使用 Microsoft Intune 将 AlwaysOn VPN 配置文件部署到 Windows 10 或更高版本的客户端

本作说明文章介绍如何使用 Intune 创建和部署 Always On VPN 配置文件。

但是，如果要创建自定义 VPN profileXML，请按照 使用 Intune 应用 ProfileXML 中的指南进行作。

先决条件

Intune 使用 Microsoft Entra 用户组，因此需要：

• 确保拥有一个私钥基础结构（PKI），能够颁发用于身份验证的用户和设备证书。 有关 Intune 证书的详细信息，请参阅 在 Microsoft Intune 中使用证书进行身份验证。

• 创建与 VPN 用户关联的Microsoft Entra 用户组，并根据需要将新用户分配到该组。

• 确保 VPN 用户具有 VPN 服务器连接权限。

创建可扩展身份验证协议 （EAP） 配置 XML

在本部分中，你将创建一个可扩展身份验证协议 （EAP） 配置 XML。

1. 将以下 XML 字符串复制到文本编辑器：

   重要

   以下标记中“true”的任何其他大写或小写组合都会导致 VPN 配置文件的部分配置：

   <AlwaysOn true/AlwaysOn （永远开启>true</AlwaysOn）>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. 将示例 XML 中的 <ServerNames>NPS.contoso.com</ServerNames> 替换为进行身份验证的已加入域的 NPS 的 FQDN。

3. 将示例中的 <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> 替换为这两个位置的本地根证书颁发机构的证书指纹。

   重要

   请勿使用下面的 <TrustedRootCA></TrustedRootCA> 部分中的示例指纹。 TrustedRootCA 必须是为 RRAS 和 NPS 服务器颁发服务器身份验证证书的本地根证书颁发机构的证书指纹。 这不能是云根证书，也不能是中间颁发 CA 证书指纹。

4. 保存 XML 供下一部分使用。

创建 AlwaysOn VPN 配置策略

1. 登录到 Microsoft Endpoint Manager 管理中心。

2. 转到 设备>配置文件。

3. 选择“+ 创建配置文件”。

4. 对于 平台，请选择 Windows 10 及更高版本。

5. 对于 配置文件类型，请选择 “模板”。

6. 对于 模板名称，请选择 “VPN”。

7. 选择“ 创建”。

8. 对于“ 基本信息 ”选项卡：

   • 输入 VPN 配置文件的名称和说明（可选）。

9. 对于 “配置设置 ”选项卡：

   1. 对于“在用户/设备范围使用此 VPN 配置文件”，请选择“用户”。

   2. 对于 连接类型：，请选择 IKEv2。

   3. 对于 连接名称： 输入 VPN 连接的名称;例如 ，Contoso AutoVPN。

   4. 对于 服务器：添加 VPN 服务器地址和说明。 对于默认服务器，请将 默认服务器 设置为 True。

   5. 对于 使用内部 DNS 注册 IP 地址，请选择“ 禁用”。

   6. 对于 AlwaysOn：，请选择“ 启用”。

   7. 对于 每次登录时记住凭据，请选择适合安全策略的值。

   8. 对于 身份验证方法，请选择 EAP。

   9. 对于 EAP XML，请选择在 创建 EAP XML 中保存的 XML。

   10. 对于 设备隧道，请选择“ 禁用”。 若要了解有关设备隧道的详细信息，请参阅 在 Windows 10 中配置 VPN 设备隧道。

   11. 对于“IKE 安全关联参数”

       • 设置 拆分隧道 为 启用。
       • 配置 受信任的网络检测。 若要查找 DNS 后缀，可以在当前连接到网络的系统上使用 Get-NetConnectionProfile > Name ，并应用了域配置文件（NetworkCategory:DomainAuthenticated）。

   12. 将其余设置保留为默认值，除非环境需要进一步配置。 有关 Intune 的 EAP 配置文件设置的详细信息，请参阅 Windows 10/11 和 Windows 全息设备设置，以使用 Intune 添加 VPN 连接。

   13. 选择 “下一步”。

10. 对于 “作用域标记 ”选项卡，保留默认设置，然后选择“ 下一步”。

11. 对于 “分配 ”选项卡：

    1. 选择 “添加组”，然后添加 VPN 用户组。

    2. 选择 “下一步”。

12. 对于“ 适用性规则 ”选项卡，请保留默认设置，然后选择“ 下一步”。

13. 对于“ 审阅 + 创建 ”选项卡，请查看所有设置，然后选择“ 创建”。

将 AlwaysOn VPN 配置策略与 Intune 同步

若要测试配置策略，请以 VPN 用户身份登录到 Windows 10+ 客户端计算机，然后与 Intune 同步。

1. 在“开始”菜单上，选择 “设置”。

2. 在“设置”中，选择“ 帐户”，然后选择“ 访问工作或学校”。

3. 选择要连接到 Microsoft Entra ID 的帐户，然后选择 “信息”。

4. 向下移动并选择“同步”以强制执行 Intune 策略评估和检索。

5. 同步完成后，关闭 “设置”。 同步后，应能够连接到组织的 VPN 服务器。

后续步骤

• 有关如何设置 AlwaysOn VPN 的深入教程，请参阅 教程：为 AlwaysOn VPN 设置基础结构。

• 若要了解如何使用 Microsoft Configuration Manager 配置 AlwaysOn VPN 配置文件，请参阅使用 Microsoft Configuration Manager 将 AlwaysOn VPN 配置文件部署到 Windows 客户端

• 有关配置服务提供商的 Always on VPN 配置选项（CSP）的详细信息，请参阅 VPNv2 配置服务提供程序。

• 若要排查 Microsoft Intune 中的 VPN 部署问题，请参阅 在 Microsoft Intune 中排查 VPN 配置文件问题。