Freigeben über


Hinzufügen von VPN-Einstellungen auf iOS- und iPadOS-Geräten in Microsoft Intune

Microsoft Intune enthält viele VPN-Einstellungen, die auf Ihren iOS-/iPadOS-Geräten bereitgestellt werden können. Diese Einstellungen werden verwendet, um VPN-Verbindungen mit dem Netzwerk Ihrer Organisation zu erstellen und zu konfigurieren. In diesem Artikel werden diese Einstellungen beschrieben. Einige Einstellungen sind nur für einige VPN-Clients verfügbar, z. B. Citrix, Zscaler und mehr.

Diese Funktion gilt für:

  • iOS/iPadOS

Bevor Sie beginnen

Hinweis

  • Diese Einstellungen sind für alle Registrierungstypen mit Ausnahme der Benutzerregistrierung verfügbar. Die Benutzerregistrierung ist auf pro App-VPN beschränkt. Weitere Informationen zu den Registrierungstypen finden Sie unter iOS/iPadOS-Registrierung.

  • Die verfügbaren Einstellungen hängen vom ausgewählten VPN-Client ab. Einige Einstellungen sind nur für bestimmte VPN-Clients verfügbar.

  • Diese Einstellungen verwenden die Apple-VPN-Nutzlast (öffnet die Website von Apple).

Verbindungstyp

Wählen Sie den VPN-Verbindungstyp aus der folgenden Liste der Anbieter aus:

  • Check Point Capsule VPN

  • Cisco Legacy AnyConnect

    Gilt für Die Cisco Legacy AnyConnect-App, Version 4.0.5x und früher.

  • Cisco AnyConnect

    Gilt für Cisco AnyConnect-App , Version 4.0.7x und höher.

  • SonicWall Mobile Connect

  • F5 Access Legacy

    Gilt für F5 Access-App Version 2.1 und früher.

  • F5 Access

    Gilt für F5 Access-App Version 3.0 und höher.

  • Palo Alto Networks GlobalProtect (Legacy)

    Gilt für Palo Alto Networks GlobalProtect-App, Version 4.1 und früher.

  • Palo Alto Networks – GlobalProtect

    Gilt für Palo Alto Networks GlobalProtect-App, Version 5.0 und höher.

  • Pulse Secure

  • Cisco (IPSec)

  • Citrix VPN

  • Citrix SSO

  • Zscaler

    Um den bedingten Zugriff zu verwenden oder Benutzern das Umgehen des Zscaler-Anmeldebildschirms zu ermöglichen, müssen Sie Zscaler Private Access (ZPA) in Ihr Microsoft Entra-Konto integrieren. Ausführliche Schritte finden Sie in der Zscaler-Dokumentation.

  • NetMotion Mobility

  • IKEv2

    IKEv2-Einstellungen (in diesem Artikel) beschreiben die Eigenschaften.

  • Microsoft Tunnel

    Gilt für die Microsoft Defender für Endpunkt-App, die Tunnelclientfunktionen enthält.

  • Benutzerdefiniertes VPN

Hinweis

Cisco, Citrix, F5 und Palo Alto haben angekündigt, dass ihre Legacyclients unter iOS 12 und höher nicht funktionieren. Sie sollten so bald wie möglich zu den neuen Apps migrieren. Weitere Informationen finden Sie im Blog des Microsoft Intune-Supportteams.

Basis-VPN-Einstellungen

  • Verbindungsname: Endbenutzern wird dieser Name angezeigt, wenn sie ihr Gerät nach einer Liste der verfügbaren VPN-Verbindungen durchsuchen.

  • Benutzerdefinierter Domänenname (nur Zscaler): Füllen Sie das Anmeldefeld der Zscaler-App im Voraus mit der Domäne auf, zu der Ihre Benutzer gehören. Wenn ein Benutzername beispielsweise ist Joe@contoso.net, wird die contoso.net Domäne statisch im Feld angezeigt, wenn die App geöffnet wird. Wenn Sie keinen Domänennamen eingeben, wird der Domänenteil des UPN in Microsoft Entra ID verwendet.

  • VPN-Serveradresse: Die IP-Adresse oder der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des VPN-Servers, mit dem Geräte eine Verbindung herstellen. Geben Sie z. B. oder ein 192.168.1.1vpn.contoso.com.

  • Cloudname der Organisation (nur Zscaler): Geben Sie den Cloudnamen ein, in dem Ihre Organisation bereitgestellt wird. Die URL, die Sie zum Anmelden bei Zscaler verwenden, hat den Namen.

  • Authentifizierungsmethode: Wählen Sie aus, wie Sich Geräte beim VPN-Server authentifizieren.

    • Zertifikate: Wählen Sie unter Authentifizierungszertifikat ein vorhandenes SCEP- oder PKCS-Zertifikatprofil aus, um die Verbindung zu authentifizieren. Konfigurieren von Zertifikaten enthält einige Anleitungen zu Zertifikatprofilen.

    • Benutzername und Kennwort: Endbenutzer müssen einen Benutzernamen und ein Kennwort eingeben, um sich beim VPN-Server anzumelden.

      Hinweis

      Wenn Benutzername und Kennwort als Authentifizierungsmethode für Cisco IPsec VPN verwendet werden, müssen sie das SharedSecret über ein benutzerdefiniertes Apple Configurator-Profil bereitstellen.

    • Abgeleitete Anmeldeinformationen: Verwenden Sie ein Zertifikat, das von der Smartcard eines Benutzers abgeleitet ist. Wenn kein Aussteller für abgeleitete Anmeldeinformationen konfiguriert ist, werden Sie von Intune aufgefordert, einen Solchen hinzuzufügen. Weitere Informationen finden Sie unter Verwenden abgeleiteter Anmeldeinformationen in Microsoft Intune.

  • Ausgeschlossene URLs (nur Zscaler): Wenn eine Verbindung mit dem Zscaler-VPN besteht, sind die aufgeführten URLs außerhalb der Zscaler-Cloud zugänglich. Sie können bis zu 50 URLs hinzufügen.

  • Geteiltes Tunneling: Aktivieren oder Deaktivieren , damit Geräte je nach Datenverkehr entscheiden können, welche Verbindung verwendet werden soll. Beispielsweise verwendet ein Benutzer in einem Hotel die VPN-Verbindung, um auf Arbeitsdateien zuzugreifen, aber das Standardnetzwerk des Hotels für das regelmäßige Webbrowsen.

  • VPN-Bezeichner (Benutzerdefiniertes VPN, Zscaler und Citrix): Ein Bezeichner für die von Ihnen verwendete VPN-App, die von Ihrem VPN-Anbieter bereitgestellt wird.

  • Geben Sie Schlüssel-Wert-Paare für die benutzerdefinierten VPN-Attribute Ihrer Organisation ein (benutzerdefiniertes VPN, Zscaler und Citrix): Fügen Sie Schlüssel und Werte hinzu, die Ihre VPN-Verbindung anpassen, oder importieren Sie sie. Denken Sie daran, dass diese Werte in der Regel von Ihrem VPN-Anbieter bereitgestellt werden.

  • Aktivieren der Netzwerkzugriffssteuerung (Network Access Control, NAC) (Cisco AnyConnect, Citrix SSO, F5 Access): Wenn Sie Ich stimme zu auswählen, ist die Geräte-ID im VPN-Profil enthalten. Diese ID kann für die Authentifizierung beim VPN verwendet werden, um den Netzwerkzugriff zuzulassen oder zu verhindern.

    Wenn Sie Cisco AnyConnect mit ISE verwenden, achten Sie auf Folgendes:

    Wichtig

    Der Netzwerkzugriffssteuerungsdienst (Network Access Control, NAC) ist veraltet und wurde durch den neuesten NAC-Dienst von Microsoft ersetzt, bei dem es sich um den Compliance-Abrufdienst (Cr Service) handelt. Um Änderungen in Cisco ISE zu unterstützen, hat Intune das Format der Geräte-ID geändert. Ihre vorhandenen Profile mit dem ursprünglichen NAC-Dienst funktionieren also nicht mehr.

    Um den CR-Dienst zu verwenden und Ausfallzeiten bei Ihrer VPN-Verbindung zu vermeiden, stellen Sie dasselbe VPN-Gerätekonfigurationsprofil erneut bereit. Es sind keine Änderungen am Profil erforderlich. Sie müssen nur erneut bereitstellen. Wenn das Gerät mit dem Intune-Dienst synchronisiert wird und das VPN-Konfigurationsprofil empfängt, werden die CR-Dienständerungen automatisch auf dem Gerät bereitgestellt. Und Ihre VPN-Verbindungen sollten weiterhin funktionieren.

    Wenn Sie Citrix SSO mit Gateway verwenden, stellen Sie folgendes sicher:

    Achten Sie bei Verwendung von F5 Access auf Folgendes:

    Für die VPN-Partner, die die Geräte-ID unterstützen, kann der VPN-Client, z. B. Citrix SSO, die ID abrufen. Anschließend kann er Intune abfragen, um zu bestätigen, dass das Gerät registriert ist und ob das VPN-Profil kompatibel oder nicht kompatibel ist.

    • Um diese Einstellung zu entfernen, erstellen Sie das Profil neu, und wählen Sie nicht Ich stimme zu aus. Weisen Sie dann das Profil neu zu.
  • Geben Sie Schlüssel-Wert-Paare für die NetMotion Mobility-VPN-Attribute ein (nur NetMotion Mobility): Geben Sie Schlüssel-Wert-Paare ein, oder importieren Sie sie. Diese Werte können von Ihrem VPN-Anbieter bereitgestellt werden.

  • Microsoft Tunnel-Standort (nur Microsoft Tunnel): Wählen Sie einen vorhandenen Standort aus. Der VPN-Client stellt eine Verbindung mit der öffentlichen IP-Adresse oder dem FQDN dieses Standorts her.

    Weitere Informationen finden Sie unter Microsoft Tunnel für Intune.

IKEv2-Einstellungen

Diese Einstellungen gelten, wenn Sie den Verbindungstyp>IKEv2 auswählen.

  • Always-On-VPN: Aktivieren legt fest, dass ein VPN-Client automatisch eine Verbindung mit dem VPN herstellt und erneut eine Verbindung mit dem VPN herstellt. Always-On-VPN-Verbindungen bleiben verbunden oder stellen sofort eine Verbindung her, wenn der Benutzer sein Gerät sperrt, das Gerät neu startet oder sich das Funknetzwerk ändert. Bei Festlegung auf Deaktivieren (Standard) ist always-on VPN für alle VPN-Clients deaktiviert. Wenn diese Option aktiviert ist, konfigurieren Sie auch Folgendes:

    • Netzwerkschnittstelle: Alle IKEv2-Einstellungen gelten nur für die ausgewählte Netzwerkschnittstelle. Ihre Optionen:

      • WLAN und Mobilfunk (Standard): Die IKEv2-Einstellungen gelten für die Wi-Fi- und Mobilfunkschnittstellen auf dem Gerät.
      • Mobilfunk: Die IKEv2-Einstellungen gelten nur für die Mobilfunkschnittstelle auf dem Gerät. Wählen Sie diese Option aus, wenn Sie die Bereitstellung auf Geräten durchführen, auf denen die Wi-Fi-Schnittstelle deaktiviert oder entfernt wurde.
      • WLAN: Die IKEv2-Einstellungen gelten nur für die Wi-Fi-Schnittstelle auf dem Gerät.
    • Benutzer zum Deaktivieren der VPN-Konfiguration: Aktivieren ermöglicht Benutzern das Deaktivieren des Always-On-VPN. Deaktivieren (Standard) verhindert, dass Benutzer es deaktivieren. Der Standardwert für diese Einstellung ist die sicherste Option.

    • Voicemail: Wählen Sie aus, was mit voicemail-Datenverkehr geschieht, wenn Always-On-VPN aktiviert ist. Ihre Optionen:

      • Erzwingen von Netzwerkdatenverkehr über VPN (Standard): Diese Einstellung ist die sicherste Option.
      • Zulassen, dass Netzwerkdatenverkehr außerhalb des VPN weitergeleitet wird
      • Löschen des Netzwerkdatenverkehrs
    • AirPrint: Wählen Sie aus, was mit AirPrint-Datenverkehr geschieht, wenn Always-On-VPN aktiviert ist. Ihre Optionen:

      • Erzwingen von Netzwerkdatenverkehr über VPN (Standard): Diese Einstellung ist die sicherste Option.
      • Zulassen, dass Netzwerkdatenverkehr außerhalb des VPN weitergeleitet wird
      • Löschen des Netzwerkdatenverkehrs
    • Mobilfunkdienste: Wählen Sie unter iOS 13.0 und höher aus, was mit dem Mobilfunkdatenverkehr geschieht, wenn Always-On-VPN aktiviert ist. Ihre Optionen:

      • Erzwingen von Netzwerkdatenverkehr über VPN (Standard): Diese Einstellung ist die sicherste Option.
      • Zulassen, dass Netzwerkdatenverkehr außerhalb des VPN weitergeleitet wird
      • Löschen des Netzwerkdatenverkehrs
    • Datenverkehr von nicht nativen Netzwerk-Apps außerhalb des VPN zulassen: Ein eigenständiges Netzwerk bezieht sich auf Wi-Fi Hotspots, die normalerweise in Restaurants und Hotels zu finden sind. Ihre Optionen:

      • Nein: Erzwingt den gesamten CN-App-Datenverkehr (Captive Networking) über den VPN-Tunnel.

      • Ja, alle Apps: Ermöglicht es dem gesamten CN-App-Datenverkehr, das VPN zu umgehen.

      • Ja, bestimmte Apps: Fügen Sie eine Liste von CN-Apps hinzu, deren Datenverkehr das VPN umgehen kann. Geben Sie die Bündelbezeichner der CN-App ein. Geben Sie beispielsweise com.contoso.app.id.package ein.

        Um die Bündel-ID einer App abzurufen, die zu Intune hinzugefügt wurde, können Sie das Intune Admin Center verwenden.

    • Datenverkehr von der Captive Websheet-App, um außerhalb des VPN zu übergeben: Captive WebSheet ist ein integrierter Webbrowser, der die Captive-Anmeldung verarbeitet. Aktivieren ermöglicht es dem Browser-App-Datenverkehr, das VPN zu umgehen. Deaktivieren (Standard) erzwingt, dass WebSheet-Datenverkehr das Always On-VPN verwendet. Der Standardwert ist die sicherste Option.

    • Nat-Keepalive-Intervall (Network Address Translation, Netzwerkadressenübersetzung) (Sekunden):Um mit dem VPN verbunden zu bleiben, sendet das Gerät Netzwerkpakete, um aktiv zu bleiben. Geben Sie einen Wert in Sekunden ein, wie oft diese Pakete von 20 bis 1440 gesendet werden. Geben Sie beispielsweise den Wert ein 60 , um die Netzwerkpakete alle 60 Sekunden an das VPN zu senden. Standardmäßig ist dieser Wert auf 110 Sekunden festgelegt.

    • Nat im Ruhezustand auf Hardware auslagern: Wenn sich ein Gerät im Ruhezustand befindet, sendet NAT (Standard) kontinuierlich Keep-Alive-Pakete, damit das Gerät mit dem VPN verbunden bleibt. Deaktivieren deaktiviert dieses Feature.

  • Remotebezeichner: Geben Sie die Netzwerk-IP-Adresse, den FQDN, den UserFQDN oder den ASN1DN des IKEv2-Servers ein. Geben Sie z. B. oder ein 10.0.0.3vpn.contoso.com. In der Regel geben Sie denselben Wert wie verbindungsname ein (in diesem Artikel). Dies hängt jedoch von ihren IKEv2-Servereinstellungen ab.

  • Lokaler Bezeichner: Geben Sie den FQDN des Geräts oder den allgemeinen Antragstellernamen des IKEv2-VPN-Clients auf dem Gerät ein. Alternativ können Sie diesen Wert leer lassen (Standard). In der Regel sollte der lokale Bezeichner mit der Identität des Benutzer- oder Gerätezertifikats übereinstimmen. Der IKEv2-Server erfordert möglicherweise, dass die Werte übereinstimmen, damit er die Identität des Clients überprüfen kann.

  • Clientauthentifizierungstyp: Wählen Sie aus, wie sich der VPN-Client beim VPN authentifiziert. Ihre Optionen:

    • Benutzerauthentifizierung (Standard): Benutzeranmeldeinformationen authentifizieren sich beim VPN.
    • Computerauthentifizierung: Geräteanmeldeinformationen authentifizieren sich beim VPN.
  • Authentifizierungsmethode: Wählen Sie den Typ der Clientanmeldeinformationen aus, die an den Server gesendet werden sollen. Ihre Optionen:

    • Zertifikate: Verwendet ein vorhandenes Zertifikatprofil für die Authentifizierung beim VPN. Stellen Sie sicher, dass dieses Zertifikatprofil dem Benutzer oder Gerät bereits zugewiesen ist. Andernfalls schlägt die VPN-Verbindung fehl.

      • Zertifikattyp: Wählen Sie den Verschlüsselungstyp aus, der vom Zertifikat verwendet wird. Stellen Sie sicher, dass der VPN-Server so konfiguriert ist, dass er diesen Zertifikattyp akzeptiert. Ihre Optionen:
        • RSA (Standard)
        • ECDSA256
        • ECDSA384
        • ECDSA521
    • Gemeinsam genutztes Geheimnis (nur Computerauthentifizierung): Ermöglicht die Eingabe eines gemeinsam genutzten Geheimnisses, das an den VPN-Server gesendet werden soll.

      • Gemeinsam genutztes Geheimnis: Geben Sie das freigegebene Geheimnis ein, das auch als vorinstallierter Schlüssel (Pre-Shared Key, PSK) bezeichnet wird. Stellen Sie sicher, dass der Wert mit dem freigegebenen Geheimnis übereinstimmt, das auf dem VPN-Server konfiguriert ist.
  • Allgemeiner Name des Serverzertifikatausstellers: Ermöglicht es dem VPN-Server, sich beim VPN-Client zu authentifizieren. Geben Sie den allgemeinen Namen des Zertifikatausstellers (Certificate Issuer Common Name, CN) des VPN-Serverzertifikats ein, das an den VPN-Client auf dem Gerät gesendet wird. Stellen Sie sicher, dass der CN-Wert mit der Konfiguration auf dem VPN-Server übereinstimmt. Andernfalls schlägt die VPN-Verbindung fehl.

  • Allgemeiner Name des Serverzertifikats: Geben Sie den CN für das Zertifikat selbst ein. Wenn sie leer gelassen wird, wird der Remotebezeichnerwert verwendet.

  • Erkennungsrate für unzustellbare Peers: Wählen Sie aus, wie oft der VPN-Client überprüft, ob der VPN-Tunnel aktiv ist. Ihre Optionen:

    • Nicht konfiguriert: Verwendet den iOS-/iPadOS-Systemstandard, der mit der Auswahl von Medium identisch sein kann.
    • Keine: Deaktiviert die Erkennung toter Peers.
    • Niedrig: Sendet alle 30 Minuten eine Keepalive-Nachricht.
    • Mittel (Standard): Sendet alle 10 Minuten eine Keepalive-Nachricht.
    • Hoch: Sendet alle 60 Sekunden eine Keepalive-Nachricht.
  • TLS-Versionsbereich minimum: Geben Sie die zu verwendende TLS-Mindestversion ein. Geben Sie 1.0, 1.1oder 1.2ein. Wenn sie leer gelassen wird, wird der Standardwert von 1.0 verwendet. Wenn Sie Benutzerauthentifizierung und Zertifikate verwenden, müssen Sie diese Einstellung konfigurieren.

  • Maximaler TLS-Versionsbereich: Geben Sie die maximal zu verwendende TLS-Version ein. Geben Sie 1.0, 1.1oder 1.2ein. Wenn sie leer gelassen wird, wird der Standardwert von 1.2 verwendet. Wenn Sie Benutzerauthentifizierung und Zertifikate verwenden, müssen Sie diese Einstellung konfigurieren.

  • Perfektes Vorwärtsgeheimnis: Wählen Sie Aktivieren aus, um die perfect forward secrecy (PFS) zu aktivieren. PFS ist ein IP-Sicherheitsfeature, das die Auswirkungen reduziert, wenn ein Sitzungsschlüssel kompromittiert wird. Deaktivieren (Standard) verwendet keine PFS.

  • Zertifikatsperrprüfung: Wählen Sie Aktivieren aus, um sicherzustellen, dass die Zertifikate nicht widerrufen werden, bevor die VPN-Verbindung erfolgreich hergestellt werden kann. Diese Überprüfung ist die beste Leistung. Wenn für den VPN-Server ein Zeitüberschreitungsausfall erfolgt, bevor festgestellt wird, ob das Zertifikat widerrufen wird, wird der Zugriff gewährt. Deaktivieren (Standard) sucht nicht nach gesperrten Zertifikaten.

  • Interne IPv4/IPv6-Subnetzattribute verwenden: Einige IKEv2-Server verwenden die INTERNAL_IP4_SUBNET Attribute oder INTERNAL_IP6_SUBNET . Aktivieren erzwingt, dass die VPN-Verbindung diese Attribute verwendet. Deaktivieren (Standard) erzwingt nicht, dass die VPN-Verbindung diese Subnetzattribute verwendet.

  • Mobility and Multihoming (MOBIKE): MOBIKE ermöglicht ES VPN-Clients, ihre IP-Adresse zu ändern, ohne eine Sicherheitszuordnung zum VPN-Server neu zu erstellen. Aktivieren (Standard) aktiviert MOBIKE, wodurch VPN-Verbindungen beim Reisen zwischen Netzwerken verbessert werden können. Deaktivieren deaktiviert MOBIKE.

  • Umleitung: Aktivieren (Standard) leitet die IKEv2-Verbindung um, wenn eine Umleitungsanforderung vom VPN-Server empfangen wird. Deaktivieren verhindert, dass die IKEv2-Verbindung umgeleitet wird, wenn eine Umleitungsanforderung vom VPN-Server empfangen wird.

  • Maximale Übertragungseinheit: Geben Sie die maximale Übertragungseinheit (MTU) in Bytes von 1 bis 65536 ein. Wenn die Einstellung Nicht konfiguriert oder leer gelassen wird, ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig kann Apple diesen Wert auf 1280 festlegen.

    Diese Einstellung gilt für:

    • iOS/iPadOS 14 und höher
  • Sicherheitszuordnungsparameter: Geben Sie die Parameter ein, die beim Erstellen von Sicherheitszuordnungen mit dem VPN-Server verwendet werden sollen:

    • Verschlüsselungsalgorithmus: Wählen Sie den gewünschten Algorithmus aus:

      • DES
      • 3DES
      • AES-128
      • AES-256 (Standard)
      • AES-128-GCM
      • AES-256-GCM

      Hinweis

      Wenn Sie den Verschlüsselungsalgorithmus auf AES-128-GCM oder AES-256-GCMfestlegen, wird die AES-256 Standardeinstellung verwendet. Dies ist ein bekanntes Problem, das in einer zukünftigen Version behoben wird. Es gibt keine ETA.

    • Integritätsalgorithmus: Wählen Sie den gewünschten Algorithmus aus:

      • SHA1-96
      • SHA1-160
      • SHA2-256 (Standard)
      • SHA2-384
      • SHA2-512
    • Diffie-Hellman-Gruppe: Wählen Sie die gewünschte Gruppe aus. Der Standardwert ist die Gruppe 2.

    • Lebensdauer (Minuten): Geben Sie an, wie lange die Sicherheitszuordnung aktiv bleibt, bis die Schlüssel rotiert werden. Geben Sie einen ganzen Wert zwischen 10 und 1440 ein (1440 Minuten sind 24 Stunden). Der Standardwert ist 1440.

  • Untergeordnete Sicherheitszuordnungsparameter: Mit iOS/iPadOS können Sie separate Parameter für die IKE-Verbindung und alle untergeordneten Verbindungen konfigurieren. Geben Sie die Parameter ein, die beim Erstellen untergeordneter Sicherheitszuordnungen mit dem VPN-Server verwendet werden:

    • Verschlüsselungsalgorithmus: Wählen Sie den gewünschten Algorithmus aus:

      • DES
      • 3DES
      • AES-128
      • AES-256 (Standard)
      • AES-128-GCM
      • AES-256-GCM

      Hinweis

      Wenn Sie den Verschlüsselungsalgorithmus auf AES-128-GCM oder AES-256-GCMfestlegen, wird die AES-256 Standardeinstellung verwendet. Dies ist ein bekanntes Problem, das in einer zukünftigen Version behoben wird. Es gibt keine ETA.

  • Integritätsalgorithmus: Wählen Sie den gewünschten Algorithmus aus:

    • SHA1-96
    • SHA1-160
    • SHA2-256 (Standard)
    • SHA2-384
    • SHA2-512

    Konfigurieren Sie außerdem Folgendes:

    • Diffie-Hellman-Gruppe: Wählen Sie die gewünschte Gruppe aus. Der Standardwert ist die Gruppe 2.
    • Lebensdauer (Minuten): Geben Sie an, wie lange die Sicherheitszuordnung aktiv bleibt, bis die Schlüssel rotiert werden. Geben Sie einen ganzen Wert zwischen 10 und 1440 ein (1440 Minuten sind 24 Stunden). Der Standardwert ist 1440.

Automatisches VPN

  • Typ des automatischen VPN: Wählen Sie den VPN-Typ aus, den Sie konfigurieren möchten: Bedarfsgesteuertes VPN oder Pro-App-VPN. Stellen Sie sicher, dass Sie nur eine Option verwenden. Die gleichzeitige Verwendung von beiden verursacht Verbindungsprobleme.

    • Nicht konfiguriert (Standard): Intune ändert oder aktualisiert diese Einstellung nicht.

    • Bedarfsgesteuertes VPN: Bei bedarfsgesteuertem VPN werden Regeln verwendet, um die VPN-Verbindung automatisch zu verbinden oder zu trennen. Wenn Ihre Geräte versuchen, eine Verbindung mit dem VPN herzustellen, sucht es nach Übereinstimmungen in den von Ihnen erstellten Parametern und Regeln, z. B. nach einem übereinstimmenden Domänennamen. Wenn eine Übereinstimmung vorliegt, wird die ausgewählte Aktion ausgeführt.

      Sie können beispielsweise eine Bedingung erstellen, bei der die VPN-Verbindung nur verwendet wird, wenn ein Gerät nicht mit einem Unternehmen Wi-Fi Netzwerk verbunden ist. Wenn ein Gerät nicht auf eine von Ihnen eingegebene DNS-Suchdomäne zugreifen kann, wird die VPN-Verbindung nicht gestartet.

      • On-Demand-Regeln>Hinzufügen: Wählen Sie Hinzufügen aus, um eine Regel hinzuzufügen. Wenn keine VPN-Verbindung vorhanden ist, verwenden Sie diese Einstellungen, um eine Bedarfsregel zu erstellen. Wenn eine Übereinstimmung mit Ihrer Regel vorliegt, führt das Gerät die von Ihnen ausgewählte Aktion aus.

        • Ich möchte folgendes tun: Wenn es eine Übereinstimmung zwischen dem Gerätewert und Ihrer On-Demand-Regel gibt, wählen Sie die Aktion aus, die das Gerät ausführen soll. Ihre Optionen:

          • VPN einrichten: Wenn es eine Übereinstimmung zwischen dem Gerätewert und Ihrer On-Demand-Regel gibt, stellt das Gerät eine Verbindung mit dem VPN her.

          • VPN trennen: Wenn es eine Übereinstimmung zwischen dem Gerätewert und Ihrer On-Demand-Regel gibt, wird die VPN-Verbindung getrennt.

          • Jeden Verbindungsversuch auswerten: Wenn es eine Übereinstimmung zwischen dem Gerätewert und Ihrer Bedarfsregel gibt, verwenden Sie die Einstellung Auswählen, ob eine Verbindung hergestellt werden soll , um zu entscheiden, was für jeden VPN-Verbindungsversuch geschieht:

            • Herstellen einer Verbindung bei Bedarf: Wenn sich das Gerät in einem internen Netzwerk befindet oder bereits eine VPN-Verbindung mit dem internen Netzwerk besteht, stellt das bedarfsgesteuerte VPN keine Verbindung her. Diese Einstellungen werden nicht verwendet.

              Wenn keine VPN-Verbindung vorhanden ist, entscheiden Sie bei jedem VPN-Verbindungsversuch, ob Benutzer eine Verbindung mit einem DNS-Domänennamen herstellen sollen. Diese Regel gilt nur für Domänen in der Liste Wenn Benutzer versuchen, auf diese Domänen zuzugreifen . Alle anderen Domänen werden ignoriert.

              • Wenn Benutzer versuchen, auf diese Domänen zuzugreifen: Geben Sie eine oder mehrere DNS-Domänen ein, z. B contoso.com. . Wenn Benutzer versuchen, eine Verbindung mit einer Domäne in dieser Liste herzustellen, verwendet das Gerät DNS, um die von Ihnen eingegebenen Domänen aufzulösen. Wenn die Domäne nicht aufgelöst wird, was bedeutet, dass sie keinen Zugriff auf interne Ressourcen hat, stellt sie bei Bedarf eine Verbindung mit dem VPN her. Wenn die Domäne aufgelöst wird, was bedeutet, dass sie bereits Zugriff auf interne Ressourcen hat, wird keine Verbindung mit dem VPN hergestellt.

                Hinweis

                • Wenn die Einstellung Wenn Benutzer versuchen, auf diese Domänen zuzugreifen , leer ist, verwendet das Gerät die DNS-Server, die für den Netzwerkverbindungsdienst (WLAN/Ethernet) konfiguriert sind, um die Domäne aufzulösen. Die Idee ist, dass diese DNS-Server öffentliche Server sind.

                  Die Domänen in der Liste Wenn Benutzer versuchen, auf diese Domänen zuzugreifen , sind interne Ressourcen. Interne Ressourcen befinden sich nicht auf öffentlichen DNS-Servern und können nicht aufgelöst werden. Das Gerät stellt also eine Verbindung mit dem VPN her. Nun wird die Domäne mithilfe der DNS-Server der VPN-Verbindung aufgelöst, und die interne Ressource ist verfügbar.

                  Wenn sich das Gerät im internen Netzwerk befindet, wird die Domäne aufgelöst, und es wird keine VPN-Verbindung erstellt, da die interne Domäne bereits verfügbar ist. Sie möchten keine VPN-Ressourcen auf Geräten verschwenden, die sich bereits im internen Netzwerk befinden.

                • Wenn die Einstellung Wenn Benutzer versuchen, auf diese Domänen zuzugreifen aufgefüllt wird, werden die DNS-Server in dieser Liste verwendet, um die Domänen in der Liste aufzulösen.

                  Die Idee ist das Gegenteil des ersten Aufzählungspunkts (Wenn Benutzer versuchen, auf diese Domänen zuzugreifen , ist die Einstellung leer). Die Liste Wenn Benutzer versuchen, auf diese Domänen zuzugreifen , enthält beispielsweise interne DNS-Server. Ein Gerät in einem externen Netzwerk kann nicht an die internen DNS-Server weitergeleitet werden. Bei der Namensauflösung ist ein Zeitüberschreitung aufgetreten, und das Gerät stellt bei Bedarf eine Verbindung mit dem VPN her. Jetzt sind die internen Ressourcen verfügbar.

                  Denken Sie daran, dass diese Informationen nur für Domänen in der Liste Wenn Benutzer versuchen, auf diese Domänen zuzugreifen , gelten. Alle anderen Domänen werden mit öffentlichen DNS-Servern aufgelöst. Wenn das Gerät mit dem internen Netzwerk verbunden ist, kann auf die DNS-Server in der Liste zugegriffen werden, und es ist nicht erforderlich, eine Verbindung mit dem VPN herzustellen.

              • Verwenden Sie die folgenden DNS-Server, um diese Domänen aufzulösen (optional): Geben Sie mindestens eine IP-Adresse des DNS-Servers ein, z. B 10.0.0.22. . Die von Ihnen eingegebenen DNS-Server werden verwendet, um die Domänen in der Einstellung Wenn Benutzer versuchen, auf diese Domänen zuzugreifen aufzulösen .

              • Wenn diese URL nicht erreichbar ist, erzwingen Sie die Vpn-Verbindung: Optional. Geben Sie eine HTTP- oder HTTPS-Test-URL ein, die von der Regel als Test verwendet wird. Geben Sie beispielsweise https://probe.Contoso.com ein. Diese URL wird jedes Mal untersucht, wenn ein Benutzer versucht, in der Einstellung Wenn Benutzer versuchen, auf diese Domänen zuzugreifen , auf eine Domäne zuzugreifen. Der Benutzer wird die URL-Zeichenfolgentestwebsite nicht angezeigt.

                Wenn der Test fehlschlägt, weil die URL nicht erreichbar ist oder der HTTP-Statuscode 200 nicht zurückgegeben wird, stellt das Gerät eine Verbindung mit dem VPN her.

                Die Idee ist, dass auf die URL nur im internen Netzwerk zugegriffen werden kann. Wenn auf die URL zugegriffen werden kann, ist keine VPN-Verbindung erforderlich. Wenn auf die URL nicht zugegriffen werden kann, befindet sich das Gerät in einem externen Netzwerk und stellt bei Bedarf eine Verbindung mit dem VPN her. Sobald die VPN-Verbindung hergestellt wurde, sind interne Ressourcen verfügbar.

            • Nie verbinden: Wenn Benutzer versuchen, auf die von Ihnen eingegebenen Domänen zuzugreifen, stellt das Gerät bei jedem VPN-Verbindungsversuch nie eine Verbindung mit dem VPN her.

              • Wenn Benutzer versuchen, auf diese Domänen zuzugreifen: Geben Sie eine oder mehrere DNS-Domänen ein, z. B contoso.com. . Wenn Benutzer versuchen, eine Verbindung mit einer Domäne in dieser Liste herzustellen, wird keine VPN-Verbindung erstellt. Wenn sie versuchen, eine Verbindung mit einer Domäne herzustellen, die nicht in dieser Liste enthalten ist, stellt das Gerät eine Verbindung mit dem VPN her.
          • Ignorieren: Wenn es eine Übereinstimmung zwischen dem Gerätewert und Ihrer On-Demand-Regel gibt, wird eine VPN-Verbindung ignoriert.

        • Ich möchte einschränken auf: Wählen Sie in der Einstellung Ich möchte die folgende Einstellung ausführen aus, wenn Sie VPN einrichten, VPN trennen oder Ignorieren auswählen, die Bedingung aus, die die Regel erfüllen muss. Ihre Optionen:

          • Bestimmte SSIDs: Geben Sie einen oder mehrere Drahtlosnetzwerknamen ein, für die die Regel gilt. Dieser Netzwerkname ist der Dienstsatzbezeichner (Service Set Identifier, SSID). Geben Sie beispielsweise Contoso VPN ein.
          • Bestimmte Suchdomänen: Geben Sie mindestens eine DNS-Domäne ein, für die die Regel gilt. Geben Sie beispielsweise contoso.com ein.
          • Alle Domänen: Wählen Sie diese Option aus, um Ihre Regel auf alle Domänen in Ihrer Organisation anzuwenden.
        • Aber nur, wenn dieser URL-Test erfolgreich ist: Optional. Geben Sie eine URL ein, die die Regel als Test verwendet. Geben Sie beispielsweise https://probe.Contoso.com ein. Wenn das Gerät ohne Umleitung auf diese URL zugreift, wird die VPN-Verbindung gestartet. Außerdem stellt das Gerät eine Verbindung mit der Ziel-URL her. Der Benutzer wird die URL-Zeichenfolgentestwebsite nicht angezeigt.

          Die URL testet beispielsweise die Fähigkeit des VPN, eine Verbindung mit einem Standort herzustellen, bevor das Gerät über das VPN eine Verbindung mit der Ziel-URL herstellt.

      • Benutzer am Deaktivieren des automatischen VPN blockieren: Ihre Optionen:

        • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert.
        • Ja: Verhindert, dass Benutzer das automatische VPN deaktivieren. Es zwingt Benutzer, das automatische VPN aktiviert und ausgeführt zu lassen.
        • Nein: Ermöglicht Benutzern das Deaktivieren des automatischen VPN.

        Diese Einstellung gilt für:

        • iOS 14 und höher
        • iPadOS 14 und höher
    • Pro-App-VPN: Aktiviert pro App-VPN, indem diese VPN-Verbindung einer bestimmten App zugeordnet wird. Wenn die App ausgeführt wird, wird die VPN-Verbindung gestartet. Sie können das VPN-Profil einer App zuordnen, wenn Sie die App-Software oder das Programm zuweisen. Weitere Informationen finden Sie unter Zuweisen und Überwachen von Apps.

      Pro-App-VPN wird für eine IKEv2-Verbindung nicht unterstützt. Weitere Informationen finden Sie unter Einrichten von Pro-App-VPN für iOS-/iPadOS-Geräte.

      • Anbietertyp: Nur für Pulse Secure und Custom VPN verfügbar.

        Wenn Sie Pro-App-VPN-Profile mit Pulse Secure oder einem benutzerdefinierten VPN verwenden, wählen Sie Tunneling auf App-Ebene (App-Proxy) oder Tunneling auf Paketebene (Pakettunnel) aus:

        • app-proxy: Wählen Sie diese Option für Tunneling auf App-Ebene aus.
        • packet-tunnel: Wählen Sie diese Option für Das Tunneln auf Paketebene aus.

        Wenn Sie nicht sicher sind, welche Option Sie verwenden sollten, lesen Sie die Dokumentation Ihres VPN-Anbieters.

      • Safari-URLs, die dieses VPN auslösen: Fügen Sie eine oder mehrere Website-URLs hinzu. Wenn diese URLs über den Safari-Browser auf dem Gerät aufgerufen werden, wird die VPN-Verbindung automatisch hergestellt. Geben Sie beispielsweise contoso.com ein.

      • Zugeordnete Domänen: Geben Sie zugeordnete Domänen in das VPN-Profil ein, die mit dieser VPN-Verbindung verwendet werden sollen.

        Weitere Informationen finden Sie unter Zugeordnete Domänen.

      • Ausgeschlossene Domänen: Geben Sie Domänen ein, die die VPN-Verbindung umgehen können, wenn pro App-VPN verbunden ist. Geben Sie beispielsweise contoso.com ein. Der Datenverkehr zur contoso.com Domäne verwendet das öffentliche Internet, auch wenn das VPN verbunden ist.

      • Benutzer am Deaktivieren des automatischen VPN blockieren: Ihre Optionen:

        • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert.
        • Ja: Verhindert, dass Benutzer die Umschaltfläche Connect On Demand in den VPN-Profileinstellungen deaktivieren. Es zwingt Benutzer, pro App-VPN oder On-Demand-Regeln aktiviert und ausgeführt zu lassen.
        • Nein: Ermöglicht Benutzern das Deaktivieren der Umschaltfläche "Bei Bedarf verbinden", die appspezifische VPN- und On-Demand-Regeln deaktiviert.

        Diese Einstellung gilt für:

        • iOS 14 und höher
        • iPadOS 14 und höher

Pro App-VPN

Diese Einstellungen gelten für die folgenden VPN-Verbindungstypen:

  • Microsoft Tunnel

Einstellungen:

  • Pro-App-VPN: Aktivieren ordnet dieser VPN-Verbindung eine bestimmte App zu. Wenn die App ausgeführt wird, wird der Datenverkehr automatisch über die VPN-Verbindung weitergeleitet. Sie können das VPN-Profil einer App zuordnen, wenn Sie die Software zuweisen. Weitere Informationen finden Sie unter Zuweisen und Überwachen von Apps.

    Weitere Informationen finden Sie unter Microsoft Tunnel für Intune.

  • Safari-URLs, die dieses VPN auslösen: Fügen Sie eine oder mehrere Website-URLs hinzu. Wenn diese URLs über den Safari-Browser auf dem Gerät aufgerufen werden, wird die VPN-Verbindung automatisch hergestellt. Geben Sie beispielsweise contoso.com ein.

  • Zugeordnete Domänen: Geben Sie zugeordnete Domänen in das VPN-Profil ein, die mit dieser VPN-Verbindung verwendet werden sollen.

    Weitere Informationen finden Sie unter Zugeordnete Domänen.

  • Ausgeschlossene Domänen: Geben Sie Domänen ein, die die VPN-Verbindung umgehen können, wenn pro App-VPN verbunden ist. Geben Sie beispielsweise contoso.com ein. Der Datenverkehr zur contoso.com Domäne verwendet das öffentliche Internet, auch wenn das VPN verbunden ist.

Proxy

Wenn Sie einen Proxy verwenden, konfigurieren Sie die folgenden Einstellungen.

  • Automatisches Konfigurationsskript: Verwenden Sie eine Datei, um den Proxyserver zu konfigurieren. Geben Sie die Proxyserver-URL ein, die die Konfigurationsdatei enthält. Geben Sie beispielsweise http://proxy.contoso.com/pac ein.
  • Adresse: Geben Sie die IP-Adresse oder den vollqualifizierten Hostnamen des Proxyservers ein. Geben Sie z. B. oder ein 10.0.0.3vpn.contoso.com.
  • Portnummer: Geben Sie die Portnummer ein, die dem Proxyserver zugeordnet ist. Geben Sie beispielsweise 8080 ein.

Nächste Schritte

Das Profil wird erstellt, wird aber möglicherweise noch nicht ausgeführt. Denken Sie daran, das Profil zuzuweisen und seinen Status zu überwachen.

Konfigurieren Sie VPN-Einstellungen auf Android-, Android Enterprise-, macOS- und Windows-Geräten .