Android Enterprise-apparaatinstellingen voor het configureren van VPN in Intune

  • Artikel

In dit artikel worden de verschillende VPN-verbindingsinstellingen beschreven die u kunt beheren op Android Enterprise-apparaten. Als onderdeel van uw MDM-oplossing (Mobile Device Management) gebruikt u deze instellingen om een VPN-verbinding te maken, te kiezen hoe de VPN wordt geverifieerd, een VPN-servertype te selecteren en meer.

Deze functie is van toepassing op:

  • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel (BYOD)
  • Android Enterprise-werkprofiel in bedrijfseigendom (COPE)
  • Volledig beheerd door Android Enterprise (COBO) in bedrijfseigendom
  • Toegewezen Android Enterprise-apparaten in bedrijfseigendom (COSU)

Als Intune-beheerder kunt u VPN-instellingen maken en toewijzen aan Android Enterprise-apparaten. Zie VPN-profielen voor meer informatie over VPN-profielen in Intune.

Opmerking

Als u always-on VPN wilt configureren, moet u een VPN-profiel maken en ook een profiel voor apparaatbeperkingen maken met de instelling Always-on VPN geconfigureerd.

Voordat u begint

Volledig beheerd, toegewezen en Corporate-Owned werkprofiel

  • Verbindingstype: selecteer het TYPE VPN-verbinding. Uw opties:

    • Cisco AnyConnect
    • SonicWall Mobile Connect
    • F5-toegang
    • Pulse Secure
    • Microsoft Tunnel (niet ondersteund op toegewezen Android Enterprise-apparaten.)

De beschikbare instellingen zijn afhankelijk van de VPN-client die u kiest. Sommige instellingen zijn alleen beschikbaar voor specifieke VPN-clients.

Basis-VPN (volledig beheerd, toegewezen en werkprofiel in bedrijfseigendom)

  • Verbindingsnaam: voer een naam in voor deze verbinding. Eindgebruikers zien deze naam wanneer ze op hun apparaat naar de beschikbare VPN-verbindingen bladeren. Voer bijvoorbeeld in Contoso VPN.

  • VPN-serveradres of FQDN: voer het IP-adres of de FQDN-naam (Fully Qualified Domain Name) in van de VPN-server waarmee apparaten verbinding maken. Voer bijvoorbeeld of vpn.contoso.comin192.168.1.1.

  • Verificatiemethode: kies hoe apparaten worden geverifieerd bij de VPN-server. Uw opties:

    • Certificaten: selecteer een bestaand SCEP- of PKCS-certificaatprofiel om de verbinding te verifiëren. Certificaten configureren bevat de stappen voor het maken van een certificaatprofiel.

    • Gebruikersnaam en wachtwoord: wanneer eindgebruikers zich aanmelden bij de VPN-server, worden ze gevraagd hun gebruikersnaam en wachtwoord in te voeren.

    • Afgeleide referentie: gebruik een certificaat dat is afgeleid van de smartcard van een gebruiker. Als er geen verlener van afgeleide referenties is geconfigureerd, wordt u door Intune gevraagd er een toe te voegen.

      Zie Afgeleide referenties gebruiken in Intune voor meer informatie.

  • Voer sleutel- en waardeparen in voor de Kenmerken van netMotion Mobility VPN: Sleutels enwaarden toevoegen of importeren waarmee uw VPN-verbinding wordt aangepast. Deze waarden worden doorgaans geleverd door uw VPN-provider.

  • Microsoft Tunnel-site (alleen Microsoft Tunnel): selecteer een bestaande site. De VPN-client maakt verbinding met het openbare IP-adres of de FQDN van deze site.

    Zie Microsoft Tunnel voor Intune voor meer informatie.

VPN per app (volledig beheerd, toegewezen en werkprofiel in bedrijfseigendom)

  • Toevoegen: selecteer beheerde apps in de lijst. Wanneer gebruikers de apps starten die u toevoegt, wordt het verkeer automatisch gerouteerd via de VPN-verbinding.

Zie Vpn- en VPN-beleid per app gebruiken op Android Enterprise-apparaten voor meer informatie.

Always-on VPN (volledig beheerd, toegewezen en werkprofiel in bedrijfseigendom)

  • Always-on VPN: Inschakelen schakelt always-on VPN in, zodat VPN-clients automatisch verbinding maken en waar mogelijk opnieuw verbinding maken met het VPN. Wanneer deze instelling is ingesteld op Niet geconfigureerd, wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is altijd ingeschakelde VPN mogelijk uitgeschakeld voor alle VPN-clients.

    Er kan slechts één VPN-client worden geconfigureerd voor always-on VPN op een apparaat. Zorg ervoor dat niet meer dan één always-on VPN-beleid is geïmplementeerd op één apparaat.

Proxy (volledig beheerd, toegewezen werkprofiel en werkprofiel in bedrijfseigendom)

  • Automatisch configuratiescript: gebruik een bestand om de proxyserver te configureren. Voer de URL van de proxyserver in die het configuratiebestand bevat. Voer bijvoorbeeld in http://proxy.contoso.com/pac.
  • Adres: voer het IP-adres of de volledig gekwalificeerde hostnaam van de proxyserver in. Voer bijvoorbeeld of vpn.contoso.comin10.0.0.3.
  • Poortnummer: voer het poortnummer in dat is gekoppeld aan de proxyserver. Voer bijvoorbeeld in 8080.

Werkprofiel in persoonlijk eigendom

  • Verbindingstype: selecteer het TYPE VPN-verbinding. Uw opties:

    • Check Point Capsule VPN

    • Cisco AnyConnect

      Opmerking

      Met Cisco AnyConnect in het werkprofiel in persoonlijk eigendom zijn er mogelijk enkele extra stappen voor eindgebruikers om de VPN-verbinding te voltooien. Ga voor meer informatie naar VPN-profielen - Hoe geslaagde VPN-profielen eruitzien.

    • SonicWall Mobile Connect

    • F5-toegang

    • Pulse Secure

    • NetMotion Mobility

    • Microsoft Tunnel

De beschikbare instellingen zijn afhankelijk van de VPN-client die u kiest. Sommige instellingen zijn alleen beschikbaar voor specifieke VPN-clients.

Basis-VPN (werkprofiel in persoonlijk eigendom)

  • Verbindingsnaam: voer een naam in voor deze verbinding. Eindgebruikers zien deze naam wanneer ze op hun apparaat naar de beschikbare VPN-verbindingen bladeren. Voer bijvoorbeeld in Contoso VPN.

  • VPN-serveradres: voer het IP-adres of FQDN (Fully Qualified Domain Name) in van de VPN-server waarmee apparaten verbinding maken. Voer bijvoorbeeld of vpn.contoso.comin192.168.1.1.

  • Verificatiemethode: kies hoe apparaten worden geverifieerd bij de VPN-server. Uw opties:

    • Certificaten: selecteer een bestaand SCEP- of PKCS-certificaatprofiel om de verbinding te verifiëren. Certificaten configureren bevat de stappen voor het maken van een certificaatprofiel.

    • Gebruikersnaam en wachtwoord: wanneer eindgebruikers zich aanmelden bij de VPN-server, worden ze gevraagd hun gebruikersnaam en wachtwoord in te voeren.

    • Afgeleide referentie: gebruik een certificaat dat is afgeleid van de smartcard van een gebruiker. Als er geen verlener van afgeleide referenties is geconfigureerd, wordt u door Intune gevraagd er een toe te voegen.

      Zie Afgeleide referenties gebruiken in Intune voor meer informatie.

  • Vingerafdruk (alleen Check Point Capsule VPN): voer de vingerafdruktekenreeks in die u hebt gekregen van de VPN-leverancier, zoals Contoso Fingerprint Code. Met deze vingerafdruk wordt gecontroleerd of de VPN-server kan worden vertrouwd.

    Tijdens het verifiëren wordt een vingerafdruk naar de client verzonden, zodat de client weet dat elke server met dezelfde vingerafdruk wordt vertrouwd. Als het apparaat geen vingerafdruk heeft, wordt de gebruiker gevraagd de VPN-server te vertrouwen terwijl de vingerafdruk wordt weergegeven. De gebruiker controleert de vingerafdruk handmatig en kiest ervoor om te vertrouwen om verbinding te maken.

  • Voer sleutel- en waardeparen in voor de Kenmerken van netMotion Mobility VPN: Sleutels enwaarden toevoegen of importeren waarmee uw VPN-verbinding wordt aangepast. Deze waarden worden doorgaans geleverd door uw VPN-provider.

  • Microsoft Tunnel-site (alleen Microsoft Tunnel): selecteer een bestaande site. De VPN-client maakt verbinding met het openbare IP-adres of de FQDN van deze site.

    Zie Microsoft Tunnel voor Intune voor meer informatie.

VPN per app (werkprofiel in persoonlijk eigendom)

  • Toevoegen: selecteer beheerde apps in de lijst. Wanneer gebruikers de apps starten die u toevoegt, wordt het verkeer automatisch gerouteerd via de VPN-verbinding.

Zie Vpn- en VPN-beleid per app gebruiken op Android Enterprise-apparaten voor meer informatie.

Always-on VPN (werkprofiel in persoonlijk eigendom)

  • Always-on VPN: Inschakelen schakelt always-on VPN in, zodat VPN-clients automatisch verbinding maken en waar mogelijk opnieuw verbinding maken met het VPN. Wanneer deze instelling is ingesteld op Niet geconfigureerd, wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is altijd ingeschakelde VPN mogelijk uitgeschakeld voor alle VPN-clients.

    Er kan slechts één VPN-client worden geconfigureerd voor always-on VPN op een apparaat. Zorg ervoor dat niet meer dan één always-on VPN-beleid is geïmplementeerd op één apparaat.

Proxy (werkprofiel in persoonlijk eigendom)

  • Automatisch configuratiescript: gebruik een bestand om de proxyserver te configureren. Voer de URL van de proxyserver in die het configuratiebestand bevat. Voer bijvoorbeeld in http://proxy.contoso.com/pac.
  • Adres: voer het IP-adres of de volledig gekwalificeerde hostnaam van de proxyserver in. Voer bijvoorbeeld of vpn.contoso.comin10.0.0.3.
  • Poortnummer: voer het poortnummer in dat is gekoppeld aan de proxyserver. Voer bijvoorbeeld in 8080.

Volgende stappen

Wijs het profiel toe en controleer de status ervan.

U kunt ook VPN-profielen maken voor Android-apparaatbeheerder, iOS/iPadOS, macOS en Windows 10 en hoger.

Problemen met VPN-profiel in Microsoft Intune oplossen