Android Enterprise-eszközbeállítások VPN konfigurálásához az Intune-ban

Ez a cikk az Android Enterprise-eszközökön szabályozható különböző VPN-kapcsolati beállításokat ismerteti. A mobileszköz-kezelési (MDM-) megoldás részeként ezekkel a beállításokkal vpn-kapcsolatot hozhat létre, kiválaszthatja a VPN hitelesítésének módját, kiválaszthatja a VPN-kiszolgáló típusát stb.

Ez a funkció az alábbiakra vonatkozik:

• Android Enterprise személyes tulajdonú eszközök munkahelyi profillal (BYOD)
• Android Enterprise vállalati tulajdonú munkahelyi profil (COPE)
• Android Enterprise vállalati tulajdonú teljes körűen felügyelt (COBO)
• Android Enterprise vállalati tulajdonú dedikált eszközök (COSU)

Intune-rendszergazdaként VPN-beállításokat hozhat létre és rendelhet hozzá Android Enterprise-eszközökhöz. További információ az Intune-beli VPN-profilokról: VPN-profilok.

Megjegyzés:

A mindig bekapcsolt VPN konfigurálásához létre kell hoznia egy VPN-profilt, és létre kell hoznia egy eszközkorlátozási profilt a konfigurált Always-on VPN-beállítással.

Az első lépések

• Android Enterprise VPN-eszközkonfigurációs profil létrehozása:

  • Teljes körűen felügyelt, dedikált és vállalati tulajdonú munkahelyi profil
  • Személyes tulajdonú munkahelyi profil

• Előfordulhat, hogy egyes Microsoft 365-szolgáltatások, például az Outlook nem teljesítenek jól harmadik fél vagy partner VPN-ek használatával. Ha külső vagy partneri VPN-t használ, és késéssel vagy teljesítménnyel kapcsolatos problémát tapasztal, távolítsa el a VPN-t.

  Ha a VPN eltávolítása megoldja a viselkedést, a következőt teheti:

  • A lehetséges megoldások érdekében együttműködhet a harmadik fél vagy a partner VPN-jével. A Microsoft nem nyújt technikai támogatást harmadik fél vagy partner VPN-ek számára.
  • Ne használjon VPN-t outlookos forgalommal.
  • Ha VPN-t kell használnia, használjon osztott alagútú VPN-t. Emellett engedélyezze, hogy az Outlook forgalma megkerülje a VPN-t.

  További információt a következő témakörben talál:

  • Áttekintés: VPN osztott bújtatása a Microsoft 365-höz
  • Külső hálózati eszközök vagy megoldások használata a Microsoft 365-ben
  • Alternatív módszerek a biztonsági szakemberek és az informatikai szakemberek számára a modern biztonsági vezérlők elérésére a mai egyedülálló távoli munkavégzési forgatókönyvek blogjában
  • A Microsoft 365 hálózati adatkapcsolat alapelvei

• Ha ezekre az eszközökre szüksége van a helyszíni erőforrások modern hitelesítéssel és feltételes hozzáféréssel való eléréséhez, akkor használhatja a Microsoft Tunnelt, amely támogatja a felosztott bújtatást.

Teljes mértékben felügyelt, dedikált és Corporate-Owned munkahelyi profil

• Kapcsolat típusa: Válassza ki a VPN-kapcsolat típusát. Az Ön lehetőségei:

  • Cisco AnyConnect
  • SonicWall Mobile Connect
  • F5 Access
  • Pulse Secure
  • Microsoft Tunnel (Dedikált Android Enterprise-eszközökön nem támogatott.)

Az elérhető beállítások a választott VPN-ügyféltől függenek. Egyes beállítások csak adott VPN-ügyfelek esetében érhetők el.

AlapSZINTŰ VPN (teljes körűen felügyelt, dedikált és vállalati tulajdonú munkahelyi profil)

• Kapcsolat neve: Adja meg a kapcsolat nevét. A végfelhasználók ezt a nevet látják, amikor az eszközükön megkeresik az elérhető VPN-kapcsolatokat. Írja be például a következőt: Contoso VPN.

• VPN-kiszolgáló címe vagy teljes tartományneve: Adja meg annak a VPN-kiszolgálónak az IP-címét vagy teljes tartománynevét (FQDN), amelyhez az eszközök csatlakoznak. Írja be például a vagy a értéket 192.168.1.1vpn.contoso.com.

• Hitelesítési módszer: Válassza ki, hogy az eszközök hogyan hitelesítsék magukat a VPN-kiszolgálón. Az Ön lehetőségei:

  • Tanúsítványok: Válasszon ki egy meglévő SCEP- vagy PKCS-tanúsítványprofilt a kapcsolat hitelesítéséhez. A Tanúsítványok konfigurálása című cikk felsorolja a tanúsítványprofil létrehozásának lépéseit.

  • Felhasználónév és jelszó: Amikor a végfelhasználók bejelentkeznek a VPN-kiszolgálóra, a rendszer kérni fogja a felhasználónevüket és a jelszavukat.

  • Származtatott hitelesítő adatok: Használjon egy felhasználó intelligens kártyájából származó tanúsítványt. Ha nincs konfigurálva származtatott hitelesítőadat-kibocsátó, az Intune megkéri, hogy adjon hozzá egyet.

    További információ: Származtatott hitelesítő adatok használata az Intune-ban.

• Adja meg a kulcs- és értékpárokat a NetMotion Mobility VPN-attribútumaihoz: A VPN-kapcsolatot testre szabó kulcsok és értékek hozzáadása vagy importálása. Ezeket az értékeket általában a VPN-szolgáltató biztosítja.

• Microsoft Tunnel-webhely (csak Microsoft Tunnel esetén): Válasszon ki egy meglévő webhelyet. A VPN-ügyfél a hely nyilvános IP-címéhez vagy teljes tartománynevéhez csatlakozik.

  További információ: Microsoft Tunnel for Intune.

Alkalmazásonkénti VPN (teljes körűen felügyelt, dedikált és vállalati tulajdonú munkahelyi profil)

• Hozzáadás: Válassza ki a felügyelt alkalmazásokat a listából. Amikor a felhasználók elindítják a hozzáadott alkalmazásokat, a forgalom automatikusan áthalad a VPN-kapcsolaton.

További információ: VPN és alkalmazásonkénti VPN-szabályzat használata Android Enterprise-eszközökön.

Always-on VPN (teljes körűen felügyelt, dedikált és vállalati tulajdonú munkahelyi profil)

• Mindig bekapcsolt VPN: Bekapcsolja a mindig bekapcsolt VPN-t, így a VPN-ügyfelek automatikusan csatlakoznak a VPN-hez, és amikor csak lehetséges, újracsatlakoznak. Ha a Nincs konfigurálva értékre van állítva, az Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint előfordulhat, hogy a mindig bekapcsolt VPN le van tiltva minden VPN-ügyfél esetében.

  Egy eszközön csak egy VPN-ügyfél konfigurálható a mindig bekapcsolt VPN-hez. Győződjön meg arról, hogy egyetlen eszközre egynél több mindig bekapcsolt VPN-szabályzat van üzembe helyezve.

Proxy (teljes körűen felügyelt, dedikált és vállalati tulajdonú munkahelyi profil)

• Automatikus konfigurációs szkript: Fájl használatával konfigurálja a proxykiszolgálót. Adja meg a konfigurációs fájlt tartalmazó proxykiszolgáló URL-címét. Írja be például a következőt: http://proxy.contoso.com/pac.
• Cím: Adja meg a proxykiszolgáló IP-címét vagy teljes gazdagépnevét. Írja be például a vagy a értéket 10.0.0.3vpn.contoso.com.
• Portszám: Adja meg a proxykiszolgálóhoz társított portszámot. Írja be például a következőt: 8080.

Személyes tulajdonú munkahelyi profil

• Kapcsolat típusa: Válassza ki a VPN-kapcsolat típusát. Az Ön lehetőségei:

  • Check Point Capsule VPN

  • Cisco AnyConnect

    Megjegyzés:

    Ha a Cisco AnyConnect a személyes tulajdonú munkahelyi profilban van, a végfelhasználók további lépéseket tehetnek a VPN-kapcsolat befejezéséhez. További információt a VPN-profilok – A sikeres VPN-profilok megjelenése című témakörben talál.

  • SonicWall Mobile Connect

  • F5 Access

  • Pulse Secure

  • NetMotion Mobility

  • Microsoft Tunnel

Az elérhető beállítások a választott VPN-ügyféltől függenek. Egyes beállítások csak adott VPN-ügyfelek esetében érhetők el.

AlapSZINTŰ VPN (személyes tulajdonú munkahelyi profil)

• Kapcsolat neve: Adja meg a kapcsolat nevét. A végfelhasználók ezt a nevet látják, amikor az eszközükön megkeresik az elérhető VPN-kapcsolatokat. Írja be például a következőt: Contoso VPN.

• VPN-kiszolgáló címe: Adja meg annak a VPN-kiszolgálónak az IP-címét vagy teljes tartománynevét (FQDN), amelyhez az eszközök csatlakoznak. Írja be például a vagy a értéket 192.168.1.1vpn.contoso.com.

• Hitelesítési módszer: Válassza ki, hogy az eszközök hogyan hitelesítsék magukat a VPN-kiszolgálón. Az Ön lehetőségei:

  • Tanúsítványok: Válasszon ki egy meglévő SCEP- vagy PKCS-tanúsítványprofilt a kapcsolat hitelesítéséhez. A Tanúsítványok konfigurálása című cikk felsorolja a tanúsítványprofil létrehozásának lépéseit.

  • Felhasználónév és jelszó: Amikor a végfelhasználók bejelentkeznek a VPN-kiszolgálóra, a rendszer kérni fogja a felhasználónevüket és a jelszavukat.

  • Származtatott hitelesítő adatok: Használjon egy felhasználó intelligens kártyájából származó tanúsítványt. Ha nincs konfigurálva származtatott hitelesítőadat-kibocsátó, az Intune megkéri, hogy adjon hozzá egyet.

    További információ: Származtatott hitelesítő adatok használata az Intune-ban.

• Ujjlenyomat (csak Check Point Capsule VPN esetén): Adja meg a VPN szállítója által megadott ujjlenyomat-sztringet, példáulContoso Fingerprint Code: . Ez az ujjlenyomat ellenőrzi, hogy a VPN-kiszolgáló megbízható-e.

  Hitelesítéskor a rendszer ujjlenyomatot küld az ügyfélnek, hogy az ügyfél megbízzon az azonos ujjlenyomattal rendelkező kiszolgálókban. Ha az eszköz nem rendelkezik ujjlenyomattal, az ujjlenyomat megjelenítésekor kéri a felhasználót, hogy bízzon meg a VPN-kiszolgálón. A felhasználó manuálisan ellenőrzi az ujjlenyomatot, és megbízik a csatlakozásban.

• Adja meg a kulcs- és értékpárokat a NetMotion Mobility VPN-attribútumaihoz: A VPN-kapcsolatot testre szabó kulcsok és értékek hozzáadása vagy importálása. Ezeket az értékeket általában a VPN-szolgáltató biztosítja.

• Microsoft Tunnel-webhely (csak Microsoft Tunnel esetén): Válasszon ki egy meglévő webhelyet. A VPN-ügyfél a hely nyilvános IP-címéhez vagy teljes tartománynevéhez csatlakozik.

  További információ: Microsoft Tunnel for Intune.

Alkalmazásonkénti VPN (személyes tulajdonú munkahelyi profil)

• Hozzáadás: Válassza ki a felügyelt alkalmazásokat a listából. Amikor a felhasználók elindítják a hozzáadott alkalmazásokat, a forgalom automatikusan áthalad a VPN-kapcsolaton.

További információ: VPN és alkalmazásonkénti VPN-szabályzat használata Android Enterprise-eszközökön.

Always-on VPN (személyes tulajdonú munkahelyi profil)

• Mindig bekapcsolt VPN: Bekapcsolja a mindig bekapcsolt VPN-t, így a VPN-ügyfelek automatikusan csatlakoznak a VPN-hez, és amikor csak lehetséges, újracsatlakoznak. Ha a Nincs konfigurálva értékre van állítva, az Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint előfordulhat, hogy a mindig bekapcsolt VPN le van tiltva minden VPN-ügyfél esetében.

  Egy eszközön csak egy VPN-ügyfél konfigurálható a mindig bekapcsolt VPN-hez. Győződjön meg arról, hogy egyetlen eszközre egynél több mindig bekapcsolt VPN-szabályzat van üzembe helyezve.

Proxy (személyes tulajdonú munkahelyi profil)

• Automatikus konfigurációs szkript: Fájl használatával konfigurálja a proxykiszolgálót. Adja meg a konfigurációs fájlt tartalmazó proxykiszolgáló URL-címét. Írja be például a következőt: http://proxy.contoso.com/pac.
• Cím: Adja meg a proxykiszolgáló IP-címét vagy teljes gazdagépnevét. Írja be például a vagy a értéket 10.0.0.3vpn.contoso.com.
• Portszám: Adja meg a proxykiszolgálóhoz társított portszámot. Írja be például a következőt: 8080.

Következő lépések

Rendelje hozzá a profilt , és figyelje az állapotát.

Vpn-profilokat androidos eszközadminisztrátorhoz, iOS/iPadOS-hez, macOS-hez és Windows 10 és újabb verziókhoz is létrehozhat.

VPN-profillal kapcsolatos problémák elhárítása a Microsoft Intune-ben