虚拟专用网络(VPN)
虚拟专用网络(VPN)顾名思义,是在互联网建立一个逻辑上的私人通道,以确保只有授权用户能够从任何网络访问组织的机密网络资源。VPN 确保所有设备与网络资源之间的通信都通过安全通道进行,防止任何未经授权的访问。VPN 还提高了生产力,因为它保证员工可以随时随地工作,而不必担心无法访问特定资源或数据。随着移动设备广泛成为企业生产力的一部分,IT 管理员配置移动设备上的 VPN 已成为必需,而这可以通过 MDM 轻松高效地完成。
应用于配置为 配置文件所有者 设备的 VPN 配置文件将确保只有通过 MDM 分发的应用程序的流量经过 VPN。VPN 不会应用于容器外的应用程序。
支持的 VPN 类型
MDM 支持以下 VPN 类型:
| VPN 类型 | SAMSUNG | 非 SAMSUNG | 额外要求(如有) | ||
|---|---|---|---|---|---|
| 传统 | 配置文件所有者 | 设备所有者 | |||
| PPTP | 支持自 Android 4.3 |  |
|
|
无 |
| L2TP PSK | 支持自 Android 4.3 | |
|
|
无 |
| IPSec XAuth PSK | 支持自 Android 4.3 | |
|
|
无 |
| IPSec IKEv2 PSK | 支持自 Android 4.3 | |
|
|
无 |
| Cisco AnyConnect | 支持自 Android 6.0/Knox 版本 5.7 或更高 | |
 |
|
Cisco AnyConnect 设备上必须安装该应用程序。 自动安装该应用程序 |
| F5 SSL | 支持自 Android 6.0/Knox 版本 5.7 或更高 | |
|
|
F5 Access 设备上必须安装该应用程序。 自动安装该应用程序 |
| Pulse Secure | 支持自 Android 6.0/Knox 版本 5.7 或更高 | |
|
|
Pulse Secure 设备上必须安装该应用程序。 自动安装该应用程序 |
| Palo Alto | 支持自 Android 6.0/Knox 版本 5.7 或更高 | |
|
|
设备上必须安装 Palo Alto 应用程序。 自动安装该应用程序 |
配置文件详情
要配置 VPN 策略,您需要配置某些通用参数和特定 VPN 类型的参数。若要了解特定 VPN 类型需配置的参数,请点击所提供标签中的 VPN 类型名称。
PPTP
| 配置文件规范 | 描述 |
|---|---|
| 通用参数 | |
| 连接名称 | 指定需在最终用户的移动设备上显示为 VPN 名称的名称。 |
| 连接类型 | 要在设备上配置的 VPN 类型。 |
| 服务器名称 / IP 地址 | VPN 服务器的主机名或 IP 地址。 |
| PPTP 特定参数 | |
| 用户名 | 此 VPN 配置应用的用户。使用动态变量 %username% 从注册详情中获取用户名。 |
| 密码 | 指定用于身份验证的密码。 |
| 允许新增 VPN | 指定是否可以配置额外的 VPN。 |
| 允许修改已配置的 VPN | 指定设备用户是否可以修改已配置的 VPN。 |
L2TP
| 配置文件规范 |
描述 |
|---|---|
| 通用参数 | |
| 连接名称 | 指定需在最终用户的移动设备上显示为 VPN 名称的名称。 |
| 连接类型 | 要在设备上配置的 VPN 类型。 |
| 服务器名称 / IP 地址 | VPN 服务器的主机名或 IP 地址。 |
| L2TP 特定参数 | |
| 用户名 | 此 VPN 配置应用的用户。使用动态变量 %username% 从注册详情中获取用户名。 |
| 密码 | 指定用于身份验证的密码。 |
| 共享密钥 | 指定预共享密钥。 |
| L2TP 密钥 | 指定是否启用 L2TP 密钥。 |
| 密钥 | 指定 L2TP 密钥。 |
| 允许新增 VPN | 指定是否可以配置额外的 VPN。 |
| 允许修改已配置的 VPN | 指定设备用户是否可以修改已配置的 VPN。 |
IPSec XAuth
| 配置文件规范 | 描述 |
|---|---|
| 通用参数 | |
| 连接名称 | 指定需在最终用户的移动设备上显示为 VPN 名称的名称。 |
| 连接类型 | 要在设备上配置的 VPN 类型。 |
| 服务器名称 / IP 地址 | VPN 服务器的主机名或 IP 地址。 |
| IPSec XAuth 特定参数 | |
| 用户名 | 此 VPN 配置应用的用户。使用动态变量 %username% 从注册详情中获取用户名。 |
| 密码 | 指定用于身份验证的密码。 |
| 共享密钥 | 指定预共享密钥。 |
| 允许新增 VPN | 指定是否可以配置额外的 VPN。 |
| 允许修改已配置的 VPN | 指定设备用户是否可以修改已配置的 VPN。 |
| IPSec 标识符 | 用户被分配到的 VPN 服务器上的组名。 |
IPSec IKEv2
| 配置文件规范 | 描述 |
|---|---|
| 通用参数 | |
| 连接名称 | 指定需在最终用户的移动设备上显示为 VPN 名称的名称。 |
| 连接类型 | 要在设备上配置的 VPN 类型。 |
| 服务器名称 / IP 地址 | VPN 服务器的主机名或 IP 地址。 |
| IPSec IKEv2 特定参数 | |
| 用户名 | 此 VPN 配置应用的用户。使用动态变量 %username% 从注册详情中获取用户名。 |
| 密码 | 指定用于身份验证的密码。 |
| 共享密钥 | 指定预共享密钥。 |
| 允许新增 VPN | 指定是否可以配置额外的 VPN。 |
| 允许修改已配置的 VPN | 指定设备用户是否可以修改已配置的 VPN。 |
| IPSec 标识符 | 用户被分配到的 VPN 服务器上的组名。 |
CISCO ANYCONNECT
| 配置文件规范 | 描述 |
|---|---|
| 通用参数 | |
| 连接名称 | 指定需在最终用户的移动设备上显示为 VPN 名称的名称。 |
| 连接类型 | 要在设备上配置的 VPN 类型。 |
| 服务器名称 / IP 地址 | VPN 服务器的主机名或 IP 地址。 |
| CISCO ANYCONNECT 特定参数 | |
| 连接协议 | 指定用于建立和/或维护连接的协议类型。 |
| 身份验证类型 | 指定连接建立时控制身份验证的协议。 |
| IKE 身份 | 指定用于唯一标识用户连接的信息。 |
| FIPS 模式 | 指定 VPN 连接/通信是否遵循 FIPS 合规协议。 |
| 严格模式 | 指定是否启用严格模式,以安全地建立 VPN 连接。 |
| 允许的应用 | 可以使用该 VPN 连接的应用列表。 |
| 身份证书 | 指定用于基于证书身份验证的身份证书。 |
| 永远开启 | 启用此功能,可强制配置的 VPN 连接始终开启,而无需用户在每次设备重启时启动配置。永远开启仅可配置为设备所有者的设备。 |
| VPN 锁定 | 当已配置的 VPN 断开或不可用时,启用此功能可以限制访问其他网络,包括移动数据。VPN 锁定仅在启用了永远开启时可配置。 |
F5 SSL
| 配置文件规范 | 描述 |
|---|---|
| 通用参数 | |
| 连接名称 | 指定需在最终用户的移动设备上显示为 VPN 名称的名称。 |
| 连接类型 | 要在设备上配置的 VPN 类型。 |
| 服务器名称 / IP 地址 | VPN 服务器的主机名或 IP 地址。 |
| F5 SSL 特定参数 | |
| 用户名 | 此 VPN 配置应用的用户。使用动态变量 %username% 从注册详情中获取用户名。 |
| 密码 | 指定用于身份验证的密码。 |
| FIPS 模式 | 指定 VPN 连接/通信是否遵循 FIPS 合规协议。 |
| 允许的应用 | 允许使用此 VPN 连接的应用列表。 |
| 身份证书 | 指定用于基于证书身份验证的身份证书。 |
| Web 登录模式 | 启用时,允许设备用户通过网页浏览器连接 VPN。 |
| 客户端证书密码 | 用于身份验证的客户端证书密码。 |
| 绕过的应用 | 可绕过 VPN 连接的应用列表。 |
| 允许用户配置 VPN | 启用/禁用用户配置 VPN 的权限。 |
| 修改已配置的 VPN | 启用/禁用用户修改之前配置的 VPN。 |
| 显示的限制消息 | 指定限制时显示给用户的消息。 |
| 永远开启 | 启用此功能,可强制配置的 VPN 连接始终开启,而无需用户在每次设备重启时启动配置。永远开启仅可配置为设备所有者的设备。 |
| VPN 锁定 | 当已配置的 VPN 断开或不可用时,启用此功能可以限制访问其他网络,包括移动数据。VPN 锁定仅在启用了永远开启时可配置。 |
PULSE SECURE
| 配置文件规范 | 描述 |
|---|---|
| 通用参数 | |
| 连接名称 | 指定需在最终用户的移动设备上显示为 VPN 名称的名称。 |
| 连接类型 | 要在设备上配置的 VPN 类型。 |
| 服务器名称 / IP 地址 | VPN 服务器的主机名或 IP 地址。 |
| PULSE SECURE 特定参数 | |
| 用户名 | 此 VPN 配置应用的用户。使用动态变量 %username% 从注册详情中获取用户名。 |
| 密码 | 指定用于身份验证的密码。 |
| 替代用户名 | 指定与设备用户关联的替代用户名。 |
| 领域 | 指定身份验证领域。身份验证领域定义了用户使用 VPN 服务时必须遵守的标准。它包括身份验证服务器、身份验证策略等认证资源的分组。此通常由网络管理员完成。 |
| 角色 | 指定用户角色。用户角色定义用户会话参数(如会话设置)、个性化设置(如书签)和其他启用的访问功能。例如,用户角色可定义用户是否可以进行网页浏览。 |
| 允许的应用 | 允许使用此 VPN 连接的应用列表。 |
| 身份验证类型 | 指定连接建立时控制身份验证的协议。 |
| 配置文件操作 | 指定配置文件是创建还是删除。 |
| 设为默认配置 | 指定是否将此配置文件设为默认。 |
| 路由类型 | 指定 VPN 应用到设备还是应用程序。 |
| 机器身份验证 | 启用后,在用户登录时自动建立连接,并保持连接直到用户注销。 |
| 身份证书 | 指定用于基于证书身份验证的身份证书。 |
| 永远开启 | 启用此功能,可强制配置的 VPN 连接始终开启,而无需用户在每次设备重启时启动配置。永远开启仅可配置为设备所有者的设备。 |
| VPN 锁定 | 当已配置的 VPN 断开或不可用时,启用此功能可以限制访问其他网络,包括移动数据。VPN 锁定仅在启用了永远开启时可配置。 |
PALO ALTO
| 配置文件规范 | 描述 |
|---|---|
| 通用参数 | |
| 连接名称 | 指定需在最终用户的移动设备上显示为 VPN 名称的名称。 |
| 连接类型 | 要在设备上配置的 VPN 类型。 |
| 服务器名称 / IP 地址 | VPN 服务器的主机名或 IP 地址。 |
| PALO ALTO 特定参数 | |
| 用户名 | 此 VPN 配置应用的用户。使用动态变量 %username% 从注册详情中获取用户名。 |
| 密码 | 指定用于身份验证的密码。 |
| 允许的应用 | 允许使用此 VPN 连接的应用列表。 |
| 身份证书 | 指定用于基于证书身份验证的身份证书。 |
| 客户端证书密码 | 用于身份验证的客户端证书密码。 |
| 路由类型 | 指定 VPN 应用到设备还是应用程序。 |
| 通过限制移除 VPN 配置文件 | 启用/禁用移除已分发 VPN 配置文件的限制。 |
| 永远开启 | 启用此功能,可强制配置的 VPN 连接始终开启,而无需用户在每次设备重启时启动配置。永远开启仅可配置为设备所有者的设备。 |
| VPN 锁定 | 当已配置的 VPN 断开或不可用时,启用此功能可以限制访问其他网络,包括移动数据。VPN 锁定仅在启用了永远开启时可配置。 |
永远开启 VPN:
启用 永远开启 VPN 有助于保持托管设备与其组织网络之间的持久连接,无需用户每次手动连接 VPN。永远开启 VPN 仅可配置为设备所有者的设备。
身份证书
可上传身份证书以保护 VPN。设备必须设置密码保护才能使用此功能。以下 VPN 供应商支持使用证书保护 VPN:
- Cisco AnyConnect
- F5SSL
- Pulse Secure
配置证书,
- 创建 VPN 配置文件。
- 选择 连接类型。
- 在身份验证设置中,选择 “基于证书的身份验证”, 并上传所需证书。
- 如果您的组织需要支持其他 VPN 供应商,请在此 添加。
跳转到