使用 Intune 添加 VPN 连接的 Windows 10/11 和 Windows 全息设备设置

可以使用 Microsoft Intune 为设备添加和配置 VPN 连接。 本文介绍在) 创建虚拟专用网络 (VPN 时可以配置的一些设置和功能。 这些 VPN 设置用于设备配置文件，然后推送或部署到设备。

作为移动设备管理 (MDM) 解决方案的一部分，请使用这些设置来允许或禁用功能，包括使用特定 VPN 供应商、启用始终启用、使用 DNS、添加代理等。

这些设置适用于运行：

• windows 10/11
• Windows Holographic for Business

开始之前

• 部署 VPN 应用，并创建 Windows 客户端 VPN 设备配置文件。 可用设置取决于所选的 VPN 客户端应用。 某些设置仅适用于特定的 VPN 客户端。

• 某些Microsoft 365 服务（如 Outlook）可能无法很好地使用第三方或合作伙伴 VPN。 如果你使用的是第三方或合作伙伴 VPN，并且遇到延迟或性能问题，请删除 VPN。

  如果删除 VPN 可解决该行为，则可以：

  • 使用第三方或合作伙伴 VPN 获取可能的解决方案。 Microsoft不提供第三方或合作伙伴 VPN 的技术支持。
  • 不要将 VPN 与 Outlook 流量配合使用。
  • 如果需要使用 VPN，请使用拆分隧道 VPN。 并且，允许 Outlook 流量绕过 VPN。

  有关详细信息，请转到：

  • 概述：Microsoft 365 VPN 拆分隧道
  • 使用具有 Microsoft 365 的第三方网络设备或解决方案
  • 在当今独特的远程工作方案中，安全专业人员和 IT 实现新式安全控制的另一种方法博客
  • Microsoft 365 网络连接原则

• 这些设置使用 VPNv2 CSP。

用户范围或设备范围

• 将此 VPN 配置文件与用户/设备范围一起使用：将配置文件应用于用户范围或设备范围：

  • 用户范围：VPN 配置文件安装在设备上的用户帐户中，例如 user@contoso.com。 如果其他用户登录到设备，则 VPN 配置文件不可用。
  • 设备范围：VPN 配置文件安装在设备上下文中，并应用于设备上的所有用户。 Windows 全息设备仅支持设备范围。

现有 VPN 配置文件应用于其现有范围。 默认情况下，新的 VPN 配置文件安装在用户范围内，但启用了设备隧道的配置文件 除外 。 启用了设备隧道的 VPN 配置文件使用设备范围。

连接类型

• 连接类型：从以下供应商列表中选择 VPN 连接类型：

  • Check Point Capsule VPN
  • Cisco AnyConnect
  • Citrix
  • F5 Access
  • Palo Alto Networks GlobalProtect
  • 脉冲安全
  • SonicWALL 移动连接
  • 自动 (本机类型)
  • IKEv2 (本机类型)
  • L2TP (本机类型)
  • PPTP (本机类型)

基本 VPN

根据所选的连接类型，将显示以下设置。 并非所有设置都适用于所有连接类型。

• 连接名称：输入此连接的名称。 最终用户在浏览其设备以获取可用 VPN 连接列表时会看到此名称。 例如，输入 Contoso VPN。

• 服务器：添加设备连接到的一个或多个 VPN 服务器。 添加服务器时，请输入以下信息：

  • 导入：浏览到包含服务器列表的逗号分隔文件，格式为：说明、IP 地址或 FQDN、默认服务器。 选择 “确定” ，将这些服务器导入到 “服务器” 列表中。
  • 导出：将现有服务器列表导出为逗号分隔值 (csv) 文件。
  • 说明：输入服务器的描述性名称，例如 Contoso VPN 服务器。
  • VPN 服务器地址：输入设备连接到的 VPN 服务器的 IP 地址或完全限定的域名 (FQDN) ，例如 192.168.1.1 或 vpn.contoso.com。
  • 默认服务器： 如果为 True ，则此服务器可作为设备用来建立连接的默认服务器。 仅将一台服务器设置为默认服务器。 错误 (默认) 不将此 VPN 服务器用作默认服务器。

• 使用内部 DNS 注册 IP 地址：选择“ 启用 ”以配置 VPN 配置文件，以便向内部 DNS 动态注册分配给 VPN 接口的 IP 地址。 选择“ 禁用 ”，不动态注册 IP 地址。

• Always On： 启用 会在 发生以下事件时自动连接到 VPN 连接：

  • 用户登录到其设备。
  • 设备上的网络会更改。
  • 设备上的屏幕在关闭后重新打开。

  若要使用设备隧道连接（如 IKEv2）， 请启用 此设置。

  禁用 不会自动打开 VPN 连接。 用户可能需要手动打开 VPN。

• 身份验证方法：选择希望用户向 VPN 服务器进行身份验证的方式。 选项包括：

  • 证书：选择现有用户客户端证书配置文件对用户进行身份验证。 此选项提供增强的功能，例如零接触体验、按需 VPN 和每应用 VPN。

    若要在 Intune 中创建证书配置文件，请参阅 使用证书进行身份验证。

  • 用户名和密码：要求用户输入其域用户名和密码进行身份验证，例如 user@contoso.com、 或 contoso\user。

  • 派生凭据：使用派生自用户智能卡的证书。 如果未配置派生凭据颁发者，Intune 会提示你添加一个。 有关详细信息，请参阅 在 Intune 中使用派生凭据。

    注意

    目前，作为 VPN 配置文件的身份验证方法的派生凭据在 Windows 设备上无法按预期工作。 此行为仅影响 Windows 设备上的 VPN 配置文件，并将在未来版本中修复 (无 ETA) 。

  • EAP (IKEv2 仅) ：选择要进行身份验证的现有可扩展身份验证协议 (EAP) 客户端证书配置文件。 在 EAP XML 设置中输入身份验证参数。

    有关 EAP 身份验证的详细信息，请参阅 可扩展身份验证协议 (EAP) 用于网络访问 和 EAP 配置。

  • 计算机证书 (IKEv2 仅) ：选择现有设备客户端证书配置文件对设备进行身份验证。

    如果使用 设备隧道连接，则必须选择“ 计算机证书”。

    若要在 Intune 中创建证书配置文件，请参阅 使用证书进行身份验证。

• 每次登录时记住凭据： 启用 会缓存身份验证凭据。 设置为 “未配置”时，Intune 不会更改或更新此设置。 默认情况下，OS 可能不会缓存身份验证凭据。

• 自定义 XML：输入配置 VPN 连接的任何自定义 XML 命令。

• EAP XML：输入配置 VPN 连接的任何 EAP XML 命令。

  有关详细信息，包括创建自定义 EAP XML，请参阅 EAP 配置。

• 设备隧道 (IKEv2 仅) ： 启用 会自动 将设备连接到 VPN，而无需进行任何用户交互或登录。 此设置适用于联接到 Microsoft Entra ID 的设备。

  若要使用此功能，必须配置以下设置：

  • 连接类型：设置为 IKEv2。
  • Always On：设置为 “启用”。
  • 身份验证方法：设置为 “计算机证书”。

  每个启用了 设备隧道 的设备仅分配一个配置文件。

IKE 安全关联参数仅 (IKEv2)

这些加密设置在 IKE 安全关联协商期间使用， (也称为 main mode 或 phase 1 IKEv2 连接的) 。 这些设置必须与 VPN 服务器设置匹配。 如果设置不匹配，VPN 配置文件将无法连接。

• 加密算法：选择 VPN 服务器上使用的加密算法。 例如，如果 VPN 服务器使用 AES 128 位，则从列表中选择 AES-128 。

  设置为 “未配置”时，Intune 不会更改或更新此设置。

• 完整性检查算法：选择在 VPN 服务器上使用的完整性算法。 例如，如果 VPN 服务器使用 SHA1-96，则从列表中选择 SHA1-96 。

  设置为 “未配置”时，Intune 不会更改或更新此设置。

• Diffie-Hellman 组：选择 VPN 服务器上使用的 Diffie-Hellman 计算组。 例如，如果 VPN 服务器使用 Group2 (1024 位) ，则从列表中选择 2 。

  设置为 “未配置”时，Intune 不会更改或更新此设置。

子安全关联参数仅 (IKEv2)

这些加密设置在子安全关联协商期间使用， (也称为 quick mode 或 phase 2) IKEv2 连接。 这些设置必须与 VPN 服务器设置匹配。 如果设置不匹配，VPN 配置文件将无法连接。

• 密码转换算法：选择 VPN 服务器上使用的算法。 例如，如果 VPN 服务器使用 AES-CBC 128 位，则从列表中选择 CBC-AES-128 。

  设置为 “未配置”时，Intune 不会更改或更新此设置。

• 身份验证转换算法：选择在 VPN 服务器上使用的算法。 例如，如果 VPN 服务器使用 AES-GCM 128 位，则从列表中选择 GCM-AES-128 。

  设置为 “未配置”时，Intune 不会更改或更新此设置。

• PFS) 组 (完全前向保密：选择用于在 VPN 服务器上 (PFS) 完全向前保密的 Diffie-Hellman 计算组。 例如，如果 VPN 服务器使用 Group2 (1024 位) ，则从列表中选择 2 。

  设置为 “未配置”时，Intune 不会更改或更新此设置。

Pulse Secure 示例

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

F5 Edge 客户端示例

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

SonicWALL Mobile Connect 示例

登录组或域：无法在 VPN 配置文件中设置此属性。 相反，当以 或 DOMAIN\username 格式输入用户名和域时，username@domainMobile Connect 会分析此值。

示例：

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

CheckPoint Mobile VPN 示例

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

应用和流量规则

• 将 WIP 或应用与此 VPN 关联：如果仅希望某些应用使用 VPN 连接，请启用此设置。 选项包括：

  • 未 配置 (默认) ：Intune 不会更改或更新此设置。
  • 将 WIP 与此连接关联：Windows 标识保护域中的所有应用都自动使用 VPN 连接。
    • 此连接的 WIP 域：输入 WINDOWS 标识保护 (WIP) 域。 例如，输入 contoso.com。
  • 将应用与此连接相关联：输入的应用会自动使用 VPN 连接。

    • 限制与这些应用的 VPN 连接： 禁用 (默认) 允许所有应用使用 VPN 连接。 启用 将 VPN 连接限制为输入的应用 (每个应用 VPN) 。 你添加的应用的流量规则会自动添加到 此 VPN 连接设置的网络流量规则 中。

      选择“ 启用”时，应用标识符列表将变为只读。 在启用此设置之前，请添加关联的应用。

    • 关联的应用：选择“ 导入 ”以导入 .csv 包含应用列表的文件。 看起来 .csv 类似于以下文件：

      %windir%\system32\notepad.exe,desktop Microsoft.Office.OneNote_8wekyb3d8bbwe,universal

      应用类型确定应用标识符。 对于通用应用，请输入包系列名称，例如 Microsoft.Office.OneNote_8wekyb3d8bbwe。 对于桌面应用，请输入应用的文件路径，例如 %windir%\system32\notepad.exe。

      若要获取包系列名称，可以使用 Get-AppxPackage Windows PowerShell cmdlet。 例如，若要获取 OneNote 包系列名称，请打开 Windows PowerShell，然后输入 Get-AppxPackage *OneNote。 有关详细信息，请参阅 查找安装在 Windows 客户端计算机上的应用的 PFN 和 Get-AppxPackage cmdlet。

  重要

  建议保护为每个应用 VPN 创建的所有应用列表。 如果未经授权的用户更改了此列表，并且你将其导入每应用 VPN 应用列表，则你可能会授权 VPN 访问不应具有访问权限的应用。 保护应用列表的一种方法是使用访问控制列表 (ACL) 。

• 此 VPN 连接的网络流量规则：可以添加适用于此 VPN 连接的网络规则。 使用此功能筛选到此 VPN 连接的网络流量。

  • 如果确实创建了网络流量规则，则 VPN 仅使用此规则中输入的协议、端口和 IP 地址范围。
  • 如果未创建网络流量规则，则会为此 VPN 连接启用所有协议、端口和地址范围。

  添加流量规则时，为避免 VPN 问题，建议添加限制最少的捕获全部规则。

  选择“ 添加” 以创建规则并输入以下信息。 还可以使用此信息导入.csv文件。

  • 名称：输入网络流量规则的名称。

  • 规则类型：输入此规则的隧道方法。 仅当此规则与应用关联时，此设置才适用。 选项包括：

    • 无 (默认)
    • 拆分隧道：此选项同时为客户端设备提供两个连接。 一个连接是安全的，旨在使网络流量保持私密。 第二个连接对网络开放，并允许 Internet 流量通过。
    • 强制隧道：此规则中的所有网络流量都通过 VPN。 此规则中的网络流量不会直接流向 Internet。

  • 方向：选择 VPN 连接允许的网络流量流。 选项包括：

    • 入站：仅允许来自外部站点的流量通过 VPN。 阻止出站流量进入 VPN。
    • 出站 (默认) ：仅允许通过 VPN 流向外部站点的流量。 入站流量被阻止进入 VPN。

    若要允许入站和出站，请创建两个单独的规则。 为入站创建一个规则，为出站创建另一个规则。

  • 协议：输入希望 VPN 使用的网络协议的端口号（从 0 到 255）。 例如，对于 TCP 或 UDP，17请输入 6 。

    输入协议时，会通过同一协议连接两个网络。 如果使用 TPC (6) 或 UDP () 17 协议，则还需要输入允许的本地 & 远程端口范围和允许的本地 & 远程 IP 地址范围。

    还可以使用此信息导入.csv文件。

  • 本地端口范围：如果使用 TPC () 6 或 UDP (17) 协议，请输入允许的本地网络端口范围。 例如，对于下部端口和120上部端口，输入 100 。

    可以创建允许的端口范围列表，例如 100-120、200、300-320。 对于单个端口，请在两个字段中输入相同的端口号。

    还可以使用此信息导入.csv文件。

  • 远程端口范围：如果使用 TPC () 6 或 UDP (17) 协议，请输入允许的远程网络端口范围。 例如，对于下部端口和120上部端口，输入 100 。

    可以创建允许的端口范围列表，例如 100-120、200、300-320。 对于单个端口，请在两个字段中输入相同的端口号。

    还可以使用此信息导入.csv文件。

  • 本地地址范围：输入可以使用 VPN 的允许的本地网络 IPv4 地址范围。 只有此范围内的客户端设备 IP 地址使用此 VPN。

    例如，对于下部端口和10.0.0.122上部端口，输入 10.0.0.22 。

    可以创建允许的 IP 地址列表。 对于单个 IP 地址，请在两个字段中输入相同的 IP 地址。

    还可以使用此信息导入.csv文件。

  • 远程地址范围：输入可以使用 VPN 的允许的远程网络 IPv4 地址范围。 只有此范围内的 IP 地址使用此 VPN。

    例如，对于下部端口和10.0.0.122上部端口，输入 10.0.0.22 。

    可以创建允许的 IP 地址列表。 对于单个 IP 地址，请在两个字段中输入相同的 IP 地址。

    还可以使用此信息导入.csv文件。

条件访问

• 此 VPN 连接的条件访问：启用来自客户端的设备符合性流。 启用后，VPN 客户端将与Microsoft Entra ID 进行通信，以获取用于身份验证的证书。 VPN 应设置为使用证书身份验证，并且 VPN 服务器必须信任Microsoft Entra ID 返回的服务器。

• 使用备用证书的单一登录 (SSO) ：对于设备符合性，请使用不同于 VPN 身份验证证书的证书进行 Kerberos 身份验证。 使用以下设置输入证书：

  • 名称：EKU) (扩展密钥用法的名称
  • 对象标识符：EKU 的对象标识符
  • 颁发者哈希：SSO 证书的指纹

DNS 设置

• DNS 后缀搜索列表：在 DNS 后缀中，输入 DNS 后缀和 Add。 可以添加许多后缀。

  使用 DNS 后缀时，可以使用其短名称搜索网络资源，而不是使用 FQDN () 的完全限定域名。 使用短名称进行搜索时，DNS 服务器会自动确定后缀。 例如， utah.contoso.com 位于 DNS 后缀列表中。 你 ping DEV-comp。 在此方案中，它解析为 DEV-comp.utah.contoso.com。

  DNS 后缀按列出的顺序解析，顺序可以更改。 例如， colorado.contoso.com 和 utah.contoso.com 位于 DNS 后缀列表中，两者都有一个名为 的资源 DEV-comp。 由于 colorado.contoso.com 是列表中的第一个，因此它解析为 DEV-comp.colorado.contoso.com。

  若要更改顺序，请选择 DNS 后缀左侧的点，然后将后缀拖到顶部：

  

• 名称解析策略表 (NRPT) 规则：名称解析策略表 (NRPT) 规则定义 DNS 在连接到 VPN 时如何解析名称。 建立 VPN 连接后，选择 VPN 连接使用的 DNS 服务器。

  可以添加包含域、DNS 服务器、代理和其他详细信息的规则。 这些规则可解析你输入的域。 当用户连接到你输入的域时，VPN 连接会使用这些规则。

  选择“ 添加” 以添加新规则。 对于每个服务器，请输入：

  • 域：输入完全限定的域名 (FQDN) 或 DNS 后缀以应用规则。 还可以在开头输入句点 (.) 作为 DNS 后缀。 例如，输入 contoso.com 或 .allcontososubdomains.com。
  • DNS 服务器：输入解析域的 IP 地址或 DNS 服务器。 例如，输入 10.0.0.3 或 vpn.contoso.com。
  • 代理：输入解析域的 Web 代理服务器。 例如，输入 http://proxy.com。
  • 自动连接： 启用后，当设备连接到你输入的域时，设备会自动连接到 VPN，例如 contoso.com。 如果未 配置 (默认) ，则设备不会自动连接到 VPN
  • 持久：设置为 “启用”时，规则将保留在“名称解析策略”表中， (NRPT) ，直到从设备手动删除规则，即使在 VPN 断开连接之后也是如此。 设置为 “未配置 (默认) 时，当 VPN 断开连接时，将从设备中删除 VPN 配置文件中的 NRPT 规则。

代理

• 自动配置脚本：使用文件配置代理服务器。 输入包含配置文件的代理服务器 URL。 例如，输入 http://proxy.contoso.com/pac。
• 地址：输入代理服务器的 IP 地址或完全限定的主机名。 例如，输入 10.0.0.3 或 vpn.contoso.com。
• 端口号：输入代理服务器使用的端口号。 例如，输入 8080。
• 绕过本地地址的代理：如果 VPN 服务器需要代理服务器进行连接，则此设置适用。 如果不想对本地地址使用代理服务器，请选择 “启用”。

拆分隧道

• 拆分隧道：启用或禁用以允许设备根据流量决定使用哪个连接。 例如，酒店中的用户使用 VPN 连接访问工作文件，但使用酒店的标准网络进行常规 Web 浏览。
• 此 VPN 连接的拆分隧道路由：为第三方 VPN 提供程序添加可选路由。 输入目标前缀和每个连接的前缀大小。

受信任的网络检测

受信任的网络 DNS 后缀：当用户已连接到受信任的网络时，可以阻止设备自动连接到其他 VPN 连接。

在 DNS 后缀中，输入要信任的 DNS 后缀（例如 contoso.com），然后选择“ 添加”。 可以添加任意数量的后缀。

如果用户连接到列表中的 DNS 后缀，则该用户不会自动连接到另一个 VPN 连接。 用户继续使用你输入的 DNS 后缀的受信任列表。 即使设置了任何自动触发程序，仍使用受信任的网络。

例如，如果用户已连接到受信任的 DNS 后缀，则忽略以下自动触发器。 具体而言，列表中的 DNS 后缀会取消所有其他连接自动触发程序，包括：

• 始终打开
• 基于应用的触发器
• DNS 自动触发器

后续步骤

配置文件已创建，但可能尚未执行任何操作。 请务必分配配置文件，并监视配置文件状态。

在 Android、 iOS/iPadOS 和 macOS 设备上配置 VPN 设置。