Freigeben über

Bereitstellen des Always On VPN-Profils für Windows 10 oder neuere Clients mit Microsoft Intune

In diesem Artikel zur Vorgehensweise zeigen wir Ihnen, wie Sie Intune zum Erstellen und Bereitstellen von Always On VPN-Profilen verwenden.

Wenn Sie jedoch ein benutzerdefiniertes VPN profileXML erstellen möchten, befolgen Sie die Anleitung in "ProfileXML mithilfe von Intune anwenden".

Prerequisites

Intune verwendet Microsoft Entra-Benutzergruppen, daher müssen Sie:

  • Stellen Sie sicher, dass Sie über eine Private Key Infrastructure (PKI) verfügen, die Benutzer- und Gerätezertifikate für die Authentifizierung ausstellen kann. Weitere Informationen zu Zertifikaten für Intune finden Sie unter Verwenden von Zertifikaten für die Authentifizierung in Microsoft Intune.

  • Erstellen Sie eine Microsoft Entra-Benutzergruppe, die VPN-Benutzern zugeordnet ist, und weisen Sie der Gruppe nach Bedarf neue Benutzer zu.

  • Stellen Sie sicher, dass die VPN-Benutzer über VPN-Serververbindungsberechtigungen verfügen.

Erstellen Sie die XML-Konfiguration für das Extensible Authentication Protocol (EAP)

In diesem Abschnitt erstellen Sie eine XML-Konfiguration für das Extensible Authentication Protocol (EAP).

  1. Kopieren Sie die folgende XML-Zeichenfolge in einen Text-Editor:

    Important

    Jede andere Kombination aus Groß- oder Kleinschreibung für "true" in den folgenden Tags führt zu einer teilweisen Konfiguration des VPN-Profils:

    <AlwaysOn>true</AlwaysOn>
    <RememberCredentials>true</RememberCredentials>

    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>

  2. Ersetzen Sie <ServerNames>NPS.contoso.com</ServerNames> in der Beispiel-XML durch den FQDN des in die Domäne eingebundenen NPS, in dem die Authentifizierung stattfindet.

  3. Ersetzen Sie an beiden Stellen <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> im Beispiel durch den Zertifikatfingerabdruck Ihrer lokalen Stammzertifizierungsstelle.

    Important

    Verwenden Sie den Beispiel-Fingerabdruck nicht im Abschnitt <TrustedRootCA></TrustedRootCA> weiter unten. TrustedRootCA muss der Zertifikatfingerabdruck der lokalen Stammzertifizierungsstelle sein, die das Serverauthentifizierungszertifikat für RRAS- und NPS-Server ausgestellt hat. Dabei darf es sich weder um das Cloudstammzertifikat noch um den Zertifikatsfingerabdruck der ausstellenden Zertifizierungsstelle handeln.

  4. Speichern Sie den XML-Code für die Verwendung im nächsten Abschnitt.

Erstellen der Always On VPN-Konfigurationsrichtlinie

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

  2. Go to Devices>Configuration profiles.

  3. Wählen Sie + Profil erstellen aus.

  4. For Platform, select Windows 10 and later.

  5. For Profile type, select Templates.

  6. For Template name, select VPN.

  7. Select Create.

  8. For the Basics tab:

    • Enter a Name for the VPN profile and (optionally) a description.

  9. For the Configuration settings tab:

    1. Wenn Sie dieses VPN-Profil mit einem Benutzer-/Gerätebereich verwenden möchten, wählen Sie "Benutzer" aus.

    2. For Connection type:, select IKEv2.

    3. For Connection name: enter the name of the VPN connection; for example, Contoso AutoVPN.

    4. For Servers:, add the VPN server addresses and descriptions. For the default server, set Default server to True.

    5. Wenn Sie IP-Adressen mit internem DNS registrieren möchten, wählen Sie "Deaktivieren" aus.

    6. For Always On:, select Enable.

    7. Um Anmeldeinformationen bei jeder Anmeldung zu speichern, wählen Sie den Wert aus, der für Ihre Sicherheitsrichtlinie geeignet ist.

    8. For Authentication Method, select EAP.

    9. For EAP XML, select the XML you saved in Create the EAP XML.

    10. For Device Tunnel, select Disable. Weitere Informationen zu Gerätetunneln finden Sie unter Konfigurieren von VPN-Gerätetunneln in Windows 10.

    11. Für IKE-Sicherheitszuordnungsparameter

      • Set Split tunneling to Enable.
      • Konfigurieren sie die vertrauenswürdige Netzwerkerkennung. Um das DNS-Suffix zu finden, können Sie Get-NetConnectionProfile > Name auf einem System verwenden, das derzeit mit dem Netzwerk verbunden ist und auf dem das Domänenprofil angewendet wurde (NetworkCategory:DomainAuthenticated).

    12. Behalten Sie die verbleibenden Einstellungen als Standard bei, es sei denn, Ihre Umgebung erfordert eine weitere Konfiguration. Weitere Informationen zu den EAP-Profileinstellungen für Intune finden Sie unter Windows 10/11- und Windows Holographic-Geräteeinstellungen, um VPN-Verbindungen mit Intune hinzuzufügen.

    13. Select Next.

  10. For the Scope Tags tab, leave default settings and select Next.

  11. For the Assignments tab:

    1. Select Add groups, and add your VPN user group.

    2. Select Next.

  12. For the Applicability Rules tab, leave default settings and select Next.

  13. Überprüfen Sie auf der Registerkarte " Überprüfen + Erstellen " alle Einstellungen, und wählen Sie "Erstellen" aus.

Synchronisieren der Always On VPN-Konfigurationsrichtlinie mit Intune

Um die Konfigurationsrichtlinie zu testen, melden Sie sich bei einem Windows 10+-Clientcomputer als VPN-Benutzer an, und synchronisieren Sie dann mit Intune.

  1. On the Start menu, select Settings.

  2. In Settings, select Accounts, and select Access work or school.

  3. Select the account to connect to your Microsoft Entra ID, and select Info.

  4. Move down and select Sync to force an Intune policy evaluation and retrieval.

  5. When the synchronization is complete, close Settings. Nach der Synchronisierung sollten Sie in der Lage sein, eine Verbindung mit dem VPN-Server Ihrer Organisation herzustellen.

Next Steps