Создание профилей VPN для подключения к VPN-серверам в Intune

Важно!

22 октября 2022 г. Microsoft Intune прекратила поддержку устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.

Если вы сейчас используете Windows 8.1, перейдите на устройства с Windows 10 или 11. В Microsoft Intune есть встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

Виртуальная частная сеть (VPN) предоставляет пользователям безопасный удаленный доступ к сети организации. Устройства используют профиль VPN-подключения для установления подключения к VPN-серверу. Профили VPN в Microsoft Intune назначают параметры VPN для пользователей и устройств в организации. Используйте эти параметры, чтобы пользователи могли легко и безопасно подключаться к сети вашей организации.

Данная функция применяется к:

  • Администратор устройств Android
  • Личные устройства Android Enterprise с рабочим профилем
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11
  • Windows 8.1 и более поздние версии

Например, представим, что вам нужно настроить параметры для подключения к общей папке в сети организации на всех устройствах с iOS/iPadOS. Вы создаете профиль VPN, включающий эти параметры. Этот профиль назначается всем пользователям с устройствами iOS/iPadOS. VPN-подключение появится в списке доступных сетей, и пользователи смогут с легкостью использовать его.

В этой статье перечислены приложения VPN, которые можно использовать, показано, как создать профиль VPN, и приведены рекомендации по защите профилей VPN. Перед созданием профиля VPN необходимо развернуть VPN-приложение. Если вам нужна помощь с развертыванием приложений с помощью Microsoft Intune, перейдите в раздел Что такое управление приложениями в Microsoft Intune?.

Прежде чем начать

  • VPN-профили для туннеля устройств поддерживаются для удаленных рабочих столов под управлением Windows 10/11 Корпоративная с поддержкой многосеансового режима.

  • Если для профиля VPN используется проверка подлинности на основе сертификата, разверните профиль VPN, профиль сертификата и доверенный корневой профиль в тех же группах. Это действие гарантирует, что каждое устройство сможет распознать подлинность вашего центра сертификации. Дополнительные сведения см. в статье Настройка сертификатов с помощью Microsoft Intune.

  • Регистрация пользователей для iOS/iPadOS и macOS поддерживает только VPN на уровне приложения.

  • С помощью настраиваемых политик конфигураций Intune можно создать профили VPN для следующих платформ:

    • Android 4 и более поздние версии
    • Зарегистрированные устройства под управлением Windows 8.1 и более поздней версии.
    • Зарегистрированные устройства под управлением Windows 10/11
    • Windows Holographic for Business
  • На устройствах с Windows 11 возникает проблема между клиентом Windows 11 и поставщиком CSP Windows VPNv2.

    Устройство с одним или несколькими VPN-профилями Intune теряет подключение к VPN, когда устройство одновременно обрабатывает несколько изменений в профилях VPN для устройства. При повторной проверке в Intune оно обрабатывает изменения профиля VPN и восстанавливает подключение.

    Следующие изменения могут привести к потере функциональности VPN:

    • Вы изменяете или обновляете существующий профиль VPN, который ранее был обработан устройством с Windows 11. Это действие удаляет исходный профиль и применяет обновленный профиль.
    • К устройству одновременно применяются два новых профиля VPN.
    • Активный VPN-профиль удаляется одновременно с назначением нового VPN-профиля.

    Эта проблема не применяется, и VPN-подключение остается в следующих сценариях:

Шаг 1. Развертывание VPN-приложения

Прежде чем использовать профили VPN, назначенные устройству, необходимо установить VPN-приложение. Это VPN-приложение подключается к VPN-серверу.

Существуют различные vpn-приложения. На пользовательских устройствах вы развернете VPN-приложение, которое использует ваша организация. После развертывания VPN-приложения создайте и разверните профиль конфигурации VPN-устройства, который настраивает параметры VPN-сервера, включая имя VPN-сервера (или полное доменное имя) и метод проверки подлинности.

Для некоторых платформ и VPN-приложений требуется политика конфигурации приложений для предварительной настройки VPN-приложения, а не профиля конфигурации VPN-устройства. В этом разделе также перечислены платформы и VPN-приложения, которые должны использовать политику конфигурации приложений.

Чтобы назначить приложение с помощью Intune, перейдите в раздел Добавление приложений в Microsoft Intune.

Типы VPN-подключений

Профили VPN можно создать с помощью следующих типов VPN-подключений:

  • Автоматически

    • Windows 10/11
  • Check Point Capsule VPN

    • Администратор устройств Android
    • Личные устройства Android Enterprise с рабочим профилем
    • Полностью управляемый и корпоративный рабочий профиль Android Enterprise: использование политики конфигурации приложения
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Cisco AnyConnect

    • Администратор устройств Android
    • Личные устройства Android Enterprise с рабочим профилем
    • Полностью управляемый и корпоративный рабочий профиль Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
  • Cisco (IPSec)

    • iOS/iPadOS
  • Citrix SSO

  • Пользовательская сеть VPN

    • iOS/iPadOS
    • macOS

    Сведения о том, как создать настраиваемые профили VPN с помощью параметров URI, см. в этой статье.

  • F5 Access

    • Администратор устройств Android
    • Личные устройства Android Enterprise с рабочим профилем
    • Полностью управляемый и корпоративный рабочий профиль Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10/11
  • L2TP

    • Windows 10/11
  • Microsoft Tunnel

    • Личные устройства Android Enterprise с рабочим профилем
    • Полностью управляемый и корпоративный рабочий профиль Android Enterprise
    • iOS/iPadOS
  • NetMotion Mobility

    • Личные устройства Android Enterprise с рабочим профилем
    • Полностью управляемый и корпоративный рабочий профиль Android Enterprise
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10/11
  • Pulse Secure

    • Администратор устройств Android
    • Личные устройства Android Enterprise с рабочим профилем
    • Полностью управляемый и корпоративный рабочий профиль Android Enterprise
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1
  • SonicWall Mobile Connect

    • Администратор устройств Android
    • Личные устройства Android Enterprise с рабочим профилем
    • Полностью управляемый и корпоративный рабочий профиль Android Enterprise
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Zscaler

Шаг 2. Создание профиля

После назначения VPN-приложения устройству на следующем шаге создается политика конфигурации устройства, которая настраивает VPN-подключение. Если тип подключения VPN использует политику конфигурации приложения для настройки приложения, пропустите этот шаг.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.

  3. Укажите следующие свойства:

    • Платформа: выберите платформу устройств. Доступны следующие параметры:
      • Администратор устройств Android
      • Android Enterprise>Полностью управляемый, выделенный и корпоративный рабочий профиль
      • Android Enterprise>Личный рабочий профиль
      • iOS/iPadOS
      • macOS
      • Windows 10 и более поздние версии
      • Windows 8.1 и более поздние версии
    • Тип профиля: выберите VPN. Либо выберите элементы Шаблоны>VPN.
  4. Нажмите Создать.

  5. В разделе Основные укажите следующие свойства.

    • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля — Профиль VPN для всей компании.
    • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
  6. Нажмите кнопку Далее.

  7. В разделе Параметры конфигурации доступные для настройки параметры будут отличаться в зависимости от выбранной платформы. Выберите платформу для настройки дополнительных параметров:

  8. Нажмите кнопку Далее.

  9. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах области см. в статье Использование RBAC и тегов области для распределенной ИТ-службы.

    Нажмите кнопку Далее.

  10. В разделе Назначения выберите пользователя или группы, которые получают ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

  11. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Защита профилей VPN

Профили VPN могут использовать множество разных типов и протоколов подключения от разных поставщиков. Эти подключения обычно защищаются с помощью следующих методов.

Сертификаты

При создании профиля VPN вы выбираете профиль сертификата SCEP или PKCS, созданный ранее в Intune. Этот профиль называется сертификатом удостоверения. Он используется для проверки подлинности по профилю доверенного сертификата (или корневого сертификата), созданного, чтобы разрешить подключение устройства пользователя. Доверенный сертификат назначается компьютеру, выполняющему проверку подлинности VPN-подключения, как правило VPN-сервера.

Если для профиля VPN используется проверка подлинности на основе сертификата, разверните профиль VPN, профиль сертификата и доверенный корневой профиль в тех же группах. Это назначение гарантирует, что каждое устройство сможет распознать подлинность вашего центра сертификации.

Дополнительные сведения о создании и использовании профилей сертификатов в Intune см. в статье Настройка сертификатов с помощью Microsoft Intune.

Примечание.

Сертификаты, добавленные с помощью профиля Импортированный сертификат PKCS, не поддерживаются для аутентификации VPN. Сертификаты, добавленные с помощью профиля Сертификаты PKCS, поддерживаются для аутентификации VPN.

Имя пользователя и пароль.

Пользователь проходит проверку на VPN-сервере, предоставляя свои имя пользователя и пароль или производные учетные данные.

Дальнейшие действия