Bereitstellen des Always On VPN-Profils für Windows 10-Clients oder neuere Clients mit Microsoft Intune

In diesem Schrittanleitungsartikel erfahren Sie, wie Sie Intune verwenden, um Always On VPN-Profile zu erstellen und bereitzustellen.

Wenn Sie jedoch ein benutzerdefiniertes VPN-profileXML erstellen möchten, folgen Sie der Anleitung unter Anwenden von ProfileXML mithilfe von Intune.

Voraussetzungen

Intune verwendet Microsoft Entra-Benutzergruppen, daher müssen Sie Folgendes tun:

• Stellen Sie sicher, dass Sie über eine Private Key Infrastructure (PKI) verfügen, die Benutzer- und Gerätezertifikate für die Authentifizierung ausstellen kann. Weitere Informationen zu Zertifikaten für Intune finden Sie unter Verwenden von Zertifikaten zur Authentifizierung in Microsoft Intune.

• Erstellen Sie eine Microsoft Entra-Benutzergruppe, die VPN-Benutzern zugeordnet ist, und weisen Sie der Gruppe nach Bedarf neue Benutzer zu.

• Stellen Sie sicher, dass die VPN-Benutzer über VPN-Serververbindungsberechtigungen verfügen.

Erstellen der EAP-Konfigurations-XML (Extensible Authentication Protocol)

In diesem Abschnitt erstellen Sie eine EAP-Konfigurations-XML (Extensible Authentication Protocol).

1. Kopieren Sie die folgende XML-Zeichenfolge in einen Text-Editor:

   Wichtig

   Jede andere Kombination aus Groß- oder Kleinbuchstaben für „true“ in den folgenden Tags führt zu einer teilweisen Konfiguration des VPN-Profils:

   <AlwaysOn>true</AlwaysOn>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. Ersetzen Sie <ServerNames>NPS.contoso.com</ServerNames> in der Beispiel-XML durch den FQDN des in die Domäne eingebundenen NPS, in dem die Authentifizierung stattfindet.

3. Ersetzen Sie an beiden Stellen <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> im Beispiel durch den Zertifikatfingerabdruck Ihrer lokalen Stammzertifizierungsstelle.

   Wichtig

   Verwenden Sie nicht den Beispielfingerabdruck im Abschnitt <TrustedRootCA></TrustedRootCA> weiter unten. „TrustedRootCA“ muss der Zertifikatfingerabdruck der lokalen Stammzertifizierungsstelle sein, die das Serverauthentifizierungszertifikat für RRAS- und NPS-Server ausgestellt hat. Dabei darf es sich weder um das Cloudstammzertifikat noch um den Fingerabdruck des zwischenausstellenden Zertifizierungsstellenzertifikats handeln.

4. Speichern Sie die XML zur Verwendung im nächsten Abschnitt.

Erstellen der Always On VPN-Konfigurationsrichtlinie

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

2. Navigieren Sie zu Geräte>Konfigurationsprofile.

3. Wählen Sie + Profil erstellen aus.

4. Wählen Sie unter Plattform die Option Windows 10 und höher aus.

5. Wählen Sie unter Profiltyp die Option Vorlagen aus.

6. Wählen Sie unter Vorlagenname die Option VPN aus.

7. Klicken Sie auf Erstellen.

8. Auf der Registerkarte Grundlagen:

   • Geben Sie einen Namen für das VPN-Profil und (optional) eine Beschreibung ein.

9. Für die Registerkarte Konfigurationseinstellungen:

   1. Wählen Sie für Dieses VPN-Profil mit einem Benutzer-/Gerätebereich verwenden die Option Benutzer aus.

   2. Wählen Sie für Verbindungstyp: die Option IKEv2 aus.

   3. Geben Sie unter Verbindungsname: den Namen der VPN-Verbindung ein. Beispiel: Contoso AutoVPN.

   4. Fügen Sie für Server: die VPN-Serveradressen und -beschreibungen hinzu. Legen Sie den Standardserver auf True fest.

   5. Wählen Sie für IP-Adressen mit internem DNS registrieren die Option Deaktivieren aus.

   6. Wählen Sie für Always On:die Option Aktivieren aus.

   7. Wählen Sie unter Anmeldeinformationen bei jeder Anmeldung speichern den Wert aus, der für Ihre Sicherheitsrichtlinie angemessen ist.

   8. Wählen Sie unter Authentifizierungsmethode die Option EAP aus.

   9. Wählen Sie für EAP XML den XML-Code aus, den Sie unter EAP-XML erstellen gespeichert haben.

   10. Wählen Sie für Gerätetunnel die Option Deaktivieren aus. Weitere Informationen zu Gerätetunneln finden Sie unter Konfigurieren von VPN-Gerätetunneln unter Windows 10.

   11. Für IKE-Sicherheitszuordnungsparameter

       • Legen Sie Getrenntes Tunneln auf Aktivieren fest.
       • Konfigurieren Sie die Erkennung vertrauenswürdiger Netzwerke. Um das DNS-Suffix zu finden, können Sie Get-NetConnectionProfile > Name auf einem System verwenden, das derzeit mit dem Netzwerk verbunden ist und auf das das Domänenprofil angewendet wird (NetworkCategory:DomainAuthenticated).

   12. Behalten Sie die übrigen Einstellungen als Standard bei, es sei denn, Ihre Umgebung erfordert eine weitere Konfiguration. Weitere Informationen zu EAP-Profileinstellungen für Intune finden Sie unter Geräteeinstellungen für Windows 10/11 und Windows Holographic zum Hinzuzufügen von VPN-Verbindungen mit Intune.

   13. Wählen Sie Weiter aus.

10. Übernehmen Sie für die Registerkarte Bereichsmarkierungen die Standardeinstellungen, und wählen Sie Weiter aus.

11. Für die Registerkarte Zuweisungen:

    1. Wählen Sie Gruppen hinzufügen aus, und fügen Sie Ihre VPN-Benutzergruppe hinzu.

    2. Wählen Sie Weiter aus.

12. Übernehmen Sie für die Registerkarte Anwendbarkeitsregeln die Standardeinstellungen, und wählen Sie Weiter aus.

13. Überprüfen Sie auf der Registerkarte Überprüfen und Erstellen alle Ihre Einstellungen, und wählen Sie Erstellen aus.

Synchronisieren der Always On VPN-Konfigurationsrichtlinie mit Intune

Um die Konfigurationsrichtlinie zu testen, melden Sie sich bei einem Windows 10+ Clientcomputer als VPN-Benutzer an, und synchronisieren Sie dann mit Intune.

1. Wählen Sie im Startmenü Einstellungen aus.

2. Wählen Sie unter „Einstellungen“ die Option Konten und dann Zugriff auf Geschäft, Schule oder Uni aus.

3. Wählen Sie das Konto aus, mit dem eine Verbindung mit Microsoft Entra ID hergestellt werden soll, und wählen Sie dann Info aus.

4. Gehen Sie nach unten und wählen Sie Synchronisieren, um eine Intune-Richtlinienauswertung und einen Abruf der Richtlinie zu erzwingen.

5. Wenn die Synchronisierung abgeschlossen ist, schließen Sie Einstellungen. Nach der Synchronisierung sollten Sie in der Lage sein, eine Verbindung mit dem VPN-Server Ihrer Organisation herzustellen.

Nächste Schritte

• Ein ausführliches Tutorial zum Einrichten von Always On VPN finden Sie unter Tutorial: Einrichten der Infrastruktur für Always On VPN.

• Informationen zum Konfigurieren von Always On VPN-Profilen mit Microsoft Configuration Manager finden Sie unter Bereitstellen des Always On VPN-Profils für Windows-Clients mit Microsoft Configuration Manager

• Ausführlichere Informationen zu Always On-VPN-Konfigurationsoptionen für den Konfigurationsdienstanbieter (Configuration Service Provider, CSP) finden Sie unter VPNv2-Konfigurationsdienstanbieter.

• Informationen zur Problembehandlung der VPN-Bereitstellung in Microsoft Intune finden Sie unter Problembehandlung bei VPN-Profilproblemen in Microsoft Intune.