Inställningar för Android Enterprise-enheter för att konfigurera VPN i Intune

Den här artikeln beskriver de olika VPN-anslutningsinställningar som du kan styra på Android Enterprise-enheter. Som en del av din MDM-lösning (hantering av mobila enheter) använder du de här inställningarna för att skapa en VPN-anslutning, väljer hur VPN-autentiseringen ska autentiseras, väljer en VPN-servertyp med mera.

Den här funktionen gäller för:

• Personligt ägda Android Enterprise-enheter med en arbetsprofil (BYOD)
• Android Enterprise företagsägd arbetsprofil (COPE)
• Fullständigt hanterad Android Enterprise-företagsägd (COBO)
• Företagsägda Android Enterprise-enheter (COSU)

Som Intune-administratör kan du skapa och tilldela VPN-inställningar till Android Enterprise-enheter. Mer information om VPN-profiler i Intune finns i VPN-profiler.

Obs!

För att konfigurera always-on VPN måste du skapa en VPN-profil och även skapa en profil för enhetsbegränsningar med inställningen Always-on VPN konfigurerad.

Innan du börjar

• Skapa en konfigurationsprofil för Android Enterprise VPN-enheter:

  • Fullständigt hanterad, dedikerad och företagsägd arbetsprofil
  • Personligt ägd arbetsprofil

• Vissa Microsoft 365-tjänster, till exempel Outlook, kanske inte fungerar bra med hjälp av vpn-nätverk från tredje part eller partner. Om du använder en vpn-anslutning från tredje part eller partner och får problem med svarstid eller prestanda tar du bort VPN-anslutningen.

  Om du löser problemet genom att ta bort VPN kan du:

  • Arbeta med tredje part eller partner-VPN för möjliga lösningar. Microsoft tillhandahåller inte teknisk support för vpn-nätverk från tredje part eller partner.
  • Använd inte ett VPN med Outlook-trafik.
  • Om du behöver använda ett VPN använder du ett VPN med delad tunnel. Och tillåt att Outlook-trafiken kringgår VPN-anslutningen.

  Mer information finns i:

  • Översikt: DELADE VPN-tunnlar för Microsoft 365
  • Använda nätverksenheter eller lösningar från tredje part med Microsoft 365
  • Alternativa sätt för säkerhetspersonal och IT-personal att uppnå moderna säkerhetskontroller i dagens unika blogg om fjärrarbetsscenarier
  • Microsoft 365 principer för nätverksanslutningar

• Om du behöver dessa enheter för att få åtkomst till lokala resurser med modern autentisering och villkorsstyrd åtkomst kan du använda Microsoft Tunnel, som stöder delade tunnlar.

Fullständigt hanterad, dedikerad och Corporate-Owned arbetsprofil

• Anslutningstyp: Välj VPN-anslutningstyp. Dina alternativ:

  • Cisco AnyConnect
  • SonicWall Mobile Connect
  • F5-åtkomst
  • Pulse Secure
  • Microsoft Tunnel (stöds inte på dedikerade Android Enterprise-enheter.)

Vilka inställningar som är tillgängliga beror på vilken VPN-klient du väljer. Vissa inställningar är bara tillgängliga för specifika VPN-klienter.

Bas-VPN (fullständigt hanterad, dedikerad och företagsägd arbetsprofil)

• Anslutningsnamn: Ange ett namn för den här anslutningen. Slutanvändarna ser det här namnet när de söker efter tillgängliga VPN-anslutningar på enheten. Ange till exempel Contoso VPN.

• VPN-serveradress eller FQDN: Ange IP-adressen eller det fullständiga domännamnet (FQDN) för VPN-servern som enheterna ansluter till. Ange till exempel 192.168.1.1 eller vpn.contoso.com.

• Autentiseringsmetod: Välj hur enheter ska autentiseras mot VPN-servern. Dina alternativ:

  • Certifikat: Välj en befintlig SCEP- eller PKCS-certifikatprofil för att autentisera anslutningen. Konfigurera certifikat visar stegen för att skapa en certifikatprofil.

  • Användarnamn och lösenord: När slutanvändare loggar in på VPN-servern uppmanas de att ange sitt användarnamn och lösenord.

  • Härledd autentiseringsuppgift: Använd ett certifikat som härleds från en användares smartkort. Om ingen utfärdare av härledda autentiseringsuppgifter har konfigurerats uppmanar Intune dig att lägga till en.

    Mer information finns i Använda härledda autentiseringsuppgifter i Intune.

• Ange nyckel- och värdepar för NetMotion Mobility VPN-attributen: Lägg till eller importera nycklar och värden som anpassar VPN-anslutningen. Dessa värden tillhandahålls vanligtvis av VPN-providern.

• Microsoft Tunnel-plats (endast Microsoft Tunnel): Välj en befintlig plats. VPN-klienten ansluter till den offentliga IP-adressen eller FQDN för den här webbplatsen.

  Mer information finns i Microsoft Tunnel för Intune.

Per app-VPN (fullständigt hanterad, dedikerad och företagsägd arbetsprofil)

• Lägg till: Välj hanterade appar i listan. När användarna startar apparna som du lägger till dirigeras trafiken automatiskt via VPN-anslutningen.

Mer information finns i Använda en VPN- och per app-VPN-princip på Android Enterprise-enheter.

Always-on VPN (fullständigt hanterad, dedikerad och företagsägd arbetsprofil)

• Always-on VPN: Aktivera aktiverar always-on VPN så att VPN-klienter automatiskt ansluter och återansluter till VPN när det är möjligt. När intune har angetts till Inte konfigurerat ändras eller uppdateras inte den här inställningen. Som standard kan always-on VPN inaktiveras för alla VPN-klienter.

  Endast en VPN-klient kan konfigureras för always-on VPN på en enhet. Se till att inte ha fler än en VPN-princip som alltid är aktiverad distribuerad till en enda enhet.

Proxy (fullständigt hanterad, dedikerad och företagsägd arbetsprofil)

• Automatiskt konfigurationsskript: Använd en fil för att konfigurera proxyservern. Ange den proxyserver-URL som innehåller konfigurationsfilen. Ange till exempel http://proxy.contoso.com/pac.
• Adress: Ange IP-adressen eller det fullständigt kvalificerade värdnamnet för proxyservern. Ange till exempel 10.0.0.3 eller vpn.contoso.com.
• Portnummer: Ange det portnummer som är associerat med proxyservern. Ange till exempel 8080.

Personligt ägd arbetsprofil

• Anslutningstyp: Välj VPN-anslutningstyp. Dina alternativ:

  • Check Point Capsule VPN

  • Cisco AnyConnect

    Obs!

    Med Cisco AnyConnect i den personligt ägda arbetsprofilen kan det finnas några extra steg för slutanvändarna att slutföra VPN-anslutningen. Mer information finns i VPN-profiler – Hur lyckade VPN-profiler ser ut.

  • SonicWall Mobile Connect

  • F5-åtkomst

  • Pulse Secure

  • NetMotion Mobility

  • Microsoft Tunnel

Vilka inställningar som är tillgängliga beror på vilken VPN-klient du väljer. Vissa inställningar är bara tillgängliga för specifika VPN-klienter.

Grundläggande VPN (personligt ägd arbetsprofil)

• Anslutningsnamn: Ange ett namn för den här anslutningen. Slutanvändarna ser det här namnet när de söker efter tillgängliga VPN-anslutningar på enheten. Ange till exempel Contoso VPN.

• VPN-serveradress: Ange IP-adressen eller det fullständiga domännamnet (FQDN) för VPN-servern som enheterna ansluter till. Ange till exempel 192.168.1.1 eller vpn.contoso.com.

• Autentiseringsmetod: Välj hur enheter ska autentiseras mot VPN-servern. Dina alternativ:

  • Certifikat: Välj en befintlig SCEP- eller PKCS-certifikatprofil för att autentisera anslutningen. Konfigurera certifikat visar stegen för att skapa en certifikatprofil.

  • Användarnamn och lösenord: När slutanvändare loggar in på VPN-servern uppmanas de att ange sitt användarnamn och lösenord.

  • Härledd autentiseringsuppgift: Använd ett certifikat som härleds från en användares smartkort. Om ingen utfärdare av härledda autentiseringsuppgifter har konfigurerats uppmanar Intune dig att lägga till en.

    Mer information finns i Använda härledda autentiseringsuppgifter i Intune.

• Fingeravtryck (endast Check Point Capsule VPN): Ange den fingeravtryckssträng som VPN-leverantören ger dig, till exempel Contoso Fingerprint Code. Det här fingeravtrycket verifierar att VPN-servern kan vara betrodd.

  Vid autentisering skickas ett fingeravtryck till klienten så att klienten vet att den litar på alla servrar som har samma fingeravtryck. Om enheten inte har fingeravtrycket uppmanas användaren att lita på VPN-servern när fingeravtrycket visas. Användaren verifierar fingeravtrycket manuellt och väljer att lita på att ansluta.

• Ange nyckel- och värdepar för NetMotion Mobility VPN-attributen: Lägg till eller importera nycklar och värden som anpassar VPN-anslutningen. Dessa värden tillhandahålls vanligtvis av VPN-providern.

• Microsoft Tunnel-plats (endast Microsoft Tunnel): Välj en befintlig plats. VPN-klienten ansluter till den offentliga IP-adressen eller FQDN för den här webbplatsen.

  Mer information finns i Microsoft Tunnel för Intune.

Per app-VPN (personligt ägd arbetsprofil)

• Lägg till: Välj hanterade appar i listan. När användarna startar apparna som du lägger till dirigeras trafiken automatiskt via VPN-anslutningen.

Mer information finns i Använda en VPN- och per app-VPN-princip på Android Enterprise-enheter.

Always-on VPN (personligt ägd arbetsprofil)

• Always-on VPN: Aktivera aktiverar always-on VPN så att VPN-klienter automatiskt ansluter och återansluter till VPN när det är möjligt. När intune har angetts till Inte konfigurerat ändras eller uppdateras inte den här inställningen. Som standard kan always-on VPN inaktiveras för alla VPN-klienter.

  Endast en VPN-klient kan konfigureras för always-on VPN på en enhet. Se till att inte ha fler än en VPN-princip som alltid är aktiverad distribuerad till en enda enhet.

Proxy (personligt ägd arbetsprofil)

• Automatiskt konfigurationsskript: Använd en fil för att konfigurera proxyservern. Ange den proxyserver-URL som innehåller konfigurationsfilen. Ange till exempel http://proxy.contoso.com/pac.
• Adress: Ange IP-adressen eller det fullständigt kvalificerade värdnamnet för proxyservern. Ange till exempel 10.0.0.3 eller vpn.contoso.com.
• Portnummer: Ange det portnummer som är associerat med proxyservern. Ange till exempel 8080.

Nästa steg

Tilldela profilen och övervaka dess status.

Du kan också skapa VPN-profiler för Android-enhetsadministratör, iOS/iPadOS, macOS och Windows 10 och senare.

Felsöka problem med VPN-profil i Microsoft Intune