Comment créer des profils VPN dans Configuration Manager
S'applique à: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notes
Les informations de cette rubrique s'appliquent seulement aux versions System Center 2012 R2 Configuration Manager.
Utilisez les liens suivants pour en savoir plus sur les étapes nécessaires pour créer des profils VPN dans System Center 2012 Configuration Manager :
Étape 1 : Démarrer l'Assistant Création d'un profil VPN
Étape 2 : Fournir des informations générales sur le profil VPN
Étape 3 : Fournir des informations de connexion pour le profil VPN
Étape 4 : Configurer la méthode d'authentification pour le profil VPN
Étape 5 : Configurer des paramètres proxy pour le profil VPN
Step 6 : Configurer les paramètres DNS supplémentaires (si nécessaire)
Étape 7 : Configurer des plates-formes prises en charge pour le profil VPN
Étape 8 : Terminer l'Assistant
Étape 1 : Démarrer l'Assistant Création d'un profil VPN
-
Dans la console Configuration Manager, cliquez sur Ressources et Conformité.
-
Dans l'espace de travail Ressources et Conformité de la console Configuration Manager, développez Paramètres de compatibilité, puis Accès aux ressources de l'entreprise, puis cliquez sur Profils VPN.
-
Dans l'onglet Accueil, dans le groupe Créer, cliquez sur Créer un profil VPN.
Étape 2 : Fournir des informations générales sur le profil VPN
-
Sur la page Général de l'Assistant Création d'un profil VPN, spécifiez les informations suivantes :
- **Nom** : entrez un nom unique pour le profil VPN (jusqu'à 256 caractères). <div class="alert"> > [!IMPORTANT] > <P>N'utilisez pas les caractères \/:*?<>|, ou le caractère espace dans le nom du profil VPN, car ces caractères ne sont pas pris en charge par le profil VPN de Windows Server.</P> </div> - **Description** : entrez une description pour vous aider à trouver le profil dans la console Configuration Manager (jusqu'à 256 caractères). - **Importer un élément de profil VPN existant à partir un fichier** : sélectionnez cette option pour afficher la page **Importer un profil VPN**. Dans cette page, vous pouvez importer des informations de profil VPN qui ont été précédemment exportées vers un fichier XML (systèmes d'exploitation Windows 8.1 et Windows RT uniquement).
Étape 3 : Fournir des informations de connexion pour le profil VPN
-
Dans la page Connexion de l'Assistant, spécifiez les informations suivantes :
- **Type de connexion :** dans la liste déroulante, sélectionnez le type de connexion pour la connexion VPN. Vous pouvez choisir parmi les types de connexions dans le tableau suivant qui présente les plateformes prises en charge. <div class="alert"> > [!IMPORTANT] > <P>Pour pouvoir utiliser les profils VPN déployés sur un appareil, vous devez vous assurer que les applications VPN tierces dont vous avez besoin sont installées. Vous pouvez utiliser les informations contenues dans la rubrique <A href="gg682159(v=technet.10).md">Comment créer des applications dans Configuration Manager</A> pour vous aider à déployer l'application à l'aide de Configuration Manager.</P> </div> <table style="width:100%;"> <colgroup> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> </colgroup> <thead> <tr class="header"> <th><p>Type de connexion</p></th> <th><p>iOS</p></th> <th><p>Android</p></th> <th><p>Windows 8.1</p></th> <th><p>Windows RT</p></th> <th><p>Windows RT 8.1</p></th> <th><p>Windows Phone 8.1</p></th> </tr> </thead> <tbody> <tr class="odd"> <td><p><strong>Cisco AnyConnect</strong></p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Non</p></td> <td><p>Non</p></td> <td><p>Non</p></td> <td><p>Non</p></td> </tr> <tr class="even"> <td><p><strong>Pulse Secure</strong></p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Non</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> </tr> <tr class="odd"> <td><p><strong>Client F5 Edge</strong></p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Non</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> </tr> <tr class="even"> <td><p><strong>Dell SonicWALL Mobile Connect</strong></p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Non</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> </tr> <tr class="odd"> <td><p><strong>Check Point Mobile VPN</strong></p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Non</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> </tr> <tr class="even"> <td><p><strong>Microsoft SSL (SSTP)</strong></p></td> <td><p>Non</p></td> <td><p>Non</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Non</p></td> </tr> <tr class="odd"> <td><p><strong>Microsoft Automatic</strong></p></td> <td><p>Non</p></td> <td><p>Non</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Non</p></td> </tr> <tr class="even"> <td><p><strong>IKEv2</strong></p></td> <td><p>Non</p></td> <td><p>Non</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> </tr> <tr class="odd"> <td><p><strong>PPTP</strong></p></td> <td><p>Oui</p></td> <td><p>Non</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Non</p></td> </tr> <tr class="even"> <td><p><strong>L2TP</strong></p></td> <td><p>Oui</p></td> <td><p>Non</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Oui</p></td> <td><p>Non</p></td> </tr> </tbody> </table> <div class="alert"> > [!NOTE] > <P>Pour prendre en charge Windows Phone 8.1, vous devez installer l'extension Windows Phone 8.1 facultative. Pour plus d'informations sur l'installation de l'extension, consultez <A href="dn574730(v=technet.10).md">Planification de l'utilisation des extensions dans Configuration Manager</A>.Depuis System Center 2012 Configuration Manager SP2 cette extension est intégrée à Configuration Manager.</P> </div> - **Liste de serveurs :** cliquez sur **Ajouter** pour ajouter un nouveau serveur à utiliser pour la connexion VPN. Selon le type de connexion, vous pouvez ajouter un ou plusieurs serveurs VPN et également indiquer quel serveur sera le serveur par défaut. <div class="alert"> > [!NOTE] > <P>Les appareils qui exécutent iOS ne prennent pas en charge l'utilisation de plusieurs serveurs VPN. Si vous configurez plusieurs serveurs VPN et que vous déployez le profil VPN sur un appareil iOS, seul le serveur par défaut sera utilisé.</P> </div>
Des options supplémentaires dans le tableau suivant peuvent s'afficher, selon le type de connexion que vous avez sélectionné. Pour plus d'informations, consultez la documentation de votre serveur VPN.
Option
Plus d'informations
Type de connexion
Domaine
Spécifiez le nom du domaine d'authentification que vous souhaitez utiliser. Un domaine d'authentification est un regroupement de ressources d'authentification utilisé par le type de connexion Pulse Secure.
Pulse Secure
Rôle
Spécifiez le nom du rôle d'utilisateur qui a accès à cette connexion.
Pulse Secure
Groupe de connexion ou domaine
Spécifiez le nom du groupe de connexion ou domaine auquel vous souhaitez vous connecter.
Dell SonicWALL Mobile Connect
Empreinte digitale
Spécifiez une chaîne, par exemple « Code d'empreinte digitale Contoso », qui sera utilisée pour vérifier que le serveur VPN est digne de confiance.
Une empreinte digitale peut être :
envoyée au client pour qu'il sache qu'il peut approuver n'importe quel serveur présentant cette même empreinte lors de la connexion ;
si l'appareil n'a pas encore l'empreinte digitale, il invite l'utilisateur à approuver le serveur VPN auquel il se connecte en affichant l'empreinte digitale (l'utilisateur vérifie l'empreinte manuellement et clique sur Approuver pour se connecter).
Check Point Mobile VPN
Envoyer tout le trafic réseau via la connexion VPN
Si cette option n'est pas sélectionnée, vous pouvez spécifier des itinéraires supplémentaires pour la connexion (pour les types de connexion Microsoft SSL (SSTP), Microsoft Automatic, IKEv2, PPTP et L2TP). On appelle cela le tunneling VPN ou fractionné.
Seules les connexions au réseau d'entreprise sont envoyées via un tunnel VPN. La tunnelisation VPN n'est pas utilisée quand vous vous connectez à des ressources sur Internet.
Tout
Suffixe DNS spécifique à la connexion
Vous pouvez également spécifier le suffixe DNS spécifique à la connexion pour la connexion.
Microsoft SSL (SSTP)
Microsoft Automatic
IKEv2
PPTP
L2TP
Ignorer VPN en cas de connexion à un réseau Wi-Fi d'entreprise
Indique que la connexion VPN n'est pas utilisée quand l'appareil est connecté au réseau Wi-Fi d'entreprise.
Cisco AnyConnect
Pulse Secure
Client F5 Edge
Dell SonicWALL Mobile Connect
Check Point Mobile VPN
Microsoft SSL (SSTP)
Microsoft Automatic
IKEv2
L2TP
Ignorer le VPN en cas de connexion à un réseau Wi-Fi domestique
Indique que la connexion VPN n'est pas utilisée quand l'appareil est connecté à un réseau Wi-Fi domestique.
Tout
Par VPN d'application (iOS 7 et versions ultérieures, Mac OS X 10.9 et versions ultérieures)
Sélectionnez cette option si vous souhaitez associer cette connexion VPN à une application iOS pour que la connexion s'ouvre quand l'application est exécutée. Vous pouvez associer le profil VPN à une application lors de son déploiement.
Cisco AnyConnect
Pulse Secure
Client F5 Edge
Dell SonicWALL Mobile Connect
Check Point Mobile VPN
Code XML personnalisé (facultatif)
Vous permet de spécifier des commandes XML personnalisées qui configurent la connexion VPN.
Exemples :
Pour Pulse Secure :
<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>
Pour CheckPoint VPN Mobile :
<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />
Pour Dell SonicWALL Mobile Connect :
<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>
Pour Client F5 Edge :
<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>
Pour plus d'informations sur la façon d'écrire des commandes XML personnalisées, reportez-vous à la documentation du VPN de chaque fabricant.
Cisco AnyConnect
Pulse Secure
Client F5 Edge
Dell SonicWALL Mobile Connect
Check Point Mobile VPN
Étape 4 : Configurer la méthode d'authentification pour le profil VPN
-
Dans la page Méthode d'authentification, spécifiez les informations suivantes :
- **Méthode d'authentification :** dans la liste déroulante, sélectionnez la méthode d'authentification qui sera utilisée par la connexion VPN. Les éléments dans la liste déroulante peuvent varier selon le type de connexion que vous avez précédemment sélectionné. Les méthodes d'authentification disponibles et les types de connexion pris en charge sont répertoriés dans le tableau suivant : <table> <colgroup> <col style="width: 50%" /> <col style="width: 50%" /> </colgroup> <thead> <tr class="header"> <th><p>Méthodes d'authentification</p></th> <th><p>Types de connexion pris en charge</p></th> </tr> </thead> <tbody> <tr class="odd"> <td><p><strong>Certificats</strong></p> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh427330.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Conseil</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Si le certificat client est utilisé pour l'authentification sur un serveur RADIUS, tel qu'un serveur NPS, l'autre nom de l'objet dans le certificat doit être défini sur le nom d'utilisateur principal.</p></td> </tr> </tbody> </table> </div></td> <td><ul> <li><p>Cisco AnyConnect</p></li> <li><p>Pulse Secure</p></li> <li><p>Client F5 Edge</p></li> <li><p>Dell SonicWALL Mobile Connect</p></li> <li><p>Check Point Mobile VPN</p></li> </ul></td> </tr> <tr class="even"> <td><p><strong>Nom d'utilisateur et mot de passe</strong></p></td> <td><ul> <li><p>Pulse Secure</p></li> <li><p>Client F5 Edge</p></li> <li><p>Dell SonicWALL Mobile Connect</p></li> <li><p>Check Point Mobile VPN</p></li> </ul></td> </tr> <tr class="odd"> <td><p><strong>Microsoft EAP-TTLS</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatic</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="even"> <td><p><strong>Microsoft PEAP (Protected EAP)</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatic</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="odd"> <td><p><strong>Mot de passe sécurisé Microsoft (EAP-MSCHAP v2)</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatic</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="even"> <td><p><strong>Carte à puce ou autre certificat</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatic</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="odd"> <td><p><strong>MSCHAP v2</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatic</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="even"> <td><p><strong>RSA SecurID</strong> (iOS uniquement)</p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatic</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="odd"> <td><p><strong>Utiliser des certificats d'ordinateur</strong></p></td> <td><ul> <li><p>IKEv2</p></li> </ul></td> </tr> </tbody> </table> Selon les options que vous sélectionnez, vous devrez peut-être spécifier d'autres informations, par exemple : - **Conserver les informations d'identification de l'utilisateur à chaque connexion** : Sélectionnez cette option pour vous assurer que les informations d'identification sont mémorisées, pour que l'utilisateur n'ait pas à les entrer chaque fois qu'une connexion est établie. - **Sélectionnez un certificat client pour l'authentification du client** : sélectionnez le certificat SCEP client que vous avez créé précédemment et qui sera utilisé pour authentifier la connexion VPN. Pour plus d'informations sur l'utilisation des profils de certificat dans Configuration Manager, consultez [Profils de certificat dans Configuration Manager](dn261202\(v=technet.10\).md). <div class="alert"> > [!NOTE] > <P>Pour les appareils iOS, le profil SCEP que vous sélectionnez sera incorporé au profil VPN. Pour les autres plateformes, une règle de mise en application est ajoutée pour s'assurer que le profil VPN n'est pas installé si le certificat n'est pas présent ou non conforme.</P> > <P>Si le certificat SCEP que vous spécifiez n'est pas conforme ou n'a pas été déployé, le profil VPN n'est pas installé sur l'appareil.</P> </div> - Pour certaines méthodes d'authentification, vous pouvez cliquer sur **Configurer** pour ouvrir la boîte de dialogue Propriétés de Windows (si la version de Windows sur laquelle vous exécutez la console Configuration Manager prend en charge cette méthode d'authentification), dans laquelle vous pouvez configurer les propriétés de la méthode d'authentification. <div class="alert"> > [!NOTE] > <P>Les appareils qui exécutent iOS prennent uniquement en charge <STRONG>RSA SecurID</STRONG> et <STRONG>MSCHAP v2</STRONG> comme méthode d'authentification quand le type de connexion est <STRONG>PPTP</STRONG>. Pour éviter toute erreur, déployez un profil VPN PPTP distinct sur les appareils qui exécutent iOS.</P> </div>
Étape 5 : Configurer des paramètres proxy pour le profil VPN
Pour configurer des paramètres proxy pour le profil VPN
-
Sur la page Paramètres du proxy de l'Assistant Création d'un profil VPN, activez la case à cocher Configurer les paramètres du proxy pour ce profil VPN si votre connexion VPN utilise un serveur proxy.
-
Spécifiez des détails sur votre serveur proxy et ses paramètres. Pour plus d’informations, consultez la documentation de Windows Server.
Step 6 : Configurer les paramètres DNS supplémentaires (si nécessaire)
Dans la page Configurer une connexion VPN automatique de l'Assistant, vous pouvez configurer les paramètres suivants :
Activer VPN à la demande : sélectionnez cette option si vous souhaitez configurer d'autres paramètres DNS dans cette page de l'Assistant pour les appareils Windows Phone 8.1.
Liste de suffixes DNS (pour les appareils Windows Phone 8.1 uniquement) : configure les domaines qui établiront une connexion VPN. Pour chaque domaine que vous spécifiez, ajoutez le suffixe DNS, l'adresse du serveur DNS et l'une des actions à la demande suivantes :
Ne jamais établir : ne jamais ouvrir de connexion VPN
Établir si nécessaire : ouvrir une connexion VPN uniquement si l'appareil doit se connecter aux ressources
Toujours établir : toujours ouvrir la connexion VPN
Fusionner : copie tous les suffixes DNS que vous avez configurés dans la Liste de réseaux approuvés.
Liste de réseaux approuvés (pour les appareils Windows Phone 8.1 uniquement) : spécifiez un suffixe DNS sur chaque ligne. Si l'appareil se trouve sur un réseau approuvé, la connexion VPN n'est pas ouverte.
Liste de recherche de suffixes (pour les appareils Windows Phone 8.1 uniquement) : spécifiez un suffixe DNS sur chaque ligne. Chaque suffixe DNS que vous spécifiez sera recherché lors de la connexion à un site web à l'aide d'un nom court.
Par exemple, vous spécifiez les suffixes DNS domain1.contoso.com et domain2.contoso.com, puis vous accédez à l'URL http://mywebsite. Les adresses suivantes seront recherchées :
Notes
Pour les appareils Windows Phone 8.1 uniquement
Si l'option Envoyer tout le trafic réseau via la connexion VPN est sélectionnée et que la connexion VPN utilise le tunneling complet, pour le premier profil configuré sur l'appareil la connexion VPN s'ouvre automatiquement. Si vous souhaitez qu'un autre profil ouvre automatiquement une connexion, vous devez le configurer comme profil par défaut sur l'appareil.
Si l'option Envoyer tout le trafic réseau via la connexion VPN n'est pas sélectionnée et que la connexion VPN utilise le tunneling fractionné, une connexion VPN peut être ouverte automatiquement si vous configurez des itinéraires ou un suffixe DNS spécifique à la connexion.
Étape 7 : Configurer des plates-formes prises en charge pour le profil VPN
Procédez comme suit pour spécifier les plates-formes prises en charge pour le profil VPN.
Les plates-formes prises en charge sont les systèmes d'exploitation sur lesquels le profil VPN sera installé.
Pour spécifier les plates-formes prises en charge pour le profil VPN
-
Sur la page Plates-formes prises en charge de l'Assistant Création d'un profil VPN, sélectionnez les systèmes d'exploitation sur lesquels le profil VPN sera installé ou cliquez sur Sélectionner tout pour installer le profil VPN sur tous les systèmes d'exploitation disponibles.
Étape 8 : Terminer l'Assistant
Dans la page Résumé de l'Assistant, consultez les mesures à prendre, puis fermez l'Assistant. Le nouveau profil VPN figure dans le nœud Profils VPN dans l'espace de travail Ressources et Conformité.
Pour plus d'informations sur le déploiement du profil VPN, voir Comment déployer des profils VPN dans Configuration Manager.