Lägga till VPN-inställningar på iOS- och iPadOS-enheter i Microsoft Intune

Microsoft Intune innehåller många VPN-inställningar som kan distribueras till dina iOS/iPadOS-enheter. De här inställningarna används för att skapa och konfigurera VPN-anslutningar till organisationens nätverk. I den här artikeln beskrivs de här inställningarna. Vissa inställningar är bara tillgängliga för vissa VPN-klienter, till exempel Citrix, Zscaler med mera.

Den här funktionen gäller för:

• iOS/iPadOS

Innan du börjar

• Skapa en iOS/iPadOS VPN-enhetskonfigurationsprofil.

• Vissa Microsoft 365-tjänster, till exempel Outlook, kanske inte fungerar bra med hjälp av vpn-nätverk från tredje part eller partner. Om du använder en vpn-anslutning från tredje part eller partner och får problem med svarstid eller prestanda tar du bort VPN-anslutningen.

  Om du löser problemet genom att ta bort VPN kan du:

  • Arbeta med tredje part eller partner-VPN för möjliga lösningar. Microsoft tillhandahåller inte teknisk support för vpn-nätverk från tredje part eller partner.
  • Använd inte ett VPN med Outlook-trafik.
  • Om du behöver använda ett VPN använder du ett VPN med delad tunnel. Och tillåt att Outlook-trafiken kringgår VPN-anslutningen.

  Mer information finns i:

  • Översikt: DELADE VPN-tunnlar för Microsoft 365
  • Använda nätverksenheter eller lösningar från tredje part med Microsoft 365
  • Alternativa sätt för säkerhetspersonal och IT-personal att uppnå moderna säkerhetskontroller i dagens unika blogg om fjärrarbetsscenarier
  • Microsoft 365 principer för nätverksanslutningar

• Om du behöver dessa enheter för att få åtkomst till lokala resurser med modern autentisering och villkorsstyrd åtkomst kan du använda Microsoft Tunnel, som stöder delade tunnlar.

Obs!

• De här inställningarna är tillgängliga för alla registreringstyper förutom användarregistrering. Användarregistrering är begränsad till per app-VPN. Mer information om registreringstyper finns i iOS/iPadOS-registrering.

• Vilka inställningar som är tillgängliga beror på vilken VPN-klient du väljer. Vissa inställningar är bara tillgängliga för specifika VPN-klienter.

• De här inställningarna använder Apple VPN-nyttolasten (öppnar Apples webbplats).

Anslutningstyp

Välj VPN-anslutningstyp i följande lista över leverantörer:

• Check Point Capsule VPN

• Cisco Legacy AnyConnect

  Gäller för Cisco Legacy AnyConnect-appversion 4.0.5x och tidigare.

• Cisco AnyConnect

  Gäller för Cisco AnyConnect-appversion 4.0.7x och senare.

• SonicWall Mobile Connect

• F5 Access Legacy

  Gäller för F5 Access-appen version 2.1 och tidigare.

• F5-åtkomst

  Gäller för F5 Access-appversion 3.0 och senare.

• Palo Alto Networks GlobalProtect (äldre)

  Gäller för Palo Alto Networks GlobalProtect-appversion 4.1 och tidigare.

• Palo Alto Networks GlobalProtect

  Gäller för Palo Alto Networks GlobalProtect-appversion 5.0 och senare.

• Pulse Secure

• Cisco (IPSec)

• Citrix VPN

• Citrix SSO

• Zscaler

  Om du vill använda villkorlig åtkomst eller tillåta användare att kringgå Zscaler-inloggningsskärmen måste du integrera Zscaler Private Access (ZPA) med ditt Microsoft Entra-konto. Detaljerade anvisningar finns i Zscaler-dokumentationen.

• NetMotion Mobility

• IKEv2

  IKEv2-inställningar (i den här artikeln) beskriver egenskaperna.

• Microsoft Tunnel

  Gäller för den Microsoft Defender för Endpoint app som innehåller Tunnel-klientfunktioner.

• Anpassad VPN

Obs!

Cisco, Citrix, F5 och Palo Alto har meddelat att deras äldre klienter inte fungerar på iOS 12 och senare. Du bör migrera till de nya apparna så snart som möjligt. Mer information finns i Microsoft Intune supportteamets blogg.

Grundläggande VPN-inställningar

• Anslutningsnamn: Slutanvändarna ser det här namnet när de bläddrar på sin enhet efter en lista över tillgängliga VPN-anslutningar.

• Anpassat domännamn (endast Zscaler): Fyll i Zscaler-appens inloggningsfält i förväg med den domän som användarna tillhör. Om ett användarnamn till exempel är Joe@contoso.netvisas domänen contoso.net statiskt i fältet när appen öppnas. Om du inte anger ett domännamn används domändelen av UPN i Microsoft Entra ID.

• VPN-serveradress: IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för DEN VPN-server som enheterna ansluter till. Ange till exempel 192.168.1.1 eller vpn.contoso.com.

• Organisationens molnnamn (endast Zscaler): Ange det molnnamn där din organisation har etablerats. Den URL som du använder för att logga in på Zscaler har namnet.

• Autentiseringsmetod: Välj hur enheter ska autentiseras mot VPN-servern.

  • Certifikat: Under Autentiseringscertifikat väljer du en befintlig SCEP- eller PKCS-certifikatprofil för att autentisera anslutningen. Konfigurera certifikat ger viss vägledning om certifikatprofiler.

  • Användarnamn och lösenord: Slutanvändare måste ange ett användarnamn och lösenord för att logga in på VPN-servern.

    Obs!

    Om användarnamn och lösenord används som autentiseringsmetod för Cisco IPsec VPN måste de leverera SharedSecret via en anpassad Apple Configurator-profil.

  • Härledd autentiseringsuppgift: Använd ett certifikat som härleds från en användares smartkort. Om ingen utfärdare av härledda autentiseringsuppgifter har konfigurerats uppmanar Intune dig att lägga till en. Mer information finns i Använda härledda autentiseringsuppgifter i Microsoft Intune.

• Exkluderade URL:er (endast Zscaler): När de är anslutna till Zscaler VPN är de listade URL:erna tillgängliga utanför Zscaler-molnet. Du kan lägga till upp till 50 URL:er.

• Delade tunnlar: Aktivera eller Inaktivera för att låta enheter bestämma vilken anslutning som ska användas, beroende på trafiken. En användare på ett hotell använder till exempel VPN-anslutningen för att få åtkomst till arbetsfiler, men använder hotellets standardnätverk för vanlig webbsurfning.

• VPN-identifierare (anpassad VPN, Zscaler och Citrix): En identifierare för VPN-appen som du använder och tillhandahålls av VPN-providern.

• Ange nyckel/värde-par för organisationens anpassade VPN-attribut (anpassad VPN, Zscaler och Citrix): Lägg till eller importera nycklar och värden som anpassar VPN-anslutningen. Kom ihåg att dessa värden vanligtvis tillhandahålls av VPN-providern.

• Aktivera nätverksåtkomstkontroll (NAC) (Cisco AnyConnect, Citrix SSO, F5 Access): När du väljer Jag godkänner inkluderas enhets-ID:t i VPN-profilen. Det här ID:t kan användas för autentisering till VPN för att tillåta eller förhindra nätverksåtkomst.

  När du använder Cisco AnyConnect med ISE måste du:

  • Om du inte redan har gjort det integrerar du ISE med Intune för NAC enligt beskrivningen i Konfigurera Microsoft Intune som en MDM-server i administratörsguiden för Cisco Identity Services Engine.
  • Aktivera NAC i VPN-profilen.

  Viktigt

  Tjänsten för nätverksåtkomstkontroll (NAC) är inaktuell och ersätts med Microsofts senaste NAC-tjänst, som är CR-tjänsten (Compliance Retrieval Service). För att stödja ändringar i Cisco ISE Intune ändrat enhets-ID-formatet. Därför slutar dina befintliga profiler med den ursprungliga NAC-tjänsten att fungera.

  Om du vill använda CR-tjänsten och förhindra driftstopp med VPN-anslutningen distribuerar du om samma konfigurationsprofil för VPN-enheten. Profilen behöver inte ändras. Du behöver bara distribuera om. När enheten synkroniseras med Intune-tjänsten och tar emot VPN-konfigurationsprofilen distribueras CR-tjänstens ändringar automatiskt till enheten. Och vpn-anslutningarna bör fortsätta att fungera.

  När du använder Citrix SSO med Gateway måste du:

  • Bekräfta att du använder Citrix Gateway 12.0.59 eller senare.
  • Bekräfta att användarna har Citrix SSO 1.1.6 eller senare installerat på sina enheter.
  • Integrera Citrix Gateway med Intune för NAC. Se Citrix-distributionsguiden Integrera Microsoft Intune/Enterprise Mobility Suite med NetScaler (LDAP+OTP-scenario).
  • Aktivera NAC i VPN-profilen.

  När du använder F5 Access måste du:

  • Bekräfta att du använder F5 BIG-IP 13.1.1.5 eller senare.
  • Integrera BIG-IP med Intune för NAC. Se guiden Översikt: Konfigurera APM för enhetsstatuskontroller med slutpunktshanteringssystem F5.
  • Aktivera NAC i VPN-profilen.

  För VPN-partner som stöder enhets-ID kan VPN-klienten, till exempel Citrix SSO, hämta ID:t. Sedan kan den fråga Intune för att bekräfta att enheten har registrerats och om VPN-profilen är kompatibel eller inte kompatibel.

  • Om du vill ta bort den här inställningen återskapar du profilen och väljer inte Jag accepterar. Tilldela sedan profilen igen.

• Ange nyckel- och värdepar för NetMotion Mobility VPN-attributen (endast NetMotion Mobility): Ange eller importera nyckel- och värdepar. Dessa värden kan anges av VPN-providern.

• Microsoft Tunnel-plats (endast Microsoft Tunnel): Välj en befintlig plats. VPN-klienten ansluter till den offentliga IP-adressen eller FQDN för den här webbplatsen.

  Mer information finns i Microsoft Tunnel för Intune.

IKEv2-inställningar

De här inställningarna gäller när du väljer Anslutningstyp>IKEv2.

• Always-on VPN: Aktivera anger att en VPN-klient automatiskt ska ansluta och återansluta till VPN. Vpn-anslutningar som alltid är på förblir anslutna eller ansluter omedelbart när användaren låser sin enhet, enheten startas om eller det trådlösa nätverket ändras. När det är inställt på Inaktivera (standard) inaktiveras VPN alltid på för alla VPN-klienter. När aktiverad konfigurerar du även:

  • Nätverksgränssnitt: Alla IKEv2-inställningar gäller endast för det nätverksgränssnitt som du väljer. Dina alternativ:

    • Wi-Fi och Mobilnät (standard): IKEv2-inställningarna gäller för Wi-Fi- och mobilgränssnitten på enheten.
    • Mobilnät: IKEv2-inställningarna gäller endast för mobilgränssnittet på enheten. Välj det här alternativet om du distribuerar till enheter med Wi-Fi-gränssnittet inaktiverat eller borttaget.
    • Wi-Fi: IKEv2-inställningarna gäller endast för Wi-Fi-gränssnittet på enheten.

  • Användare inaktiverar VPN-konfiguration: Aktivera låter användare inaktivera always-on VPN. Inaktivera (standard) hindrar användare från att stänga av den. Standardvärdet för den här inställningen är det säkraste alternativet.

  • Röstbrevlåda: Välj vad som händer med röstbrevlådetrafik när always-on VPN är aktiverat. Dina alternativ:

    • Tvinga nätverkstrafik via VPN (standard): Den här inställningen är det säkraste alternativet.
    • Tillåt nätverkstrafik att passera utanför VPN
    • Ta bort nätverkstrafik

  • AirPrint: Välj vad som händer med AirPrint-trafik när always-on VPN är aktiverat. Dina alternativ:

    • Tvinga nätverkstrafik via VPN (standard): Den här inställningen är det säkraste alternativet.
    • Tillåt nätverkstrafik att passera utanför VPN
    • Ta bort nätverkstrafik

  • Mobiltjänster: På iOS 13.0+ väljer du vad som händer med mobiltrafik när always-on VPN är aktiverat. Dina alternativ:

    • Tvinga nätverkstrafik via VPN (standard): Den här inställningen är det säkraste alternativet.
    • Tillåt nätverkstrafik att passera utanför VPN
    • Ta bort nätverkstrafik

  • Tillåt trafik från icke-interna företagsinterna nätverksappar att passera utanför VPN: Ett captivet nätverk refererar till Wi-Fi hotspots som vanligtvis finns på restauranger och hotell. Dina alternativ:

    • Nej: Tvingar all captive networking-apptrafik (CN) genom VPN-tunneln.

    • Ja, alla appar: Tillåter att all CN-apptrafik kringgår VPN-anslutningen.

    • Ja, specifika appar: Lägg till en lista över CN-appar vars trafik kan kringgå VPN. Ange paketidentifierarna för CN-appen. Ange till exempel com.contoso.app.id.package.

      Om du vill hämta paket-ID:t för en app som lagts till i Intune kan du använda Intune administrationscenter.

  • Trafik från Captive Websheet-appen för att passera utanför VPN: Captive WebSheet är en inbyggd webbläsare som hanterar intern inloggning. Aktivera tillåter att webbläsarappens trafik kringgår VPN-anslutningen. Inaktivera (standard) tvingar WebSheet-trafik att använda always-on VPN. Standardvärdet är det säkraste alternativet.

  • Nat-intervall (Network Address Translation) keepalive (sekunder): Om du vill vara ansluten till VPN skickar enheten nätverkspaket för att förbli aktiva. Ange ett värde i sekunder för hur ofta dessa paket skickas, från 20–1440. Ange till exempel värdet 60 för för att skicka nätverkspaketen till VPN var 60:e sekund. Som standard är det här värdet inställt på 110 sekunder.

  • Avlasta NAT keepalive till maskinvara när enheten är i viloläge: När en enhet sover, har Aktivera (standard) NAT kontinuerligt skicka keep-alive-paket så att enheten förblir ansluten till VPN. Inaktivera inaktiverar den här funktionen.

• Fjärridentifierare: Ange nätverkets IP-adress, FQDN, UserFQDN eller ASN1DN för IKEv2-servern. Ange till exempel 10.0.0.3 eller vpn.contoso.com. Vanligtvis anger du samma värde som anslutningsnamnet (i den här artikeln). Men det beror på dina IKEv2-serverinställningar.

• Lokal identifierare: Ange enhetens FQDN eller ämnesnamnet för IKEv2 VPN-klienten på enheten. Eller så kan du lämna det här värdet tomt (standard). Normalt ska den lokala identifieraren matcha användarens eller enhetscertifikatets identitet. IKEv2-servern kan kräva att värdena matchar så att den kan verifiera klientens identitet.

• Typ av klientautentisering: Välj hur VPN-klienten ska autentiseras mot VPN. Dina alternativ:

  • Användarautentisering (standard): Användarautentiseringsuppgifter autentiseras mot VPN.
  • Datorautentisering: Enhetens autentiseringsuppgifter autentiseras mot VPN.

• Autentiseringsmetod: Välj vilken typ av klientautentiseringsuppgifter som ska skickas till servern. Dina alternativ:

  • Certifikat: Använder en befintlig certifikatprofil för att autentisera till VPN. Kontrollera att den här certifikatprofilen redan har tilldelats användaren eller enheten. Annars misslyckas VPN-anslutningen.

    • Certifikattyp: Välj vilken typ av kryptering som används av certifikatet. Kontrollera att VPN-servern är konfigurerad för att acceptera den här typen av certifikat. Dina alternativ:
      • RSA (standard)
      • ECDSA256
      • ECDSA384
      • ECDSA521

  • Delad hemlighet (endast datorautentisering): Gör att du kan ange en delad hemlighet som ska skickas till VPN-servern.

    • Delad hemlighet: Ange den delade hemligheten, även kallad den i förväg delade nyckeln (PSK). Kontrollera att värdet matchar den delade hemlighet som konfigurerats på VPN-servern.

• Namn på servercertifikatutfärdare: Tillåter att VPN-servern autentiserar mot VPN-klienten. Ange certifikatutfärdarens eget namn (CN) för VPN-servercertifikatet som skickas till VPN-klienten på enheten. Kontrollera att CN-värdet matchar konfigurationen på VPN-servern. Annars misslyckas VPN-anslutningen.

• Eget namn på servercertifikat: Ange CN för själva certifikatet. Om det lämnas tomt används fjärridentifierarvärdet.

• Identifieringshastighet för döda peer-datorer: Välj hur ofta VPN-klienten ska kontrollera om VPN-tunneln är aktiv. Dina alternativ:

  • Inte konfigurerad: Använder iOS/iPadOS-systemets standardvärde, vilket kan vara detsamma som att välja Medel.
  • Ingen: Inaktiverar identifiering av döda peer-objekt.
  • Låg: Skickar ett keepalive-meddelande var 30:e minut.
  • Medel (standard): Skickar ett keepalive-meddelande var 10:e minut.
  • Hög: Skickar ett keepalive-meddelande var 60:e sekund.

• Lägsta TLS-versionsintervall: Ange den lägsta TLS-version som ska användas. Ange 1.0, 1.1eller 1.2. Om det lämnas tomt används standardvärdet 1.0 för . När du använder användarautentisering och certifikat måste du konfigurera den här inställningen.

• Maximalt TLS-versionsintervall: Ange den högsta TLS-version som ska användas. Ange 1.0, 1.1eller 1.2. Om det lämnas tomt används standardvärdet 1.2 för . När du använder användarautentisering och certifikat måste du konfigurera den här inställningen.

• Perfekt sekretess framåt: Välj Aktivera för att aktivera PFS (Perfect Forward Secrecy). PFS är en IP-säkerhetsfunktion som minskar effekten om en sessionsnyckel komprometteras. Inaktivera (standard) använder inte PFS.

• Kontroll av återkallade certifikat: Välj Aktivera för att kontrollera att certifikaten inte återkallas innan VPN-anslutningen kan lyckas. Den här kontrollen är bäst. Om VPN-servern överskrider tidsgränsen innan certifikatet återkallas beviljas åtkomst. Inaktivera (standard) söker inte efter återkallade certifikat.

• Använd interna IPv4/IPv6-undernätsattribut: Vissa IKEv2-servrar använder attributen INTERNAL_IP4_SUBNET eller INTERNAL_IP6_SUBNET . Aktivera tvingar VPN-anslutningen att använda dessa attribut. Inaktivera (standard) tvingar inte VPN-anslutningen att använda dessa undernätsattribut.

• Mobilitet och multihoming (MOBIKE): MED MOBIKE kan VPN-klienter ändra sin IP-adress utan att återskapa en säkerhetsassociation med VPN-servern. Aktivera (standard) aktiverar MOBIKE, vilket kan förbättra VPN-anslutningar när du reser mellan nätverk. Inaktivera inaktiverar MOBIKE.

• Omdirigering: Aktivera (standard) omdirigerar IKEv2-anslutningen om en omdirigeringsbegäran tas emot från VPN-servern. Inaktivera förhindrar att IKEv2-anslutningen omdirigeras om en omdirigeringsbegäran tas emot från VPN-servern.

• Maximal överföringsenhet: Ange den maximala överföringsenheten (MTU) i byte, från 1 till 65536. När värdet är Inte konfigurerat eller tomt ändrar eller uppdaterar Intune inte den här inställningen. Som standard kan Apple ange det här värdet till 1280.

  Den här inställningen gäller för:

  • iOS/iPadOS 14 och senare

• Parametrar för säkerhetsassociation: Ange de parametrar som ska användas när du skapar säkerhetsassociationer med VPN-servern:

  • Krypteringsalgoritm: Välj den algoritm som du vill använda:

    • DES
    • 3DES
    • AES-128
    • AES-256 (standard)
    • AES-128-GCM
    • AES-256-GCM

    Obs!

    Om du anger krypteringsalgoritmen till AES-128-GCM eller AES-256-GCManvänds standardvärdet AES-256 . Det här är ett känt problem och kommer att åtgärdas i en framtida version. Det finns ingen ETA.

  • Integritetsalgoritm: Välj den algoritm som du vill använda:

    • SHA1-96
    • SHA1-160
    • SHA2-256 (standard)
    • SHA2-384
    • SHA2-512

  • Diffie-Hellman-grupp: Välj önskad grupp. Standardvärdet är grupp 2.

  • Livslängd (minuter): Ange hur länge säkerhetsassociationen ska vara aktiv tills nycklarna roteras. Ange ett heltal mellan 10 och 1440 (1 440 minuter är 24 timmar). Standardvärdet är 1440.

• Parametrar för underordnade säkerhetsassociationer: Med iOS/iPadOS kan du konfigurera separata parametrar för IKE-anslutningen och eventuella underordnade anslutningar. Ange de parametrar som används när du skapar underordnade säkerhetsassociationer med VPN-servern:

  • Krypteringsalgoritm: Välj den algoritm som du vill använda:

    • DES
    • 3DES
    • AES-128
    • AES-256 (standard)
    • AES-128-GCM
    • AES-256-GCM

    Obs!

    Om du anger krypteringsalgoritmen till AES-128-GCM eller AES-256-GCManvänds standardvärdet AES-256 . Det här är ett känt problem och kommer att åtgärdas i en framtida version. Det finns ingen ETA.

• Integritetsalgoritm: Välj den algoritm som du vill använda:

  • SHA1-96
  • SHA1-160
  • SHA2-256 (standard)
  • SHA2-384
  • SHA2-512

  Konfigurera även:

  • Diffie-Hellman-grupp: Välj önskad grupp. Standardvärdet är grupp 2.
  • Livslängd (minuter): Ange hur länge säkerhetsassociationen ska vara aktiv tills nycklarna roteras. Ange ett heltal mellan 10 och 1440 (1 440 minuter är 24 timmar). Standardvärdet är 1440.

Automatisk VPN

• Typ av automatisk VPN: Välj den VPN-typ som du vill konfigurera – VPN på begäran eller per app-VPN. Se till att du bara använder ett alternativ. Om du använder dem båda samtidigt uppstår anslutningsproblem.

  • Inte konfigurerad (standard): Intune ändrar eller uppdaterar inte den här inställningen.

  • VPN på begäran: VPN på begäran använder regler för att automatiskt ansluta eller koppla från VPN-anslutningen. När dina enheter försöker ansluta till VPN söker de efter matchningar i de parametrar och regler som du skapar, till exempel ett matchande domännamn. Om det finns en matchning körs den åtgärd som du väljer.

    Du kan till exempel skapa ett villkor där VPN-anslutningen endast används när en enhet inte är ansluten till ett företag Wi-Fi nätverk. Om en enhet inte kan komma åt en DNS-sökdomän som du anger startas inte VPN-anslutningen.

    • Regler> på begäranLägg till: Välj Lägg till för att lägga till en regel. Om det inte finns någon befintlig VPN-anslutning använder du de här inställningarna för att skapa en regel på begäran. Om regeln matchar gör enheten den åtgärd som du väljer.

      • Jag vill göra följande: Om det finns en matchning mellan enhetsvärdet och regeln på begäran väljer du den åtgärd som du vill att enheten ska utföra. Dina alternativ:

        • Upprätta VPN: Om det finns en matchning mellan enhetsvärdet och din regel på begäran ansluter enheten till VPN.

        • Koppla från VPN: Om det finns en matchning mellan enhetsvärdet och regeln på begäran kopplas VPN-anslutningen från.

        • Utvärdera varje anslutningsförsök: Om det finns en matchning mellan enhetsvärdet och regeln på begäran använder du inställningen Välj om du vill ansluta för att avgöra vad som händer för varje VPN-anslutningsförsök:

          • Anslut om det behövs: Om enheten finns i ett internt nätverk, eller om det redan finns en upprättad VPN-anslutning till det interna nätverket, ansluter inte VPN på begäran. De här inställningarna används inte.

            Om det inte finns någon befintlig VPN-anslutning bestämmer du för varje VPN-anslutningsförsök om användarna ska ansluta med ett DNS-domännamn. Den här regeln gäller endast för domäner i listan När användare försöker komma åt dessa domäner . Alla andra domäner ignoreras.

            • När användare försöker komma åt dessa domäner: Ange en eller flera DNS-domäner, till exempel contoso.com. Om användarna försöker ansluta till en domän i den här listan använder enheten DNS för att matcha de domäner som du anger. Om domänen inte matchar, vilket innebär att den inte har åtkomst till interna resurser, ansluter den till VPN på begäran. Om domänen matchar, vilket innebär att den redan har åtkomst till interna resurser, ansluter den inte till VPN.

              Obs!

              • Om inställningen När användare försöker komma åt dessa domäner är tom använder enheten DNS-servrarna som konfigurerats på nätverksanslutningstjänsten (Wi-Fi/ethernet) för att matcha domänen. Tanken är att dessa DNS-servrar är offentliga servrar.

                Domänerna i listan När användare försöker komma åt dessa domäner är interna resurser. Interna resurser finns inte på offentliga DNS-servrar och kan inte lösas. Enheten ansluter därför till VPN-nätverket. Nu löses domänen med VPN-anslutningens DNS-servrar och den interna resursen är tillgänglig.

                Om enheten finns i det interna nätverket matchas domänen och en VPN-anslutning skapas inte eftersom den interna domänen redan är tillgänglig. Du vill inte slösa BORT VPN-resurser på enheter som redan finns i det interna nätverket.

              • Om inställningen När användare försöker komma åt dessa domäner fylls i används DNS-servrarna i den här listan för att matcha domänerna i listan.

                Idén är motsatsen till den första punkten (när användare försöker komma åt den här domäninställningen är tom). Till exempel har listan När användare försöker komma åt dessa domäner interna DNS-servrar. En enhet i ett externt nätverk kan inte dirigeras till de interna DNS-servrarna. Namnmatchningen överskrider tidsgränsen och enheten ansluter till VPN på begäran. Nu är de interna resurserna tillgängliga.

                Kom ihåg att den här informationen endast gäller för domäner i listan När användare försöker komma åt dessa domäner . Alla andra domäner matchas med offentliga DNS-servrar. När enheten är ansluten till det interna nätverket är DNS-servrarna i listan tillgängliga och det finns inget behov av att ansluta till VPN.

            • Använd följande DNS-servrar för att lösa dessa domäner (valfritt): Ange en eller flera IP-adresser för DNS-servern, till exempel 10.0.0.22. De DNS-servrar som du anger används för att matcha domänerna i inställningen När användare försöker komma åt dessa domäner .

            • När den här URL:en inte kan nås kan du framtvinga vpn-anslutningen: Valfritt. Ange en HTTP- eller HTTPS-avsöknings-URL som regeln använder som ett test. Ange till exempel https://probe.Contoso.com. Den här URL:en avsöks varje gång en användare försöker komma åt en domän i inställningen När användare försöker komma åt dessa domäner . Användaren ser inte url-strängavsökningswebbplatsen.

              Om avsökningen misslyckas eftersom URL:en inte kan nås eller inte returnerar en HTTP-statuskod på 200 ansluter enheten till VPN-nätverket.

              Tanken är att URL:en endast är tillgänglig i det interna nätverket. Om URL:en kan nås behövs ingen VPN-anslutning. Om URL:en inte kan nås finns enheten i ett externt nätverk och ansluter till VPN på begäran. När VPN-anslutningen har upprättats är interna resurser tillgängliga.

          • Anslut aldrig: För varje VPN-anslutningsförsök ansluter enheten aldrig till VPN när användarna försöker komma åt de domäner som du anger.

            • När användare försöker komma åt dessa domäner: Ange en eller flera DNS-domäner, till exempel contoso.com. Om användarna försöker ansluta till en domän i den här listan skapas inte någon VPN-anslutning. Om de försöker ansluta till en domän som inte finns i den här listan ansluter enheten till VPN-nätverket.

        • Ignorera: Om det finns en matchning mellan enhetsvärdet och regeln på begäran ignoreras en VPN-anslutning.

      • Jag vill begränsa till: I inställningen Jag vill göra följande , om du väljer Upprätta VPN, Koppla från VPN eller Ignorera, väljer du sedan det villkor som regeln måste uppfylla. Dina alternativ:

        • Specifika SSID:er: Ange ett eller flera namn på trådlösa nätverk som regeln gäller för. Det här nätverksnamnet är SSID (Service Set Identifier). Ange till exempel Contoso VPN.
        • Specifika sökdomäner: Ange en eller flera DNS-domäner som regeln gäller för. Ange till exempel contoso.com.
        • Alla domäner: Välj det här alternativet om du vill tillämpa regeln på alla domäner i din organisation.

      • Men bara om den här URL-avsökningen lyckas: Valfritt. Ange en URL som regeln använder som ett test. Ange till exempel https://probe.Contoso.com. Om enheten kommer åt den här URL:en utan omdirigering startas VPN-anslutningen. Och enheten ansluter till mål-URL:en. Användaren ser inte url-strängavsökningswebbplatsen.

        URL:en testar till exempel VPN:ens möjlighet att ansluta till en plats innan enheten ansluter till mål-URL:en via VPN.

    • Blockera användare från att inaktivera automatisk VPN: Dina alternativ:

      • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen.
      • Ja: Hindrar användare från att stänga av automatisk VPN. Det tvingar användarna att hålla den automatiska VPN-anslutningen aktiverad och igång.
      • Nej: Tillåter att användare inaktiverar automatisk VPN.

      Den här inställningen gäller för:

      • iOS 14 och senare
      • iPadOS 14 och senare

  • Per app-VPN: Aktiverar per app-VPN genom att koppla den här VPN-anslutningen till en specifik app. När appen körs startar VPN-anslutningen. Du kan associera VPN-profilen med en app när du tilldelar appen programvara eller program. Mer information finns i Tilldela och övervaka appar.

    Per app-VPN stöds inte på en IKEv2-anslutning. Mer information finns i Konfigurera per app-VPN för iOS/iPadOS-enheter.

    • Providertyp: Endast tillgängligt för Pulse Secure och anpassad VPN.

      När du använder VPN-profiler per app med Pulse Secure eller ett anpassat VPN väljer du tunneltrafik på appnivå (appproxy) eller tunneltrafik på paketnivå (pakettunnel):

      • app-proxy: Välj det här alternativet för tunneltrafik på appnivå.
      • packet-tunnel: Välj det här alternativet för tunneltrafik på paketnivå.

      Om du inte är säker på vilket alternativ du ska använda kontrollerar du VPN-providerns dokumentation.

    • Safari-URL:er som utlöser detta VPN: Lägg till en eller flera webbadresser för webbplatsen. När dessa URL:er besöks med safariwebbläsaren på enheten upprättas VPN-anslutningen automatiskt. Ange till exempel contoso.com.

    • Associerade domäner: Ange associerade domäner i VPN-profilen som ska användas med den här VPN-anslutningen.

      Mer information finns i associerade domäner.

    • Exkluderade domäner: Ange domäner som kan kringgå VPN-anslutningen när per app-VPN är anslutet. Ange till exempel contoso.com. Trafik till domänen contoso.com använder det offentliga Internet även om VPN är anslutet.

    • Blockera användare från att inaktivera automatisk VPN: Dina alternativ:

      • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen.
      • Ja: Hindrar användare från att stänga av växlingsknappen Anslut på begäran i VPN-profilinställningarna. Det tvingar användarna att aktivera och köra vpn-regler per app eller på begäran.
      • Nej: Tillåter att användare inaktiverar växlingsknappen Anslut på begäran, vilket inaktiverar regler för VPN per app och på begäran.

      Den här inställningen gäller för:

      • iOS 14 och senare
      • iPadOS 14 och senare

Per app-VPN

De här inställningarna gäller för följande VPN-anslutningstyper:

• Microsoft Tunnel

Inställningar:

• Per app-VPN: Aktivera associerar en specifik app med den här VPN-anslutningen. När appen körs dirigeras trafiken automatiskt via VPN-anslutningen. Du kan associera VPN-profilen med en app när du tilldelar programvaran. Mer information finns i Tilldela och övervaka appar.

  Mer information finns i Microsoft Tunnel för Intune.

• Safari-URL:er som utlöser detta VPN: Lägg till en eller flera webbadresser för webbplatsen. När dessa URL:er besöks med safariwebbläsaren på enheten upprättas VPN-anslutningen automatiskt. Ange till exempel contoso.com.

• Associerade domäner: Ange associerade domäner i VPN-profilen som ska användas med den här VPN-anslutningen.

  Mer information finns i associerade domäner.

• Exkluderade domäner: Ange domäner som kan kringgå VPN-anslutningen när per app-VPN är anslutet. Ange till exempel contoso.com. Trafik till domänen contoso.com använder det offentliga Internet även om VPN är anslutet.

Proxy

Om du använder en proxyserver konfigurerar du följande inställningar.

• Automatiskt konfigurationsskript: Använd en fil för att konfigurera proxyservern. Ange den proxyserver-URL som innehåller konfigurationsfilen. Ange till exempel http://proxy.contoso.com/pac.
• Adress: Ange IP-adressen eller det fullständigt kvalificerade värdnamnet för proxyservern. Ange till exempel 10.0.0.3 eller vpn.contoso.com.
• Portnummer: Ange det portnummer som är associerat med proxyservern. Ange till exempel 8080.

Nästa steg

Profilen har skapats, men kanske inte gör något ännu. Se till att tilldela profilen och övervaka dess status.

Konfigurera VPN-inställningar på Android-, Android Enterprise-, macOS- och Windows 10-enheter.