“按需接入 VPN”指的是为特定域自动建立 VPN 连接的过程。为了增加安全性和易用性，“按需接入 VPN”使用证书而非简单密码进行身份验证。

1. 导航到资源 > 配置文件和基准 > 配置文件 > 添加，然后选择 iOS。
2. 从列表中选择 VPN 负载。
3. 相应地配置基础 VPN 配置文件。
4. 从用户身份验证下拉菜单中选择证书。导航到凭据负载。
   1. 从凭据来源下拉菜单，选择定义的证书颁发机构。
   2. 从相应的下拉菜单中选择证书颁发机构和证书模板。
   3. 导航回到 VPN 负载。
5. 如果您对 VPN配置文件应用证书身份验证，选择通过凭据负载指定的标识证书。
6. 选中启用按需接入 VPN 框。
7. 当最终用户访问任何指定域名时，配置使用新的“按需”密钥 (iOS 7) 来启用 VPN 连接：

   设置	说明
   使用新的“按需”密钥（iOS 7 和更高版本）	选择此项以使用允许指定更细致的 VPN 规则的新语法。
   按需规则/操作	根据定义的条件选择一个操作来定义要应用到 VPN 连接的 VPN 行为。如果满足条件，则指定的操作将会发生。 评估连接：基于网络设置和每个连接的特征自动建立 VPN 隧道连接。每次 VPN 连接到网站时都会执行评估。 连接：如果满足网络条件，则下一次网络尝试连接时自动建立 VPN 隧道连接。 断开连接：如果满足网络条件，自动禁用 VPN 隧道连接，并且不按需重新连接。 忽略：如果满足网络条件，将保留现有 VPN 连接，但不按需重新连接。
   操作参数	为指定域配置操作参数，以便在域名解析失败（例如当 DNS 服务器指出其无法解析域）并通过重定向到其他服务器进行响应或无法响应（超时）时触发 VPN 连接尝试。 如果选择评估连接，则会显示这些选项： 选择需要时连接/永不连接并输入其他信息： 域 – 输入此评估所适用的域。 URL 探测 – 输入要使用 GET 请求进行探测的 HTTP 或 HTTPS（首选）URL。如果无法解析 URL 的主机名，如果服务器无法访问或服务器无法通过 200 HTTP 状态代码响应，则在响应时建立 VPN 连接。 DNS 服务器 – 输入要用来解析指定域的 DNS 服务器 IP 地址的阵列。这些服务器无需包含在设备的当前网络配置中。如果这些 DNS 服务器无法访问，则在响应时建立 VPN 连接。这些 DNS 服务器必须是内部 DNS 服务器或受信任的外部 DNS 服务器。（可选）
   参数的条件/值	接口匹配 – 选择与设备当前的网络适配器相匹配的连接类型。可用值包括任意、Wifi、以太网和蜂窝网。 URL 探测 – 输入指定的 URL 以使条件得到满足。满足条件时，返回 200 HTTP 状态代码。此格式包含协议 (https)。 SSID 匹配 – 输入设备当前的网络 ID。要满足条件，此 ID 必须与阵列中至少一个值匹配。 根据需要使用+ 图标输入多个 SSID。 DNS 域匹配 – 输入设备当前的网络搜索域。支持使用通配符 (*.example.com)。 DNS 地址匹配 – 输入与设备当前 DNS 服务器 IP 地址相匹配的 DNS 地址。要满足条件，必须输入所有设备列出的 IP 地址。支持使用单个通配符进行匹配 (17.*)。

8. 或者选择旧版按需接入 VPN：

   设置	说明
   匹配域名或主机	按需操作 需要时建立或始终建立 – 只有当无法直接访问指定页面时才启动 VPN 连接。 从不建立 - 不为与指定域名相匹配的地址建立 VPN 连接。但是，如果 VPN 已处于活动状态，则可以使用。

9. 根据需要使用 + 图标添加更多规则和操作参数。
10. 选择一个代理服务器类型：

    设置	说明
    代理	选择要为此 VPN 连接配置的手动或自动代理服务器类型。
    服务器	输入代理服务器的 URL。
    端口	输入用于与代理服务器通信的端口。
    用户名	输入连接到代理服务器的用户名。
    密码	输入身份验证的密码。

11. 完成供应商配置。这些值对每个 VPN 提供商都是唯一的。

    设置	说明
    供应商密钥	选择此项将创建自定义密钥，以便将其添加到供应商的配置字典。
    键	输入供应商提供的特定密钥。
    值	输入每个密钥的 VPN 值。

12. 单击保存并发布。配置文件安装到用户的设备上之后，只要用户导航到需要 VPN 连接的站点（如 SharePoint），VPN 连接提示就会自动显示。