VPN-instellingen toevoegen op iOS- en iPadOS-apparaten in Microsoft Intune
Microsoft Intune bevat veel VPN-instellingen die kunnen worden geïmplementeerd op uw iOS-/iPadOS-apparaten. Deze instellingen worden gebruikt om VPN-verbindingen met het netwerk van uw organisatie te maken en te configureren. In dit artikel worden deze instellingen beschreven. Sommige instellingen zijn alleen beschikbaar voor sommige VPN-clients, zoals Citrix, Zscaler en meer.
Deze functie is van toepassing op:
- iOS/iPadOS
Voordat u begint
Maak een configuratieprofiel voor iOS-/iPadOS-VPN-apparaten.
-
Sommige Microsoft 365-services, zoals Outlook, presteren mogelijk niet goed met VPN's van derden of partners. Als u een VPN van derden of partners gebruikt en een latentie- of prestatieprobleem ondervindt, verwijdert u het VPN.
Als het verwijderen van de VPN het gedrag oplost, kunt u het volgende doen:
- Neem contact op met de externe partij of partner-VPN voor mogelijke oplossingen. Microsoft biedt geen technische ondersteuning voor VPN's van derden of partners.
- Gebruik geen VPN met Outlook-verkeer.
- Als u een VPN wilt gebruiken, gebruikt u een vpn met gesplitste tunnel. En laat het Outlook-verkeer de VPN omzeilen.
Ga voor meer informatie naar:
- Overzicht: VPN split tunneling voor Microsoft 365
- Netwerkapparaten of oplossingen van derden gebruiken met Microsoft 365
- Alternatieve manieren voor beveiligingsprofessionals en IT om moderne beveiligingscontroles te realiseren in de unieke blog over scenario's voor extern werken
- Beginselen voor Microsoft 365-netwerkverbindingen
Als u deze apparaten nodig hebt voor toegang tot on-premises resources met behulp van moderne verificatie en voorwaardelijke toegang, kunt u Microsoft Tunnel gebruiken, die split tunneling ondersteunt.
Opmerking
Deze instellingen zijn beschikbaar voor alle inschrijvingstypen, behalve gebruikersinschrijving. Gebruikersinschrijving is beperkt tot VPN per app. Zie iOS-/iPadOS-inschrijving voor meer informatie over de inschrijvingstypen.
De beschikbare instellingen zijn afhankelijk van de VPN-client die u kiest. Sommige instellingen zijn alleen beschikbaar voor specifieke VPN-clients.
Deze instellingen maken gebruik van de Apple VPN-nettolading (hiermee wordt de website van Apple geopend).
Verbindingstype
Selecteer het VPN-verbindingstype in de volgende lijst met leveranciers:
Check Point Capsule VPN
Cisco Legacy AnyConnect
Van toepassing op Cisco Legacy AnyConnect-app versie 4.0.5x en eerder.
Cisco AnyConnect
Van toepassing op Cisco AnyConnect-app versie 4.0.7x en hoger.
SonicWall Mobile Connect
F5 Access Verouderd
Van toepassing op F5 Access-app versie 2.1 en eerder.
F5-toegang
Van toepassing op F5 Access-app versie 3.0 en hoger.
Palo Alto Networks GlobalProtect (verouderd)
Van toepassing op Palo Alto Networks GlobalProtect-app versie 4.1 en eerder.
Palo Alto Networks GlobalProtect
Van toepassing op Palo Alto Networks GlobalProtect-app versie 5.0 en hoger.
Pulse Secure
Cisco (IPSec)
Citrix VPN
Citrix SSO
Zscaler
Als u voorwaardelijke toegang wilt gebruiken of wilt toestaan dat gebruikers het Zscaler-aanmeldingsscherm omzeilen, moet u Zscaler Private Access (ZPA) integreren met uw Microsoft Entra-account. Zie de Zscaler-documentatie voor gedetailleerde stappen.
NetMotion Mobility
IKEv2
IkEv2-instellingen (in dit artikel) beschrijft de eigenschappen.
Microsoft Tunnel
Van toepassing op de Microsoft Defender voor Eindpunt-app die tunnelclientfunctionaliteit bevat.
Aangepaste VPN
Opmerking
Cisco, Citrix, F5 en Palo Alto hebben aangekondigd dat hun verouderde clients niet werken op iOS 12 en hoger. U moet zo snel mogelijk migreren naar de nieuwe apps. Zie de blog van het Microsoft Intune-ondersteuningsteam voor meer informatie.
Basis-VPN-instellingen
Verbindingsnaam: eindgebruikers zien deze naam wanneer ze op hun apparaat bladeren naar een lijst met beschikbare VPN-verbindingen.
Aangepaste domeinnaam (alleen Zscaler): voeg het aanmeldingsveld van de Zscaler-app vooraf toe met het domein waartoe uw gebruikers behoren. Als een gebruikersnaam bijvoorbeeld is, wordt
Joe@contoso.net
hetcontoso.net
domein statisch weergegeven in het veld wanneer de app wordt geopend. Als u geen domeinnaam invoert, wordt het domeingedeelte van de UPN in Microsoft Entra ID gebruikt.VPN-serveradres: het IP-adres of FQDN (Fully Qualified Domain Name) van de VPN-server waarmee apparaten verbinding maken. Voer bijvoorbeeld of
vpn.contoso.com
in192.168.1.1
.Cloudnaam van organisatie (alleen Zscaler): voer de cloudnaam in waarin uw organisatie is ingericht. De URL die u gebruikt om u aan te melden bij Zscaler heeft de naam.
Verificatiemethode: kies hoe apparaten worden geverifieerd bij de VPN-server.
Certificaten: selecteer onder Verificatiecertificaat een bestaand SCEP- of PKCS-certificaatprofiel om de verbinding te verifiëren. Certificaten configureren bevat enkele richtlijnen voor certificaatprofielen.
Gebruikersnaam en wachtwoord: eindgebruikers moeten een gebruikersnaam en wachtwoord invoeren om zich aan te melden bij de VPN-server.
Opmerking
Als gebruikersnaam en wachtwoord worden gebruikt als verificatiemethode voor Cisco IPsec VPN, moeten ze de SharedSecret leveren via een aangepast Apple Configurator-profiel.
Afgeleide referentie: gebruik een certificaat dat is afgeleid van de smartcard van een gebruiker. Als er geen verlener van afgeleide referenties is geconfigureerd, wordt u door Intune gevraagd er een toe te voegen. Zie Afgeleide referenties gebruiken in Microsoft Intune voor meer informatie.
Uitgesloten URL's (alleen Zscaler): wanneer deze is verbonden met de Zscaler VPN, zijn de vermelde URL's toegankelijk buiten de Zscaler-cloud. U kunt maximaal 50 URL's toevoegen.
Split tunneling: schakel in of uit om apparaten te laten bepalen welke verbinding moet worden gebruikt, afhankelijk van het verkeer. Een gebruiker in een hotel gebruikt bijvoorbeeld de VPN-verbinding om toegang te krijgen tot werkbestanden, maar gebruikt het standaardnetwerk van het hotel voor regelmatig surfen op het web.
VPN-id (aangepaste VPN, Zscaler en Citrix): een id voor de VPN-app die u gebruikt en wordt geleverd door uw VPN-provider.
Voer sleutel-waardeparen in voor de aangepaste VPN-kenmerken van uw organisatie (Aangepaste VPN, Zscaler en Citrix): Voeg sleutels en waarden toe of importeer deze om uw VPN-verbinding aan te passen. Houd er rekening mee dat deze waarden doorgaans worden verstrekt door uw VPN-provider.
Netwerktoegangsbeheer (NAC) inschakelen (Cisco AnyConnect, Citrix SSO, F5 Access): wanneer u Ik ga akkoord kiest, wordt de apparaat-id opgenomen in het VPN-profiel. Deze id kan worden gebruikt voor verificatie van het VPN om netwerktoegang toe te staan of te voorkomen.
Wanneer u Cisco AnyConnect met ISE gebruikt, moet u het volgende doen:
- Als u dat nog niet hebt gedaan, integreert u ISE met Intune voor NAC, zoals beschreven in Microsoft Intune configureren als mdm-server in de beheerdershandleiding voor cisco identity services-engine.
- Schakel NAC in het VPN-profiel in.
Belangrijk
De NAC-service (Network Access Control) wordt afgeschaft en vervangen door de nieuwste NAC-service van Microsoft, namelijk de Compliance Retrieval Service (CR Service). Ter ondersteuning van wijzigingen in Cisco ISE heeft Intune de indeling van de apparaat-id gewijzigd. Uw bestaande profielen met de oorspronkelijke NAC-service werken dus niet meer.
Als u de CR-service wilt gebruiken en downtime wilt voorkomen met uw VPN-verbinding, implementeert u hetzelfde CONFIGURATIEprofiel voor VPN-apparaten opnieuw. Er zijn geen wijzigingen in het profiel nodig. U hoeft alleen opnieuw te implementeren. Wanneer het apparaat wordt gesynchroniseerd met de Intune-service en het VPN-configuratieprofiel ontvangt, worden de WIJZIGINGEN in de CR-service automatisch geïmplementeerd op het apparaat. En uw VPN-verbindingen moeten blijven werken.
Wanneer u Citrix SSO met Gateway gebruikt, moet u het volgende doen:
- Controleer of u Citrix Gateway 12.0.59 of hoger gebruikt.
- Controleer of uw gebruikers Citrix SSO 1.1.6 of hoger op hun apparaten hebben geïnstalleerd.
- Citrix Gateway integreren met Intune voor NAC. Zie de Citrix-implementatiehandleiding Microsoft Intune/Enterprise Mobility Suite integreren met NetScaler (LDAP+OTP Scenario).
- Schakel NAC in het VPN-profiel in.
Wanneer u F5 Access gebruikt, moet u het volgende doen:
- Controleer of u F5 BIG-IP 13.1.1.5 of hoger gebruikt.
- BIG-IP integreren met Intune voor NAC. Zie de handleiding Overzicht: APM configureren voor apparaatpostuurcontroles met eindpuntbeheersystemen F5.
- Schakel NAC in het VPN-profiel in.
Voor de VPN-partners die apparaat-id ondersteunen, kan de VPN-client, zoals Citrix SSO, de id ophalen. Vervolgens kan intune een query uitvoeren om te bevestigen dat het apparaat is ingeschreven en of het VPN-profiel compatibel is of niet.
- Als u deze instelling wilt verwijderen, maakt u het profiel opnieuw en selecteert u Ik ga akkoord niet. Wijs het profiel vervolgens opnieuw toe.
Voer sleutel- en waardeparen in voor de NetMotion Mobility VPN-kenmerken (alleen NetMotion Mobility): voer sleutel- en waardeparen in of importeer deze. Deze waarden kunnen worden opgegeven door uw VPN-provider.
Microsoft Tunnel-site (alleen Microsoft Tunnel): selecteer een bestaande site. De VPN-client maakt verbinding met het openbare IP-adres of de FQDN van deze site.
Zie Microsoft Tunnel voor Intune voor meer informatie.
IKEv2-instellingen
Deze instellingen zijn van toepassing wanneer u Verbindingstype>IKEv2 kiest.
Always-on VPN: Met Inschakelen stelt u een VPN-client in om automatisch verbinding te maken en opnieuw verbinding te maken met het VPN. Altijd ingeschakelde VPN-verbindingen blijven verbonden of maken direct verbinding wanneer de gebruiker het apparaat vergrendelt, het apparaat opnieuw wordt opgestart of het draadloze netwerk verandert. Wanneer deze optie is ingesteld op Uitschakelen (standaard), is always-on VPN voor alle VPN-clients uitgeschakeld. Indien ingeschakeld, configureert u ook het volgende:
Netwerkinterface: alle IKEv2-instellingen zijn alleen van toepassing op de netwerkinterface die u kiest. Uw opties:
- Wi-Fi en mobiel (standaard): de IKEv2-instellingen zijn van toepassing op de Wi-Fi en mobiele interfaces op het apparaat.
- Mobiel: de IKEv2-instellingen zijn alleen van toepassing op de mobiele interface op het apparaat. Selecteer deze optie als u implementeert op apparaten waarvoor de Wi-Fi-interface is uitgeschakeld of verwijderd.
- Wi-Fi: de IKEv2-instellingen zijn alleen van toepassing op de Wi-Fi-interface op het apparaat.
Gebruiker om VPN-configuratie uit te schakelen: met Inschakelen kunnen gebruikers always-on VPN uitschakelen. Uitschakelen (standaard) voorkomt dat gebruikers dit uitschakelen. De standaardwaarde voor deze instelling is de veiligste optie.
Voicemail: kies wat er gebeurt met voicemailverkeer wanneer always-on VPN is ingeschakeld. Uw opties:
- Netwerkverkeer forceren via VPN (standaard): deze instelling is de veiligste optie.
- Netwerkverkeer buiten VPN toestaan
- Netwerkverkeer verwijderen
AirPrint: kies wat er gebeurt met AirPrint-verkeer wanneer always-on VPN is ingeschakeld. Uw opties:
- Netwerkverkeer forceren via VPN (standaard): deze instelling is de veiligste optie.
- Netwerkverkeer buiten VPN toestaan
- Netwerkverkeer verwijderen
Mobiele services: kies in iOS 13.0+ wat er gebeurt met mobiel verkeer wanneer always-on VPN is ingeschakeld. Uw opties:
- Netwerkverkeer forceren via VPN (standaard): deze instelling is de veiligste optie.
- Netwerkverkeer buiten VPN toestaan
- Netwerkverkeer verwijderen
Verkeer van niet-native captive-netwerkapps toestaan om buiten VPN te passeren: Een captive-netwerk verwijst naar Wi-Fi hotspots die meestal in restaurants en hotels worden aangetroffen. Uw opties:
Nee: dwingt al het verkeer van de Captive Networking-app (CN) af via de VPN-tunnel.
Ja, alle apps: hiermee staat u toe dat al het verkeer van cn-apps de VPN-verbinding omzeilt.
Ja, specifieke apps: voeg een lijst met CN-apps toe waarvan het verkeer de VPN kan omzeilen. Voer de bundel-id's van de CN-app in. Voer bijvoorbeeld in
com.contoso.app.id.package
.Als u de bundel-id wilt ophalen van een app die is toegevoegd aan Intune, kunt u het Intune-beheercentrum gebruiken.
Verkeer van de Captive Websheet-app om buiten VPN door te geven: Captive WebSheet is een ingebouwde webbrowser die captive aanmelding verwerkt. Met Inschakelen kan het verkeer van de browser-app het VPN omzeilen. Uitschakelen (standaard) dwingt WebSheet-verkeer om de always-on VPN te gebruiken. De standaardwaarde is de veiligste optie.
Nat-keepalive interval (Network Address Translation) (seconden): om verbonden te blijven met de VPN, verzendt het apparaat netwerkpakketten om actief te blijven. Voer een waarde in seconden in voor hoe vaak deze pakketten worden verzonden, tussen 20 en 1440. Voer bijvoorbeeld de waarde in om
60
de netwerkpakketten elke 60 seconden naar de VPN te verzenden. Deze waarde is standaard ingesteld op110
seconden.Nat-keepalive offloaden naar hardware wanneer het apparaat in de slaapstand staat: Wanneer een apparaat in de slaapstand staat, heeft Inschakelen (standaard) nat continu keep-alive-pakketten verzonden, zodat het apparaat verbonden blijft met het VPN. Met Uitschakelen wordt deze functie uitgeschakeld.
Externe id: voer het IP-adres van het netwerk, FQDN, UserFQDN of ASN1DN van de IKEv2-server in. Voer bijvoorbeeld of
vpn.contoso.com
in10.0.0.3
. Normaal gesproken voert u dezelfde waarde in als de naam van de verbinding (in dit artikel). Dit is echter wel afhankelijk van de ikEv2-serverinstellingen.Lokale id: voer de FQDN van het apparaat of de algemene onderwerpnaam van de IKEv2 VPN-client op het apparaat in. U kunt deze waarde ook leeg laten (standaard). Normaal gesproken moet de lokale id overeenkomen met de identiteit van de gebruiker of het apparaatcertificaat. De IKEv2-server vereist mogelijk dat de waarden overeenkomen, zodat de identiteit van de client kan worden gevalideerd.
Type clientverificatie: kies hoe de VPN-client wordt geverifieerd bij de VPN. Uw opties:
- Gebruikersverificatie (standaard): Gebruikersreferenties worden geverifieerd bij het VPN.
- Machineverificatie: apparaatreferenties worden geverifieerd bij het VPN.
Verificatiemethode: kies het type clientreferenties dat naar de server moet worden verzonden. Uw opties:
Certificaten: gebruikt een bestaand certificaatprofiel om te verifiëren bij het VPN. Zorg ervoor dat dit certificaatprofiel al is toegewezen aan de gebruiker of het apparaat. Anders mislukt de VPN-verbinding.
-
Certificaattype: selecteer het type versleuteling dat door het certificaat wordt gebruikt. Zorg ervoor dat de VPN-server is geconfigureerd om dit type certificaat te accepteren. Uw opties:
- RSA (standaard)
- ECDSA256
- ECDSA384
- ECDSA521
-
Certificaattype: selecteer het type versleuteling dat door het certificaat wordt gebruikt. Zorg ervoor dat de VPN-server is geconfigureerd om dit type certificaat te accepteren. Uw opties:
Gedeeld geheim (alleen machineverificatie): Hiermee kunt u een gedeeld geheim invoeren dat naar de VPN-server moet worden verzonden.
- Gedeeld geheim: voer het gedeelde geheim in, ook wel bekend als de vooraf gedeelde sleutel (PSK). Zorg ervoor dat de waarde overeenkomt met het gedeelde geheim dat is geconfigureerd op de VPN-server.
Algemene naam van verlener van servercertificaat: Hiermee kan de VPN-server worden geverifieerd bij de VPN-client. Voer de algemene naam (CN) van de certificaatverlener in van het VPN-servercertificaat dat wordt verzonden naar de VPN-client op het apparaat. Zorg ervoor dat de CN-waarde overeenkomt met de configuratie op de VPN-server. Anders mislukt de VPN-verbinding.
Algemene naam van servercertificaat: voer de CN in voor het certificaat zelf. Als dit leeg blijft, wordt de waarde van de externe id gebruikt.
Detectiesnelheid van niet-actieve peers: kies hoe vaak de VPN-client controleert of de VPN-tunnel actief is. Uw opties:
- Niet geconfigureerd: hiermee wordt de standaardinstelling van het iOS-/iPadOS-systeem gebruikt. Dit kan hetzelfde zijn als het kiezen van Medium.
- Geen: hiermee schakelt u detectie van dode peers uit.
- Laag: verzendt elke 30 minuten een keepalive-bericht.
- Gemiddeld (standaard): elke 10 minuten wordt een keepalive-bericht verzonden.
- Hoog: elke 60 seconden wordt een keepalive-bericht verzonden.
Minimaal TLS-versiebereik: voer de minimale TLS-versie in die u wilt gebruiken. Voer ,
1.1
of1.2
in1.0
. Als deze leeg blijft, wordt de standaardwaarde van1.0
gebruikt. Wanneer u gebruikersverificatie en certificaten gebruikt, moet u deze instelling configureren.Maximaal TLS-versiebereik: voer de maximale TLS-versie in die u wilt gebruiken. Voer ,
1.1
of1.2
in1.0
. Als deze leeg blijft, wordt de standaardwaarde van1.2
gebruikt. Wanneer u gebruikersverificatie en certificaten gebruikt, moet u deze instelling configureren.Perfect forward secrecy: Selecteer Inschakelen om PFS (Perfect Forward Secrecy) in te schakelen. PFS is een IP-beveiligingsfunctie die de impact vermindert als een sessiesleutel wordt gecompromitteerd. Uitschakelen (standaard) maakt geen gebruik van PFS.
Certificaatintrekkingscontrole: selecteer Inschakelen om te controleren of de certificaten niet worden ingetrokken voordat de VPN-verbinding tot stand wordt gebracht. Deze controle is best-effort. Als er een time-out optreedt op de VPN-server voordat wordt bepaald of het certificaat wordt ingetrokken, wordt toegang verleend. Met Uitschakelen (standaard) wordt niet gecontroleerd op ingetrokken certificaten.
Interne IPv4-/IPv6-subnetkenmerken gebruiken: sommige IKEv2-servers gebruiken de
INTERNAL_IP4_SUBNET
kenmerken ofINTERNAL_IP6_SUBNET
. Inschakelen dwingt de VPN-verbinding om deze kenmerken te gebruiken. Uitschakelen (standaard) dwingt de VPN-verbinding niet af om deze subnetkenmerken te gebruiken.Mobility and multihoming (MOBIKE): MET MOBIKE kunnen VPN-clients hun IP-adres wijzigen zonder opnieuw een beveiligingskoppeling met de VPN-server te maken. Met Inschakelen (standaard) wordt MOBIKE ingeschakeld, waardoor VPN-verbindingen kunnen worden verbeterd wanneer u tussen netwerken reist. Met Uitschakelen wordt MOBIKE uitgeschakeld.
Omleiding: schakel (standaard) om de IKEv2-verbinding om als er een omleidingsaanvraag van de VPN-server wordt ontvangen. Met Uitschakelen voorkomt u dat de IKEv2-verbinding wordt omgeleid als er een omleidingsaanvraag wordt ontvangen van de VPN-server.
Maximale transmissie-eenheid: Voer de maximale transmissie-eenheid (MTU) in bytes in, van 1-65536. Wanneer deze instelling is ingesteld op Niet geconfigureerd of leeg blijft, wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Apple kan deze waarde standaard instellen op 1280.
Deze instelling is van toepassing op:
- iOS/iPadOS 14 en hoger
Parameters voor beveiligingskoppelingen: voer de parameters in die moeten worden gebruikt bij het maken van beveiligingskoppelingen met de VPN-server:
Versleutelingsalgoritmen: selecteer het gewenste algoritme:
- DES
- 3DES
- AES-128
- AES-256 (standaard)
- AES-128-GCM
- AES-256-GCM
Opmerking
Als u het versleutelingsalgoritmen instelt op
AES-128-GCM
ofAES-256-GCM
, wordt deAES-256
standaardwaarde gebruikt. Dit is een bekend probleem en wordt opgelost in een toekomstige release. Er is geen ETA.Integriteitsalgoritmen: selecteer het gewenste algoritme:
- SHA1-96
- SHA1-160
- SHA2-256 (standaard)
- SHA2-384
- SHA2-512
Diffie-Hellman-groep: selecteer de gewenste groep. De standaardwaarde is groep
2
.Levensduur (minuten): voer in hoe lang de beveiligingskoppeling actief blijft totdat de sleutels worden geroteerd. Voer een hele waarde in tussen
10
en1440
(1440 minuten is 24 uur). De standaardwaarde is1440
.
Parameters voor onderliggende beveiligingskoppelingen: met iOS/iPadOS kunt u afzonderlijke parameters configureren voor de IKE-verbinding en eventuele onderliggende verbindingen. Voer de parameters in die worden gebruikt bij het maken van onderliggende beveiligingskoppelingen met de VPN-server:
Versleutelingsalgoritmen: selecteer het gewenste algoritme:
- DES
- 3DES
- AES-128
- AES-256 (standaard)
- AES-128-GCM
- AES-256-GCM
Opmerking
Als u het versleutelingsalgoritmen instelt op
AES-128-GCM
ofAES-256-GCM
, wordt deAES-256
standaardwaarde gebruikt. Dit is een bekend probleem en wordt opgelost in een toekomstige release. Er is geen ETA.
Integriteitsalgoritmen: selecteer het gewenste algoritme:
- SHA1-96
- SHA1-160
- SHA2-256 (standaard)
- SHA2-384
- SHA2-512
Configureer ook:
-
Diffie-Hellman-groep: selecteer de gewenste groep. De standaardwaarde is groep
2
. -
Levensduur (minuten): voer in hoe lang de beveiligingskoppeling actief blijft totdat de sleutels worden geroteerd. Voer een hele waarde in tussen
10
en1440
(1440 minuten is 24 uur). De standaardwaarde is1440
.
Automatische VPN
Type automatische VPN: selecteer het VPN-type dat u wilt configureren: VPN op aanvraag of VPN per app. Zorg ervoor dat u slechts één optie gebruikt. Als u beide tegelijk gebruikt, veroorzaakt u verbindingsproblemen.
Niet geconfigureerd (standaard): deze instelling wordt niet gewijzigd of bijgewerkt in Intune.
VPN op aanvraag: VPN op aanvraag maakt gebruik van regels om automatisch verbinding te maken of de VPN-verbinding te verbreken. Wanneer uw apparaten verbinding proberen te maken met het VPN, wordt gezocht naar overeenkomsten in de parameters en regels die u maakt, zoals een overeenkomende domeinnaam. Als er een overeenkomst is, wordt de actie die u kiest uitgevoerd.
U kunt bijvoorbeeld een voorwaarde maken waarbij de VPN-verbinding alleen wordt gebruikt wanneer een apparaat niet is verbonden met een bedrijf Wi-Fi netwerk. Of als een apparaat geen toegang heeft tot een DNS-zoekdomein dat u invoert, wordt de VPN-verbinding niet gestart.
Regels> op aanvraagToevoegen: selecteer Toevoegen om een regel toe te voegen. Als er geen bestaande VPN-verbinding is, gebruikt u deze instellingen om een regel op aanvraag te maken. Als er een overeenkomst is met uw regel, voert het apparaat de actie uit die u selecteert.
Ik wil het volgende doen: Als er een overeenkomst is tussen de waarde van het apparaat en uw regel op aanvraag, selecteert u de actie die u op het apparaat wilt uitvoeren. Uw opties:
VPN tot stand brengen: als er een overeenkomst is tussen de waarde van het apparaat en uw regel op aanvraag, maakt het apparaat verbinding met de VPN.
VPN verbreken: als er een overeenkomst is tussen de waarde van het apparaat en uw regel op aanvraag, wordt de VPN-verbinding verbroken.
Elke verbindingspoging evalueren: als er een overeenkomst is tussen de waarde van het apparaat en uw regel op aanvraag, gebruikt u de instelling Kiezen of u verbinding wilt maken om te bepalen wat er gebeurt voor elke VPN-verbindingspoging:
Verbinding maken indien nodig: als het apparaat zich in een intern netwerk bevindt of als er al een tot stand gebrachte VPN-verbinding met het interne netwerk is, maakt de ON-demand VPN geen verbinding. Deze instellingen worden niet gebruikt.
Als er geen bestaande VPN-verbinding is, bepaalt u voor elke VPN-verbindingspoging of gebruikers verbinding moeten maken met behulp van een DNS-domeinnaam. Deze regel is alleen van toepassing op domeinen in de lijst Wanneer gebruikers toegang proberen te krijgen tot deze domeinen . Alle andere domeinen worden genegeerd.
Wanneer gebruikers toegang proberen te krijgen tot deze domeinen: voer een of meer DNS-domeinen in, zoals
contoso.com
. Als gebruikers verbinding proberen te maken met een domein in deze lijst, gebruikt het apparaat DNS om de domeinen die u invoert om te lossen. Als het domein niet wordt omgezet, wat betekent dat het geen toegang heeft tot interne resources, maakt het verbinding met de VPN on-demand. Als het domein wordt opgelost, wat betekent dat het al toegang heeft tot interne resources, maakt het geen verbinding met het VPN.Opmerking
Als de instelling Wanneer gebruikers toegang proberen te krijgen tot deze domeinen leeg is, gebruikt het apparaat de DNS-servers die zijn geconfigureerd op de netwerkverbindingsservice (Wi-Fi/ethernet) om het domein op te lossen. Het idee is dat deze DNS-servers openbare servers zijn.
De domeinen in de lijst Wanneer gebruikers toegang proberen te krijgen tot deze domeinen , zijn interne resources. Interne resources bevinden zich niet op openbare DNS-servers en kunnen niet worden omgezet. Het apparaat maakt dus verbinding met de VPN. Het domein wordt nu omgezet met behulp van de DNS-servers van de VPN-verbinding en de interne resource is beschikbaar.
Als het apparaat zich in het interne netwerk bevindt, wordt het domein omgezet en wordt er geen VPN-verbinding gemaakt omdat het interne domein al beschikbaar is. U wilt geen VPN-resources verspillen op apparaten die zich al in het interne netwerk bevinden.
Als de instelling Wanneer gebruikers toegang proberen te krijgen tot deze domeinen is ingevuld, worden de DNS-servers in deze lijst gebruikt om de domeinen in de lijst om te zetten.
Het idee is het tegenovergestelde van het eerste opsommingsteken (wanneer gebruikers toegang proberen te krijgen tot deze domeinen is de instelling leeg). De lijst Wanneer gebruikers toegang proberen te krijgen tot deze domeinen bevat bijvoorbeeld interne DNS-servers. Een apparaat in een extern netwerk kan niet worden gerouteerd naar de interne DNS-servers. Er is een time-out voor de naamomzetting en het apparaat maakt on-demand verbinding met de VPN. Nu zijn de interne resources beschikbaar.
Onthoud dat deze informatie alleen van toepassing is op domeinen in de lijst Wanneer gebruikers toegang proberen te krijgen tot deze domeinen . Alle andere domeinen worden omgezet met openbare DNS-servers. Wanneer het apparaat is verbonden met het interne netwerk, zijn de DNS-servers in de lijst toegankelijk en hoeft u geen verbinding te maken met het VPN.
Gebruik de volgende DNS-servers om deze domeinen om te lossen (optioneel): voer een of meer IP-adressen van de DNS-server in, zoals
10.0.0.22
. De DNS-servers die u invoert, worden gebruikt om de domeinen op te lossen in de instelling Wanneer gebruikers toegang proberen te krijgen tot deze domeinen .Wanneer deze URL onbereikbaar is, maakt u geforceerd verbinding met het VPN: optioneel. Voer een HTTP- of HTTPS-test-URL in die de regel als test gebruikt. Voer bijvoorbeeld in
https://probe.Contoso.com
. Deze URL wordt steeds getest wanneer een gebruiker toegang probeert te krijgen tot een domein in de instelling Wanneer gebruikers toegang proberen te krijgen tot deze domeinen . De gebruiker ziet de url-tekenreekstestsite niet.Als de test mislukt omdat de URL onbereikbaar is of geen 200 HTTP-statuscode retourneert, maakt het apparaat verbinding met het VPN.
Het idee is dat de URL alleen toegankelijk is op het interne netwerk. Als de URL kan worden geopend, is er geen VPN-verbinding nodig. Als de URL niet kan worden geopend, bevindt het apparaat zich in een extern netwerk en maakt het on-demand verbinding met de VPN. Zodra de VPN-verbinding tot stand is gebracht, zijn er interne resources beschikbaar.
Nooit verbinding maken: wanneer gebruikers bij elke poging tot vpn-verbinding toegang proberen te krijgen tot de domeinen die u invoert, maakt het apparaat nooit verbinding met het VPN.
-
Wanneer gebruikers toegang proberen te krijgen tot deze domeinen: voer een of meer DNS-domeinen in, zoals
contoso.com
. Als gebruikers verbinding proberen te maken met een domein in deze lijst, wordt er geen VPN-verbinding gemaakt. Als ze verbinding proberen te maken met een domein dat niet in deze lijst staat, maakt het apparaat verbinding met de VPN.
-
Wanneer gebruikers toegang proberen te krijgen tot deze domeinen: voer een of meer DNS-domeinen in, zoals
Negeren: als er een overeenkomst is tussen de waarde van het apparaat en uw regel op aanvraag, wordt een VPN-verbinding genegeerd.
Ik wil beperken tot: Als u in de instelling Ik wil de volgende instelling uitvoeren , selecteert u VPN instellen, VPN verbreken of Negeren en selecteert u vervolgens de voorwaarde waaraan de regel moet voldoen. Uw opties:
-
Specifieke SSID's: voer een of meer namen van draadloze netwerken in waarop de regel van toepassing is. Deze netwerknaam is de SSID (Service Set Identifier). Voer bijvoorbeeld in
Contoso VPN
. -
Specifieke zoekdomeinen: voer een of meer DNS-domeinen in waarop de regel van toepassing is. Voer bijvoorbeeld in
contoso.com
. - Alle domeinen: selecteer deze optie om uw regel toe te passen op alle domeinen in uw organisatie.
-
Specifieke SSID's: voer een of meer namen van draadloze netwerken in waarop de regel van toepassing is. Deze netwerknaam is de SSID (Service Set Identifier). Voer bijvoorbeeld in
Maar alleen als deze URL-test slaagt: optioneel. Voer een URL in die door de regel wordt gebruikt als test. Voer bijvoorbeeld in
https://probe.Contoso.com
. Als het apparaat deze URL zonder omleiding opent, wordt de VPN-verbinding gestart. En het apparaat maakt verbinding met de doel-URL. De gebruiker ziet de url-tekenreekstestsite niet.De URL test bijvoorbeeld de mogelijkheid van de VPN om verbinding te maken met een site voordat het apparaat via de VPN verbinding maakt met de doel-URL.
Gebruikers blokkeren om automatische VPN uit te schakelen: Uw opties:
- Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij.
- Ja: Hiermee voorkomt u dat gebruikers automatische VPN uitschakelen. Het dwingt gebruikers om de automatische VPN ingeschakeld en actief te houden.
- Nee: hiermee kunnen gebruikers automatische VPN uitschakelen.
Deze instelling is van toepassing op:
- iOS 14 en hoger
- iPadOS 14 en hoger
VPN per app: hiermee schakelt u VPN per app in door deze VPN-verbinding te koppelen aan een specifieke app. Wanneer de app wordt uitgevoerd, wordt de VPN-verbinding gestart. U kunt het VPN-profiel koppelen aan een app wanneer u de app-software of het programma toewijst. Zie Apps toewijzen en bewaken voor meer informatie.
VPN per app wordt niet ondersteund voor een IKEv2-verbinding. Zie VPN per app instellen voor iOS-/iPadOS-apparaten voor meer informatie.
Providertype: alleen beschikbaar voor Pulse Secure en Aangepaste VPN.
Wanneer u VPN-profielen per app gebruikt met Pulse Secure of een aangepaste VPN, kiest u app-layer tunneling (app-proxy) of tunneling op pakketniveau (pakkettunnel):
- app-proxy: selecteer deze optie voor tunneling in app-lagen.
- packet-tunnel: selecteer deze optie voor tunneling in pakketlagen.
Als u niet zeker weet welke optie u moet gebruiken, raadpleegt u de documentatie van uw VPN-provider.
Safari-URL's die deze VPN activeren: voeg een of meer website-URL's toe. Wanneer deze URL's worden bezocht met behulp van de Safari-browser op het apparaat, wordt de VPN-verbinding automatisch tot stand gebracht. Voer bijvoorbeeld in
contoso.com
.Gekoppelde domeinen: voer gekoppelde domeinen in het VPN-profiel in voor gebruik met deze VPN-verbinding.
Zie gekoppelde domeinen voor meer informatie.
Uitgesloten domeinen: voer domeinen in die de VPN-verbinding kunnen omzeilen wanneer vpn per app is verbonden. Voer bijvoorbeeld in
contoso.com
. Verkeer naar hetcontoso.com
domein maakt gebruik van het openbare internet, zelfs als de VPN is verbonden.Gebruikers blokkeren om automatische VPN uit te schakelen: Uw opties:
- Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij.
- Ja: hiermee voorkomt u dat gebruikers de wisselknop Verbinding maken op aanvraag uitschakelen in de instellingen van het VPN-profiel. Het dwingt gebruikers om VPN- of on-demandregels per app ingeschakeld en actief te houden.
- Nee: hiermee kunnen gebruikers de wisselknop Verbinding maken op aanvraag uitschakelen, waardoor VPN-verbindingen per app en regels op aanvraag worden uitgeschakeld.
Deze instelling is van toepassing op:
- iOS 14 en hoger
- iPadOS 14 en hoger
VPN per app
Deze instellingen zijn van toepassing op de volgende VPN-verbindingstypen:
- Microsoft Tunnel
Instellingen:
VPN per app: Met Inschakelen wordt een specifieke app gekoppeld aan deze VPN-verbinding. Wanneer de app wordt uitgevoerd, wordt het verkeer automatisch gerouteerd via de VPN-verbinding. U kunt het VPN-profiel koppelen aan een app wanneer u de software toewijst. Zie Apps toewijzen en bewaken voor meer informatie.
Zie Microsoft Tunnel voor Intune voor meer informatie.
Safari-URL's die deze VPN activeren: voeg een of meer website-URL's toe. Wanneer deze URL's worden bezocht met behulp van de Safari-browser op het apparaat, wordt de VPN-verbinding automatisch tot stand gebracht. Voer bijvoorbeeld in
contoso.com
.Gekoppelde domeinen: voer gekoppelde domeinen in het VPN-profiel in voor gebruik met deze VPN-verbinding.
Zie gekoppelde domeinen voor meer informatie.
Uitgesloten domeinen: voer domeinen in die de VPN-verbinding kunnen omzeilen wanneer vpn per app is verbonden. Voer bijvoorbeeld in
contoso.com
. Verkeer naar hetcontoso.com
domein maakt gebruik van het openbare internet, zelfs als de VPN is verbonden.
Proxy
Als u een proxy gebruikt, configureert u de volgende instellingen.
-
Automatisch configuratiescript: gebruik een bestand om de proxyserver te configureren. Voer de URL van de proxyserver in die het configuratiebestand bevat. Voer bijvoorbeeld in
http://proxy.contoso.com/pac
. -
Adres: voer het IP-adres of de volledig gekwalificeerde hostnaam van de proxyserver in. Voer bijvoorbeeld of
vpn.contoso.com
in10.0.0.3
. -
Poortnummer: voer het poortnummer in dat is gekoppeld aan de proxyserver. Voer bijvoorbeeld in
8080
.
Volgende stappen
Het profiel is gemaakt, maar doet mogelijk nog niets. Zorg ervoor dat u het profiel toewijst en de status ervan bewaakt.
VPN-instellingen configureren op Android-, Android Enterprise-, macOS- en Windows-apparaten .