01 · Lý thuyết
VPN trong Intune – Các loại VPN Profile
Intune quản lý VPN thông qua Device Configuration Profiles loại VPN. Có nhiều loại VPN kết nối được hỗ trợ:
| Loại VPN | Mô tả | Phù hợp | Protocol |
|---|---|---|---|
| IKEv2 | Native Windows VPN, tự reconnect sau mất mạng | Always On VPN doanh nghiệp | IKEv2/IPsec |
| L2TP | Layer 2, cần cấu hình thêm pre-shared key | Legacy compatibility | L2TP/IPsec |
| SSTP | VPN qua HTTPS port 443, vượt firewall dễ | Môi trường restrictive | SSTP/TLS |
| Check Point | VPN client của Check Point | Check Point infrastructure | SSL/IPsec |
| Cisco AnyConnect | Cisco VPN phổ biến tại Việt Nam | Cisco ASA/FTD gateway | SSL/TLS |
| GlobalProtect | Palo Alto Networks VPN | Palo Alto infrastructure | IPsec/SSL |
| Pulse Secure | Ivanti/Pulse VPN client | Pulse gateway | SSL/TLS |
Always On VPN vs Traditional VPN
| Tiêu chí | Traditional VPN | Always On VPN |
|---|---|---|
| Kết nối | User phải bấm Connect thủ công | Tự động kết nối khi ra khỏi mạng công ty |
| Loại tunnel | User tunnel (sau khi login) | Device tunnel + User tunnel |
| Domain join | Khó quản lý máy out-of-office | Machine luôn tiếp cận được DC |
| Split tunneling | Thường all-traffic qua VPN | Hỗ trợ split tunneling (M365 ra thẳng internet) |
| Authentication | Password / 2FA | Certificate-based (no password) |
| Intune support | VPN Profile thông thường | Always On VPN profile (Windows 10+) |
Per-App VPN – VPN chỉ cho ứng dụng cụ thể
Per-App VPN cho phép chỉ những ứng dụng được chỉ định mới đi qua VPN tunnel, còn lại dùng kết nối internet bình thường (split tunneling ở cấp app). Lợi ích:
- Giảm tải VPN gateway — chỉ traffic quan trọng đi qua
- Tốc độ internet cá nhân không bị ảnh hưởng bởi VPN
- Hữu ích cho BYOD: chỉ app công ty dùng VPN, app cá nhân không
Wi-Fi Profiles – Cấu hình Wi-Fi tự động
| Cài đặt | Tùy chọn | Mô tả |
|---|---|---|
| SSID | Tên Wi-Fi | SSID của mạng Wi-Fi công ty |
| Security type | WPA2/WPA3 Enterprise | Dùng certificate để xác thực (không cần password) |
| EAP type | EAP-TLS / PEAP | EAP-TLS: dùng client certificate; PEAP: username/password qua TLS |
| Root certificate | Upload CA cert | Máy tin server Wi-Fi là hợp lệ |
| Client certificate | SCEP / PKCS profile | Máy chứng minh danh tính với Wi-Fi controller |
| Connect automatically | Yes / No | Tự kết nối khi trong range |
Trusted Network Detection: Always On VPN có tính năng này — khi thiết bị ở mạng nội bộ công ty (trusted network), VPN không kết nối để tiết kiệm băng thông. Khi ra ngoài, VPN tự động bật.
02 · Thực hành
Lab A: Tạo VPN Profile (IKEv2) qua Intune Portal
Thực hành tại: intune.microsoft.com → Devices → Configuration → Create → Windows → VPN
- Vào Devices → Configuration → Create → New policy
- Platform: Windows 10 and later, Profile type: Templates → VPN
- Name:
VPN-Corp-IKEv2-AlwaysOn - Tab Configuration settings:
• Connection name: VietTech VPN
• Servers:vpn.viettech.vn
• Connection type: IKEv2
• Always On: Enable
• Remember credentials: Enable - Authentication:
• Authentication method: EAP
• EAP XML: (copy từ rasphone.pbk sau khi tạo VPN thủ công lần đầu) - Trusted Network Detection:
• DNS suffixes:viettech.vn,corp.viettech.local
→ VPN sẽ không kết nối khi ở mạng công ty - Split Tunneling: Enable
• Routes: thêm10.0.0.0/8(only internal traffic goes through VPN) - Assign to group GRP-Remote-Workers → Create
Lab B: Tạo Wi-Fi Profile với WPA2 Enterprise (EAP-TLS)
Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"
# Tạo Wi-Fi profile với certificate-based authentication
$wifiProfile = @{
"@odata.type" = "#microsoft.graph.windowsWifiConfiguration"
displayName = "WiFi-Corp-WPA2-Enterprise"
description = "Corporate Wi-Fi with certificate authentication"
wifiSecurityType = "wpa2Enterprise"
ssid = "VietTech-Corp"
connectAutomatically = $true
connectWhenNetworkNameIsHidden = $false
eapType = "eapTls"
rootCertificateForServerValidationId = "ROOT-CERT-ID-FROM-TRUSTED-CERT-PROFILE"
identityCertificateForClientAuthentication = "SCEP-CERT-PROFILE-ID"
} | ConvertTo-Json -Depth 5
Invoke-MgGraphRequest -Method POST `
-Uri "https://graph.microsoft.com/v1.0/deviceManagement/deviceConfigurations" `
-Body $wifiProfile -ContentType "application/json"
id : wifi-cfg-abc123
displayName : WiFi-Corp-WPA2-Enterprise
wifiSecurityType : wpa2Enterprise
ssid : VietTech-Corp
connectAutomat.. : True
eapType : eapTls
createdDateTime : 2024-03-15T09:00:00Z
# Kết quả trên máy Windows sau khi nhận policy:
# - Wi-Fi "VietTech-Corp" xuất hiện và tự kết nối
# - Không cần nhập password (dùng certificate)
# - Certificate được deploy bởi SCEP profile cùng lúc
Lab C: Kiểm tra VPN connection trên máy client
# Kiểm tra VPN profiles đã được deploy
Get-VpnConnection | Select-Object Name, ServerAddress, TunnelType, ConnectionStatus, AuthenticationMethod
# Kiểm tra Always On VPN device tunnel
Get-VpnConnection -AllUserConnection | Select-Object Name, ConnectionStatus
# Test kết nối VPN thủ công
rasdial "VietTech VPN"
# Kiểm tra routing sau khi VPN connected
route print | Select-String "10\."
# Kiểm tra DNS resolution qua VPN
Resolve-DnsName "fileserver.corp.viettech.local"
Name ServerAddress TunnelType ConnectionStatus AuthenticationMethod
------- ----------- ---------- ---------------- --------------------
VietTech VPN vpn.viettech.vn Ikev2 Disconnected Eap
# Sau rasdial:
Connecting to VietTech VPN...
CONNECT
VietTech VPN connected.
# Route: traffic đến 10.0.0.0/8 đi qua VPN interface (PPP adapter)
# DNS: fileserver.corp.viettech.local → 10.0.1.50 (resolved successfully)
Lab D: Per-App VPN – Chỉ CRM App đi qua VPN
Thực hành tại: Devices → Configuration → VPN profile → Per-App VPN
# Trong VPN profile configuration, thêm Per-App VPN settings:
# Associated Apps: chỉ định app nào dùng VPN
# Lấy app ID của CRM app đã deploy
$crmApp = Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/v1.0/deviceAppManagement/mobileApps?`$filter=displayName eq 'VietTech CRM'"
$crmAppId = $crmApp.value[0].id
Write-Host "CRM App ID: $crmAppId"
# Trong portal: VPN Profile → Per-app VPN → Add apps → chọn CRM app
# Kết quả: chỉ traffic từ VietTech CRM đi qua VPN tunnel
# Outlook, Teams, Chrome... dùng internet trực tiếp
03 · Tình huống thực tế
Tập đoàn VinGroup – Kết nối 2.000 nhân viên làm việc từ xa
Sau COVID-19, VinGroup có 2.000 nhân viên làm việc hybrid (nhà + văn phòng). Họ cần truy cập hệ thống ERP nội bộ từ nhà nhưng VPN truyền thống làm chậm toàn bộ internet của nhân viên.
Giải pháp Always On VPN + Split Tunneling:
- ✓ Always On VPN IKEv2: tự kết nối khi nhân viên rời văn phòng, không cần bấm Connect
- ✓ Split Tunneling: chỉ traffic đến
10.0.0.0/8(ERP, file server) đi qua VPN; M365, YouTube, Google đi thẳng internet - ✓ Trusted Network Detection: DNS suffix
vingroup.local— VPN tự ngắt khi ở văn phòng - ✓ Certificate auth: Deploy SCEP certificates qua Intune, nhân viên không cần nhớ VPN password
Kết quả:
- • Giảm 80% tải VPN gateway (split tunneling loại Teams/M365 traffic)
- • Nhân viên không còn phàn nàn internet chậm khi bật VPN
- • IT tiết kiệm: không cần nâng cấp VPN hardware thêm
- • Zero Touch setup: laptop mới nhận profile, tự cấu hình VPN không cần IT can thiệp