如何在 Configuration Manager 中建立 VPN 設定檔

 

適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

  1. 在 Configuration Manager 主控台中,按一下 [資產與相容性] 。

  2. 在 Configuration Manager 主控台中的 [資產與相容性] 工作區中,依序展開 [相容性設定]、[公司資源存取],然後按一下 [VPN 設定檔]。

  3. 在 [首頁] 索引標籤的 [建立] 群組中,按一下 [建立 VPN 設定檔]。

  1. 在 [建立 VPN 設定檔精靈] 的 [一般] 頁面上,指定下列資訊:

    • 名稱 - 輸入 VPN 設定檔的唯一名稱 (最多 256 個字元)。

      System_CAPS_important重要事項

      請勿在 VPN 設定檔名稱中使用字元 \/:*?<>|, 或空格字元,因為 Windows Server VPN 設定檔不支援這些字元。

    • 描述 -輸入可協助您在 Configuration Manager 主控台中尋找設定檔的描述 (最多 256 個字元)。

    • 從檔案匯入現有的 VPN 設定檔項目 – 選取此選項可顯示 [匯入 VPN 設定檔] 頁面。 在此頁面中,您可以匯入之前已匯出至 XML 檔案 的 VPN 設定檔資訊 (僅限 Windows 8.1 和 Windows RT 作業系統)。

  1. 在精靈的 [連線] 頁面上,指定下列資訊:

    • 連線類型:從下拉式清單中選取 VPN 連線的連線類型。 您可以從顯示支援平台的下表中,選擇連線類型。

      System_CAPS_important重要事項

      在您可以使用 VPN 設定檔部署至裝置之前,請務必確認您已安裝所需要的任何協力廠商 VPN 應用程式。 您可以使用如何在 Configuration Manager 中建立應用程式主題中的資訊,協助您使用 Configuration Manager 部署應用程式。

      連線類型

      iOS

      Android

      Windows 8.1

      Windows RT

      Windows RT 8.1

      Windows Phone 8.1

      Cisco AnyConnect

      Pulse Secure

      F5 Edge Client

      Dell SonicWALL Mobile Connect

      檢查點行動 VPN

      Microsoft SSL (SSTP)

      Microsoft Automatic

      IKEv2

      PPTP

      L2TP

      System_CAPS_note注意事項

      若要支援 Windows Phone 8.1,您必須安裝選用的 Windows Phone 8.1 擴充功能。 如需如何安裝擴充功能的相關資訊,請參閱規劃在 Configuration Manager 中使用擴充功能。自 System Center 2012 Configuration Manager SP2 起 此擴充功能會併入 Configuration Manager。

    • 伺服器清單:按一下 [新增] 加入要用於 VPN 連線的新伺服器。 根據連線類型而定,您可以新增一部或多部 VPN 伺服器,並指定哪部伺服器是預設伺服器。

      System_CAPS_note注意事項

      執行 iOS 的裝置並不支援使用多部 VPN 伺服器。 如果您設定多部 VPN 伺服器,然後將 VPN 設定檔部署至 iOS 裝置,則只會使用預設伺服器。

    根據您選取的連線類型,可能會顯示下表中的其他選項。 如需詳細資訊,請參閱您的 VPN 伺服器文件。

    選項

    詳細資訊

    連線類型

    領域

    指定您想要使用之驗證領域的名稱。 驗證領域就是 Pulse Secure 連線類型所使用的驗證資源群組。

    • Pulse Secure

    角色

    指定有權存取此連線之使用者角色的名稱。

    • Pulse Secure

    登入群組或網域

    指定您想要連線之登入群組或網域的名稱。

    • Dell SonicWALL Mobile Connect

    指紋

    指定將用來確認是否信任 VPN 伺服器的字串 (例如 "Contoso Fingerprint Code")。

    指紋可以是:

    • 傳送至用戶端,讓它知道信任連線時呈現該相同指紋的任何伺服器。

    • 如果裝置還沒有指紋,則會提示使用者信任所連線的 VPN 伺服器,同時顯示指紋 (使用者手動驗證指紋,並按一下 [信任] 進行連線)。

    檢查點行動 VPN

    透過 VPN 連線傳送所有網路流量

    如果未選取此選項,您可以針對連線 (如 Microsoft SSL (SSTP)Microsoft AutomaticIKEv2PPTPL2TP 連線類型) 指定其他路由,這稱為分割或 VPN 通道。

    只有公司網路的連線會透過 VPN 通道傳送。 當您連線至網際網路上的資源時不會使用 VPN 通道。

    • 全部:

    連線特定 DNS 尾碼

    或者,您也可以為連線指定連線特定的網域名稱系統 (DNS) 尾碼。

    • Microsoft SSL (SSTP)

    • Microsoft Automatic

    • IKEv2

    • PPTP

    • L2TP

    連線到公司 Wi-Fi 網路時略過 VPN

    指定裝置連線到公司 Wi-Fi 網路時,不會使用 VPN 連線。

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • 檢查點行動 VPN

    • Microsoft SSL (SSTP)

    • Microsoft Automatic

    • IKEv2

    • L2TP

    連線到家用 Wi-Fi 網路時略過 VPN

    指定裝置連線到家用 Wi-Fi 網路時,不會使用 VPN 連線。

    • 全部:

    每個應用程式 VPN (iOS 7 及更新版本、Mac OS X 10.9 及更新版本)

    如果您想要這個 VPN 連線與 iOS 應用程式產生關聯,以在執行應用程式時開啟連線,請選取此選項。 部署應用程式時,您可以將 VPN 設定檔與該應用程式產生關聯。

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • 檢查點行動 VPN

    自訂 XML (選用)

    可讓您指定設定 VPN 連線的自訂 XML 命令。

    範例:

    • 針對 Pulse Secure

      <pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

    • 若為 [CheckPoint 行動 VPN]:

      <CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

    • 若為[Dell SonicWALL Mobile Connect] :

      <MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

    • 若為 [F5 Edge Client]:

      <f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

    如需如何撰寫自訂 XML 命令的詳細資訊,請參閱相關製造商的 VPN 文件。

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • 檢查點行動 VPN

  1. 在精靈的 [驗證方法] 頁面上,指定下列資訊:

    • 驗證方法:在下拉式清單中,選取 VPN 連線要使用的驗證方法。 根據您之前選取的連線類型,下拉式清單中的項目可能會有所不同。 可用的驗證方法和支援的連線類型已列於下表中。

      驗證方法

      支援的連線類型

      憑證

      System_CAPS_tip提示

      如果要使用用戶端憑證來驗證 RADIUS 伺服器 (例如網路原則伺服器),則憑證中的主體別名必須設為使用者主體名稱。

      • Cisco AnyConnect

      • Pulse Secure

      • F5 Edge Client

      • Dell SonicWALL Mobile Connect

      • 檢查點行動 VPN

      使用者名稱和密碼

      • Pulse Secure

      • F5 Edge Client

      • Dell SonicWALL Mobile Connect

      • 檢查點行動 VPN

      Microsoft EAP-TTLS

      • Microsoft SSL (SSTP)

      • Microsoft Automatic

      • IKEv2

      • PPTP

      • L2TP

      Microsoft protected EAP (PEAP)

      • Microsoft SSL (SSTP)

      • Microsoft Automatic

      • IKEv2

      • PPTP

      • L2TP

      Microsoft secured password (EAP-MSCHAP v2)

      • Microsoft SSL (SSTP)

      • Microsoft Automatic

      • IKEv2

      • PPTP

      • L2TP

      智慧卡或其他憑證

      • Microsoft SSL (SSTP)

      • Microsoft Automatic

      • IKEv2

      • PPTP

      • L2TP

      MSCHAP v2

      • Microsoft SSL (SSTP)

      • Microsoft Automatic

      • IKEv2

      • PPTP

      • L2TP

      RSA SecurID (僅 iOS)

      • Microsoft SSL (SSTP)

      • Microsoft Automatic

      • PPTP

      • L2TP

      使用電腦憑證

      • IKEv2

      根據您選取的選項,可能會要求您指定進一步的資訊,例如:

      • 在每次登入時記住使用者認證:選取此選項,確保記住使用者認證,讓使用者不必每次建立連線時都輸入認證。

      • 選取用戶端憑證以進行用戶端驗證 - 選取先前建立的用戶端 SCEP 憑證,用來驗證 VPN 連線。 如需如何在 Configuration Manager 中使用憑證設定檔的詳細資訊,請參閱Configuration Manager 中的憑證設定檔

        System_CAPS_note注意事項

        如為 iOS 裝置,您所選取的 SCEP 設定檔會內嵌在 VPN 設定檔中。 對於其他平台,會加入適用性規則以確保當憑證不存在或不符合標準時,不會安裝 VPN 設定檔。

        如果您指定的 SCEP 憑證不符合標準,或尚未部署,則裝置上不會安裝 VPN 設定檔。

      • 對於某些驗證方法,您可以按一下 [設定] 開啟 Windows 的 [內容] 對話方塊 (如果您用來執行 Configuration Manager 主控台的 Windows 版本支援此驗證方法的話),並在其中設定驗證方法的屬性。

      System_CAPS_note注意事項

      當連接類型為 [PPTP] 時,執行 iOS 的裝置僅支援 [RSA SecurID] 和 [MSCHAP v2] 做為驗證方法。 若要避免回報錯誤,請將獨立的 PPTP VPN 設定檔部署至執行 iOS 的裝置。

若要設定 VPN 設定檔的 Proxy 設定

  1. 如果您的 VPN 連線使用 Proxy 伺服器,請在 [建立 VPN 設定檔精靈] 的 [Proxy 設定] 頁面上,選取 [設定此 VPN 設定檔的 Proxy 設定] 核取方塊。

  2. 指定與 Proxy 伺服器與其設定相關的詳細資料。 如需詳細資訊,請參閱 Windows Server 文件。

在精靈的 [設定自動 VPN 連線] 頁面上,您可以設定下列設定:

  • 依需求啟用 VPN – 如果您想針對 Windows Phone 8.1 裝置,在精靈的這個頁面上設定進一步的 DNS 設定,請選取此選項。

  • DNS 尾碼清單 (僅限 Windows Phone 8.1 裝置) – 設定將建立 VPN 連線的網域。 針對您指定的每個網域加入 DNS 尾碼、DNS 伺服器位址和下列其中之一的隨選動作:

    • 永不建立 – 永遠不開啟 VPN 連線。

    • 視需要建立 – 只有在裝置需要連接到資源時才開啟 VPN 連線。

    • 一律建立 – 永遠開啟 VPN 連線。

  • 合併 – 將您設定的任何 DNS 尾碼複製到 [受信任的網路清單]。

  • 受信任的網路清單 (僅限 Windows Phone 8.1 裝置) - 一行指定一個 DNS 尾碼。 如果裝置位於受信任的網路,則不會開啟 VPN 連線。

  • 尾碼搜尋清單 (僅限 Windows Phone 8.1 裝置) - 一行指定一個 DNS 尾碼。 使用簡短名稱連線到網站時,將會搜尋您指定的每個 DNS 尾碼。

    例如,您可以指定 DNS 尾碼 domain1.contoso.comdomain2.contoso.com,然後瀏覽 URL http://mywebsite。 搜尋的位址如下:

    • http://mywebsite.domain1.contoso.com

    • http://mywebsite.domain2.contoso.com

System_CAPS_note注意事項

僅限 Windows Phone 8.1 裝置

如果已針對佈建在裝置上的第一個設定檔選取 [透過 VPN 連線傳送所有網路流量] 選項,且 VPN 連線使用完整通道,則 VPN 連線會自動開啟。 如果您想要其他的設定檔自動開啟連線,您必須將其設為裝置上的預設設定檔。

如果 [透過 VPN 連線傳送所有網路流量] 選項並未選取,且 VPN 連線使用分割通道,則 VPN 連線會在您設定路由或連線特定 DNS 尾碼的情況下自動開啟。

使用下列程序來指定 VPN 設定檔的支援平台。

支援的平台就是要安裝 VPN 設定檔的作業系統。

若要指定 VPN 設定檔的支援平台

  1. 在 [建立 VPN 設定檔精靈] 的 [支援的平台] 頁面上,選取將安裝 VPN 設定檔的作業系統,或按一下 [全選] 在所有可用的作業系統上安裝 VPN 設定檔。

在精靈的 [摘要] 頁面上,檢閱要採取的動作,然後完成精靈。 新的 VPN 設定檔會顯示在 [資產與相容性] 工作區的 [VPN 設定檔] 節點中。

如需與如何部署 VPN 設定檔有關的資訊,請參閱如何在 Configuration Manager 中部署 VPN 設定檔

顯示: