnosti:
- Vynutit síťový provoz přes SÍŤ VPN (výchozí): Toto nastavení je nejbezpečnější možností.
- Povolení průchodu síťového provozu mimo síť VPN
- Vyřazení síťového provozu
AirPrint: Zvolte, co se stane s provozem AirPrint, když je povolená síť VPN always-on. Možnosti:
- Vynutit síťový provoz přes SÍŤ VPN (výchozí): Toto nastavení je nejbezpečnější možností.
- Povolení průchodu síťového provozu mimo síť VPN
- Vyřazení síťového provozu
Mobilní služby: V iOSu 13.0 a novějším zvolte, co se stane s mobilními přenosy, když je zapnutá síť VPN always-on. Možnosti:
- Vynutit síťový provoz přes SÍŤ VPN (výchozí): Toto nastavení je nejbezpečnější možností.
- Povolení průchodu síťového provozu mimo síť VPN
- Vyřazení síťového provozu
Povolit přenosy z ne nativních aplikací pro přístup mimo síť VPN: Kaptivní síť označuje Wi-Fi hotspoty, které se obvykle nacházejí v restauracích a hotelech. Možnosti:
Ne: Vynutí veškerý provoz aplikací v rámci chycených sítí (CN) přes tunel VPN.
Ano, všechny aplikace: Povolí, aby veškerý provoz aplikace CN obešel SÍŤ VPN.
Ano, konkrétní aplikace: Přidejte seznam aplikací CN, jejichž provoz může obejít síť VPN. Zadejte identifikátory sady prostředků aplikace CN. Zadejte
com.contoso.app.id.package
například .Pokud chcete získat ID sady prostředků aplikace přidané do Intune, můžete použít Centrum pro správu Intune.
Provoz z aplikace Kaptivního webového listu pro průchod mimo SÍŤ VPN: Zajatý webový list je integrovaný webový prohlížeč, který zpracovává přihlašování pomocí kaptivních aplikací. Povolit umožňuje, aby provoz aplikace prohlížeče obešel SÍŤ VPN. Možnost Zakázat (výchozí) vynutí, aby provoz webového listu používal nepřetržitou síť VPN. Výchozí hodnota je nejbezpečnější možností.
Interval uchování překladu adres (v sekundách): Aby bylo zařízení připojené k síti VPN, odesílá síťové pakety, aby zůstaly aktivní. Zadejte hodnotu v sekundách, jak často se tyto pakety odesílají, od 20 do 1440. Zadejte například hodnotu pro odesílání síťových
60
paketů do sítě VPN každých 60 sekund. Ve výchozím nastavení je tato hodnota nastavená na110
sekundy.Přesměrování zpracování překladu adres (NAT keepalive) na hardware, když je zařízení v režimu spánku: Když je zařízení v režimu spánku, funkce Enable (výchozí) umožňuje překlad adres (NAT) nepřetržitě odesílat pakety keep-alive, aby zařízení zůstalo připojené k síti VPN. Možnost Zakázat tuto funkci vypne.
Vzdálený identifikátor: Zadejte IP adresu sítě, plně kvalifikovaný název domény, název userFQDN nebo ASN1DN serveru IKEv2. Zadejte
10.0.0.3
například nebovpn.contoso.com
. Obvykle zadáte stejnou hodnotu jako název připojení (v tomto článku). Záleží ale na nastavení serveru IKEv2.Místní identifikátor: Zadejte plně kvalifikovaný název domény zařízení nebo běžný název subjektu klienta VPN IKEv2 na zařízení. Nebo můžete tuto hodnotu nechat prázdnou (výchozí). Místní identifikátor by měl obvykle odpovídat identitě certifikátu uživatele nebo zařízení. Server IKEv2 může vyžadovat odpovídající hodnoty, aby mohl ověřit identitu klienta.
Typ ověřování klienta: Zvolte, jak se má klient VPN ověřovat ve službě VPN. Možnosti:
- Ověřování uživatelů (výchozí): Přihlašovací údaje uživatele se ověřují v síti VPN.
- Ověřování počítače: Přihlašovací údaje zařízení se ověřují v síti VPN.
Metoda ověřování: Zvolte typ přihlašovacích údajů klienta, které se mají odeslat na server. Možnosti:
Certifikáty: Používá existující profil certifikátu k ověření ve službě VPN. Ujistěte se, že je tento profil certifikátu už přiřazený uživateli nebo zařízení. V opačném případě připojení VPN selže.
-
Typ certifikátu: Vyberte typ šifrování, který certifikát používá. Ujistěte se, že je server VPN nakonfigurovaný tak, aby přijímal tento typ certifikátu. Možnosti:
- RSA (výchozí)
- ECDSA256
- ECDSA384
- ECDSA521
-
Typ certifikátu: Vyberte typ šifrování, který certifikát používá. Ujistěte se, že je server VPN nakonfigurovaný tak, aby přijímal tento typ certifikátu. Možnosti:
Sdílený tajný klíč (jenom ověřování počítače): Umožňuje zadat sdílený tajný kód, který se má odeslat na server VPN.
- Sdílený tajný klíč: Zadejte sdílený tajný klíč, označovaný také jako předsdílený klíč (PSK). Ujistěte se, že hodnota odpovídá sdílenému tajnému klíči nakonfigurovaným na serveru VPN.
Běžný název vystavitele certifikátu serveru: Umožňuje serveru VPN ověřit se vůči klientovi VPN. Zadejte běžný název vystavitele certifikátu (CN) certifikátu serveru VPN, který se odešle klientovi VPN v zařízení. Ujistěte se, že hodnota CN odpovídá konfiguraci na serveru VPN. V opačném případě připojení VPN selže.
Běžný název certifikátu serveru: Zadejte cn pro samotný certifikát. Pokud je hodnota prázdné, použije se hodnota vzdáleného identifikátoru.
Míra detekce nedosaženosti partnerského vztahu: Zvolte, jak často klient VPN kontroluje, jestli je tunel VPN aktivní. Možnosti:
- Nenakonfigurováno: Použije výchozí systém iOS/iPadOS, který může být stejný jako při výběru možnosti Střední.
- Žádné: Zakáže detekci mrtvých partnerských uzlů.
- Nízká: Každých 30 minut odesílá zprávu o zachování.
- Střední (výchozí): Odesílá zprávu keepalive každých 10 minut.
- Vysoká: Každých 60 sekund odešle zprávu o zachování.
Minimální rozsah verzí protokolu TLS: Zadejte minimální verzi protokolu TLS, která se má použít. Zadejte
1.0
,1.1
nebo1.2
. Pokud je hodnota prázdná, použije se výchozí hodnota1.0
. Pokud používáte ověřování uživatelů a certifikáty, musíte toto nastavení nakonfigurovat.Maximální rozsah verzí protokolu TLS: Zadejte maximální verzi protokolu TLS, která se má použít. Zadejte
1.0
,1.1
nebo1.2
. Pokud je hodnota prázdná, použije se výchozí hodnota1.2
. Pokud používáte ověřování uživatelů a certifikáty, musíte toto nastavení nakonfigurovat.Dokonalé dopředné utajení: Výběrem možnosti Povolit zapněte pfs (Perfect Forward Secrecy). PFS je funkce zabezpečení PROTOKOLU IP, která snižuje dopad v případě ohrožení klíče relace. Příkaz Disable (výchozí) nepoužívá PFS.
Kontrola odvolání certifikátu: Před povolením úspěšného připojení VPN vyberte Povolit a ujistěte se, že certifikáty nejsou odvolané. Tato kontrola je maximální úsilí. Pokud vyprší časový limit serveru VPN před určením, jestli je certifikát odvolán, je přístup udělen. Příkaz Disable (výchozí) nekontroluje odvolané certifikáty.
Použijte atributy interní podsítě IPv4/IPv6: Některé servery IKEv2 používají
INTERNAL_IP4_SUBNET
atributy neboINTERNAL_IP6_SUBNET
. Povolení vynutí, aby připojení VPN používalo tyto atributy. Možnost Zakázat (výchozí) nevynutí, aby připojení VPN používalo tyto atributy podsítě.Mobility and multihoming (MOBIKE): MOBIKE umožňuje klientům VPN změnit jejich IP adresu bez opětovného vytvoření přidružení zabezpečení k serveru VPN. Povolit (výchozí) zapne MOBIKE, což může zlepšit připojení VPN při cestování mezi sítěmi. Zakázat vypne MOBIKE.
Přesměrování: Povolení (výchozí) přesměruje připojení IKEv2, pokud je ze serveru VPN přijat požadavek na přesměrování. Zakázat zabrání přesměrování připojení IKEv2, pokud je ze serveru VPN přijat požadavek na přesměrování.
Maximální přenosová jednotka: Zadejte maximální přenosovou jednotku (MTU) v bajtech od 1 do 65536. Pokud je nastavení nenakonfigurováno nebo ponecháno prázdné, Intune toto nastavení nezmění ani neaktualizuje. Ve výchozím nastavení může Apple tuto hodnotu nastavit na 1280.
Toto nastavení platí pro:
- iOS/iPadOS 14 a novější
Parametry přidružení zabezpečení: Zadejte parametry, které se mají použít při vytváření přidružení zabezpečení se serverem VPN:
Šifrovací algoritmus: Vyberte algoritmus, který chcete:
- DES
- 3DES
- AES-128
- AES-256 (výchozí)
- AES-128-GCM
- AES-256-GCM
Poznámka
Pokud nastavíte šifrovací algoritmus na
AES-128-GCM
neboAES-256-GCM
, použije seAES-256
výchozí hodnota. Jedná se o známý problém, který se opraví v budoucí verzi. Neexistuje žádná ETA.Algoritmus integrity: Vyberte požadovaný algoritmus:
- SHA1-96
- SHA1-160
- SHA2-256 (výchozí)
- SHA2-384
- SHA2-512
Skupina Diffie-Hellman: Vyberte požadovanou skupinu. Výchozí hodnota je skupina
2
.Doba života (minuty): Zadejte, jak dlouho bude přidružení zabezpečení aktivní, dokud se klíče neomění. Zadejte celou hodnotu mezi
10
a1440
(1440 minut je 24 hodin). Výchozí hodnota je1440
.
Parametry přidružení podřízeného zabezpečení: iOS/iPadOS umožňuje nakonfigurovat samostatné parametry pro připojení IKE a všechna podřízená připojení. Zadejte parametry použité při vytváření podřízených přidružení zabezpečení se serverem VPN:
Šifrovací algoritmus: Vyberte algoritmus, který chcete:
- DES
- 3DES
- AES-128
- AES-256 (výchozí)
- AES-128-GCM
- AES-256-GCM
Poznámka
Pokud nastavíte šifrovací algoritmus na
AES-128-GCM
neboAES-256-GCM
, použije seAES-256
výchozí hodnota. Jedná se o známý problém, který se opraví v budoucí verzi. Neexistuje žádná ETA.
Algoritmus integrity: Vyberte požadovaný algoritmus:
- SHA1-96
- SHA1-160
- SHA2-256 (výchozí)
- SHA2-384
- SHA2-512
Nakonfigurujte také:
-
Skupina Diffie-Hellman: Vyberte požadovanou skupinu. Výchozí hodnota je skupina
2
. -
Doba života (minuty): Zadejte, jak dlouho bude přidružení zabezpečení aktivní, dokud se klíče neomění. Zadejte celou hodnotu mezi
10
a1440
(1440 minut je 24 hodin). Výchozí hodnota je1440
.
Automatická síť VPN
Typ automatické sítě VPN: Vyberte typ sítě VPN, kterou chcete nakonfigurovat – SÍŤ VPN na vyžádání nebo VPN pro jednotlivé aplikace. Ujistěte se, že používáte jenom jednu možnost. Jejich použití současně způsobí problémy s připojením.
Nenakonfigurováno (výchozí): Intune toto nastavení nezmění ani neaktualizuje.
VPN na vyžádání: Síť VPN na vyžádání používá pravidla k automatickému připojení nebo odpojení připojení VPN. Když se vaše zařízení pokusí připojit k síti VPN, hledá shody v parametrech a pravidlech, která vytvoříte, například odpovídající název domény. Pokud existuje shoda, akce, kterou zvolíte, se spustí.
Můžete například vytvořit podmínku, kdy se připojení VPN použije jenom v případě, že zařízení není připojené k podnikové Wi-Fi síti. Nebo pokud zařízení nemá přístup k doméně vyhledávání DNS, kterou zadáte, není připojení VPN spuštěné.
Pravidla> na vyžádáníPřidat: Vyberte Přidat a přidejte pravidlo. Pokud neexistuje připojení VPN, pomocí těchto nastavení vytvořte pravidlo na vyžádání. Pokud pravidlo odpovídá, provede zařízení akci, kterou vyberete.
Chci udělat toto: Pokud se hodnota zařízení shoduje s pravidlem na vyžádání, vyberte akci, kterou má zařízení provést. Možnosti:
Vytvoření sítě VPN: Pokud se hodnota zařízení shoduje s pravidlem na vyžádání, připojí se zařízení k síti VPN.
Odpojit síť VPN: Pokud se hodnota zařízení shoduje s pravidlem na vyžádání, připojení VPN se odpojí.
Vyhodnocení každého pokusu o připojení: Pokud se hodnota zařízení shoduje s pravidlem na vyžádání, použijte nastavení Zvolit, jestli se chcete připojit a rozhodněte, co se stane při každém pokusu o připojení VPN:
Připojit se v případě potřeby: Pokud je zařízení v interní síti nebo pokud už existuje připojení VPN k interní síti, síť VPN na vyžádání se nepřipojí. Tato nastavení se nepoužívají.
Pokud neexistuje připojení VPN, při každém pokusu o připojení VPN se rozhodněte, jestli se uživatelé mají připojit pomocí názvu domény DNS. Toto pravidlo se vztahuje pouze na domény v seznamu Při pokusu uživatelů o přístup k těmto doménám . Všechny ostatní domény se ignorují.
Když se uživatelé pokusí získat přístup k těmto doménám: Zadejte jednu nebo více domén DNS, například
contoso.com
. Pokud se uživatelé pokusí připojit k doméně v tomto seznamu, zařízení použije k překladu domén, které zadáte, DNS. Pokud se doména nepřeloží, což znamená, že nemá přístup k interním prostředkům, připojí se k síti VPN na vyžádání. Pokud se doména přeloží, což znamená, že už má přístup k interním prostředkům, nepřipojí se k síti VPN.Poznámka
Pokud je nastavení Při pokusu uživatelů o přístup k těmto doménám prázdné, použije zařízení k překladu domény servery DNS nakonfigurované ve službě síťového připojení (Wi-Fi/ethernet). Myšlenka je taková, že tyto servery DNS jsou veřejné servery.
Domény v seznamu Při pokusu uživatelů o přístup k těmto doménám jsou interní prostředky. Interní prostředky nejsou na veřejných serverech DNS a nelze je přeložit. Zařízení se tedy připojí k síti VPN. Teď se doména přeloží pomocí serverů DNS připojení VPN a je k dispozici interní prostředek.
Pokud je zařízení v interní síti, doména se přeloží a připojení VPN se nevytvořilo, protože interní doména je už dostupná. Nechcete plýttvejte prostředky VPN na zařízeních, která už jsou v interní síti.
Pokud je vyplněné nastavení Při pokusu uživatelů o přístup k těmto doménám , použijí se servery DNS v tomto seznamu k překladu domén v seznamu.
Myšlenka je opakem první odrážky (Když se uživatelé pokusí o přístup k těmto doménám , nastavení je prázdné). Například seznam Při pokusu uživatelů o přístup k těmto doménám obsahuje interní servery DNS. Zařízení v externí síti nemůže směrovat na interní servery DNS. Vyprší časový limit překladu názvů a zařízení se připojí k síti VPN na vyžádání. Teď jsou k dispozici interní prostředky.
Mějte na paměti, že tyto informace platí jenom pro domény v seznamu Když se uživatelé pokusí o přístup k těmto doménám . Všechny ostatní domény se překládají pomocí veřejných serverů DNS. Když je zařízení připojené k interní síti, jsou servery DNS v seznamu přístupné a není potřeba se připojovat k síti VPN.
K překladu těchto domén použijte následující servery DNS (volitelné): Zadejte jednu nebo více IP adres serveru DNS, například
10.0.0.22
. Servery DNS, které zadáte, se používají k překladu domén v nastavení Při pokusu uživatelů o přístup k těmto doménám .Pokud je tato adresa URL nedostupná, vynuťte připojení VPN: Volitelné. Zadejte adresu URL sondy HTTP nebo HTTPS, kterou pravidlo používá jako test. Zadejte
https://probe.Contoso.com
například . Tato adresa URL se probírá pokaždé, když se uživatel pokusí o přístup k doméně v nastavení Při pokusu uživatelů o přístup k těmto doménám . Uživatel nevidí web testu řetězce adresy URL.Pokud sonda selže, protože adresa URL je nedostupná nebo nevrátí stavový kód HTTP 200, zařízení se připojí k síti VPN.
Myšlenka je taková, že adresa URL je přístupná jenom v interní síti. Pokud je adresa URL přístupná, připojení VPN není potřeba. Pokud se k adrese URL nedá získat přístup, zařízení je v externí síti a připojuje se k síti VPN na vyžádání. Po navázání připojení VPN jsou k dispozici interní prostředky.
Nikdy se nepřipojovat: Když se uživatelé pokusí o přístup k doménám, které zadáte, při každém pokusu o připojení VPN se zařízení nikdy nepřipojí.
-
Když se uživatelé pokusí získat přístup k těmto doménám: Zadejte jednu nebo více domén DNS, například
contoso.com
. Pokud se uživatelé pokusí připojit k doméně v tomto seznamu, připojení VPN se nevytvořilo. Pokud se pokusí připojit k doméně, která není v tomto seznamu, zařízení se připojí k síti VPN.
-
Když se uživatelé pokusí získat přístup k těmto doménám: Zadejte jednu nebo více domén DNS, například
Ignorovat: Pokud existuje shoda mezi hodnotou zařízení a pravidlem na vyžádání, připojení VPN se ignoruje.
Chci omezit na: Pokud v nastavení Chci provést následující nastavení vyberete Vytvořit síť VPN, Odpojit síť VPN nebo Ignorovat, vyberte podmínku, kterou pravidlo musí splňovat. Možnosti:
-
Konkrétní identifikátory SSID: Zadejte jeden nebo více názvů bezdrátových sítí, na které se pravidlo vztahuje. Tento název sítě je SSID (Service Set Identifier). Zadejte
Contoso VPN
například . -
Konkrétní domény vyhledávání: Zadejte jednu nebo více domén DNS, na které se pravidlo vztahuje. Zadejte
contoso.com
například . - Všechny domény: Tuto možnost vyberte, pokud chcete pravidlo použít na všechny domény ve vaší organizaci.
-
Konkrétní identifikátory SSID: Zadejte jeden nebo více názvů bezdrátových sítí, na které se pravidlo vztahuje. Tento název sítě je SSID (Service Set Identifier). Zadejte
Ale pouze v případě, že je tento test adresy URL úspěšný: Volitelné. Zadejte adresu URL, kterou pravidlo používá jako test. Zadejte
https://probe.Contoso.com
například . Pokud zařízení přistupuje k této adrese URL bez přesměrování, spustí se připojení VPN. Zařízení se připojí k cílové adrese URL. Uživatel nevidí web testu řetězce adresy URL.Adresa URL například testuje schopnost sítě VPN připojit se k lokalitě předtím, než se zařízení připojí k cílové adrese URL prostřednictvím sítě VPN.
Blokovat uživatelům zakázání automatické sítě VPN: Vaše možnosti:
- Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje.
- Ano: Brání uživatelům v vypnutí automatické sítě VPN. Nutí uživatele, aby automatickou síť VPN nechali povolenou a spuštěnou.
- Ne: Umožňuje uživatelům vypnout automatickou síť VPN.
Toto nastavení platí pro:
- iOS 14 a novější
- iPadOS 14 a novější
SÍŤ VPN pro jednotlivé aplikace: Povolí síť VPN pro jednotlivé aplikace tím, že toto připojení VPN přidružuje ke konkrétní aplikaci. Po spuštění aplikace se spustí připojení VPN. Profil VPN můžete přidružit k aplikaci při přiřazování softwaru nebo programu aplikace. Další informace najdete v tématu Přiřazení a monitorování aplikací.
Připojení IKEv2 nepodporuje síť VPN pro jednotlivé aplikace. Další informace najdete v tématu Nastavení sítě VPN pro jednotlivé aplikace pro zařízení s iOS/iPadOS.
Typ poskytovatele: K dispozici pouze pro Pulse Secure a vlastní VPN.
Pokud používáte profily VPN pro jednotlivé aplikace se službou Pulse Secure nebo vlastní vpn, zvolte tunelování na aplikační vrstvě (proxy aplikací) nebo tunelování na úrovni paketů (paketový tunel):
- app-proxy: Tuto možnost vyberte pro tunelování na úrovni aplikace.
- packet-tunnel: Tuto možnost vyberte pro tunelování na úrovni paketů.
Pokud si nejste jistí, kterou možnost použít, projděte si dokumentaci poskytovatele VPN.
Adresy URL safari, které aktivují tuto síť VPN: Přidejte jednu nebo více adres URL webu. Při návštěvě těchto adres URL v prohlížeči Safari na zařízení se připojení VPN vytvoří automaticky. Zadejte
contoso.com
například .Přidružené domény: Do profilu SÍTĚ VPN zadejte přidružené domény, které se mají použít s tímto připojením VPN.
Další informace najdete v tématu přidružené domény.
Vyloučené domény: Zadejte domény, které můžou obejít připojení VPN, když je připojená síť VPN pro jednotlivé aplikace. Zadejte
contoso.com
například . Provoz docontoso.com
domény používá veřejný internet, i když je síť VPN připojená.Blokovat uživatelům zakázání automatické sítě VPN: Vaše možnosti:
- Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje.
- Ano: Zabrání uživatelům v vypnutí přepínače Připojit na vyžádání v nastavení profilu SÍTĚ VPN. Nutí uživatele, aby nechali povolenou a spuštěnou síť VPN pro jednotlivé aplikace nebo pravidla na vyžádání.
- Ne: Umožňuje uživatelům vypnout přepínač Připojit na vyžádání, který zakáže vpn pro jednotlivé aplikace a pravidla na vyžádání.
Toto nastavení platí pro:
- iOS 14 a novější
- iPadOS 14 a novější
VPN pro jednotlivé aplikace
Tato nastavení platí pro následující typy připojení VPN:
- Microsoft Tunnel
Nastavení:
Síť VPN pro jednotlivé aplikace: Povolení přidruží k tomuto připojení VPN konkrétní aplikaci. Když se aplikace spustí, provoz se automaticky směruje přes připojení VPN. Profil VPN můžete přidružit k aplikaci při přiřazování softwaru. Další informace najdete v tématu Přiřazení a monitorování aplikací.
Další informace najdete v tématu Microsoft Tunnel for Intune.
Adresy URL safari, které aktivují tuto síť VPN: Přidejte jednu nebo více adres URL webu. Při návštěvě těchto adres URL v prohlížeči Safari na zařízení se připojení VPN vytvoří automaticky. Zadejte
contoso.com
například .Přidružené domény: Do profilu SÍTĚ VPN zadejte přidružené domény, které se mají použít s tímto připojením VPN.
Další informace najdete v tématu přidružené domény.
Vyloučené domény: Zadejte domény, které můžou obejít připojení VPN, když je připojená síť VPN pro jednotlivé aplikace. Zadejte
contoso.com
například . Provoz docontoso.com
domény používá veřejný internet, i když je síť VPN připojená.
Plná moc
Pokud používáte proxy server, nakonfigurujte následující nastavení.
-
Automatický konfigurační skript: Ke konfiguraci proxy serveru použijte soubor. Zadejte adresu URL proxy serveru, která obsahuje konfigurační soubor. Zadejte
http://proxy.contoso.com/pac
například . -
Adresa: Zadejte IP adresu nebo plně kvalifikovaný název hostitele proxy serveru. Zadejte
10.0.0.3
například nebovpn.contoso.com
. -
Číslo portu: Zadejte číslo portu přidruženého k proxy serveru. Zadejte
8080
například .
Další kroky
Profil se vytvoří, ale možná ještě nic nedělá. Nezapomeňte profil přiřadit a sledovat jeho stav.
Nakonfigurujte nastavení sítě VPN na zařízeních s Androidem, AndroidEm Enterprise, macOS a Windows .