簡介

本指南可協助您瞭解及疑難排解使用 Microsoft Intune 時可能會遇到的 VPN 設定檔問題。

本文分為下列各節:

本指南中的範例會針對這些設定檔使用 SCEP 憑證驗證,並假設「受信任的根」和「SCEP」設定檔可在裝置上正確運作。 在範例中,「信任的根」和「SCEP」設定檔的名稱如下。

Android

Ios

Windows

信任的根設定檔

AndroidRoot

iOSRoot

WindowsRoot2

SCEP 設定檔

AndroidSCEP

iOSSCEP

WindowsSCEP2

VPN 設定檔概觀

虛擬私人網路 (VPN) 讓您的使用者安全地遠端存取貴組織網路。 裝置會使用 VPN 連線設定檔來開始與 VPN 伺服器的連線。 Microsoft Intune中的 VPN 設定檔將 VPN 設定指派給組織中的使用者和裝置,讓他們可以輕鬆且安全地連線到您的組織網路。

例如,您想要將所有 iOS 裝置設定為具備連線至組織網路上檔案共用的必要設定。 您可以建立包含這些設定的 VPN 設定檔。 然後,將此設定檔指派給所有擁有 iOS 裝置的使用者。 使用者會在可用網路清單中看到 VPN 連線,而且可以輕鬆連線。

您可以使用不同的VPN 連線類型來建立 VPN設定檔。

注意 您必須先安裝設定檔適用的 VPN 應用程式,才能使用指派給裝置的 VPN 設定檔。

建立 VPN 設定檔

若要建立 VPN 設定檔,請依照下列Microsoft 文章建立裝置設定檔>一節中的步驟進行:

建立 VPN 設定檔以連線至 Intune 中的 VPN 伺服器

支援的平臺上的 [內容] 畫面類似下列範例:

Android VPN

iOS VPN

Window VPN

附註 在範例中,Android 和 iOS VPN 設定檔的連線類型為Cisco AnyConnect,而 Windows 10 的連線類型為[自動]。  此外,VPN 設定檔也會連結至 SCEP 設定檔。

如需有關如何建立適用于 VPN 設定檔之 EAP) 設定 XML (可擴展驗證通訊協定的詳細資訊,請參閱EAP 設定

指派 VPN 設定檔

建立 VPN 設定檔之後, 請將設定檔指派 給選取的群組。

請參閱下列 作業 畫面範例。

指派 Android VPN

指派 iOS VPN

指派 Windows VPN

在您的裝置上成功的 VPN 設定檔外觀

以下是 Nokia 6.1 裝置的範例。 因為信任的根和 SCEP 設定檔已經安裝在裝置上,因此不會提示您安裝 SCEP 憑證。

  1. 您會收到安裝公司 VPN 設定檔的通知:

    通知

  2. 在 AnyConnect 應用程式中,因為外部控制項目前已停用,請點選 [變更設定] 按鈕以啟用外部控制項。

    [任何連接] 設定

    外部控制項

    啟用外部控制項

  3. 在 AnyConnect 應用程式中,選取 SCEP 憑證。

    選取憑證

    附註 如果您使用由裝置系統管理員管理的 Android 裝置,可能會有多個憑證。 這是因為憑證設定檔變更或移除時,憑證不會遭到撤銷或移除。 在此情況下,請選取最新的憑證。 通常這是憑證清單中的最後一個。

    這種情況不會發生在 Android 企業版和 Samsung Knox 裝置上。 如需詳細資訊,請參閱使用 Intune 管理 Android 工作設定檔裝置在 Microsoft Intune 中移除 SCEP 和 PKCS 憑證

  4. 已成功建立 VPN 連線。

    成功建立

在裝置上安裝 VPN 設定檔之後,您可以在 [ 管理設定檔] 畫面中看到它。

App-Layer VPN 設定

VPN 設定檔

Vpn

VPN 連線會顯示在 [ 設定] > [一般] > VPN 中

Vpn

Vpn

VPN 連線會顯示在 AnyConnect 應用程式中。

Vpn

在裝置上安裝 VPN 設定檔之後,移至 [設定>帳戶>存取公司或學校,選取您的公司或學校帳戶,然後選取 [資訊]

資訊

您可以在Microsoft管理的區域底下看到VPN

受管理的區域

VPN 設定檔會列在 [設定>網路&因特網> VPN] 底下。

Vpn

[網路連線] 中會列出 VPN連線

網路連線

成功 VPN 設定檔部署公司入口網站記錄中的專案

在 Android 裝置上,Omadmlog.log 檔案會記錄在裝置上處理 VPN 設定檔時的詳細活動。 視公司入口網站應用程式的安裝時間而定,您最多可能有五個 Omadmlog 記錄檔。 您可以使用上次同步處理的時間戳記來協助尋找相關專案。

下列範例使用CMTrace讀取記錄檔,並使用 「android.vpn.client」 做為搜尋字串篩選。

濾波器

範例記錄片段:

2019-08-02T20:31:36.7120000 INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 13229 00622通知布建 vpn 設定檔 'AnyConnect'
2019-08-02T20:31:36.7620000 INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 13229 00622 VPN 設定檔「AnyConnect」狀態從 RECEIVED 變更為 PENDING_USER_INSTALL
2019-08-02T20:33:49.3810000 VERB com.microsoft.omadm.platforms.android.vpn.client.VpnClient 13229 00002建立 VPN 布建意圖:anyconnect://create/?host=VPN.contoso.com&name=AnyConnect&usecert=true&keychainalias=UserID
2019-08-02T20:33:49.4270000 INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 13229 00002 Vpn 設定檔 'AnyConnect' 布建並完成
2019-08-02T20:33:49.4290000 INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 13229 00002 VPN 設定檔「AnyConnect」 狀態從PENDING_USER_INSTALL變更為 PROVISIONED

在 iOS 裝置上,公司入口網站記錄檔不包含 VPN 設定檔的任何相關資訊。 若要查看 VPN 設定檔安裝的詳細資料,請檢查主機和裝置記錄檔。 如果要執行這項操作,請依照下列步驟執行:

  1. 將 iOS 裝置連線到 Mac,然後移至 [應用程式>公用程式] 開啟主機應用程式

    安慰

  2. 在 [ 動作]底下,選取 [包含資訊訊息 ] 和 [ 包含偵錯郵件]

    包含訊息

  3. 重現問題之後,請將記錄檔儲存到文字檔。 若要這麼做,請選取[編輯>選取全部] 以選取目前畫面上的所有郵件,然後選取[編輯>複製] 將郵件複製到剪貼簿。 接下來,開啟 TextEdit 應用程式,將複製的記錄貼到新的文字檔中,然後儲存檔案。

您可以搜尋具有 VPN 設定檔名稱的檔案,以檢視詳細資訊。

範例記錄片段:

debug 15:49:29.601385 -0400 設定檔建立ConfigurationFromPayload type com.apple.vpn.managed.applayer, name 'ContosoVPN', atom \{\
    PayloadDisplayName = 「VPN 設定檔 - ContosoVPN」;\
    UserDefinedName = ContosoVPN;\
        RemoteAddress = 「Contoso.com」;\
    PayloadDisplayName = 「VPN 設定檔 - ContosoVPN」;\
    UserDefinedName = ContosoVPN;\
        RemoteAddress = 「Contoso.com」;\
    PayloadDisplayName = 「VPN 設定檔 - ContosoVPN」;\
    UserDefinedName = ContosoVPN;\
        RemoteAddress = 「Contoso.com」;\
    RemoteAddress = 「Contoso.com」;\
偵錯 15:49:29.608322 -0400 設定檔設定PluginWithPayload:done, serverAddress Contoso.com, providerConfiguration \{\
    RemoteAddress = 「Contoso.com」;\
        serverAddress = Contoso.com\
    PayloadDisplayName = 「VPN 設定檔 - ContosoVPN」;\
    UserDefinedName = ContosoVPN;\
        RemoteAddress = 「Contoso.com」;\
        serverAddress = Contoso.com\
偵錯 15:49:29.611065 -0400 設定檔 NEConfiguration initWithAppLayerVPNPayload: done, serverAddress Contoso.com\
    PayloadIdentifier = 「www.windowsintune.com.vpn.ContosoVPN」;\
偵錯 15:49:29.658472 -0400 設定檔 NEProfileIngestion saveConfiguration: 'ContosoVPN'\
預設 15:49:29.659595 -0400 設定檔儲存設定 ContosoVPN 與現有簽章 (Null) \
預設 15:49:29.750272 -0400 設定檔已成功儲存設定 ContosoVPN\
預設 15:49:29.977033 -0400設定檔設定檔 \'93www.windowsintune.com.vpn.ContosoVPN\'94 installed.\

在 Windows 裝置上,VPN 設定檔的詳細資料會記錄在事件檢視器中的下列位置:

  • Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Microsoft >應用程式與服務記錄檔> 管理員

  • Windows > Microsoft > DeviceManagement-Enterprise-Diagnostic-Provider > >偵錯的應用程式與服務記錄檔

附註 您必須在 事件檢視器 中選取[顯示分析和偵錯記錄] 選項,才能查看這些記錄檔。

範例記錄片段:

事件 6165
  記錄檔名稱:Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Debug
  來源:Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider
  日期:2019-08-09T11:56:56.078
  事件識別碼:401
  工作:不適用
  層級:資訊
  Opcode:資訊
  關鍵字:不適用
  使用者:SID
  使用者名稱:NT AUTHORITY\SYSTEM
  電腦:<電腦名稱稱>
  描述:
MDM ConfigurationManager:雲端解決方案提供者節點作業。 組態來源識別碼: (ID) 、註冊名稱: (MDMFullWithAAD) 、 提供者名稱: (VPNv2) 、作業: (新增) 、雲端解決方案提供者 URI: (./User/Vendor/MSFT/VPNv2) 、子 URI: (Contoso) 、結果: (作業順利完成。)

疑難排解常見問題

問題 1:VPN 設定檔未部署到裝置

  • 確認 VPN 設定檔已指派給正確的群組。

    在Intune入口網站中,移至 [裝置設定>設定檔],   選取 [作業],   然後檢查選取的群組。

    指派 Android VPN

    此外,請在[疑難排解] 窗格中檢閱作業資訊。

    疑難排解刀鋒

  • 在 [疑難排解] 窗格中核取[最後簽到時間,確認裝置可以與Intune同步處理。

  • 如果 VPN 設定檔已連結至信任的根和 SCEP 設定檔,請確認兩個設定檔都已部署到裝置。 VPN 設定檔有這些設定檔的相依性。


    如果裝置上未安裝信任的根和 SCEP 設定檔,您會在 公司入口網站 Omadmlog 檔案中看到下列專案:

    2019-08-08T20:30:37.6400000 INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 14210 00948等待 vpn 設定檔 'androidVPN'的必要憑證。


    注意 在某些情況下,信任的根和 SCEP 設定檔在裝置上且符合規範,但 VPN 設定檔仍未在裝置上。 當來自 公司入口網站 應用程式的CertificateSelector提供者找不到符合指定準則的憑證時,就會發生此問題。 特定準則可以位於憑證範本或 SCEP 設定檔中。 如果找不到相符的憑證,則會排除裝置上的憑證,這會導致跳過 VPN 設定檔,因為它沒有正確的憑證。 在此案例中,您會在 公司入口網站 Omadmlog 檔案中看到下列專案:

    等待 vpn 設定檔 'androidVPN'的必要憑證。

    下列是範例記錄片段,其中會排除憑證,因為 [任何用途的延伸金鑰使用量
    ]   (已指定 EKU) 準則,但指派給裝置的憑證沒有該 EKU:

    2018-11-27T21:10:37.6390000 VERB com.microsoft.omadm.utils.CertUtils 14210 00948別名:使用者<ID1>並要求Id <要求ID1> 因為它沒有任何用途的 EKU
    2018-11-27T21:10:37.6400000 VERB com.microsoft.omadm.utils.CertUtils 14210 00948別名:使用者 <ID2>並要求Id <要求ID2> ,因為它沒有任何用途 EKU
    2018-11-27T21:10:37.6400000 VERB com.microsoft.omadm.utils.CertUtils 14210 00948 0 cert () 符合準則:
    2018-11-27T21:10:37.6400000 VERB com.microsoft.omadm.utils.CertUtils 14210 00948 2憑證 (準則排除的) :
    2018-11-27T21:10:37.6400000 INFO com.microsoft.omadm.platforms.android.vpn.client.IntentVpnProfileProvisionStateMachine 14210 00948等待 vpn 設定檔 「<設定檔名稱>」的必要憑證

    在此範例中,SCEP 設定檔有指定 任何用途EKU 的選項,但 不會 在憑證授權單位單位的憑證範本中指定, (CA) 。  若要修正此問題,請將 [任何用途 ] 選項新增至憑證範本,或從 SCEP 設定檔移除 [任何用途 ] 選項。

    憑證範本

    SCEP 設定檔

  • 確認已啟用AnyConnect 的外部控制

    外部控制項必須啟用,才能建立設定檔。 將設定檔推送到裝置時,系統會提示使用者啟用外部控制項。

    [任何連接] 設定

    啟用外部控制項

  • 確認完整憑證鏈中的所有必要憑證都位於裝置上。 否則,您會在 公司入口網站 Omadmlog 檔案中看到下列專案:

    等待 vpn 設定檔 'androidVPN'的必要憑證。

    如需詳細資訊,請參閱缺少中級憑證授權單位單位

  • 確認 VPN 設定檔已指派給正確的群組。

    在Intune入口網站中,移至 [裝置設定>設定檔],   選取 [作業],   然後檢查選取的群組。

    指派 iOS VPN

    此外,請在[疑難排解] 窗格中檢閱作業資訊。

    作業

  • 在 [疑難排解] 窗格中核取[最後簽到時間,確認裝置可以與Intune同步處理。

    疑難排解窗格

  • 如果 VPN 設定檔已連結至信任的根和 SCEP 設定檔,請確認兩個設定檔都已部署到裝置。 VPN 設定檔有這些設定檔的相依性。

  • 確認 VPN 設定檔已指派給正確的群組。

    在Intune入口網站中,移至 [裝置設定>設定檔],   選取 [作業],   然後檢查選取的群組。

    指派 Windows VPN

    也請檢閱[疑難排解] 窗格中的 [作業] 資訊。

    疑難排解窗格

  • 在 [疑難排解] 窗格中核取[最後簽到時間,確認裝置可以與Intune同步處理。

  • 如果 VPN 設定檔連結到信任的根和 SCEP 設定檔,請確認兩個設定檔都已部署到裝置。 VPN 設定檔有這些設定檔的相依性。

  • 檢查來自Windows 10裝置

    MDM 診斷資訊記錄下載 MDM 診斷資訊記錄檔、開啟檔案總管,然後流覽至 c:\Users\Public\Documents\MDMDiagnostics 以查看報告。

    MDM 記錄檔

    MDM 記錄檔

    詳細

    VPN 設定檔

  1. 點選 [功能表],然後選取 [診斷]

    診斷

  2. 取 [憑證管理] 以檢視憑證。

    證書

    使用者憑證

  3. 取 [記錄和系統資訊],然後點選 [偵錯] 索引標籤以檢視記錄檔以分析 AnyConnect 問題。

    測 井

    調試

  4. 若要傳送記錄,請點選[功能表>傳送記錄]  然後選取 [ 回報給系統管理員]

    傳送記錄

    移至系統管理員

  5. 取得偵錯記錄之後,請檢查debug_logs_unfiltered.txt檔案以建立設定檔和連線資訊。

    建立 VPN 的範例記錄片段:

    08-02 16:40:22.787 I/AnyConnect (14530) :URIHandlerActivity: 收到命令:任何connect://create?host=VPN。Contoso.com&name=AnyConnect&usecert=true&keychainalias=UserID
    08-02 16:40:22.815 I/AnyConnect (14530) :VpnService: 正在建立 VpnService


    VPN 連線失敗的範例記錄片段:

    08-02 16:44:50.316 I/vpnapi (14530) :傳送給使用者的訊息類型資訊: 連絡 VPN.Contoso.com
    08-02 16:44:50.319 I/vpnapi (14530) :初始化 VPN 連線到安全閘道 HTTPs://VPN.Contoso.com
    08-02 16:44:50.322 I/acvpnagent (14592) :使用預設喜好設定。 某些設定 (例如憑證比對) 可能會在預期使用本機設定檔時無法如預期般運作。 確認選取的主機位於設定檔的伺服器清單區段中,且設定檔已在安全閘道上設定。
    08-02 16:44:50.325 I/acvpnagent (14592) :函數:processConnectNotification 檔案:MainThread.cpp 行:14616 收到連線通知 (主機 VPN.Contoso.com、設定檔 N/A)
    08-02 16:44:50.388 W/acvpnagent (14592) :函數:getHostIPAddrByName 檔案:SocketSupport.cpp 行:344 Invoked 函數:::getaddrinfo Return Code:11 (0x0000000B) 描述:未知
    08-02 16:44:50.392 W/acvpnagent (14592) :函數:resolveHostName 檔案:HostLocator.cpp 行:710 Invoked 函數:CSocketSupport::getHostIPAddrByName傳回代碼:-31129588 (0xFE25000C) 描述:SOCKETSUPPORT_ERROR_GETADDRINFO
    08-02 16:44:50.392 W/acvpnagent (14592) :函數:ResolveHostname 檔案:HostLocator.cpp 行:804 Invoked 函數:CHostLocator::resolveHostName傳回代碼:-31129588 (0xFE25000C) 描述:SOCKETSUPPORT_ERROR_GETADDRINFO無法將主機名稱 VPN.Contoso.com 解析為 IPv4 位址
    08-02 16:44:50.553 I/vpnapi (14530) :傳送給使用者的訊息類型警告:連線嘗試失敗
    08-02 16:44:50.553 E/vpnapi (14530) :函數:processIfcData 檔案:ConnectMgr.cpp 行:3399 內容類型 (收到未知) 收到。 VPN.Contoso.com) DNS 解析失敗 (回應類型:DNS 解析度失敗
    08-02 16:44:50.553 I/vpnapi (14530) :傳送給使用者的訊息類型警告:無法連絡 VPN.Contoso.com。
    08-02 16:44:50.554 E/vpnapi (14530) :函數:processIfcData File: ConnectMgr.cpp Line: 3535 無法連絡 VPN.Contoso.com DNS 解析度失敗
    08-02 16:44:50.554 I/vpnapi (14530) :傳送給使用者的訊息類型錯誤: 由於功能變數名稱解析失敗,VPN 連線失敗

  1. 若要檢視使用者憑證,請點選 [診斷>憑證]

    使用者憑證

  2. 若要檢視記錄郵件,請點選 [診斷],開啟 [VPN 偵錯記錄 ] 以啟用記錄,然後點選 [ 記錄]

    檢視記錄檔

    選取 [服務 ] 以顯示服務偵錯記錄訊息,然後選取 [應用程式 ] 以顯示應用程式偵錯記錄訊息。

  3. 若要傳送記錄,請在 [診斷] 視窗上點選 [共用 記錄],輸入問題的相關資訊,然後點選 [ 傳送]

    共用記錄

  4. 取得偵錯記錄之後,請檢查檔案以建立設定檔和連線資訊。

    記錄檔

    顯示已儲存 VPN 設定檔的AnyConnect_App_Debug_Logs.txt範例記錄片段:

    [08-07-19 11:52:49:405]資訊:函數:SaveSettings 檔案:AppleVpnConfig.mm行:198 SaveSettings {type = mutable dict, count = 3, entries => 0 : {contents = 「RemoteAddress」} = {contents = 「Contoso.com」} 1 : {contents = 「AuthenticationMethod」} = {contents = 「Certificate」} 2 : {contents = 「LocalCertificate」} = <69646e74 00000000 000002d3> }
    [08-07-19 11:52:49:405]資訊:函數:GetSettings 檔案:AppleVpnConfig.mm 行:175 GetSettings { AuthenticationMethod = Certificate;LocalCertificate = <69646e74 00000000 000002d3>;RemoteAddress = 「Contoso.com」;}
    [08-07-19 11:52:49:437]資訊:函數:-[AppleVpnConfigBatch startBatchSaveToSystem] 檔案:AppleVpnConfigBatch.mm 行:43筆跡儲存至具有0x28202fd60
    [08-07-19 11:52:49:462]資訊:函數:saveToSystem_block_invoke檔案:AxtVpnConfig.mm 行:222已成功儲存 Contoso.com
    的設定檔 [08-07-19 11:52:49:463]資訊:函數:-[AppleVpnConfigBatch startBatchSaveToSystem] 檔案:AppleVpnConfigBatch.mm 行:36完成!

    顯示 VPN 連線失敗的 AnyConnect_Messages.txt 記錄片段範例:

    [08-07-19 11:53:01:655][VPN] - 連絡 Contoso.com。
    [08-07-19 11:54:01:792][VPN] - 連線嘗試失敗。
    [08-07-19 11:54:01:795][VPN] - 無法連絡 CoolBreeze.com。
    [08-07-19 11:54:01:822][VPN] - 連線嘗試逾時。請確認網際網路連線。

    顯示 VPN 連線失敗的 AnyConnect_Plugin_Debug_Logs.txt 記錄片段範例:

    [08-07-19 11:53:01:649]資訊:傳送給使用者的訊息類型資訊: 連絡 Contoso.com
    [08-07-19 11:53:01:650]資訊:初始化安全閘道的 VPN 連線 HTTPs://Contoso.com
    [08-07-19 11:53:01:652]資訊:函數:NoticeCB 檔案:AnyConnectAuthenticator.cpp Line:2116 傳送通知連絡 Contoso.com。 到應用程式
    [08-07-19 11:54:01:788]錯誤:函數:SendRequest 檔案:CTransportCurlStatic.cpp 行:2046 叫用函數:curl_easy_perform傳回程序代碼:-29949904 (0xFE370030) 描述:CTRANSPORT_ERROR_TIMEOUT 28 :錯誤
    [08-07-19 11:54:01:789]錯誤:函數:TranslateStatusCode 檔案:ConnectIfc.cpp 行:3169 叫用函數:TranslateStatusCode 傳回程序代碼:-29949904 (0xFE370030) 描述:CTRANSPORT_ERROR_TIMEOUT連線嘗試已逾時。 請確認網際網路連線。
    [08-07-19 11:54:01:789]錯誤:函數:doConnectIfcConnect File: ConnectMgr.cpp Line: 2442 Invoked 函數:ConnectIfc::connect Return Code: -29949904 (0xFE370030) 描述:CTRANSPORT_ERROR_TIMEOUT
    [08-07-19 11:54:01:790]資訊:傳送給使用者的訊息類型警告:連線嘗試失敗。
    [08-07-19 11:54:01:790]錯誤:函數:processIfcData File: ConnectMgr.cpp Line: 3407 內容類型 (收到未知) 。 (主機無法從 Contoso.com) 回復類型:
    [08-07-19 11:54:01:790]資訊:傳送給使用者的訊息類型警告:無法連絡 Contoso.com。
    [08-07-19 11:54:01:791]資訊:函數:NoticeCB 檔案:AnyConnectAuthenticator.cpp Line:2116 傳送通知連線嘗試失敗。 到應用程式
    [08-07-19 11:54:01:792]錯誤:函數:processIfcData File: ConnectMgr.cpp Line: 3543 無法連絡 Contoso.com
    [08-07-19 11:54:01:793]資訊:函數:NoticeCB 檔案:AnyConnectAuthenticator.cpp Line:2116 傳送通知無法連絡 Contoso.com。 到應用程式
    [08-07-19 11:54:01:793]資訊: 傳送給使用者的訊息類型錯誤:連線嘗試逾時。 請確認網際網路連線。
     

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×