Product Documentation

VPN 设备策略

May 07, 2017

可以在 XenMobile 中添加用于配置虚拟专用网络 (VPN) 设置的设备策略,使用户设备安全地连接到企业网络。可以为以下平台配置 VPN 策略:iOS、Android(包括为 Android for Work 启用的设备)、Samsung SAFE、Samsung KNOX、Windows Tablet、Windows Phone 和 Amazon。每种平台需要一组不同的值,本文将对此进行详细介绍。

iOS 设置

Mac OS X 设置

Android 设置

Samsung SAFE 设置

Samsung KNOX 设置

Windows Phone 设置

Windows Tablet 设置

Amazon 设置

1. 在 XenMobile 控制台中,单击配置 > 设备策略。此时将显示设备策略页面。

2. 单击添加。此时将显示添加新策略对话框。

3. 单击 VPN。此时将显示 VPN 策略页面。

localized image

4. 在策略信息窗格中,输入以下信息:

  • 策略名称:键入策略的描述性名称。
  • 说明:键入策略的可选说明。

5. 单击下一步。此时将显示策略平台页面。显示策略平台页面时,会选中所有平台,并且首先看到 iOS 平台。

6. 在平台下方,选择要添加的一个或多个平台。清除不希望配置的平台。

为平台配置了设置后,请参阅步骤 7 以了解如何设置此平台的部署规则。

配置 iOS 设置

localized image

配置以下设置

  • 连接名称:键入连接的名称。
  • 连接类型:在列表中,单击将用于此连接的协议。默认值为 L2TP
    • L2TP:使用预共享密钥身份验证的第二层通道协议。
    • PPTP:点对点通道。
    • IPSec:企业 VPN 连接。
    • Cisco AnyConnect:Cisco AnyConnect VPN 客户端。
    • Juniper SSL:Juniper Networks SSL VPN 客户端。
    • F5 SSL:F5 Networks SSL VPN 客户端。
    • SonicWALL Mobile Connect:适用于 iOS 的 Dell 统一 VPN 客户端。
    • Ariba VIA:Ariba Networks Virtual Internet Access 客户端。
    • IKEv2(仅限 iOS):仅限适用于 iOS 的 Internet 密钥交换 2 版。
    • Citrix VPN:适用于 iOS 的 Citrix VPN 客户端。
    • 自定义 SSL:自定义安全套接字层。

以下部分列出了前面每种连接类型的配置选项。

配置 L2TP 协议
配置 PPTP 协议
配置 IPSec 协议
配置 Cisco AnyConnect 协议
配置 Juniper SSL 协议
配置 F5 SSL 协议
配置 SonicWALL 协议
配置 Ariba VIA 协议
配置 IKEv2 协议
配置 Citrix VPN 协议
配置自定义 SSL 协议
配置“按需启用 VPN”选项
  • 代理
    • 代理配置:在列表中,选择 VPN 连接通过代理服务器进行路由的方式。默认值为
      • 如果启用手动,可以配置以下设置:
        • 代理服务器的主机名或 IP 地址:键入代理服务器的主机名或 IP 地址。此字段为必填字段。
        • 代理服务器的端口:键入代理服务器的端口号。此字段为必填字段。
        • 用户名:键入可选代理服务器用户名。
        • 密码:键入可选代理服务器密码。
      • 如果配置自动,可以配置以下设置:
        • 代理服务器 URL:键入代理服务器的 URL。此字段为必填字段。
  • 策略设置
    • 策略设置下方的删除策略旁边,单击选择日期删除前保留时间(天)
    • 如果单击选择日期,请单击日历以选择具体删除日期。
    • 允许用户删除策略列表中,单击始终需要密码从不
    • 如果单击需要密码,在删除密码旁边,键入必需的密码。

配置 Mac OS X 设置

localized image

配置以下设置:

  • 连接名称:键入连接的名称。
  • 连接类型:在列表中,单击将用于此连接的协议。默认值为 L2TP。
    • L2TP:使用预共享密钥身份验证的第二层通道协议。
    • PPTP:点对点通道。
    • IPSec:企业 VPN 连接。
    • Cisco AnyConnect:Cisco AnyConnect VPN 客户端。
    • Juniper SSL:Juniper Networks SSL VPN 客户端。
    • F5 SSL:F5 Networks SSL VPN 客户端。
    • SonicWALL Mobile Connect:适用于 iOS 的 Dell 统一 VPN 客户端。
    • Ariba VIA:Ariba Networks Virtual Internet Access 客户端。
    • Citrix VPN:Citrix VPN 客户端。
    • 自定义 SSL:自定义安全套接字层。

以下部分列出了前面每种连接类型的配置选项。

配置 L2TP 协议
配置 PPTP 协议
配置 IPSec 协议
配置 Cisco AnyConnect 协议
配置 Juniper SSL 协议
配置 F5 SSL 协议
配置 SonicWALL 协议
配置 Ariba VIA 协议
配置 Citrix VPN 协议
配置自定义 SSL 协议
配置“按需启用 VPN”选项
  • 代理
    • 代理配置:在列表中,选择 VPN 连接通过代理服务器进行路由的方式。默认值为
      • 如果启用手动,可以配置以下设置:
        • 代理服务器的主机名或 IP 地址:键入代理服务器的主机名或 IP 地址。此字段为必填字段。
        • 代理服务器的端口:键入代理服务器的端口号。此字段为必填字段。
        • 用户名:键入可选代理服务器用户名。
        • 密码:键入可选代理服务器密码。
      • 如果配置自动,可以配置以下设置:
        • 代理服务器 URL:键入代理服务器的 URL。此字段为必填字段。
  • 策略设置
    • 策略设置下方的删除策略旁边,单击选择日期删除前保留时间(天)
    • 如果单击选择日期,请单击日历以选择具体删除日期。
    • 允许用户删除策略列表中,单击始终需要密码从不
    • 如果单击需要密码,在删除密码旁边,键入必需的密码。
    • 配置文件作用域旁边,单击用户系统。默认值为用户。此选项仅适用于 OS X 10.7 及更高版本。

配置 Android 设置

localized image

配置以下设置:

  • Cisco AnyConnect VPN
    • 连接名称:输入 Cisco AnyConnect VPN 连接的名称。此字段为必填字段。
    • 服务器名称或 IP 地址:键入 VPN 服务器的名称或 IP 地址。此字段为必填字段。
    • 备份 VPN 服务器:键入备份 VPN 服务器信息。
    • 用户组:键入用户组信息。
    • 身份凭据:在列表中,选择身份凭据。
  • 可信网络
    • 自动 VPN 策略:启用或禁用此选项,以设置 VPN 响应可信网络和不可信网络的方式。如果启用,可以配置以下设置:
      • 可信网络策略:在列表中,单击所需的策略。默认值为断开连接。可能的选项包括:
        • 断开连接:客户端终止可信网络中的 VPN 连接。这是默认值。
        • 连接:客户端在可信网络中启动 VPN 连接。
        • 不执行任何操作:客户端不执行任何操作。
        • 暂停:用户在可信网络外部建立 VPN 会话后进入配置为可信的网络时,挂起 VPN 会话(而不是断开会话的连接)。用户再次离开可信网络时,会话恢复。这样无需在离开可信网络后建立新的 VPN 会话。
      • 不可信网络策略:在列表中,单击所需的策略。默认值为连接。可能的选项包括:
        • 连接:客户端在不可信网络中启动 VPN 连接。
        • 不执行任何操作:客户端在不可信网络中启动 VPN 连接。此选项将禁用始终启用 VPN。
    • 可信域:对于客户端位于可信网络时网络接口可能具有的每个域后缀,请单击添加以执行下列操作:
      • :键入要添加的域。
      • 单击保存以保存域,或单击取消不保存域。
    • 可信服务器:对于客户端位于可信网络时网络接口可能具有的每个服务器地址,请单击添加并执行下列操作:
      • 服务器:键入要添加的服务器。
      • 单击保存以保存服务器,或单击取消不保存服务器。

注意:要删除现有服务器,请将鼠标悬停在包含此列表的行上方,然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表,或单击取消以保留列表。

要编辑现有服务器,请将鼠标悬停在包含此列表的行上方,然后单击右侧的铅笔图标。对列表进行任何更改,然后单击保存以保存更改后的列表,或单击取消以保持列表不变。

配置 Samsung SAFE 设置

localized image

配置以下设置:

  • 连接名称:键入连接的名称。
  • Vpn 类型:在列表中,单击将用于此连接的协议。默认值为带有预共享密钥的 L2TP。可能的选项包括:
    • 带有预共享密钥的 L2TP:使用预共享密钥身份验证的第二层通道协议。此为默认设置。
    • 带有证书的 L2TP:使用证书的第二层通道协议。
    • PPTP:点对点通道。
    • Enterprise:企业 VPN 连接。适用于 SAFE 2.0 之前的版本。
    • 通用:通用 VPN 连接。适用于 SAFE 2.0 或更高版本。

以下部分列出了前面每种 VPN 类型的配置选项。

配置带有预共享密钥的 L2TP 协议
配置使用证书的 L2TP 协议
配置 PPTP 协议
配置企业协议
配置通用协议

配置 Samsung KNOX 设置

localized image

注意:为 Samsung KNOX 配置任何策略时,策略仅在 Samsung KNOX 容器内适用。

配置以下设置:

  • Vpn 类型:在列表中,单击要配置的 VPN 连接类型,即企业(适用于 KNOX 2.0 之前的版本)或通用(适用于 KNOX 2.0 或更高版本)。默认值为企业

以下部分列出了前面每种连接类型的配置选项。

配置企业协议
配置通用协议

配置 Windows Phone 设置

localized image

注意:这些设置仅在 Windows 10 及更高版本的受监督手机上受支持。

配置以下设置:

  • 连接名称:输入连接的名称。此字段为必填字段。
  • 配置文件类型:在列表中,单击本机插件。默认值为本机。以下部分将分别介绍这些选项的设置。
  • 配置本机配置文件类型设置 - 这些设置适用于内置于用户 Windows Phone 的 VPN。
    • VPN 服务器名称:键入 VPN 服务器的 FQDN 或 IP 地址。此字段为必填字段。
    • 通道协议:在列表中,单击要使用的 VPN 通道的类型。默认值为 L2TP。可能的选项包括:
      • L2TP:使用预共享密钥身份验证的第二层通道协议。
      • PPTP:点对点通道。
      • IKEv2:Internet 密钥交换第 2 版。
    • 身份验证方法:在列表中,单击要使用的身份验证方法。默认值为 EAP。可能的选项包括:
      • EAP:扩展身份验证协议。
      • MSChapV2:使用 Microsoft 的质询-握手身份验证相互验证身份。选择 IKEv2 作为通道类型时,此选项不可用。选择 MSChapV2 时,会显示自动使用 Windows 凭据选项;默认值为
    • EAP 方法:在列表中,单击要使用的 EAP 方法。默认值为 TLS。启用 MSChapV2 身份验证时此字段不可用。可能的选项包括:
      • TLS:传输层安全性
      • PEAP:受保护的可扩展身份验证协议
    • DNS 后缀:键入 DNS 后缀。
    • 可信网络:键入无需使用 VPN 连接进行访问的网络列表,以逗号分隔。例如,当用户在使用公司无线网络时,他们可以直接访问受保护的资源。
    • 需要智能卡证书:选择是否需要智能卡证书。默认值为“关”。
    • 自动选择客户端证书:选择是否自动选择用于身份验证的客户端证书。默认值为“关”。启用“需要智能卡证书”时此选项不可用。
    • 记住凭据:选择是否缓存凭据。默认值为“关”。启用时,会在合适的时候缓存凭据。
    • 始终启用 VPN:选择是否始终启用 VPN。默认值为“关”。启用后,VPN 连接保持可用,直到用户手动断开连接。
    • 跳过本地地址:键入地址和端口号,以允许本地资源跳过代理服务器。
  • 配置插件协议类型 - 这些设置适用于从 Windows 应用商店获取并安装在用户设备上的 VPN 插件。
    • 服务器地址:键入 VPN 服务器的 URL、主机名或 IP 地址。
    • 客户端应用程序 ID:键入 VPN 插件的软件包系列名称。
    • 插件配置文件 XML:单击“浏览”并导航到要使用的自定义 VPN 插件配置文件的位置,选择该文件。有关格式及详细信息,请联系插件提供商。
    • DNS 后缀:键入 DNS 后缀。
    • 可信网络:键入无需使用 VPN 连接进行访问的网络列表,以逗号分隔。例如,当用户在使用公司无线网络时,他们可以直接访问受保护的资源。
    • 记住凭据:选择是否缓存凭据。默认值为“关”。启用时,会在合适的时候缓存凭据。
    • 始终启用 VPN:选择是否始终启用 VPN。默认值为“关”。启用后,VPN 连接保持可用,直到用户手动断开连接。
    • 跳过本地地址:键入地址和端口号,以允许本地资源跳过代理服务器。

配置 Windows Tablet 设置

localized image

配置以下设置:

配置 Windows 10 设置

配置 Amazon 设置

localized image

配置以下设置:

  • 连接名称:输入连接的名称。
  • VPN 类型:单击连接类型。可能的选项包括:
    • L2TP PSK:使用预共享密钥身份验证的第二层通道协议。这是默认值。
    • L2TP RSA:使用 RSA 身份验证的第二层通道协议。
    • IPSEC XAUTH PSK:使用预共享密钥和扩展身份验证的 Internet 协议安全性。
    • IPSEC HYBRID RSA:使用混合 RSA 身份验证的 Internet 协议安全性。
    • PPTP:点对点通道。

以下部分列出了前面每种连接类型的配置选项。

配置 L2TP PSK 设置
配置 L2TP RSA 设置
配置 IPSEC XAUTH PSK 设置
配置 IPSEC AUTH RSA 设置
配置 IPSEC HYBRID RSA 设置
配置 PPTP 设置
7. 配置部署规则

8. 单下一步,将显示 VPN 策略分配页面。

localized image

9. 在选择交付组旁边,键入以查找交付组,或在列表中选择一个或多个要向其分配策略的交付组。选择的组显示在右侧用于接收应用程序分配的交付组列表中。

10. 展开部署计划,然后配置以下设置:

  • 部署旁边,单击以计划部署,或单击以阻止部署。默认选项为。如果选择,无需配置其他选项。
  • 部署计划旁边,单击立即稍后。默认选项为立即
  • 如果单击稍后,请单击日历图标,然后选择部署的日期和时间。
  • 部署条件旁边,单击每次连接时或单击仅当之前的部署失败时。默认选项为每次连接时
  • 为始终启用的连接部署旁边,单击。默认选项为。已在设置 > 服务器属性中配置了计划后台部署密钥的情况下此选项适用。始终启用选项不适用于 iOS 设备。

注意

  • 已在设置 > 服务器属性中配置了计划后台部署密钥的情况下此选项适用。始终启用选项不适用于 iOS 设备。
  • 配置的部署计划对所有平台相同。您所做的更改适用于所有平台,为始终启用的连接部署除外,它不适用于 iOS。

11. 单击保存