VPN-beállítások hozzáadása iOS- és iPadOS-eszközökön a Microsoft Intune-ban

Microsoft Intune számos VPN-beállítást tartalmaz, amelyek üzembe helyezhetők az iOS/iPadOS-eszközökön. Ezek a beállítások a szervezet hálózatához kapcsolódó VPN-kapcsolatok létrehozására és konfigurálására szolgálnak. Ez a cikk ezeket a beállításokat ismerteti. Egyes beállítások csak néhány VPN-ügyfélhez érhetők el, például a Citrixhez, a Zscalerhez és egyebekhez.

Ez a funkció az alábbiakra vonatkozik:

• iOS/iPadOS

Az első lépések

• Hozzon létre egy iOS/iPadOS VPN-eszközkonfigurációs profilt.

• Előfordulhat, hogy egyes Microsoft 365-szolgáltatások, például az Outlook nem teljesítenek jól harmadik fél vagy partner VPN-ek használatával. Ha külső vagy partneri VPN-t használ, és késéssel vagy teljesítménnyel kapcsolatos problémát tapasztal, távolítsa el a VPN-t.

  Ha a VPN eltávolítása megoldja a viselkedést, a következőt teheti:

  • A lehetséges megoldások érdekében együttműködhet a harmadik fél vagy a partner VPN-jével. A Microsoft nem nyújt technikai támogatást harmadik fél vagy partner VPN-ek számára.
  • Ne használjon VPN-t outlookos forgalommal.
  • Ha VPN-t kell használnia, használjon osztott alagútú VPN-t. Emellett engedélyezze, hogy az Outlook forgalma megkerülje a VPN-t.

  További információt a következő témakörben talál:

  • Áttekintés: VPN osztott bújtatása a Microsoft 365-höz
  • Külső hálózati eszközök vagy megoldások használata a Microsoft 365-ben
  • Alternatív módszerek a biztonsági szakemberek és az informatikai szakemberek számára a modern biztonsági vezérlők elérésére a mai egyedülálló távoli munkavégzési forgatókönyvek blogjában
  • A Microsoft 365 hálózati adatkapcsolat alapelvei

• Ha ezekre az eszközökre szüksége van a helyszíni erőforrások modern hitelesítéssel és feltételes hozzáféréssel való eléréséhez, akkor használhatja a Microsoft Tunnelt, amely támogatja a felosztott bújtatást.

Megjegyzés:

• Ezek a beállítások a felhasználói regisztráció kivételével minden regisztrációs típushoz elérhetők. A felhasználóregisztráció alkalmazásonkénti VPN-re korlátozódik. A regisztrációs típusokkal kapcsolatos további információkért lásd: iOS/iPadOS-regisztráció.

• Az elérhető beállítások a választott VPN-ügyféltől függenek. Egyes beállítások csak adott VPN-ügyfelek esetében érhetők el.

• Ezek a beállítások az Apple VPN hasznos adatait használják (megnyitja az Apple webhelyét).

Kapcsolat típusa

Válassza ki a VPN-kapcsolat típusát a szállítók alábbi listájából:

• Check Point Capsule VPN

• Cisco Legacy AnyConnect

  A Cisco Legacy AnyConnect alkalmazás 4.0.5x és korábbi verziójára vonatkozik.

• Cisco AnyConnect

  A Cisco AnyConnect alkalmazás 4.0.7x-es és újabb verzióira vonatkozik.

• SonicWall Mobile Connect

• F5 Access örökölt

  Az F5 Access alkalmazás 2.1-es és korábbi verziójára vonatkozik.

• F5 Access

  Az F5 Access alkalmazás 3.0-s és újabb verzióira vonatkozik.

• Palo Alto Networks GlobalProtect (örökölt)

  A Palo Alto Networks GlobalProtect alkalmazás 4.1-es és korábbi verziójára vonatkozik.

• Palo Alto Networks GlobalProtect

  A Palo Alto Networks GlobalProtect alkalmazás 5.0-s és újabb verzióira vonatkozik.

• Pulse Secure

• Cisco (IPSec)

• Citrix VPN

• Citrix SSO

• Zscaler

  Ha feltételes hozzáférést szeretne használni, vagy engedélyezni szeretné a felhasználók számára, hogy megkerüljék a Zscaler bejelentkezési képernyőt, integrálnia kell a Zscaler Private Accesst (ZPA) a Microsoft Entra-fiókjával. Részletes lépésekért tekintse meg a Zscaler dokumentációját.

• NetMotion Mobility

• IKEv2

  Az IKEv2 beállításai (ebben a cikkben) ismertetik a tulajdonságokat.

• Microsoft Tunnel

  Az alagútügyfél funkcióit tartalmazó Végponthoz készült Microsoft Defender alkalmazásra vonatkozik.

• Egyéni VPN

Megjegyzés:

A Cisco, a Citrix, az F5 és a Palo Alto bejelentette, hogy örökölt ügyfeleik nem működnek az iOS 12-es és újabb verzióiban. A lehető leghamarabb át kell telepítenie az új alkalmazásokat. További információt a Microsoft Intune támogatási csapat blogjában talál.

AlapSZINTŰ VPN-beállítások

• Kapcsolat neve: A végfelhasználók ezt a nevet látják, amikor az eszközükön keresik az elérhető VPN-kapcsolatok listáját.

• Egyéni tartománynév (csak Zscaler esetén): Előre feltöltheti a Zscaler-alkalmazás bejelentkezési mezőjét azzal a tartománnyal, amelyhez a felhasználók tartoznak. Ha például a felhasználónév Joe@contoso.net, akkor a contoso.net tartomány statikusan jelenik meg a mezőben az alkalmazás megnyitásakor. Ha nem ad meg tartománynevet, akkor a rendszer az egyszerű felhasználónév tartományrészét használja Microsoft Entra ID.

• VPN-kiszolgáló címe: Annak a VPN-kiszolgálónak az IP-címe vagy teljes tartományneve (FQDN), amelyhez az eszközök csatlakoznak. Írja be például a vagy a értéket 192.168.1.1vpn.contoso.com.

• Szervezet felhőneve (csak Zscaler esetén): Adja meg azt a felhőnevet, ahol a szervezet ki van építve. A Zscalerbe való bejelentkezéshez használt URL-cím neve.

• Hitelesítési módszer: Válassza ki, hogy az eszközök hogyan hitelesítsék magukat a VPN-kiszolgálón.

  • Tanúsítványok: A Hitelesítési tanúsítvány területen válasszon ki egy meglévő SCEP- vagy PKCS-tanúsítványprofilt a kapcsolat hitelesítéséhez. A tanúsítványok konfigurálása útmutatást nyújt a tanúsítványprofilokkal kapcsolatban.

  • Felhasználónév és jelszó: A végfelhasználóknak meg kell adniuk egy felhasználónevet és egy jelszót a VPN-kiszolgálóra való bejelentkezéshez.

    Megjegyzés:

    Ha a Cisco IPsec VPN hitelesítési módszereként felhasználónevet és jelszót használ, a SharedSecretet egy egyéni Apple Configurator-profilon keresztül kell továbbítania.

  • Származtatott hitelesítő adatok: Használjon egy felhasználó intelligens kártyájából származó tanúsítványt. Ha nincs konfigurálva származtatott hitelesítőadat-kibocsátó, Intune megkéri, hogy adjon hozzá egyet. További információ: Származtatott hitelesítő adatok használata Microsoft Intune.

• Kizárt URL-címek (csak Zscaler esetén): Ha a Zscaler VPN-hez csatlakozik, a felsorolt URL-címek a Zscaler-felhőn kívül érhetők el. Legfeljebb 50 URL-címet adhat hozzá.

• Osztott bújtatás: Engedélyezze vagy tiltsa le , hogy az eszközök a forgalomtól függően eldönthessék, melyik kapcsolatot használják. Egy szálloda felhasználója például a VPN-kapcsolaton keresztül fér hozzá a munkahelyi fájlokhoz, de a szálloda szokásos hálózatát használja a rendszeres böngészéshez.

• VPN-azonosító (egyéni VPN, Zscaler és Citrix): A használt VPN-alkalmazás azonosítója, amelyet a VPN-szolgáltató biztosít.

• Adjon meg kulcs-érték párokat a szervezet egyéni VPN-attribútumaihoz (egyéni VPN, Zscaler és Citrix): A VPN-kapcsolatot testre szabó kulcsok és értékek hozzáadása vagy importálása. Ne feledje, hogy ezeket az értékeket általában a VPN-szolgáltató biztosítja.

• Hálózati hozzáférés-vezérlés (NAC) engedélyezése ( Cisco AnyConnect, Citrix SSO, F5 Access): Ha az Elfogadom lehetőséget választja, az eszközazonosító megjelenik a VPN-profilban. Ez az azonosító használható a VPN-hitelesítéshez a hálózati hozzáférés engedélyezéséhez vagy megakadályozásához.

  Ha a Cisco AnyConnectet isE-vel használja, ügyeljen a következőre:

  • Ha még nem tette meg, integrálja az ISE-t a NAC-hez készült Intune a Cisco Identity Services engine rendszergazdai útmutatójánakMicrosoft Intune konfigurálása MDM-kiszolgálóként című szakaszában leírtak szerint.
  • Engedélyezze az NAC-t a VPN-profilban.

  Fontos

  A hálózati hozzáférés-vezérlési (NAC) szolgáltatás elavult , és a Microsoft legújabb NAC szolgáltatására váltja fel, amely a Megfelelőségi lekérési szolgáltatás (CR szolgáltatás). A Cisco ISE változásainak támogatásához Intune módosította az eszközazonosító formátumát. Így az eredeti NAC-szolgáltatással rendelkező meglévő profilok nem fognak működni.

  A CR szolgáltatás használatához és a VPN-kapcsolat állásidejének megakadályozásához helyezze újra üzembe ugyanezt a VPN-eszközkonfigurációs profilt. Nincs szükség a profil módosítására. Csak újra üzembe kell helyeznie. Amikor az eszköz Intune szolgáltatással szinkronizál, és megkapja a VPN-konfigurációs profilt, a CR-szolgáltatás módosításai automatikusan üzembe lesznek helyezve az eszközön. A VPN-kapcsolatoknak továbbra is működnie kell.

  Ha Citrix SSO-t használ átjáróval, ügyeljen a következőre:

  • Győződjön meg arról, hogy a Citrix Gateway 12.0.59-s vagy újabb verzióját használja.
  • Győződjön meg arról, hogy a felhasználók a Citrix SSO 1.1.6-os vagy újabb verzióját telepítették az eszközeikre.
  • A Citrix Gateway integrálása a Intune for NAC-vel. Lásd: Microsoft Intune/Enterprise Mobility Suite integrálása a NetScalerrel (LDAP+OTP forgatókönyv) Citrix üzembehelyezési útmutató.
  • Engedélyezze az NAC-t a VPN-profilban.

  Az F5 Access használatakor ügyeljen a következőre:

  • Ellenőrizze, hogy az F5 BIG-IP 13.1.1.5-ös vagy újabb verzióját használja-e.
  • Integrálja a BIG-IP-címet a Intune az NAC-hoz. Lásd : Áttekintés: Az APM konfigurálása eszközállapot-ellenőrzésekhez végpontkezelő rendszerekkel F5 útmutató.
  • Engedélyezze az NAC-t a VPN-profilban.

  Az eszközazonosítót támogató VPN-partnerek esetében a VPN-ügyfél, például a Citrix SSO, lekérheti az azonosítót. Ezután lekérdezheti Intune, hogy az eszköz regisztrálva van-e, és hogy a VPN-profil megfelelő-e vagy sem.

  • A beállítás eltávolításához hozza létre újra a profilt, és ne válassza az Elfogadom lehetőséget. Ezután rendelje hozzá újra a profilt.

• Adjon meg kulcs- és értékpárokat a NetMotion Mobility VPN-attribútumaihoz (csak NetMotion Mobility esetén): Kulcs- és értékpárok megadása vagy importálása. Ezeket az értékeket a VPN-szolgáltató szolgáltathatja.

• Microsoft Tunnel-webhely (csak Microsoft Tunnel esetén): Válasszon ki egy meglévő webhelyet. A VPN-ügyfél a hely nyilvános IP-címéhez vagy teljes tartománynevéhez csatlakozik.

  További információ: Microsoft Tunnel for Intune.

IKEv2-beállítások

Ezek a beállítások azIKEv2kapcsolattípus> kiválasztásakor érvényesek.

• Mindig bekapcsolt VPN: Az engedélyezés beállítja , hogy a VPN-ügyfél automatikusan csatlakozzon és csatlakozzon újra a VPN-hez. Az always-on VPN-kapcsolatok továbbra is csatlakoztatva maradnak, vagy azonnal csatlakoznak, amikor a felhasználó zárolja az eszközt, az eszköz újraindul, vagy a vezeték nélküli hálózat megváltozik. Ha a Letiltás (alapértelmezett) értékre van állítva, az összes VPN-ügyfélhez tartozó mindig bekapcsolt VPN le van tiltva. Ha engedélyezve van, konfigurálja a következőket is:

  • Hálózati adapter: Minden IKEv2-beállítás csak a választott hálózati adapterre vonatkozik. Az Ön lehetőségei:

    • Wi-Fi és Mobilhálózat (alapértelmezett): Az IKEv2-beállítások az eszköz Wi-Fi és mobilhálózati adapterére vonatkoznak.
    • Mobilhálózat: Az IKEv2-beállítások csak az eszközön lévő mobilinterfészre vonatkoznak. Akkor válassza ezt a lehetőséget, ha letiltott vagy eltávolított Wi-Fi felülettel rendelkező eszközökön telepíti azokat.
    • Wi-Fi: Az IKEv2-beállítások csak az eszköz Wi-Fi felületére vonatkoznak.

  • A FELHASZNÁLÓ letilthatja a VPN-konfigurációt: Az engedélyezés lehetővé teszi, hogy a felhasználók kikapcsolják a mindig bekapcsolt VPN-t. A letiltás (alapértelmezett) megakadályozza, hogy a felhasználók kikapcsolják. A beállítás alapértelmezett értéke a legbiztonságosabb beállítás.

  • Hangposta: Válassza ki, mi történik a hangposta-forgalommal, ha a mindig bekapcsolt VPN engedélyezve van. Az Ön lehetőségei:

    • Hálózati forgalom kényszerítése VPN-en keresztül (alapértelmezett): Ez a beállítás a legbiztonságosabb beállítás.
    • A hálózati forgalom vpn-en kívüli áthaladásának engedélyezése
    • Hálózati forgalom elvetése

  • AirPrint: Válassza ki, mi történik az AirPrint-forgalommal, ha a mindig bekapcsolt VPN engedélyezve van. Az Ön lehetőségei:

    • Hálózati forgalom kényszerítése VPN-en keresztül (alapértelmezett): Ez a beállítás a legbiztonságosabb beállítás.
    • A hálózati forgalom vpn-en kívüli áthaladásának engedélyezése
    • Hálózati forgalom elvetése

  • Mobilszolgáltatások: iOS 13.0 vagy újabb rendszeren válassza ki, hogy mi történjen a mobil adatforgalommal, ha a mindig bekapcsolt VPN engedélyezve van. Az Ön lehetőségei:

    • Hálózati forgalom kényszerítése VPN-en keresztül (alapértelmezett): Ez a beállítás a legbiztonságosabb beállítás.
    • A hálózati forgalom vpn-en kívüli áthaladásának engedélyezése
    • Hálózati forgalom elvetése

  • Engedélyezi a nem natív, kötött hálózati alkalmazásokból érkező forgalmat a VPN-en kívülre: A kötött hálózat általában éttermekben és szállodákban található Wi-Fi elérési pontokra utal. Az Ön lehetőségei:

    • Nem: Kényszeríti az összes kötött hálózati (CN-) alkalmazás forgalmát a VPN-alagúton keresztül.
    • Igen, minden alkalmazás: Lehetővé teszi, hogy az összes CN-alkalmazás forgalma megkerülje a VPN-t.
    • Igen, adott alkalmazások: Adja meg azon CN-alkalmazások listáját, amelyek forgalma megkerülheti a VPN-t. Adja meg a CN-alkalmazás csomagazonosítóit. Írja be például a következőt: com.contoso.app.id.package.

  • A Kötött websheet alkalmazásból a VPN-en kívülre irányuló forgalom: A Kötött WebSheet egy beépített webböngésző, amely kezeli a kötött bejelentkezést. Az engedélyezés lehetővé teszi, hogy a böngészőalkalmazás forgalma megkerülje a VPN-t. A letiltás (alapértelmezett) arra kényszeríti a WebSheet-forgalmat, hogy a mindig bekapcsolt VPN-t használja. Az alapértelmezett érték a legbiztonságosabb beállítás.

  • Hálózati címfordítás (NAT) megőrzési időköze (másodperc): A VPN-hez való folyamatos csatlakozás érdekében az eszköz hálózati csomagokat küld, hogy aktív maradjon. Adja meg másodpercben, hogy milyen gyakran küldi el ezeket a csomagokat 20–1440 között. Adja meg például a értékét 60 , hogy a hálózati csomagokat 60 másodpercenként küldje el a VPN-nek. Ez az érték alapértelmezés szerint másodpercre 110 van állítva.

  • A NAT-megőrzés kiszervezése a hardverre, amikor az eszköz alvó állapotban van: Ha egy eszköz alvó állapotban van, az Engedélyezés (alapértelmezett) beállításban a NAT folyamatosan küld életben tartási csomagokat, hogy az eszköz továbbra is csatlakozhasson a VPN-hez. A letiltás kikapcsolja ezt a funkciót.

• Távoli azonosító: Adja meg az IKEv2-kiszolgáló hálózati IP-címét, teljes tartománynevét, UserFQDN-ét vagy ASN1DN-ét. Írja be például a vagy a értéket 10.0.0.3vpn.contoso.com. Általában ugyanazt az értéket adja meg, mint a Kapcsolat neve (ebben a cikkben). Ez azonban az IKEv2-kiszolgáló beállításaitól függ.

• Helyi azonosító: Adja meg az eszközön található IKEv2 VPN-ügyfél teljes tartománynevét vagy tulajdonosának köznapi nevét. Azt is megteheti, hogy üresen hagyja ezt az értéket (alapértelmezett). A helyi azonosítónak általában egyeznie kell a felhasználó vagy az eszköztanúsítvány identitásával. Előfordulhat, hogy az IKEv2-kiszolgálónak meg kell egyeznie az értékekkel, hogy ellenőrizni tudja az ügyfél identitását.

• Ügyfél-hitelesítés típusa: Adja meg, hogy a VPN-ügyfél hogyan hitelesítse magát a VPN-en. Az Ön lehetőségei:

  • Felhasználói hitelesítés (alapértelmezett): A felhasználói hitelesítő adatok hitelesítése a VPN-en.
  • Gépi hitelesítés: Az eszköz hitelesítő adatai hitelesítik magukat a VPN-en.

• Hitelesítési módszer: Válassza ki a kiszolgálónak küldendő ügyfél-hitelesítő adatok típusát. Az Ön lehetőségei:

  • Tanúsítványok: Meglévő tanúsítványprofilt használ a VPN-hitelesítéshez. Győződjön meg arról, hogy ez a tanúsítványprofil már hozzá van rendelve a felhasználóhoz vagy az eszközhöz. Ellenkező esetben a VPN-kapcsolat meghiúsul.

    • Tanúsítvány típusa: Válassza ki a tanúsítvány által használt titkosítás típusát. Győződjön meg arról, hogy a VPN-kiszolgáló úgy van konfigurálva, hogy elfogadja ezt a tanúsítványtípust. Az Ön lehetőségei:
      • RSA (alapértelmezett)
      • ECDSA256
      • ECDSA384
      • ECDSA521

  • Megosztott titkos kód (csak gépi hitelesítés esetén): Lehetővé teszi egy megosztott titkos kód megadását a VPN-kiszolgálónak való küldéshez.

    • Megosztott titkos kód: Adja meg a megosztott titkos kódot, más néven az előmegosztott kulcsot (PSK). Győződjön meg arról, hogy az érték megegyezik a VPN-kiszolgálón konfigurált megosztott titkos kóddal.

• Kiszolgálótanúsítvány-kibocsátó köznapi neve: Lehetővé teszi, hogy a VPN-kiszolgáló hitelesítse magát a VPN-ügyfélen. Adja meg az eszközön a VPN-ügyfélnek küldött VPN-kiszolgálói tanúsítvány tanúsítványkibocsátójának köznapi nevét (CN). Győződjön meg arról, hogy a CN érték megegyezik a VPN-kiszolgálón található konfigurációval. Ellenkező esetben a VPN-kapcsolat meghiúsul.

• Kiszolgálótanúsítvány köznapi neve: Adja meg magának a tanúsítványnak a CN-ét. Ha üresen hagyja, a rendszer a távoli azonosító értékét használja.

• Nem működő társészlelési arány: Adja meg, hogy a VPN-ügyfél milyen gyakran ellenőrzi, hogy a VPN-alagút aktív-e. Az Ön lehetőségei:

  • Nincs konfigurálva: Az iOS/iPadOS rendszer alapértelmezett beállítását használja, amely megegyezhet a Közepes lehetőség választásával.
  • Nincs: Letiltja a nem elérhető társészlelést.
  • Alacsony: 30 percenként küld egy megőrzési üzenetet.
  • Közepes (alapértelmezett): 10 percenként küld egy megőrzési üzenetet.
  • Magas: 60 másodpercenként küld egy megőrzési üzenetet.

• TLS-verziótartomány minimális száma: Adja meg a minimálisan használandó TLS-verziót. Írja be a 1.0, a 1.1vagy 1.2a kifejezést. Ha üresen hagyja, a rendszer az alapértelmezett értéket 1.0 használja. Felhasználói hitelesítés és tanúsítványok használatakor konfigurálnia kell ezt a beállítást.

• TLS-verziótartomány maximuma: Adja meg a maximálisan használandó TLS-verziót. Írja be a 1.0, a 1.1vagy 1.2a kifejezést. Ha üresen hagyja, a rendszer az alapértelmezett értéket 1.2 használja. Felhasználói hitelesítés és tanúsítványok használatakor konfigurálnia kell ezt a beállítást.

• Tökéletes titkosság: Válassza az Engedélyezés lehetőséget a tökéletes titkosság (PFS) bekapcsolásához. A PFS egy IP-biztonsági funkció, amely csökkenti a munkamenet-kulcsok sérülésének hatását. A Letiltás (alapértelmezett) nem használja a PFS-t.

• Tanúsítvány-visszavonás ellenőrzése: Válassza az Engedélyezés lehetőséget , és győződjön meg arról, hogy a tanúsítványok nincsenek visszavonva, mielőtt a VPN-kapcsolat sikeres lesz. Ez az ellenőrzés a legjobb megoldás. Ha a VPN-kiszolgáló túllépi az időkorlátot, mielőtt megállapítanák, hogy visszavonták-e a tanúsítványt, a rendszer hozzáférést biztosít. A letiltás (alapértelmezett) nem ellenőrzi a visszavont tanúsítványokat.

• IPv4/IPv6 belső alhálózati attribútumok használata: Egyes IKEv2-kiszolgálók a vagy INTERNAL_IP6_SUBNET attribútumokat INTERNAL_IP4_SUBNET használják. Az engedélyezés kényszeríti a VPN-kapcsolatot, hogy ezeket az attribútumokat használja. A Letiltás (alapértelmezett) nem kényszeríti a VPN-kapcsolatot ezen alhálózati attribútumok használatára.

• Mobilitás és többszörös használat (MOBIKE): A MOBIKE lehetővé teszi, hogy a VPN-ügyfelek anélkül módosíthassák IP-címüket, hogy biztonsági társítást hoznak létre a VPN-kiszolgálóval. Az engedélyezés (alapértelmezett) bekapcsolja a MOBIKE-t, amely javíthatja a VPN-kapcsolatokat a hálózatok közötti utazás során. A letiltás kikapcsolja a MOBIKE-t.

• Átirányítás: Az engedélyezés (alapértelmezett) átirányítja az IKEv2-kapcsolatot, ha átirányítási kérés érkezik a VPN-kiszolgálótól. A letiltás megakadályozza az IKEv2-kapcsolat átirányítását, ha átirányítási kérés érkezik a VPN-kiszolgálótól.

• Maximális átviteli egység: Adja meg a maximális átviteli egységet (MTU) bájtban, 1–65536 között. Ha a Nincs konfigurálva vagy üresen hagyva értékre van állítva, Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az Apple ezt az értéket 1280-ra állíthatja.

  Ez a beállítás a következőkre vonatkozik:

  • iOS/iPadOS 14 és újabb

• Biztonsági társítás paraméterei: Adja meg azokat a paramétereket, amelyekkel biztonsági társításokat hozhat létre a VPN-kiszolgálóval:

  • Titkosítási algoritmus: Válassza ki a kívánt algoritmust:

    • DES
    • 3DES
    • AES-128
    • AES-256 (alapértelmezett)
    • AES-128-GCM
    • AES-256-GCM

    Megjegyzés:

    Ha a titkosítási algoritmust vagy AES-256-GCMértékre AES-128-GCM állítja, akkor a rendszer az AES-256 alapértelmezett értéket használja. Ez egy ismert probléma, és egy későbbi kiadásban fogjuk kijavítani. Nincs ETA.

  • Integritási algoritmus: Válassza ki a kívánt algoritmust:

    • SHA1-96
    • SHA1-160
    • SHA2-256 (alapértelmezett)
    • SHA2-384
    • SHA2-512

  • Diffie-Hellman csoport: Válassza ki a kívánt csoportot. Az alapértelmezett érték a csoport 2.

  • Élettartam (perc): Adja meg, hogy a biztonsági társítás mennyi ideig marad aktív a kulcsok elforgatásáig. Adjon meg egy egész értéket és 1440 között 10 (1440 perc 24 óra). Az alapértelmezett érték: 1440.

• Gyermekbiztonsági társítási paraméterek: Az iOS/iPadOS lehetővé teszi külön paraméterek konfigurálását az IKE-kapcsolathoz és a gyermekkapcsolatokhoz. Adja meg a gyermekbiztonsági társítások VPN-kiszolgálóval való létrehozásakor használt paramétereket:

  • Titkosítási algoritmus: Válassza ki a kívánt algoritmust:

    • DES
    • 3DES
    • AES-128
    • AES-256 (alapértelmezett)
    • AES-128-GCM
    • AES-256-GCM

    Megjegyzés:

    Ha a titkosítási algoritmust vagy AES-256-GCMértékre AES-128-GCM állítja, akkor a rendszer az AES-256 alapértelmezett értéket használja. Ez egy ismert probléma, és egy későbbi kiadásban fogjuk kijavítani. Nincs ETA.

• Integritási algoritmus: Válassza ki a kívánt algoritmust:

  • SHA1-96
  • SHA1-160
  • SHA2-256 (alapértelmezett)
  • SHA2-384
  • SHA2-512

  Konfigurálja a következőket is:

  • Diffie-Hellman csoport: Válassza ki a kívánt csoportot. Az alapértelmezett érték a csoport 2.
  • Élettartam (perc): Adja meg, hogy a biztonsági társítás mennyi ideig marad aktív a kulcsok elforgatásáig. Adjon meg egy egész értéket és 1440 között 10 (1440 perc 24 óra). Az alapértelmezett érték: 1440.

Automatikus VPN

• Az automatikus VPN típusa: Válassza ki a konfigurálni kívánt VPN-típust – Igény szerinti VAGY alkalmazásonkénti VPN. Győződjön meg arról, hogy csak egy lehetőséget használ. A kettő egyidejű használata csatlakozási problémákat okoz.

  • Nincs konfigurálva (alapértelmezett): Intune nem módosítja vagy frissíti ezt a beállítást.

  • Igény szerinti VPN: Az igény szerinti VPN szabályok használatával automatikusan csatlakoztatja vagy bontja a VPN-kapcsolatot. Amikor az eszközök megpróbálnak csatlakozni a VPN-hez, az egyezéseket keres a létrehozott paraméterekben és szabályokban, például egyező tartománynévben. Ha van egyezés, akkor a választott művelet lefut.

    Létrehozhat például egy feltételt, amelyben a VPN-kapcsolatot csak akkor használja a rendszer, ha egy eszköz nincs vállalati Wi-Fi hálózathoz csatlakoztatva. Vagy ha egy eszköz nem fér hozzá a megadott DNS-keresési tartományhoz, akkor a VPN-kapcsolat nem indul el.

    • Igény szerinti szabályok>Hozzáadás: Szabály hozzáadásához válassza a Hozzáadás lehetőséget. Ha nincs meglévő VPN-kapcsolat, akkor ezekkel a beállításokkal hozzon létre egy igény szerinti szabályt. Ha a szabálynak van egyezése, akkor az eszköz végrehajtja a kiválasztott műveletet.

      • A következőket szeretném tenni: Ha egyezés van az eszköz értéke és az igény szerinti szabály között, válassza ki az eszköz által végrehajtandó műveletet. Az Ön lehetőségei:

        • VPN létrehozása: Ha egyezés van az eszköz értéke és az igény szerinti szabály között, akkor az eszköz csatlakozik a VPN-hez.

        • VPN leválasztása: Ha egyezés van az eszköz értéke és az igény szerinti szabály között, akkor a VPN-kapcsolat megszakad.

        • Az egyes csatlakozási kísérletek kiértékelése: Ha egyezés van az eszköz értéke és az igény szerinti szabály között, a Válassza ki, hogy csatlakozik-e beállítással döntse el, mi történjen az egyes VPN-csatlakozási kísérletek esetén:

          • Csatlakozás szükség esetén: Ha az eszköz belső hálózaton található, vagy ha már létezik VPN-kapcsolat a belső hálózattal, akkor az igény szerinti VPN nem fog csatlakozni. Ezek a beállítások nem használatosak.

            Ha nincs meglévő VPN-kapcsolat, akkor minden VPN-csatlakozási kísérletnél döntse el, hogy a felhasználók DNS-tartománynévvel csatlakozzanak-e. Ez a szabály csak azokra a tartományokra vonatkozik, amelyekre a Felhasználók megpróbálnak hozzáférni ezekhez a tartományokhoz listában. A többi tartomány figyelmen kívül lesz hagyva.

            • Amikor a felhasználók megpróbálják elérni ezeket a tartományokat: Adjon meg egy vagy több DNS-tartományt, például contoso.com: . Ha a felhasználók a listában szereplő tartományhoz próbálnak csatlakozni, akkor az eszköz DNS használatával oldja fel a megadott tartományokat. Ha a tartomány nem oldja fel a problémát, ami azt jelenti, hogy nem rendelkezik hozzáféréssel a belső erőforrásokhoz, akkor igény szerint csatlakozik a VPN-hez. Ha a tartomány feloldja a problémát, ami azt jelenti, hogy már rendelkezik hozzáféréssel a belső erőforrásokhoz, akkor nem csatlakozik a VPN-hez.

              Megjegyzés:

              • Ha a Amikor a felhasználók megpróbálják elérni ezeket a tartományokat beállítást, az eszköz a hálózati kapcsolati szolgáltatásban (Wi-Fi/ethernet) konfigurált DNS-kiszolgálókat használja a tartomány feloldásához. Az elképzelés az, hogy ezek a DNS-kiszolgálók nyilvános kiszolgálók.

                A Amikor a felhasználók megpróbálják elérni ezeket a tartományokat listában szereplő tartományok belső erőforrások. A belső erőforrások nem nyilvános DNS-kiszolgálókon találhatók, és nem oldhatók fel. Az eszköz tehát csatlakozik a VPN-hez. Most a tartomány feloldása a VPN-kapcsolat DNS-kiszolgálóinak használatával történik, és a belső erőforrás elérhető.

                Ha az eszköz a belső hálózaton található, a tartomány feloldódik, és nem jön létre VPN-kapcsolat, mert a belső tartomány már elérhető. Nem szeretne VPN-erőforrásokat pazarolni a belső hálózaton már meglévő eszközökön.

              • Ha a Amikor a felhasználók megpróbálják elérni ezeket a tartományokat beállítást, a rendszer a listán szereplő DNS-kiszolgálókat használja a listában szereplő tartományok feloldásához.

                Az ötlet az első listajel ellentéte (Amikor a felhasználók megpróbálják elérni ezeket a tartományokat , a beállítás üres). Például a Amikor a felhasználók megpróbálják elérni ezeket a tartományokat lista belső DNS-kiszolgálókkal rendelkezik. Egy külső hálózaton lévő eszköz nem tud a belső DNS-kiszolgálókra irányítani. A névfeloldás túllépi az időkorlátot, és az eszköz igény szerint csatlakozik a VPN-hez. Most már elérhetők a belső erőforrások.

                Ne feledje, hogy ezek az információk csak azokra a tartományokra vonatkoznak, amelyekre a Felhasználók megpróbálnak hozzáférni ezekhez a tartományokhoz listában. Minden más tartomány nyilvános DNS-kiszolgálókkal van feloldva. Ha az eszköz csatlakozik a belső hálózathoz, a listában szereplő DNS-kiszolgálók elérhetők, és nincs szükség a VPN-hez való csatlakozásra.

            • A következő DNS-kiszolgálók használatával oldhatja fel ezeket a tartományokat (nem kötelező): Adjon meg egy vagy több DNS-kiszolgáló IP-címét, például 10.0.0.22: . A megadott DNS-kiszolgálók a Tartományok elérésekor beállításban található tartományok feloldására szolgálnak .

            • Ha ez az URL-cím nem érhető el, kényszerítse a VPN csatlakoztatását: Nem kötelező. Adjon meg egy HTTP- vagy HTTPS-mintavételi URL-címet, amelyet a szabály tesztként használ. Írja be például a következőt: https://probe.Contoso.com. Ezt az URL-címet a rendszer minden alkalommal teszteli, amikor egy felhasználó megpróbál hozzáférni egy tartományhoz a Amikor a felhasználók megpróbálnak hozzáférni ezekhez a tartományokhoz beállításban. A felhasználó nem látja az URL-sztring mintavételi helyét.

              Ha a mintavétel meghiúsul, mert az URL-cím nem érhető el, vagy nem ad vissza 200 HTTP-állapotkódot, akkor az eszköz csatlakozik a VPN-hez.

              Az elképzelés az, hogy az URL-cím csak a belső hálózaton érhető el. Ha az URL-cím elérhető, akkor nincs szükség VPN-kapcsolatra. Ha az URL-cím nem érhető el, akkor az eszköz egy külső hálózaton található, és igény szerint csatlakozik a VPN-hez. A VPN-kapcsolat létrejötte után belső erőforrások érhetők el.

          • Soha ne csatlakozzon: Minden VPN-kapcsolati kísérlet esetén, amikor a felhasználók megpróbálják elérni a megadott tartományokat, az eszköz soha nem csatlakozik a VPN-hez.

            • Amikor a felhasználók megpróbálják elérni ezeket a tartományokat: Adjon meg egy vagy több DNS-tartományt, például contoso.com: . Ha a felhasználók a listában szereplő tartományhoz próbálnak csatlakozni, akkor nem jön létre VPN-kapcsolat. Ha olyan tartományhoz próbálnak csatlakozni, amely nem szerepel a listán, akkor az eszköz a VPN-hez csatlakozik.

        • Figyelmen kívül hagyás: Ha egyezés van az eszköz értéke és az igény szerinti szabály között, a rendszer figyelmen kívül hagyja a VPN-kapcsolatot.

      • A korlátozást a következőre szeretném korlátozni: A következő beállítást szeretném elvégezni , ha a VPN létrehozása, a VPN leválasztása vagy a Mellőzés lehetőséget választja, akkor válassza ki azt a feltételt, amelyet a szabálynak teljesítenie kell. Az Ön lehetőségei:

        • Adott SSID-k: Adjon meg egy vagy több vezeték nélküli hálózatnevet, amelyekre a szabály vonatkozik. Ez a hálózatnév a szolgáltatáskészlet azonosítója (SSID). Írja be például a következőt: Contoso VPN.
        • Adott keresési tartományok: Adjon meg egy vagy több DNS-tartományt, amelyekre a szabály vonatkozik. Írja be például a következőt: contoso.com.
        • Minden tartomány: Akkor válassza ezt a lehetőséget, ha a szabályt a szervezet összes tartományára alkalmazni szeretné.

      • De csak akkor, ha ez az URL-mintavétel sikeres: Nem kötelező. Adjon meg egy URL-címet, amelyet a szabály tesztként használ. Írja be például a következőt: https://probe.Contoso.com. Ha az eszköz átirányítás nélkül fér hozzá ehhez az URL-címhez, akkor a VPN-kapcsolat elindul. Az eszköz pedig a cél URL-címhez csatlakozik. A felhasználó nem látja az URL-sztring mintavételi helyét.

        Az URL-cím például azt teszteli, hogy a VPN képes-e csatlakozni egy helyhez, mielőtt az eszköz a VPN-en keresztül csatlakozik a cél URL-címhez.

    • Letilthatja a felhasználók számára az automatikus VPN letiltását: Az Ön beállításai:

      • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást.
      • Igen: Megakadályozza, hogy a felhasználók kikapcsolják az automatikus VPN-t. Arra kényszeríti a felhasználókat, hogy engedélyezve és futva tartsák az automatikus VPN-t.
      • Nem: Lehetővé teszi, hogy a felhasználók kikapcsolják az automatikus VPN-t.

      Ez a beállítás a következőkre vonatkozik:

      • iOS 14 és újabb
      • iPadOS 14 és újabb

  • Alkalmazásonkénti VPN: Engedélyezi az alkalmazásonkénti VPN-t, ha ezt a VPN-kapcsolatot egy adott alkalmazáshoz társítja. Az alkalmazás futtatásakor elindul a VPN-kapcsolat. A VPN-profilt társíthatja egy alkalmazással, amikor hozzárendeli az alkalmazásszoftvert vagy -programot. További információ: Alkalmazások hozzárendelése és monitorozása.

    Az alkalmazásonkénti VPN nem támogatott IKEv2-kapcsolaton. További információ: Alkalmazásonkénti VPN beállítása iOS/iPadOS-eszközökhöz.

    • Szolgáltató típusa: Csak Pulse Secure és egyéni VPN esetén érhető el.

      Ha alkalmazásonkénti VPN-profilokat használ a Pulse Secure vagy egy egyéni VPN használatával, válassza az alkalmazásrétegbeli bújtatást (alkalmazásproxy) vagy csomagszintű bújtatást (csomagalagút):

      • alkalmazásproxy: Válassza ezt a lehetőséget az alkalmazásrétegbeli bújtatáshoz.
      • csomagalagút: Válassza ezt a lehetőséget csomagréteg-bújtatáshoz.

      Ha nem biztos abban, hogy melyik lehetőséget használja, tekintse meg a VPN-szolgáltató dokumentációját.

    • A VPN-t aktiváló Safari URL-címek: Adjon hozzá egy vagy több webhely URL-címét. Ha ezeket az URL-címeket az eszközön a Safari böngészővel látogatja meg, a VPN-kapcsolat automatikusan létrejön. Írja be például a következőt: contoso.com.

    • Társított tartományok: Adja meg a vpn-profilban az ezzel a VPN-kapcsolattal használandó társított tartományokat.

      További információ: társított tartományok.

    • Kizárt tartományok: Olyan tartományokat adjon meg, amelyek megkerülhetik a VPN-kapcsolatot, ha alkalmazásonkénti VPN csatlakozik. Írja be például a következőt: contoso.com. A contoso.com tartományba érkező forgalom akkor is a nyilvános internetet használja, ha a VPN csatlakozik.

    • Letilthatja a felhasználók számára az automatikus VPN letiltását: Az Ön beállításai:

      • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást.
      • Igen: Megakadályozza, hogy a felhasználók kikapcsolják az Igény szerinti csatlakozás kapcsolót a VPN-profil beállításai között. Arra kényszeríti a felhasználókat, hogy az alkalmazásonkénti VPN- vagy igény szerinti szabályokat engedélyezve és futva tartsák.
      • Nem: Lehetővé teszi, hogy a felhasználók kikapcsolják az Igény szerinti csatlakozás kapcsolót, amely letiltja az alkalmazásonkénti VPN-t és az igény szerinti szabályokat.

      Ez a beállítás a következőkre vonatkozik:

      • iOS 14 és újabb
      • iPadOS 14 és újabb

Alkalmazásonkénti VPN

Ezek a beállítások a következő VPN-kapcsolattípusokra vonatkoznak:

• Microsoft Tunnel

Beállítások:

• Alkalmazásonkénti VPN: Az engedélyezés egy adott alkalmazást társít ehhez a VPN-kapcsolathoz. Az alkalmazás futtatásakor a forgalom automatikusan áthalad a VPN-kapcsolaton. A szoftver hozzárendelésekor társíthatja a VPN-profilt egy alkalmazással. További információ: Alkalmazások hozzárendelése és monitorozása.

  További információ: Microsoft Tunnel for Intune.

• A VPN-t aktiváló Safari URL-címek: Adjon hozzá egy vagy több webhely URL-címét. Ha ezeket az URL-címeket az eszközön a Safari böngészővel látogatja meg, a VPN-kapcsolat automatikusan létrejön. Írja be például a következőt: contoso.com.

• Társított tartományok: Adja meg a vpn-profilban az ezzel a VPN-kapcsolattal használandó társított tartományokat.

  További információ: társított tartományok.

• Kizárt tartományok: Olyan tartományokat adjon meg, amelyek megkerülhetik a VPN-kapcsolatot, ha alkalmazásonkénti VPN csatlakozik. Írja be például a következőt: contoso.com. A contoso.com tartományba érkező forgalom akkor is a nyilvános internetet használja, ha a VPN csatlakozik.

Proxy

Ha proxyt használ, konfigurálja az alábbi beállításokat.

• Automatikus konfigurációs szkript: Fájl használatával konfigurálja a proxykiszolgálót. Adja meg a konfigurációs fájlt tartalmazó proxykiszolgáló URL-címét. Írja be például a következőt: http://proxy.contoso.com/pac.
• Cím: Adja meg a proxykiszolgáló IP-címét vagy teljes gazdagépnevét. Írja be például a vagy a értéket 10.0.0.3vpn.contoso.com.
• Portszám: Adja meg a proxykiszolgálóhoz társított portszámot. Írja be például a következőt: 8080.

Következő lépések

A profil létrejön, de lehet, hogy még nem csinál semmit. Ügyeljen arra, hogy hozzárendelje a profilt , és figyelje az állapotát.

VPN-beállítások konfigurálása Android, Android Enterprise, macOS és Windows 10 eszközökön.