VPN-profielen maken om verbinding te maken met VPN-servers in Intune

  • Artikel

Belangrijk

Op 22 oktober 2022 heeft Microsoft Intune de ondersteuning voor apparaten met Windows 8.1 beëindigd. Technische ondersteuning en automatische updates op deze apparaten zijn niet beschikbaar.

Als u momenteel Windows 8.1 gebruikt, raden we u aan over te stappen op Windows 10/11-apparaten. Microsoft Intune beschikt over ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd.

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor Beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 30 augustus 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheerdersbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning afloopt. Lees Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Virtuele particuliere netwerken (VPN's) bieden gebruikers beveiligde externe toegang tot het netwerk van uw organisatie. Apparaten gebruiken een VPN-verbindingsprofiel om een verbinding met de VPN-server te starten. VPN-profielen in Microsoft Intune VPN-instellingen toewijzen aan gebruikers en apparaten in uw organisatie. Gebruik deze instellingen zodat gebruikers eenvoudig en veilig verbinding kunnen maken met het netwerk van uw organisatie.

Deze functie is van toepassing op:

  • Android-apparaatbeheerder

  • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel

  • iOS/iPadOS

  • macOS

  • Windows 10

  • Windows 11

    Belangrijk

    Voor Windows 11 apparaten is er een probleem tussen de Windows 11-client en de Windows VPNv2-CSP. Een apparaat met een of meer Intune VPN-profielen verliest de VPN-verbinding wanneer het apparaat meerdere wijzigingen in VPN-profielen voor het apparaat tegelijk verwerkt. Wanneer het apparaat een tweede keer bij Intune incheckt, worden de wijzigingen in het VPN-profiel verwerkt en wordt de verbinding hersteld.

    De volgende wijzigingen kunnen leiden tot verlies van VPN-functionaliteit:

    • Wijzigingen in een VPN-profiel dat eerder is verwerkt door het Windows 11-apparaat. Met deze actie wordt het oorspronkelijke profiel verwijderd en wordt het bijgewerkte profiel toegepast.
    • Er zijn tegelijkertijd twee nieuwe VPN-profielen van toepassing op het apparaat.
    • Een actief VPN-profiel wordt verwijderd op hetzelfde moment dat er een nieuw VPN-profiel wordt toegewezen.

    Dit probleem is niet van toepassing wanneer:

    • Aan een Windows 11 apparaat is geen bestaand VPN-profiel toegewezen en ontvangt het één Intune VPN-profiel.
    • Windows 11 apparaten waaraan een VPN-profiel is toegewezen en krijgen een ander VPN-profiel zonder andere profielwijzigingen toegewezen.
    • Een Windows 10 apparaat wordt bijgewerkt naar Windows 11 en als er geen wijzigingen zijn in de VPN-profielen van dat apparaat. Na de upgrade naar Windows 11 wordt het probleem veroorzaakt door wijzigingen in de VPN-profielen van het apparaat of het toevoegen van nieuwe VPN-profielen.

    Dit probleem en deze waarschuwing blijven bestaan totdat Windows de Windows 11-client bijwerken waarmee dit probleem wordt opgelost.

  • Windows 8.1 en hoger

U wilt bijvoorbeeld alle iOS-/iPadOS-apparaten configureren met de vereiste instellingen om verbinding te maken met een bestandsshare in het netwerk van de organisatie. U maakt een VPN-profiel dat deze instellingen bevat. U wijst dit profiel toe aan alle gebruikers met iOS-/iPadOS-apparaten. De gebruikers zien de VPN-verbinding in de lijst met beschikbare netwerken en kunnen met minimale inspanning verbinding maken.

Dit artikel bevat de VPN-apps die u kunt gebruiken, laat zien hoe u een VPN-profiel maakt en bevat richtlijnen voor het beveiligen van uw VPN-profielen. U moet de VPN-app implementeren voordat u het VPN-profiel maakt. Zie Wat is app-beheer in Microsoft Intune? als u hulp nodig hebt bij het implementeren van apps met behulp van Microsoft Intune.

Voordat u begint

  • VPN-profielen voor een apparaattunnel worden ondersteund voor externe bureaubladen van Windows 10/11 Enterprise met meerdere sessies.

  • Als u verificatie op basis van certificaten gebruikt voor uw VPN-profiel, implementeert u het VPN-profiel, het certificaatprofiel en het vertrouwde basisprofiel in dezelfde groepen. Deze stap zorgt ervoor dat elk apparaat de legitimiteit van uw certificeringsinstantie kan herkennen. Zie Certificaten configureren met Microsoft Intune voor meer informatie.

  • Gebruikersinschrijving voor iOS/iPadOS en macOS biedt alleen ondersteuning voor VPN per app.

  • U kunt aangepast configuratiebeleid voor Intune gebruiken om VPN-profielen te maken voor de volgende platforms:

    • Android 4 en hoger
    • Ingeschreven apparaten waarop Windows 8.1 en hoger wordt uitgevoerd
    • Ingeschreven apparaten waarop Windows 10/11 wordt uitgevoerd
    • Windows Holographic for Business

Stap 1: uw VPN-app implementeren

Voordat u VPN-profielen kunt gebruiken die zijn toegewezen aan een apparaat, moet u de VPN-app installeren. Deze VPN-app maakt verbinding met uw VPN-server.

Er zijn verschillende VPN-apps beschikbaar. Op gebruikersapparaten implementeert u de VPN-app die uw organisatie gebruikt. Nadat de VPN-app is geïmplementeerd, maakt en implementeert u een VPN-apparaatconfiguratieprofiel waarmee de VPN-serverinstellingen worden geconfigureerd, inclusief de NAAM van de VPN-server (of FQDN) en verificatiemethode.

Voor sommige platforms en VPN-apps is een app-configuratiebeleid vereist om de VPN-app vooraf te configureren, in plaats van een VPN-apparaatconfiguratieprofiel. In deze sectie vindt u ook de platforms en VPN-apps die een app-configuratiebeleid moeten gebruiken.

Zie Apps toevoegen aan Microsoft Intune voor meer informatie over het toewijzen van de app met behulp van Intune.

VPN-verbindingstypen

U kunt VPN-profielen maken met behulp van de volgende VPN-verbindingstypen:

  • Automatisch

    • Windows 10/11

  • Check Point Capsule VPN

    • Android-apparaatbeheerder
    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd Android Enterprise-werkprofiel en werkprofiel in bedrijfseigendom: app-configuratiebeleid gebruiken
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1

  • Cisco AnyConnect

    • Android-apparaatbeheerder
    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd android enterprise-werkprofiel en werkprofiel in bedrijfseigendom
    • iOS/iPadOS
    • macOS
    • Windows 10/11

  • Cisco (IPSec)

    • iOS/iPadOS

  • Citrix SSO

  • Aangepaste VPN

    • iOS/iPadOS
    • macOS

    Maak aangepaste VPN-profielen met behulp van URI-instellingen in Een profiel maken met aangepaste instellingen.

  • F5-toegang

    • Android-apparaatbeheerder
    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd android enterprise-werkprofiel en werkprofiel in bedrijfseigendom
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1

  • IKEv2

    • iOS/iPadOS
    • Windows 10/11

  • L2TP

    • Windows 10/11

  • Microsoft Tunnel

    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd android enterprise-werkprofiel en werkprofiel in bedrijfseigendom
    • iOS/iPadOS

  • NetMotion Mobility

    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd android enterprise-werkprofiel en werkprofiel in bedrijfseigendom
    • iOS/iPadOS
    • macOS

  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10/11

  • Pulse Secure

    • Android-apparaatbeheerder
    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd android enterprise-werkprofiel en werkprofiel in bedrijfseigendom
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1

  • SonicWall Mobile Connect

    • Android-apparaatbeheerder
    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd android enterprise-werkprofiel en werkprofiel in bedrijfseigendom
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1

  • Zscaler

Stap 2: het profiel maken

Nadat de VPN-app is toegewezen aan het apparaat, maakt u in deze volgende stap het apparaatconfiguratiebeleid waarmee de VPN-verbinding wordt geconfigureerd. Als uw VPN-app-verbindingstype een app-configuratiebeleid gebruikt om de app te configureren, slaat u deze stap over.

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Configuratie>maken.

  3. Geef de volgende eigenschappen op:

    • Platform: kies het platform van uw apparaten. Uw opties:
      • Android-apparaatbeheerder
      • Android Enterprise>Volledig beheerd, toegewezen en Corporate-Owned werkprofiel
      • Android Enterprise>Werkprofiel in persoonlijk eigendom
      • iOS/iPadOS
      • macOS
      • Windows 10 en hoger
      • Windows 8.1 en hoger
    • Profieltype: selecteer VPN. Of selecteer Sjablonen>VPN.

  4. Selecteer Maken.

  5. Voer in Basis de volgende eigenschappen in:

    • Naam: voer een beschrijvende naam in voor het profiel. Geef uw profielen een naam zodat u ze later eenvoudig kunt herkennen. Een goede profielnaam is bijvoorbeeld EEN VPN-profiel voor het hele bedrijf.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  6. Selecteer Volgende.

  7. In Configuratie-instellingen zijn de instellingen die u kunt configureren, afhankelijk van het platform dat u hebt gekozen, anders. Selecteer uw platform voor gedetailleerde instellingen:

  8. Selecteer Volgende.

  9. Wijs in Bereiktags (optioneel) een tag toe om het profiel te filteren op specifieke IT-groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. Zie RBAC en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

    Selecteer Volgende.

  10. Selecteer in Toewijzingen de gebruiker of groepen die uw profiel ontvangen. Zie Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Selecteer Volgende.

  11. Controleer uw instellingen in Beoordelen en maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de lijst met profielen.

Uw VPN-profielen beveiligen

VPN-profielen kunnen veel verschillende verbindingstypen en protocollen van verschillende fabrikanten gebruiken. Deze verbindingen worden doorgaans beveiligd via de volgende methoden.

Certificaten

Wanneer u het VPN-profiel maakt, kiest u een SCEP- of PKCS-certificaatprofiel dat u eerder in Intune hebt gemaakt. Dit profiel wordt het identiteitscertificaat genoemd. Het wordt gebruikt om te verifiëren op basis van een vertrouwd certificaatprofiel (of basiscertificaat) dat u maakt, zodat het apparaat van de gebruiker verbinding kan maken. Het vertrouwde certificaat wordt toegewezen aan de computer die de VPN-verbinding verifieert, meestal de VPN-server.

Als u verificatie op basis van certificaten gebruikt voor uw VPN-profiel, implementeert u het VPN-profiel, het certificaatprofiel en het vertrouwde basisprofiel in dezelfde groepen. Deze toewijzing zorgt ervoor dat elk apparaat de legitimiteit van uw certificeringsinstantie herkent.

Zie Certificaten configureren met Microsoft Intune voor meer informatie over het maken en gebruiken van certificaatprofielen in Intune.

Opmerking

Certificaten die zijn toegevoegd met behulp van het geïmporteerde PKCS-certificaatprofiel , worden niet ondersteund voor VPN-verificatie. Certificaten die zijn toegevoegd met behulp van het PKCS-certificaatprofiel , worden ondersteund voor VPN-verificatie.

Gebruikersnaam en wachtwoord

De gebruiker verifieert zich bij de VPN-server door een gebruikersnaam en wachtwoord of afgeleide referenties op te geven.

Volgende stappen