Создание профилей VPN для подключения к VPN-серверам в Intune

Виртуальная частная сеть (VPN) предоставляет пользователям безопасный удаленный доступ к сети организации. Устройства используют профиль VPN-подключения для установления подключения к VPN-серверу. Профили VPN в Microsoft Intune назначают параметры VPN для пользователей и устройств в организации. Используйте эти параметры, чтобы пользователи могли легко и безопасно подключаться к сети вашей организации.

Данная функция применяется к:

• Администратор устройств Android
• Личные устройства Android Enterprise с рабочим профилем
• iOS/iPadOS
• macOS
• Windows

Например, представим, что вам нужно настроить параметры для подключения к общей папке в сети организации на всех устройствах с iOS/iPadOS. Вы создаете профиль VPN, включающий эти параметры. Этот профиль назначается всем пользователям с устройствами iOS/iPadOS. VPN-подключение появится в списке доступных сетей, и пользователи смогут с легкостью использовать его.

В этой статье перечислены приложения VPN, которые можно использовать, показано, как создать профиль VPN, и приведены рекомендации по защите профилей VPN. Перед созданием профиля VPN необходимо развернуть VPN-приложение. Если вам нужна помощь с развертыванием приложений с помощью Microsoft Intune, перейдите в раздел Что такое управление приложениями в Microsoft Intune?.

Подготовка к работе

• Профили VPN для туннеля устройств поддерживаются для удаленных рабочих столов Windows Enterprise с несколькими сеансами.

• Если для профиля VPN используется проверка подлинности на основе сертификата, разверните профиль VPN, профиль сертификата и доверенный корневой профиль в тех же группах. Это действие гарантирует, что каждое устройство сможет распознать подлинность вашего центра сертификации. Дополнительные сведения см. в статье Настройка сертификатов с помощью Microsoft Intune.

• Регистрация пользователей для iOS/iPadOS и macOS поддерживает только VPN на уровне приложения.

• С помощью настраиваемых политик конфигураций Intune можно создать профили VPN для следующих платформ:

  • Android 4 и более поздние версии
  • Зарегистрированные устройства под управлением Windows 8.1 и более поздней версии.
  • Зарегистрированные устройства под управлением Windows
  • Windows Holographic for Business

• Для Windows 11 устройств существует проблема между клиентом Windows 11 и поставщиком служб CSP Windows VPNv2.

  Устройство с одним или несколькими VPN-профилями Intune теряет подключение к VPN, когда устройство одновременно обрабатывает несколько изменений в профилях VPN для устройства. При повторной проверке в Intune оно обрабатывает изменения профиля VPN и восстанавливает подключение.

  Следующие изменения могут привести к потере функциональности VPN:

  • Вы изменяете или обновляете существующий профиль VPN, который ранее был обработан Windows 11 устройством. Это действие удаляет исходный профиль и применяет обновленный профиль.
  • К устройству одновременно применяются два новых профиля VPN.
  • Активный VPN-профиль удаляется одновременно с назначением нового VPN-профиля.

  Эта проблема не применяется, и VPN-подключение остается в следующих сценариях:

  • Устройству Windows 11 не назначен существующий профиль VPN, и устройства получают один профиль VPN Intune.

  • Windows 11 устройствам назначен существующий профиль VPN, и им назначается другой профиль VPN без других изменений профиля.

  • Windows 10 устройство обновляется до Windows 11, и в профилях VPN этого устройства нет изменений. После обновления до Windows 11 любые изменения профилей VPN устройств или добавление новых профилей VPN вызовут проблему.

  • Windows 11 требуется следующее:

    • Настроены все параметры сопоставления безопасности IKE и параметры дочерних параметров сопоставления безопасности .

      ИЛИ

    • Параметры ассоциации безопасности IKE и параметры дочерних параметров сопоставления безопасности не настроены.

    Если вы настроите только один из параметров сопоставления безопасности IKE или параметры дочерних параметров сопоставления безопасности , то функция VPN будет потеряна.

  Важно!

  14 октября 2025 г. Windows 10 закончила поддержку и не будет получать обновления качества и компонентов. Windows 10 является разрешенной версией в Intune. Устройства с этой версией по-прежнему могут регистрироваться в Intune и использовать соответствующие функции, но функциональность не гарантируется и может отличаться.

Шаг 1. Развертывание VPN-приложения

Прежде чем использовать профили VPN, назначенные устройству, необходимо установить VPN-приложение. Это VPN-приложение подключается к VPN-серверу.

Существуют различные vpn-приложения. На пользовательских устройствах вы развернете VPN-приложение, которое использует ваша организация. После развертывания VPN-приложения создайте и разверните профиль конфигурации VPN-устройства, который настраивает параметры VPN-сервера, включая имя VPN-сервера (или полное доменное имя) и метод проверки подлинности.

Для некоторых платформ и VPN-приложений требуется политика конфигурации приложений для предварительной настройки VPN-приложения, а не профиля конфигурации VPN-устройства. В этом разделе также перечислены платформы и VPN-приложения, которые должны использовать политику конфигурации приложений.

Чтобы назначить приложение с помощью Intune, перейдите в раздел Добавление приложений в Microsoft Intune.

Типы VPN-подключений

Профили VPN можно создать с помощью следующих типов VPN-подключений:

• Автоматически

  • Windows

• Check Point Capsule VPN

  • Администратор устройств Android
  • Личные устройства Android Enterprise с рабочим профилем
  • Полностью управляемый и корпоративный рабочий профиль Android Enterprise: использование политики конфигурации приложения
  • iOS/iPadOS
  • macOS
  • Windows

• Cisco AnyConnect

  • Администратор устройств Android
  • Личные устройства Android Enterprise с рабочим профилем
  • Полностью управляемый и корпоративный рабочий профиль Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows

• Cisco (IPSec)

  • iOS/iPadOS

• Citrix SSO

  • Администратор устройств Android
  • Личные устройства Android Enterprise с рабочим профилем: используйте политику конфигурации приложений
  • Полностью управляемые и корпоративные рабочие профили Android Enterprise: использование политики конфигурации приложения
  • iOS/iPadOS
  • Windows

• Пользовательская сеть VPN

  • iOS/iPadOS
  • macOS

  Сведения о том, как создать настраиваемые профили VPN с помощью параметров URI, см. в этой статье.

• F5 Access

  • Администратор устройств Android
  • Личные устройства Android Enterprise с рабочим профилем
  • Полностью управляемый и корпоративный рабочий профиль Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows

• IKEv2

  • iOS/iPadOS
  • Windows

• L2TP

  • Windows

• Microsoft Tunnel

  • Личные устройства Android Enterprise с рабочим профилем
  • Полностью управляемый и корпоративный рабочий профиль Android Enterprise
  • iOS/iPadOS

• NetMotion Mobility

  • Личные устройства Android Enterprise с рабочим профилем
  • Полностью управляемый и корпоративный рабочий профиль Android Enterprise
  • iOS/iPadOS
  • macOS

• Palo Alto Networks GlobalProtect

  • Личные устройства Android Enterprise с рабочим профилем: используйте политику конфигурации приложений
  • Полностью управляемый и корпоративный рабочий профиль Android Enterprise: использование политики конфигурации приложения
  • iOS/iPadOS
  • Windows

• PPTP

  • Windows

• Pulse Secure

  • Администратор устройств Android
  • Личные устройства Android Enterprise с рабочим профилем
  • Полностью управляемый и корпоративный рабочий профиль Android Enterprise
  • iOS/iPadOS
  • Windows

• SonicWall Mobile Connect

  • Администратор устройств Android
  • Личные устройства Android Enterprise с рабочим профилем
  • Полностью управляемый и корпоративный рабочий профиль Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows

• Zscaler

  • Личные устройства Android Enterprise с рабочим профилем: используйте политику конфигурации приложений
  • Полностью управляемый и корпоративный рабочий профиль Android Enterprise: использование политики конфигурации приложения
  • iOS/iPadOS

Шаг 2. Создание профиля

После назначения VPN-приложения устройству на следующем шаге создается политика конфигурации устройства, которая настраивает VPN-подключение. Если тип подключения VPN использует политику конфигурации приложения для настройки приложения, пропустите этот шаг.

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.

3. Укажите следующие свойства:

   • Платформа: выберите платформу устройств. Доступны следующие параметры:
     • Администратор устройств Android
     • Android Enterprise>Полностью управляемый, выделенный и корпоративный рабочий профиль
     • Android Enterprise>Личный рабочий профиль
     • iOS/iPadOS
     • macOS
     • Windows 10 и более поздние версии
     • Windows 8.1 и более поздние версии
   • Тип профиля: выберите VPN. Либо выберите элементы Шаблоны>VPN.

4. Нажмите Создать.

5. В разделе Основные укажите следующие свойства.

   • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля — Профиль VPN для всей компании.
   • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

6. Нажмите кнопку Далее.

7. В разделе Параметры конфигурации доступные для настройки параметры будут отличаться в зависимости от выбранной платформы. Выберите платформу для настройки дополнительных параметров:

   • Администратор устройств Android
   • Android Enterprise
   • iOS/iPadOS
   • macOS
   • Windows (включая Windows Holographic for Business)

8. Нажмите кнопку Далее.

9. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах область см. в статье Использование тегов RBAC и область для распределенной ИТ-службы.

   Нажмите кнопку Далее.

10. В разделе Назначения выберите пользователя или группы, которые получают ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

11. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Защита профилей VPN

Профили VPN могут использовать множество разных типов и протоколов подключения от разных поставщиков. Эти подключения обычно защищаются с помощью следующих методов.

Сертификаты

При создании профиля VPN вы выбираете профиль сертификата SCEP или PKCS, созданный ранее в Intune. Этот профиль называется сертификатом удостоверения. Он используется для проверки подлинности по профилю доверенного сертификата (или корневого сертификата), созданного, чтобы разрешить подключение устройства пользователя. Доверенный сертификат назначается компьютеру, выполняющему проверку подлинности VPN-подключения, как правило VPN-сервера.

Если для профиля VPN используется проверка подлинности на основе сертификата, разверните профиль VPN, профиль сертификата и доверенный корневой профиль в тех же группах. Это назначение гарантирует, что каждое устройство сможет распознать подлинность вашего центра сертификации.

Дополнительные сведения о создании и использовании профилей сертификатов в Intune см. в статье Настройка сертификатов с помощью Microsoft Intune.

Имя пользователя и пароль.

Пользователь проходит проверку на VPN-сервере, предоставляя свои имя пользователя и пароль или производные учетные данные.

Дальнейшие действия

• Назначьте профиль и отслеживайте его состояние.
• Кроме того, вы можете создавать и использовать VPN для каждого приложения на устройствах администраторов Android или Android для бизнеса и iOS/iPadOS.