簡介

本指南可説明您瞭解和排除使用 Microsoft Intune 時可能會遇到的 VPN 設定檔問題。

本文分為以下幾個部分:

本指南中的示例對這些設定檔使用 SCEP 證書身份驗證,並假定受信任的根設定檔和 SCEP 設定檔在設備上正常工作。在示例中,受信任的根和 SCEP 設定檔的命名方式如下。

Android

Ios

Windows

受信任的根設定檔

安卓根

iOSRoot

WindowsRoot2

SCEP 設定檔

安卓斯科普

iOSSCEP

WindowsSCEP2

VPN 設定檔概述

虛擬私人網路絡 (VPN) 為使用者提供了對組織網路的安全遠端存取。設備使用 VPN 連接設定檔啟動與 VPN 伺服器的連接。Microsoft Intune 中的 VPN 設定檔將 VPN 設置分配給組織中的使用者和設備,以便他們可以輕鬆安全地連接到您的組織網路。

例如,您希望將所有 iOS 設備配置為具有連接到組織網路上的檔共用所需的設置。您創建包含這些設置的 VPN 設定檔。然後,將此設定檔分配給擁有 iOS 設備的所有使用者。使用者在可用網路清單中看到 VPN 連接,並且只需極少的精力即可進行連接。

您可以使用不同的VPN 連線類型創建 VPN 設定檔。 備註在使用分配給設備的 VPN 設定檔之前,必須為該設定檔安裝適用的 VPN 應用。

創建 VPN 設定檔

要創建 VPN 設定檔,請按照以下 Microsoft 文檔文章的"創建設備設定檔"部分中的步驟操作:

創建 VPN 設定檔以連接到 Intune 中的 VPN 伺服器

受支援的平臺上的"屬性"螢幕類似于以下示例:

Android VPN

iOS VPN

Window VPN

備註在示例中,Android 和 iOS VPN 設定檔的連線類型為Cisco AnyConnect,Windows 10 的連線類型為"自動"。 此外,VPN 設定檔連結到 SCEP 設定檔。

有關如何為 VPN 設定檔創建可擴展身份驗證協定 (EAP) 配置 XML 的詳細資訊,請參閱EAP 配置

分配 VPN 設定檔

創建 VPN 設定檔後,將設定檔分配給選定的組。

請參閱以下"分配"螢幕示例。

Assign Android VPN

Assign iOS VPN

Assign Windows VPN

成功的 VPN 設定檔在您的設備上是什麼樣子

下面是諾基亞 6.1 設備的示例。由於受信任的根設定檔和 SCEP 設定檔已安裝在設備上,因此不會提示您安裝 SCEP 證書。

  1. 您會收到安裝公司 VPN 設定檔的通知:

    Notification

  2. 在 AnyConnect 應用中,由於當前禁用了"外部控制",請點按"更改設置"按鈕以啟用"外部控制"。

    AnyConnect setting

    External control

    Enable external control

  3. 在 AnyConnect 應用中,選擇 SCEP 證書。

    Select certificate

    備註如果您使用裝置管理員管理的 Android 設備,則可能有多個證書。這是因為在更改或刪除證書設定檔時,不會吊銷或刪除證書。在這種情況下,請選擇最新的證書。通常,這是證書清單中的最後一個。 這種情況不會發生在Android企業和三星諾克斯設備上。有關詳細資訊,請參閱使用Intune 管理 Android 工作設定檔設備,並在Microsoft Intune 中刪除 SCEP 和 PKCS 證書。

  4. 已成功創建 VPN 連接。

    Successful creation

在設備上安裝 VPN 設定檔後,您可以在"管理設定檔"螢幕中看到它。

App-Layer VPN setting

VPN profile

VPN

VPN 連接顯示在"設置 "gt; 常規 > VPN中。

VPN

VPN

VPN 連接顯示在 AnyConnect 應用中。

VPN

在設備上安裝 VPN 設定檔後,轉到"設置">帳戶>訪問工作或學校,選擇您的工作或學校帳戶,然後選擇"資訊"。

Info

你可以看到VPN在微軟管理的區域。

Managed area

VPN 設定檔列在"設置">網路和互聯網 >VPN下。

VPN

VPN 連接列在網路連接中。

Network connection

成功 VPN 設定檔部署的公司門戶日誌中的條目

在 Android 設備上,Omadmlog.log 檔記錄在設備上處理 VPN 設定檔時的詳細活動。根據公司門戶應用的安裝時間,您最多可能擁有五個 Omadmlog 日誌檔。您可以使用上次同步的時間戳記來説明查找相關條目。

下面的示例使用CMTrace讀取日誌,並使用"android.vpn.client"作為搜索字串篩選器。

Filter

示例日誌程式碼片段:

2019-08-02T20:31:36:7120000 INFO com.microsoft.omadm.平臺.android.vpn.vpn.intentVpnProfileS.S.S.IntentVpnProfileSp13229 00622通知要預配vpn設定檔"AnyConnect"。 2019-08-02T20:31:36:7620000 INFO com.microsoft.omadm.平臺.android.vpn.vpn.intentVpn設定檔狀態機13229 00622 VPN設定檔"AnyConnect"狀態從"已接收"更改為"已處理"狀態 2019-08-02T20:33:49.3810000 VERB com.microsoft.omadm.平臺.android.vpn.client.vpnClient 13229 00002創建 VPN 配置意圖:anyconnect://create/?host=VPN.contoso.com&name=AnyConnect&usecert=true&鑰匙串_使用者ID 2019-08-02T20:33:49.4270000 INFO.microsoft.omadm.平臺.android.vpn.client.IntentVpnProfileS.P.P.P.P.P.P.IntentVpnProfileSPStateMachine 13229 00002 Vpn設定檔'AnyConnect'預配和完整。 2019-08-02T20:33:49.4290000 INFO com.microsoft.omadm.平臺.android.vpn.vpn.vpnOffice13229 00002 VPN 設定檔"AnyConnect"狀態從"掛起_USER_INSTALL"更改為"

在 iOS 設備上,公司門戶日誌不包含有關 VPN 設定檔的任何資訊。要查看有關安裝 VPN 設定檔的詳細資訊,請檢查主控台和設備日誌。為此,請按照以下步驟操作:

  1. 將 iOS 設備連接到 Mac,然後轉到應用程式>實用程式以打開主控台應用  Console

  2. 在"操作"下,選擇"包括資訊消息"和"包括調試消息"。

    Include messages

  3. 重現問題後,將日誌保存到文字檔中。為此,請選擇"全部編輯"以選擇當前螢幕上的所有消息,然後選擇"編輯>複製"以將郵件複製到剪貼簿。接下來,打開 TextEdit 應用程式,將複製的日誌粘貼到新的文字檔中,然後保存該檔。

您可以搜索具有 VPN 設定檔名稱的檔以查看詳細資訊。

示例日誌程式碼片段:

調試 15:49:29.601385 -0400 設定檔創建從有效負載類型 com.apple.vpn.atoplayer,名稱"ContosoVPN",原子 |     有效負載顯示名稱 = "VPN 設定檔 - ContosoVPN";*     使用者定義名稱 = ContosoVPN;*         遠端位址 = "Contoso.com";|     有效負載顯示名稱 = "VPN 設定檔 - ContosoVPN";*     使用者定義名稱 = ContosoVPN;*         遠端位址 = "Contoso.com";|     有效負載顯示名稱 = "VPN 設定檔 - ContosoVPN";*     使用者定義名稱 = ContosoVPN;*         遠端位址 = "Contoso.com";|     遠端位址 = "Contoso.com";| 調試 15:49:29.608322 -0400 設定檔配置外掛程式與有效:已完成,伺服器位址Contoso.com,提供程式配置 |     遠端位址 = "Contoso.com";|         伺服器位址 [ Contoso.com]     有效負載顯示名稱 = "VPN 設定檔 - ContosoVPN";*     使用者定義名稱 = ContosoVPN;*         遠端位址 = "Contoso.com";|         伺服器位址 [ Contoso.com] 調試 15:49:29.611065 -0400 設定檔的 NE 配置 初始使用AppLayerVPN有效:完成,伺服器位址Contoso.com]     有效識別碼 = "www.windowsintune.com.vpn.ContosoVPN";] 調試 15:49:29.658472 -0400 設定檔分析保存配置:"ContosoVPN"* 預設 15:49:29.659595 -0400 設定檔保存配置 ContosoVPN 與現有簽名(null)* 預設值 15:49:29.750272 -0400 分析成功保存配置 ContosoVPN* 預設值 15:49:29.977033 -0400設定檔[93www.windowsintune.com.vpn.ContosoVPN]94 安裝。

在 Windows 設備上,有關 VPN 設定檔的詳細資訊記錄在事件檢視器中的以下位置:

  • 應用程式和服務日誌 > 微軟 > Windows > 裝置管理-企業-診斷-供應商 > 管理

  • 應用程式和服務日誌 > 微軟 > Windows > 裝置管理-企業-診斷-提供程式 > 調試

備註您必須在事件檢視器中選擇"顯示分析和調試日誌"選項才能查看這些日誌。

示例日誌程式碼片段:

事件 6165   日誌名稱:微軟-Windows-裝置管理-企業-診斷-提供程式/調試   來源:微軟-Windows-裝置管理-企業-診斷-供應商   日期: 2019-08-09T11:56.078   事件 ID: 401   任務:不適用   級別: 資訊   操作代碼:資訊   關鍵字: 不適用   使用者: SID   使用者名: NT 授權_系統   電腦: <電腦名稱稱 >   描述: MDM 組態管理員:CSP 節點操作。配置源 ID:(ID)、註冊名稱:(MDMFullWithAAD)、供應商名稱:(VPNv2)、操作:(添加)、CSP URI:(./使用者/供應商/MSFT/VPNv2)、子 URI:(Contoso)、結果:(操作成功完成)。

排除常見問題

問題 1:VPN 設定檔未部署到設備

  • 驗證 VPN 設定檔是否分配給正確的組。 在 Intune 門戶中,轉到設備配置> 設定檔,選擇"分配", 然後檢查所選組。

    Assign Android VPN

    此外,請查看"疑難排解"窗格中的"工作分配"資訊。

    Troubleshooting blade

  • 通過檢查"疑難排解"窗格中的"上次簽入時間",驗證設備是否可以與 Intune 同步。

  • 如果 VPN 設定檔連結到受信任的根設定檔和 SCEP 設定檔,請驗證兩個設定檔是否已部署到設備。VPN 設定檔依賴于這些設定檔。

    如果未在設備上安裝受信任的根和 SCEP 設定檔,您將在公司門戶 Omadmlog 檔中看到以下條目:

    2019-08-08T20:30:37.6400000 INFO.microsoft.omadm.平臺.android.vpn.vpn.client.IntentVpnProfileS.P.P.P.P.P.IntentVpnProfileSPStateMachine 14210 00948等待 vpn 設定檔"androidVPN"所需的證書。

    備註存在一種情況,即受信任的根設定檔和 SCEP 設定檔位於設備上並符合,但 VPN 設定檔仍不在設備上。當來自公司門戶應用的證書選擇器提供程式找不到符合指定條件的證書時,將出現此問題。特定條件可以位於憑證範本或 SCEP 設定檔中。如果未找到匹配證書,則將排除設備上的證書,這將導致跳過 VPN 設定檔,因為它沒有正確的證書。在這種情況下,您看到公司門戶 Omadmlog 檔中的以下條目:

    等待 vpn 設定檔"androidVPN"所需的證書。

    下面是一個示例日誌程式碼片段,其中證書被排除,因為任何目的擴展金鑰使用  已指定 (EKU) 條件,但分配給設備的證書沒有該 EKU:

    2018-11-27T21:10:37.6390000 VERB com.microsoft.omadm.utils.CertUtils 14210 00948排除別名 User<ID1> 和請求 ID <請求 ID1>因為它沒有任何目的 EKU. 2018-11-27T21:10:37.6400000 VERB com.microsoft.omadm.utils.CertUtils 14210 00948排除別名 User<ID2> 和請求 ID <請求 ID2>因為它沒有任何目的 EKU. 2018-11-27T21:10:37.640000VERB com.microsoft.omadm.utils.CertUtils 14210 00948 0 證書(s) 匹配條件: 2018-11-27T21:10:37.6400000 VERB com.microsoft.omadm.utils.CertUtils 14210 00948 2證書(s)按標準排除: 2018-11-27T21:10:37.6400000 INFO com.microsoft.omadm.平臺.android.vpn.vpn.vpnS.vpnS.s.for.gt.

    在此示例中,SCEP 設定檔具有指定的"任何目的EKU"選項,但在憑證授權單位 (CA) 上的憑證範本中指定該選項。 要解決此問題,請向憑證範本添加"任何目的"選項,或從 SCEP 設定檔中刪除"任何目的"選項。

    Certificate template

    SCEP profile

  • 驗證是否啟用了對 AnyConnect的外部控制。 必須啟用外部控制,以便創建設定檔。將設定檔推送到設備時,系統會提示使用者啟用外部控制。

    AnyConnect setting

    Enable external control

  • 驗證完整憑證連結中的所有必需證書是否位於設備上。否則,您將在公司門戶 Omadmlog 檔中看到以下條目:

    等待 vpn 設定檔"androidVPN"所需的證書。

    有關詳細資訊,請參閱缺少中間憑證授權單位

  • 驗證 VPN 設定檔是否分配給正確的組。 在 Intune 門戶中,轉到設備配置> 設定檔,選擇"分配", 然後檢查所選組。

    Assign iOS VPN

    此外,請查看"疑難排解"窗格中的"工作分配"資訊。

    Assignments

  • 通過檢查"疑難排解"窗格中的"上次簽入時間",驗證設備是否可以與 Intune 同步。

    Troubleshoot pane

  • 如果 VPN 設定檔連結到受信任的根設定檔和 SCEP 設定檔,請驗證兩個設定檔是否已部署到設備。VPN 設定檔依賴于這些設定檔。

  • 驗證 VPN 設定檔是否分配給正確的組。 在 Intune 門戶中,轉到設備配置> 設定檔,選擇"分配", 然後檢查所選組。

    Assign Windows VPN

    此外,請查看"疑難排解"窗格中的"工作分配"資訊。

    Troubleshoot pane

  • 通過檢查"疑難排解"窗格中的"上次簽入時間",驗證設備是否可以與 Intune 同步。

  • 如果 VPN 設定檔連結到受信任的根設定檔和 SCEP 設定檔,請驗證兩個設定檔是否已部署到設備。VPN 設定檔依賴于這些設定檔。

  • 從 Windows 10 設備檢查 MDM 診斷資訊日誌 下載 MDM 診斷資訊日誌,打開檔資源管理器,然後導航到 c:\使用者\公共\文檔\MDM診斷以查看報告。

    MDM log

    MDM log

    detail

    VPN profile

 

  1. 點擊"功能表",然後選擇"診斷"。

    Diagnostics

  2. 選擇"證書管理"以查看證書。

    Certificates

    User certificate

  3. 選擇"日誌記錄和系統資訊", 然後點擊"調試"選項卡以查看日誌以分析 AnyConnect 問題。

    Logging

    Debug

  4. 要發送日誌,請點按"功能表>發送日誌", 然後選擇"向管理員報告"。

    Send logs

    To administrator

  5. 獲取調試日誌後,檢查調試日誌\未篩選.txt 檔,以獲取設定檔創建和連接資訊。

    用於創建 VPN 的示例日誌程式碼片段:

    08-02 16:40:22.787 I/AnyConnect(14530):URIHandler活動:收到命令:任何連接://create?主機\VPN.Contoso.com_anyconnect_usecert_true_和keyas_UserID 08-02 16:40:22.815 I/AnyConnect (14530): VpnService: VpnService 正在創建.

    VPN 連接失敗的示例日誌程式碼片段:

    08-02 16:44:50.316 I/vpnapi (14530): 發送給使用者的訊息類型資訊:聯繫 VPN。Contoso.com. 08-02 16:44:50.319 I/vpnapi (14530): 啟動 VPN 連接到安全閘道HTTPs://VPN.Contoso.com 08-02 16:44:50.322 I/acvpnagent(14592):使用預設首選項。如果預期使用本地設定檔,則某些設置(例如證書匹配)可能無法按預期運行。驗證所選主機是否位於設定檔的伺服器清單部分,以及設定檔是否配置在安全閘道上。 08-02 16:44:50.325 I/acvpnagent(14592):功能:進程連接通知檔:MainThread.cpp 熱線:14616 收到連接通知(主機 VPN)。Contoso.com,設定檔 N/A) 08-02 16:44:50.388 W/acvpnagent(14592): 功能: getHostIPAddrByName 檔: SocketSupport.cpp 行: 344 調用功能: ::getaddrinfo 返回代碼: 11 (0x0000000B) 描述: 未知 08-02 16:44:50.392 W/acvpnagent(14592):功能:解析主機名稱檔:HostLocator.cpp 行:710 調用功能:CSocket 支援::getHostIPAddrName返回代碼:-31129588 (0xFE25000C) 描述: SOCKETSUPPORT_ERROR_ERROR_GETADDININFO 08-02 16:44:50.392 W/acvpnagent(14592):功能:解析主機名稱檔:HostLocator.cpp 行:804 調用功能:CHostLocator:::解析主機名稱返回代碼:-31129588 (0xFE25000C) 描述: SOCKETSUPPORT_ERROR_ERROR_GETADDRINFO 未能解析主機名稱 VPN。Contoso.com到 IPv4 位址 08-02 16:44:50.553 I/vpnapi (14530): 發送給使用者的訊息類型警告:連接嘗試失敗。 08-02 16:44:50.553 E/vpnapi (14530): 功能: 進程IfcData 檔: ConnectMgr.cpp 行: 3399 內容類型 (未知) 收到.來自 VPN 的回應類型(DNS 解析失敗)。Contoso.com:DNS 解析失敗 08-02 16:44:50.553 I/vpnapi (14530): 發送給使用者的訊息類型警告: 無法連絡 VPN。Contoso.com。 08-02 16:44:50.554 E/vpnapi (14530): 功能: 進程IfcData 檔: ConnectMgr.cpp 線路: 3535 無法連絡 VPN。Contoso.com DNS 解析失敗 08-02 16:44:50.554 I/vpnapi (14530): 發送給使用者的訊息類型錯誤: VPN連接失敗,由於功能變數名稱解析失敗.

 

  1. 要查看使用者證書,請點按"診斷 > 證書"。

    User certificate

  2. 要查看日誌消息,請點按"診斷",打開VPN 調試日誌以啟用日誌記錄,然後點按"日誌"。

    View logs

    選擇"服務"以顯示服務調試日誌消息,然後選擇"應用"以顯示應用程式調試日誌消息。

  3. 要發送日誌,請點擊"診斷"視窗中的"共用日誌",輸入有關問題的資訊,然後點按"發送"。

    Share logs

  4. 獲取調試日誌後,請檢查檔以瞭解設定檔創建和連接資訊。

    Log files

    顯示 VPN 設定檔已保存的 AnyConnect_App_Debug_Logs.txt 的示例日誌片段:

    [08-07-19 11:52:49:405]資訊: 函數:保存設置檔: AppleVpnConfig.mm行: 198 保存設置 [類型 = 可變聽寫, 計數 = 3, 條目 > 0 : [內容 ] " 遠端位址" • • 內容• "Contoso.com"# 1 : [內容 ] "身份驗證方法" = [ 內容 = "證書" 2 : [內容 = "本地證書"* = <69646e74 0000000 000002d3> | [08-07-19 11:52:49:405]資訊: 功能: 獲取設置檔: AppleVpnConfig.mm行: 175 獲取設置 + 身份驗證方法 + 證書;本地證書 = <69646e74 0000000 000002d3>遠端位址 = "Contoso.com";} [08-07-19 11:52:49:437]資訊: 功能: -[AppleVpnConfigBatch 啟動Batchsavesystem] 檔: AppleVpnConfigBatch.mm 行: 43調用保存到系統0x28202fd60 [08-07-19 11:52:49:462]資訊: 功能: 保存到系統_塊_調用檔: AxtVpnConfig.mm 行: 222成功保存設定檔Contoso.com [08-07-19 11:52:49:463]資訊: 功能: -[AppleVpnConfigBatch 啟動Batchsavesystem_ 檔: AppleVpnConfigBatch.mm行: 36完成!.

    顯示 VPN 連接失敗的示例 AnyConnect_Messages.txt 的示例日誌片段:

    [08-07-19 11:53:01:655][VPN] - 聯繫Contoso.com。 [08-07-19 11:54:01:792][VPN] -連接嘗試失敗。 [08-07-19 11:54:01:795][VPN] - 無法連絡CoolBreeze.com。 [08-07-19 11:54:01:822][VPN] -連接嘗試已超時。請驗證互聯網連接。

    顯示 VPN 連接失敗的示例 AnyConnect_Plugin_Debug_Logs.txt 的示例日誌片段:

    [08-07-19 11:53:01:649]資訊:發送給使用者的訊息類型資訊:聯繫Contoso.com。 [08-07-19 11:53:01:650]資訊:啟動與安全閘道的 VPN 連接HTTPs://Contoso.com [08-07-19 11:53:01:652]資訊: 功能: 通知CB檔: 任何連接身份驗證器.cpp 行: 2116 發送通知聯繫Contoso.com。到應用程式 [08-07-19 11:54:01:788]錯誤: 函數: 發送請求檔: CTransportCurlstatic.cpp 行: 2046 調用函數: curl_easy_執行返回代碼: -29949904 (0xFE370030)描述: CTRANSPORT_ERROR_TIMEOUT 28 : 錯誤 [08-07-19 11:54:01:789]錯誤: 函數: 翻譯狀態碼檔: ConnectIfc.cpp 行: 3169 調用函數: 轉換狀態碼返回代碼: -29949904 (0xFE370030)描述: CTRANSPORT_ERROR_TIMEOUT 連接嘗試已超時。 請驗證互聯網連接。 [08-07-19 11:54:01:789]錯誤: 函數: doConnectIfc 連接檔: ConnectMgr.cpp 行: 2442 調用函數: ConnectIfc::連接返回代碼: -29949904 (0xFE370030) 描述: CTRANSPORT_ERROR_TIMEOUT [08-07-19 11:54:01:790]資訊:發送給使用者的訊息類型警告:連接嘗試失敗。 [08-07-19 11:54:01:790]錯誤: 功能: 進程IfcData檔: ConnectMgr.cpp 行: 3407 內容類型 (未知) 收到.回應類型(主機無法訪問)從Contoso.com: [08-07-19 11:54:01:790]資訊:發送給使用者的訊息類型警告:無法連絡Contoso.com。 [08-07-19 11:54:01:791]資訊: 功能: 通知CB檔: 任何連接身份驗證器.cpp 行: 2116 發送通知連接嘗試失敗.到應用程式 [08-07-19 11:54:01:792]錯誤: 功能: 進程IfcData檔: ConnectMgr.cpp 線路: 3543 無法連絡Contoso.com [08-07-19 11:54:01:793]資訊: 功能: 通知CB檔: 任何連接身份驗證器.cpp 行: 2116 發送通知無法連絡Contoso.com。到應用程式 [08-07-19 11:54:01:793]資訊:發送給使用者的訊息類型錯誤:連接嘗試超時。 請驗證互聯網連接。

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

您對翻譯品質的滿意度為何?

會影響您使用體驗的因素為何?

是否還有其他的意見反應? (選填)

感謝您的意見反應!

×