Automatisch ausgelöste VPN-Profiloptionen
Windows kann verschiedene Features verwenden, um VPN automatisch auszulösen, wodurch benutzer keine manuelle Verbindung herstellen müssen, wenn VPN für den Zugriff auf die erforderlichen Ressourcen erforderlich ist. Es gibt drei verschiedene Arten von Regeln für die automatische Auslösung:
- Anwendungstrigger
- Namenbasierter Auslöser
- Always On
Hinweis
Automatisch ausgelöste VPN-Verbindungen funktionieren nicht, wenn die Ordnerumleitung für AppData aktiviert ist. Entweder muss die Ordnerumleitung für AppData deaktiviert sein, oder das automatisch ausgelöste VPN-Profil muss im SYSTEM-Kontext bereitgestellt werden, wodurch der Pfad in den Speicherort der datei rasphone.pbk geändert wird.
Anwendungstrigger
VPN-Profile können so konfiguriert werden, dass bei der Ausführung bestimmter Anwendungen automatisch eine Verbindung hergestellt wird:
- Sie können Desktop- oder Universelle Windows-Plattform-Apps (UWP) konfigurieren, um eine VPN-Verbindung auszulösen.
- Sie können pro App-VPN konfigurieren und Datenverkehrsregeln für jede App angeben.
Hinweis
Bei der App-ID für eine Desktop-App handelt es sich um einen Dateipfad. Die App-ID für eine UWP-App ist ein Paketfamilienname.
Suchen eines Paketfamiliennamens (PFN) für eine Konfiguration mit VPN pro App
Weitere Informationen finden Sie unter Datenverkehrsfilter.
Namenbasierter Auslöser
Sie können eine domänennamenbasierte Regel so konfigurieren, dass ein bestimmter Domänenname die VPN-Verbindung auslöst.\ Namebasierter automatischer Trigger kann mithilfe der VPNv2/<ProfileName>/DomainNameInformationList/dniRowId/AutoTrigger Einstellung im VPNv2-Konfigurationsdienstanbieter (CSP) konfiguriert werden.
Es gibt vier Arten von namenbasierten Auslösern:
- Kurzname: Wenn z. B. HRweb als Trigger konfiguriert ist und der Stapel eine DNS-Auflösungsanforderung für HRweb sieht, löst das VPN aus.
- Vollqualifizierter Domänenname (FQDN): Wenn beispielsweise HRweb.corp.contoso.com als Trigger konfiguriert ist und der Stapel eine DNS-Auflösungsanforderung für HRweb.corp.contoso.com sieht, löst das VPN aus.
- Suffix: Wenn z . B. .corp.contoso.com als Trigger konfiguriert ist und der Stapel eine DNS-Auflösungsanforderung mit einem übereinstimmenden Suffix (z. B. HRweb.corp.contoso.com) sieht, löst das VPN aus. Für alle Kurznamensauflösungen werden VPN-Trigger und die DNS-Server nach shortName.corp.contoso.com<>
- Alle: Falls verwendet, lösen alle DNS-Auflösungs-Vpn aus.
Always On
Always On ist ein Windows-Feature, mit dem das aktive VPN-Profil automatisch eine Verbindung mit den folgenden Triggern herstellen kann:
- Benutzeranmeldung
- Netzwerkänderung
- Einschalten des Gerätebildschirms
Beim Auslösen des Auslösers versucht das VPN, eine Verbindung herzustellen. Wenn ein Fehler auftritt oder benutzereingaben erforderlich sind, wird dem Benutzer eine Popupbenachrichtigung für weitere Interaktionen angezeigt.
Wenn ein Gerät über mehrere Profile mit Always On Triggern verfügt, kann der Benutzer das aktive Profil unter Einstellungen > Netzwerk & Internet-VPN-VPN-Profil >><> angeben, indem er das Kontrollkästchen Apps die automatische Verwendung dieser VPN-Verbindung erlauben aktiviert. Das erste mit MDM konfigurierte Profil ist standardmäßig als Aktiv gekennzeichnet. Geräte mit mehreren Benutzern haben dieselbe Einschränkung: Nur ein Profil und damit nur ein Benutzer kann die Always On Trigger verwenden.
Beibehalten der benutzer Always On einstellung
Ein weiteres Windows-Feature besteht darin, die Always On Einstellung eines Benutzers beizubehalten. Wenn ein Benutzer das Kontrollkästchen Automatisch verbinden manuell deaktiviert, speichert Windows die Benutzereinstellung für den Profilnamen, indem der Profilname dem Registrierungswert AutoTriggerDisabledProfilesList hinzugefügt wird.
Wenn ein Verwaltungstool denselben Profilnamen entfernt oder wieder hinzufügt und AlwaysOn auf true festgelegt, aktiviert Windows das Kontrollkästchen nicht, wenn der Profilname im folgenden Registrierungswert vorhanden ist, um die Benutzereinstellung beizubehalten.
Schlüssel:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
Wert:AutoTriggerDisabledProfilesList
Typ:REG_MULTI_SZ
Erkennen vertrauenswürdiger Netzwerke
Das Feature zur Erkennung vertrauenswürdiger Netzwerke konfiguriert das VPN so, dass die Verbindung nicht ausgelöst wird, wenn sich ein Gerät in einem vertrauenswürdigen Netzwerk befindet. Zum Konfigurieren der Erkennung vertrauenswürdiger Netzwerke müssen Sie eine Liste der DNS-Suffixe bereitstellen. Der VPN-Stapel überprüft den Netzwerknamen des Verbindungsprofils der physischen Schnittstelle: Wenn er mit einem der in der Liste konfigurierten Suffixe übereinstimmt und das Netzwerk privat ist oder von MDM bereitgestellt wird, wird das VPN nicht ausgelöst.
Die Erkennung vertrauenswürdiger Netzwerke kann mithilfe der VPNv2/<ProfileName>/TrustedNetworkDetection Einstellung im VPNv2-CSP konfiguriert werden.
Konfigurieren eines durch Apps ausgelösten VPN
Informationen zur XML-Konfiguration finden Sie unter VPN-Profiloptionen und VPNv2-CSP.
Die folgende Abbildung zeigt das Zuordnen von Apps zu einer VPN-Verbindung in einer VPN-Profilkonfigurationsrichtlinie mithilfe von Microsoft Intune.
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für