Aracılığıyla paylaş

Intune'da iOS/iPadOS cihazları için uygulama başına Sanal Özel Ağ (VPN) ayarlama

  • Makale

Microsoft Intune'da, bir uygulamaya atanmış Sanal Özel Ağlar (VPN) oluşturabilir ve kullanabilirsiniz. Bu özellik uygulama başına VPN olarak adlandırılır. Intune tarafından yönetilen cihazlarda VPN'inizi kullanabilecek yönetilen uygulamaları seçersiniz. Uygulama başına VPN'leri kullandığınızda, son kullanıcılar VPN üzerinden otomatik olarak bağlanır ve belgeler gibi kuruluş kaynaklarına erişim elde eder.

Bu özellik şu platformlarda geçerlidir:

  • iOS 9 ve daha yenisi
  • iPadOS 13.0 ve daha yenisi

VPN'nizin uygulama başına VPN'yi desteklenip desteklemediğini görmek için VPN sağlayıcınızin belgelerine bakın.

Bu makalede uygulama başına VPN profili oluşturma ve bu profili uygulamalarınıza atama gösterilmektedir. Son kullanıcılarınız için uygulama başına sorunsuz bir VPN deneyimi oluşturmak için bu adımları kullanın. Uygulama başına VPN'yi destekleyen çoğu VPN için kullanıcı bir uygulama açar ve vpn'e otomatik olarak bağlanır.

Bazı VPN'ler uygulama başına VPN ile kullanıcı adı ve parola kimlik doğrulamasına izin verir. Yani kullanıcıların VPN'e bağlanmak için bir kullanıcı adı ve parola girmesi gerekir.

Önemli

  • iOS/iPadOS'ta uygulama başına VPN, IKEv2 VPN profilleri için desteklenmez.

Microsoft Tunnel veya Zscaler ile uygulama başına VPN

Microsoft Tunnel ve Zscaler Özel Erişimi (ZPA), kimlik doğrulaması için Microsoft Entra ID ile tümleşir. Tunnel veya ZPA kullanırken güvenilen sertifikaya veya SCEP veya PKCS sertifika profillerine ihtiyacınız yoktur (bu makalede açıklanmıştır).

Zscaler için ayarlanmış bir uygulama başına VPN profiliniz varsa ilişkili uygulamalardan birinin açılması ZPA'ya otomatik olarak bağlanmaz. Bunun yerine kullanıcının Zscaler uygulamasında oturum açması gerekir. Daha sonra uzaktan erişim ilişkili uygulamalarla sınırlıdır.

Önkoşullar

  • VPN satıcınızın uygulama başına VPN için belirli donanım veya lisanslama gibi başka gereksinimleri olabilir. Intune'da uygulama başına VPN'i ayarlamadan önce belgelerine göz atıp bu önkoşulları karşılamayı unutmayın.

  • Güvenilen kök sertifika .cer dosyasını VPN sunucunuzdan dışarı aktarın. Bu dosyayı, bu makalede açıklanan, Intune'da oluşturduğunuz güvenilen sertifika profiline eklersiniz.

    Dosyayı dışarı aktarmak için:

    1. VPN sunucunuzda yönetim konsolunu açın.

    2. VPN sunucunuzun sertifika tabanlı kimlik doğrulaması kullandığını onaylayın.

    3. Güvenilen kök sertifika dosyasını dışarı aktarın. Bir uzantısı vardır .cer .

    4. VPN sunucusuna kimlik doğrulaması için sertifikayı veren sertifika yetkilisinin (CA) adını ekleyin.

      Cihaz tarafından sunulan CA, VPN sunucusundaki Güvenilen CA listesindeki bir CA ile eşleşiyorsa, VPN sunucusu cihazın kimliğini başarıyla doğrular.

    VPN sunucusu, kimliğini kanıtlamak için cihaz tarafından istenmeden kabul edilmesi gereken sertifikayı sunar. Sertifikanın otomatik onayını onaylamak için Intune'da güvenilen bir sertifika profili oluşturursunuz (bu makalede). Intune güvenilen sertifika profili, Sertifika Yetkilisi (CA) tarafından verilen VPN sunucusunun kök sertifikasını (.cer dosyası) içermelidir.

  • İlkeyi oluşturmak için en azından Microsoft Intune yönetim merkezindeİlke ve Profil Yöneticisi yerleşik rolüne sahip bir hesapla oturum açın. Yerleşik roller hakkında daha fazla bilgi için Microsoft Intune için Rol tabanlı erişim denetimi'ne gidin.

1. Adım - VPN kullanıcılarınız için grup oluşturma

Microsoft Entra ID içinde var olan bir grubu oluşturun veya seçin. Bu grup:

  • Uygulama başına VPN kullanacak kullanıcıları veya cihazları içermelidir.
  • Oluşturduğunuz tüm Intune ilkelerini alır.

Yeni grup oluşturma adımları için Kullanıcıları ve cihazları düzenlemek için Grup ekleme'ye gidin.

2. Adım - Güvenilen sertifika profili oluşturma

CA tarafından verilen VPN sunucusunun kök sertifikasını bir Intune profiline aktarın. Bu kök sertifika, Önkoşullar'da (bu makalede) dışarı aktardığınız dosyadır.cer. Güvenilen sertifika profili, iOS/iPadOS cihazına VPN sunucusunun sunduğu CA'ya otomatik olarak güvenmesini sağlar.

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Cihaz>Yapılandırması>Oluştur'u seçin.

  3. Aşağıdaki özellikleri girin:

    • Platform: iOS/iPadOS'ı seçin.
    • Profil türü: Güvenilen sertifika'ya tıklayın.

  4. Oluştur’u seçin.

  5. Temel Bilgiler’de aşağıdaki özellikleri girin:

    • Ad: Profil için açıklayıcı bir ad girin. Profillerinizi daha sonra kolayca tanımlayabilmeniz için adlandırabilirsiniz. Örneğin, iyi bir profil adı tüm şirket için iOS/iPadOS güvenilen sertifika VPN profilidir.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  6. İleri'yi seçin.

  7. Yapılandırma ayarları'nda klasör simgesini seçin ve VPN yönetim konsolunuzdan dışarı aktardığınız VPN sertifikanıza (.cerdosya) göz atın.

  8. İleri'yi seçin ve profilinizi oluşturmaya devam edin. Daha fazla bilgi için Bkz. VPN profili oluşturma.

    Microsoft Intune ve Intune yönetim merkezinde iOS/iPadOS cihazları için güvenilir bir sertifika profili oluşturun.

3. Adım - SCEP veya PKCS sertifika profili oluşturma

2. adımda oluşturduğunuz güvenilen kök sertifika profili, cihazın VPN Sunucusuna otomatik olarak güvenmesini sağlar.

Bu adımda, Intune'da SCEP veya PKCS sertifika profilini oluşturun. SCEP veya PKCS sertifikası, iOS/iPadOS VPN istemcisinden VPN sunucusuna kimlik bilgileri sağlar. Sertifika, cihazın kullanıcı adı ve parola istemeden sessizce kimlik doğrulaması yapmasına olanak tanır.

Intune'da istemci kimlik doğrulama sertifikasını yapılandırmak ve atamak için aşağıdaki makalelerden birine gidin:

Sertifikayı istemci kimlik doğrulaması için yapılandırıldığından emin olun. İstemci kimlik doğrulamayı doğrudan SCEP sertifika profillerinde ayarlayabilirsiniz (Genişletilmiş anahtar kullanım listesi >İstemci kimlik doğrulaması). PKCS için, sertifika yetkilisindeki (CA) sertifika şablonunda istemci kimlik doğrulamasını ayarlayın.

Microsoft Intune ve Intune yönetim merkezinde bir SCEP sertifika profili oluşturun. Konu adı biçimini, anahtar kullanımını, genişletilmiş anahtar kullanımını ve daha fazlasını ekleyin.

4. Adım - Uygulama başına VPN profili oluşturma

Bu VPN profili, istemci kimlik bilgilerine, VPN bağlantı bilgilerine ve iOS/iPadOS uygulaması tarafından kullanılan uygulama başına VPN'yi etkinleştiren uygulama başına VPN bayrağına sahip SCEP veya PKCS sertifikasını içerir.

  1. Microsoft Intune yönetim merkezindeCihazlar>Yapılandırması>Oluştur'u seçin.

  2. Aşağıdaki özellikleri girin ve Oluştur'u seçin:

    • Platform: iOS/iPadOS'ı seçin.
    • Profil türü: VPN'i seçin.

  3. Temel Bilgiler’de aşağıdaki özellikleri girin:

    • Ad: Özel profil için açıklayıcı bir ad girin. Profillerinizi daha sonra kolayca tanımlayabilmeniz için adlandırabilirsiniz. Örneğin, uygulamam için iOS/iPadOS uygulama başına VPN profili iyi bir profil adıdır.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  4. Yapılandırma ayarları'nda aşağıdaki ayarları yapılandırın:

    • Bağlantı türü: VPN istemci uygulamanızı seçin.

    • Temel VPN: Ayarlarınızı yapılandırın. iOS/iPadOS VPN ayarları tüm ayarları açıklar. Uygulama başına VPN kullanırken, aşağıdaki özellikleri listelendiği gibi yapılandırdığınızdan emin olun:

      • Kimlik doğrulama yöntemi: Sertifikalar'ı seçin.
      • Kimlik doğrulama sertifikası: Mevcut bir SCEP veya PKCS sertifikası >Tamam'ı seçin.
      • Bölünmüş tünel: VPN bağlantısı etkin olduğunda tüm trafiği VPN tünelini kullanmaya zorlamak için Devre Dışı Bırak'ı seçin.

      Microsoft Intune ve Intune yönetim merkezinde uygulama başına VPN profilini, IP adresini veya FQDN'yi, kimlik doğrulama yöntemini ve bölünmüş tüneli gösteren ekran görüntüsü.

      Diğer ayarlar hakkında bilgi için iOS/iPadOS VPN ayarları'na gidin.

    • Otomatik VPN>Otomatik VPN> türüUygulama başına VPN

      Microsoft Intune'da iOS/iPadOS cihazlarda uygulama başına VPN olarak ayarlanan Otomatik VPN'i gösteren ekran görüntüsü.

  5. İleri'yi seçin ve profilinizi oluşturmaya devam edin. Daha fazla bilgi için Bkz. VPN profili oluşturma.

5. Adım - Bir uygulamayı VPN profiliyle ilişkilendirme

VPN profilinizi ekledikten sonra uygulamayı ve Microsoft Entra grubunu profille ilişkilendirin.

  1. Microsoft Intune yönetim merkezindeUygulamalar>Tüm uygulamalar'ı seçin.

  2. Özellikler>Atamaları>Düzenle listesinden > bir uygulama seçin.

  3. Kayıtlı cihazlar içingerekli veya kullanılabilir bölümüne gidin.

  4. Grup >ekle'yi seçin Oluşturduğunuz grubu seçin (bu makalede) >Seçin.

  5. VPN'lerde, oluşturduğunuz uygulama başına VPN profilini seçin (bu makalede).

    Microsoft Intune ve Intune yönetim merkezindeki uygulama başına VPN profiline uygulama atamayı gösteren iki ekran görüntüsü.

  6. TamamKaydet'i> seçin.

Aşağıdaki koşulların tümü mevcut olduğunda, kullanıcı Şirket Portalı uygulamasından yeniden yükleme isteğinde bulunana kadar bir uygulama ile profil arasındaki ilişki kalır:

  • Uygulama kullanılabilir yükleme amacı ile hedeflendi.
  • Profil ve uygulama aynı gruba atanır.
  • Son kullanıcı uygulamanın Şirket Portalı uygulamasına yüklenmesini istedi. Bu istek, uygulamaya ve profilin cihaza yüklenmesine neden olur.
  • Uygulama başına VPN yapılandırmasını uygulama atamasından kaldırır veya değiştirirsiniz.

Aşağıdaki koşulların tümü mevcut olduğunda, bir sonraki cihaz iade işlemi sırasında uygulama ve profil arasındaki ilişki kaldırılır:

  • Uygulama , gerekli yükleme amacı ile hedeflendi.
  • Profil ve uygulama aynı gruba atanır.
  • Uygulama başına VPN yapılandırmasını uygulama atamasından kaldırırsınız.

iOS/iPadOS cihazında bağlantıyı doğrulama

Uygulama başına VPN'niz ayarlandı ve uygulamanızla ilişkilendirildiyse, bağlantının bir cihazdan çalıştığını doğrulayın.

Bağlanmayı denemeden önce

  • Bu makalede açıklanan tüm ilkeleri aynı gruba dağıttığınıza emin olun. Aksi takdirde uygulama başına VPN deneyimi çalışmaz.

  • Pulse Secure VPN uygulamasını veya özel bir VPN istemci uygulamasını kullanıyorsanız uygulama katmanını veya paket katmanı tünelini kullanmayı seçebilirsiniz:

    • Uygulama katmanı tüneli için ProviderType değerini app-proxy olarak ayarlayın.
    • Paket katmanı tüneli için ProviderType değerini paket tüneli olarak ayarlayın.

    Doğru değeri kullandığınızdan emin olmak için VPN sağlayıcınızın belgelerine bakın.

Uygulama başına VPN kullanarak bağlanma

VPN'yi seçmek veya kimlik bilgilerinizi yazmak zorunda kalmadan bağlanarak sıfır dokunma deneyimini doğrulayın. Sıfır dokunma deneyimi şu anlama gelir:

  • Cihaz, VPN sunucusuna güvenmenizi istemez. Başka bir deyişle, kullanıcı Dinamik Güven iletişim kutusunu görmez.
  • Kullanıcının kimlik bilgilerini girmesi gerekmez.
  • Kullanıcı ilişkili uygulamalardan birini açtığında, kullanıcının cihazı VPN'e bağlanır.

Kaynaklar