Workspace ONE UEM 支持对设备 VPN 设置进行配置,以便最终用户能够从远程安全地访问您所在组织的内部网络。了解 VPN 配置文件如何提供详细的 VPN 设置控制,包括特定 VPN 提供商设置和每应用 VPN 访问权限。

重要事项: 启用 VPN 锁定之前,请验证 VPN 配置文件的 VPN 配置是否有效。如果 VPN 配置不正确,则很可能会因为没有 Internet 连接而无法从设备删除 VPN 配置文件。

过程

  1. 导航到资源 > 配置文件和基准 > 配置文件 > 添加,然后选择添加配置文件
  2. 选择 Windows,然后选择 Windows 桌面
  3. 选择用户配置文件设备配置文件
  4. 为配置文件配置常规设置。
  5. 选择 VPN 配置文件。
  6. 配置连接信息设置。:
    设置 说明
    连接名称 输入 VPN 连接的名称。
    连接类型

    选择 VPN 连接的类型:

    服务器 输入 VPN 服务器的主机名或 IP 地址。
    端口 输入 VPN 服务器使用的端口。
    高级连接设置 启用此选项以配置设备 VPN 连接的高级路由规则。
    路由地址

    选择添加,输入 VPN 服务器的 IP 地址和子网前缀长度。

    您可以根据需要添加更多路由地址。

    DNS 路由规则

    选择“添加”,输入域名,以控制何时使用 VPN。输入用于每个特定域的 DNS 服务器Web 代理服务器

    路由策略

    选择强制所有流量经由 VPN允许直接访问外部资源

    • 强制所有流量经由 VPN(强制隧道):对于此流量规则,所有 IP 流量必须仅通过 VPN 接口。

    • 允许直接访问外部资源(拆分隧道):对于此流量筛选器规则,只有用于 VPN 接口的流量(由网络堆栈确定)才能通过此接口。互联网流量可继续通过其他接口。

    代理 选择自动检测以检测 VPN 使用的任何代理服务器。选择手动以配置代理服务器。
    服务器

    输入代理服务器的 IP 地址。

    代理服务器设置为手动时显示。

    代理服务器的配置 URL

    输入用于代理服务器配置设置的 URL。

    代理服务器设置为手动时显示。

    跳过本地代理服务器 启用此选项以在设备检测到其位于本地网络上时绕过代理服务器。
    协议

    选择 VPN 的身份验证协议:

    • EAP – 允许各种身份验证方法
    • 机器证书 - 在设备证书存储中检测用于身份验证的客户端证书。
    EAP 类型

    选择 EAP 身份验证的类型:

    • EAP-TLS – 智能卡或客户端证书身份验证
    • EAP-MSCHAPv2 – 用户名和密码
    • EAP-TTLS
    • PEAP
    • 自定义配置 - 允许所有 EAP 配置

    只有当协议被设为EAP时显示。

    凭证类型

    选择使用证书,以使用客户端证书。选择使用智能卡,以使用智能卡进行身份验证。

    EAP 类型设置为 EAP-TLS 时显示。

    简单证书选择

    启用此设置以简化供用户选择的证书列表。证书按各实体机构最新颁布的证书排列显示。

    EAP 类型设置为 EAP-TLS 时显示。

    使用 Windows 登录凭证

    启用此选项以使用与 Windows 设备相同的凭证。

    EAP 类型设置为 EAP-MSCHAPv2 时显示。

    标识隐私

    输入客户端对服务器标识进行身份验证之前要发送到服务器的值。

    EAP 类型设置为 EAP-TTLS 时显示。

    内部身份验证方法

    选择用于内部标识验证的身份验证方法。

    EAP 类型设置为 EAP-TTLS 时显示。

    启用快速重新连接

    启用此选项以减少客户端请求身份验证和服务器发起响应之间的时间延迟。

    EAP 类型设置为 PEAP 时显示。

    启用标识隐私 启用此选项以保护用户标识,直到客户端对服务器进行身份验证。
    每应用 VPN 负载 选择添加,为旧版和新版应用程序添加流量规则。有关每应用 VPN 的更多信息,请参阅使用每应用 VPN
    应用程序 ID

    首先选择应用程序是应用商店应用还是桌面应用。然后,输入桌面应用的应用程序文件路径。您还可以输入商店应用的软件包系列名称,以指定流量规则适用的应用。

    • 文件路径示例:%ProgramFiles%/ Internet Explorer/iexplore.exe
    • 软件包系列名称示例:AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4

    PFN (程序包系列名称) 查找值允许您通过选取搜索图标来搜索应用程序的 PFN。在随即打开的显示窗口中,您可以选择您要配置每应用 VPN 规则来对其监管的应用程序。然后系统将自动填充 PFN。

    按需接入 VPN 启用此选项以使 VPN 在应用程序启动时自动连接。
    路由策略

    选择应用的路由策略。

    • 允许直接访问外部资源允许 VPN 流量和其他流量通过本地网络连接。
    • 强制所有流量经由 VPN 强制所有流量通过 VPN。
    DNS 路由规则

    启用此选项为应用程序流量添加 DNS 路由规则。

    选择添加可为路由规则添加筛选类型筛选值。只有来自特定应用程序且符合这些规则的流量可以通过 VPN 发送。

    • IP 地址:一个指定所允许的远程 IP 地址范围的逗号分隔值列表。
    • 端口:一个指定所允许的远程端口范围的逗号分隔值列表。例如,100-120、200、300-320。端口仅在协议设置为 TCP 或 UDP 时有效。
    • IP 协议:0 到 255 之间的数值,代表允许的 IP 协议。例如,TCP = 6 和 UDP = 17。

    有关如何使用这些筛选和策略功能及逻辑的更多信息,请参阅使用每应用 VPN

    设备范围的 VPN 规则

    选择添加可为整个设备添加流量规则。

    选择添加可为路由规则添加筛选类型筛选值。只有符合这些规则的流量可以通过 VPN 发送。

    • IP 地址:一个指定所允许的远程 IP 地址范围的逗号分隔值列表。
    • 端口:一个指定所允许的远程端口范围的逗号分隔值列表。例如,100-120、200、300-320。端口仅在协议设置为 TCP 或 UDP 时有效。
    • IP 协议:0 到 255 之间的数值,代表了允许的 IP 协议。例如,TCP = 6 和 UDP = 17。有关所有协议的数值列表,请参阅 https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml
    记住凭证 启用此选项以记住最终用户的登录凭证。
    始终开启 启用此选项以强制 VPN 连接始终保持开启状态。
    VPN 锁定

    启用此选项以强制 VPN 始终保持开启状态,永远不会断开连接;如果未连接 VPN,则禁用任何网络访问,并阻止其他 VPN 配置文件连接到设备上。

    将新 VPN 配置文件推送给设备前,必须先删除已启用 VPN 锁定的 VPN 配置文件。

    只有当配置文件设置为“设备”上下文时,才会显示此功能。

    绕过本地 启用此选项以针对本地内部网流量绕过 VPN 连接。
    受信任网络检测 输入受信任的网络地址 (用逗号隔开) 。检测到受信任网络连接时,VPN 不会连接。

    选择添加新域以添加要通过 VMware Tunnel 服务器进行解析的域。

    添加的任何域均通过 VMware Tunnel 服务器解析,而不管流量源自哪个应用。例如,如果您使用列入白名单的 Chrome 或未列入白名单的 Edge 应用,vmware.com 将通过 VMware Tunnel 服务器进行解析。

    只有在创建作为用户配置文件的 VPN 配置文件时,才会显示该选项。

  7. 完成后,选择保存并发布将配置文件推送到设备。