Замените стандартный профиль OOBE Anyconnect в VPN удаленного доступа.

Reply to Замените стандартный профиль OOBE Anyconnect в VPN удаленного доступа. on Mon, 02 Mar 2026 12:41:42 GMT

外贸小助手 — Mon, 02 Mar 2026 12:41:42 GMT

Очень хорошо!

Reply to Замените стандартный профиль OOBE Anyconnect в VPN удаленного доступа. on Mon, 02 Mar 2026 12:41:41 GMT

Kaisen — Mon, 02 Mar 2026 12:41:41 GMT

Здравствуйте, Шераз,
спасибо за то, что выделили время, чтобы дать такой подробный ответ. Проблема была немного другой и, честно говоря, довольно глупой, но всегда именно такие мелочи упускаются из виду... Подробное объяснение будет опубликовано в отдельном комментарии.

Reply to Замените стандартный профиль OOBE Anyconnect в VPN удаленного доступа. on Mon, 02 Mar 2026 12:41:40 GMT

Sheraz.Salim — Mon, 02 Mar 2026 12:41:40 GMT

Проблема, с которой вы столкнулись, часто возникает при развертывании VPN-клиентов через Intune в Windows 11, особенно в отношении первоначального подключения с использованием профиля по умолчанию до загрузки вашего настраиваемого профиля .xml. По умолчанию Secure Client или VPN-клиент будет использовать любую конфигурацию, имеющуюся в папке C:/ProgramData/Cisco/VPN/Profiles, и это часто является общим или временным профилем, пока устройство не сможет связаться с вашими службами управления для получения настраиваемого профиля. См. эту ссылку
https://directaccess.richardhicks.com/2021/10/28/always-on-vpn-windows-11-issues-with-intune/
Развертывание Cisco Secure Client с Intune для Windows 11 включает в себя упаковку установщика Cisco и вашего настраиваемого профиля XML VPN, а затем их распространение с помощью Intune в качестве приложения Win32. Сначала загрузите установщик Cisco Secure Client и ваш настраиваемый профиль VPN, а затем поместите их в папку вместе с пакетным или PowerShell-скриптом установки, который копирует профиль XML в C:/ProgramData/Cisco/VPN/Profiles, эффективно перезаписывая профиль по умолчанию. Используйте инструмент Microsoft Win32 Content Prep Tool для создания пакета .intunewin из этой папки. В Intune добавьте новое приложение Windows (Win32), загрузите файл .intunewin и настройте команды установки и правила обнаружения, часто используя настраиваемый скрипт PowerShell. Такой подход гарантирует, что ваш настраиваемый профиль будет присутствовать перед первым подключением VPN, что исключает нежелательные запросы сертификатов во время Out-of-Box Experience.
Здесь проверьте эти несколько ссылок
https://devicemanagementhub.com/deploy-cisco-secure-client-vpn-using-intune/
https://smbtothecloud.com/deploy-the-cisco-secure-client-with-umbrella-module-using-intune
https://www.cisco.com/c/en/us/support/docs/security/secure-endpoint/224295-deploy-cisco-secure-endpoint-secure.pdf Не забудьте поставить оценку.

Reply to Замените стандартный профиль OOBE Anyconnect в VPN удаленного доступа. on Mon, 02 Mar 2026 12:41:39 GMT

Kaisen — Mon, 02 Mar 2026 12:41:39 GMT

Всем привет и с Новым годом!
Прошло уже немало времени с момента возникновения этой проблемы, и я почти два месяца в свободное время занимался ее устранением.
Я многое узнал об Intune, XDR и в целом о развертывании на основе регистрации в XDR (на своем горьком опыте).
Не будем больше терять время.
Проблема заключалась в том, что наше развертывание XDR хранилось на сервере в нашей сети, а затем, конечно же, извлекалось Intune. Проблема, по-видимому, связана с тем, что когда Intune извлекает пакет развертывания, мы извлекаем его в виде файла
.intune
. Для этого файла у нас есть некоторые преобразования файлов и дополнительные настройки, которые выполняются системным администратором, этот файл извлекается Intune и используется устройствами OOBE. Поскольку этот файл является статическим, даже если я редактировал развертывания XDR, это не имело никакого значения, и даже если бы я их удалил, это все равно не привело бы к каким-либо изменениям. Поэтому нам просто нужно было отредактировать развертывание XDR, а затем преобразовать его в .intune и заменить старый файл, что (частично) решило проблему.
Еще одна проблема заключалась в том, что для этих новых конфигураций устройств системный администратор мог случайно неправильно настроить разрешения для локального хранилища сертификатов зарегистрированных устройств, поэтому при установке устройства пользователя приложение Cisco Secure Endpoint не сможет прочитать сертификат и, следовательно, не сможет установить соединение даже после правильного развертывания профиля и исправления XDR. Для решения этой проблемы мы применили небольшой обходной путь, при котором вместо сертификата устройства мы проверяем в облаке данные Umbrella, присутствующие на устройстве, что в конечном итоге решило всю проблему (опять же,
частично
,
так как это нельзя считать конкретным решением, приложение Secure Endpoint по-прежнему не может считывать сертификаты устройств, но это, похоже, должен продумать системный администратор).
Такая игра в кошки-мышки с таким большим количеством обратных отслеживаний... По-видимому, сетевой инженер должен знать не только о сетях, но и иметь общее представление о всей среде. Несмотря на это, я более чем счастлив, что проблема была решена, поскольку решение было так близко, но в то же время так далеко в течение очень долгого времени.