Intune'de iOS/iPadOS cihazları için uygulama başına Sanal Özel Ağ (VPN) ayarlama

Microsoft Intune'da, bir uygulamaya atanmış Sanal Özel Ağlar (VPN) oluşturabilir ve kullanabilirsiniz. Bu özellik uygulama başına VPN olarak adlandırılır. VPN'inizi Intune tarafından yönetilen cihazlarda kullanabilen yönetilen uygulamaları seçersiniz. Uygulama başına VPN'leri kullandığınızda, son kullanıcılar VPN üzerinden otomatik olarak bağlanır ve belgeler gibi kuruluş kaynaklarına erişim elde eder.

Bu özellik şu platformlarda geçerlidir:

  • iOS 9 ve daha yenisi
  • iPadOS 13.0 ve daha yenisi

VPN'nizin uygulama başına VPN'yi desteklenip desteklemediğini görmek için VPN sağlayıcınızin belgelerine bakın.

Bu makalede uygulama başına VPN profili oluşturma ve bu profili uygulamalarınıza atama gösterilmektedir. Son kullanıcılarınız için uygulama başına sorunsuz bir VPN deneyimi oluşturmak için bu adımları kullanın. Uygulama başına VPN'yi destekleyen çoğu VPN için kullanıcı bir uygulama açar ve vpn'e otomatik olarak bağlanır.

Bazı VPN'ler uygulama başına VPN ile kullanıcı adı ve parola kimlik doğrulamasına izin verir. Yani kullanıcıların VPN'e bağlanmak için bir kullanıcı adı ve parola girmesi gerekir.

Önemli

  • iOS/iPadOS'ta uygulama başına VPN, IKEv2 VPN profilleri için desteklenmez.

Microsoft Tunnel veya Zscaler ile uygulama başına VPN

Microsoft Tunnel ve Zscaler Özel Erişimi (ZPA), kimlik doğrulaması için Microsoft Entra ID ile tümleşir. Tunnel veya ZPA kullanırken güvenilen sertifikaya veya SCEP veya PKCS sertifika profillerine ihtiyacınız yoktur (bu makalede açıklanmıştır).

Zscaler için ayarlanmış bir uygulama başına VPN profiliniz varsa ilişkili uygulamalardan birinin açılması ZPA'ya otomatik olarak bağlanmaz. Bunun yerine kullanıcının Zscaler uygulamasında oturum açması gerekir. Daha sonra uzaktan erişim ilişkili uygulamalarla sınırlıdır.

Önkoşullar

  • VPN satıcınızın uygulama başına VPN için belirli donanım veya lisanslama gibi başka gereksinimleri olabilir. Intune'de uygulama başına VPN'i ayarlamadan önce belgelerine göz atıp bu önkoşulları karşılamayı unutmayın.

  • Güvenilen kök sertifika .cer dosyasını VPN sunucunuzdan dışarı aktarın. Bu dosyayı, bu makalede açıklanan Intune'de oluşturduğunuz güvenilen sertifika profiline eklersiniz.

    Dosyayı dışarı aktarmak için:

    1. VPN sunucunuzda yönetim konsolunu açın.

    2. VPN sunucunuzun sertifika tabanlı kimlik doğrulaması kullandığını onaylayın.

    3. Güvenilen kök sertifika dosyasını dışarı aktarın. Bir uzantısı vardır .cer .

    4. VPN sunucusuna kimlik doğrulaması için sertifikayı veren sertifika yetkilisinin (CA) adını ekleyin.

      Cihaz tarafından sunulan CA, VPN sunucusundaki Güvenilen CA listesindeki bir CA ile eşleşiyorsa, VPN sunucusu cihazın kimliğini başarıyla doğrular.

    Vpn sunucusu, kimliğini kanıtlamak için sertifikayı cihaza sunar. Cihaz, kullanıcıya sormadan sertifikayı kabul etmelidir. Sertifikanın otomatik onayını onaylamak için, Intune(bu makalede) içinde güvenilir bir sertifika profili oluşturursunuz. Intune güvenilen sertifika profili, Sertifika Yetkilisi (CA) tarafından verilen VPN sunucusunun kök sertifikasını (.cerdosyası) içermelidir.

  • İlke ve Profil Yöneticisi yerleşik rolüne sahip bir hesapla Microsoft Intune yönetim merkezinde oturum açın. Yerleşik roller hakkında daha fazla bilgi için Microsoft Intune için Rol tabanlı erişim denetimi'ne gidin.

1. Adım - VPN kullanıcılarınız için grup oluşturma

Microsoft Entra ID içinde var olan bir grubu oluşturun veya seçin. Bu grup:

  • Uygulama başına VPN kullanacak kullanıcıları veya cihazları içermelidir.
  • Bu makalede oluşturduğunuz tüm Intune ilkelerini alır.

Yeni grup oluşturma adımları için Kullanıcıları ve cihazları düzenlemek için Grup ekleme'ye gidin.

2. Adım - Güvenilen sertifika profili oluşturma

CA tarafından verilen VPN sunucusunun kök sertifikasını bir Intune profiline aktarın. Bu kök sertifika, Önkoşullar'da (bu makalede) dışarı aktardığınız dosyadır.cer. Güvenilen sertifika profili, iOS/iPadOS cihazına VPN sunucusunun sunduğu CA'ya otomatik olarak güvenmesini sağlar.

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Cihazlar>Cihazları yönet>Yapılandırma>Oluştur>Yeni ilkeyi seçin.

  3. Aşağıdaki özellikleri girin:

    • Platform: iOS/iPadOS'ı seçin.
    • Profil türü: Güvenilen sertifika'ya tıklayın.

  4. Oluştur’u seçin.

  5. Temel Bilgiler’de aşağıdaki özellikleri girin:

    • Ad: İlke için açıklayıcı bir ad girin. Profillerinizi daha sonra kolayca tanıyabileceğiniz şekilde adlandırın. Örneğin, myApp için iOS/iPadOS güvenilen sertifika profili iyi bir profil adıdır.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  6. İleri'yi seçin.

  7. Yapılandırma ayarları'nda klasör simgesini seçin ve VPN yönetim konsolunuzdan dışarı aktardığınız VPN sertifikanıza (.cerdosya) göz atın.

  8. İleri'yi seçin ve güvenilen sertifika profilini oluşturmaya devam edin. Profili kaydedebilir ve daha sonra atayabilirsiniz.

    Microsoft Intune ve Intune yönetim merkezinde iOS/iPadOS cihazları için güvenilir bir sertifika profili oluşturun.

Profili atamaya hazır olduğunuzda, bu profili 1. Adım - VPN kullanıcılarınız için grup oluşturma bölümünde oluşturduğunuz gruba atayın (bu makalede). Profili atadığınızda, gruptaki kullanıcılar veya cihazlar Intune hizmetine bir sonraki girişlerinde ilkeyi alır.

3. Adım - SCEP veya PKCS sertifika profili oluşturma

2. adımda oluşturduğunuz güvenilen kök sertifika profili, cihazın VPN Sunucusuna otomatik olarak güvenmesini sağlar.

Bu sonraki adımda, Intune'de SCEP veya PKCS sertifika profilini oluşturun. SCEP veya PKCS sertifikası, iOS/iPadOS VPN istemcisinden VPN sunucusuna kimlik bilgileri sağlar. Sertifika, cihazın kullanıcı adı ve parola istemeden sessizce kimlik doğrulaması yapmasına olanak tanır.

Intune'da istemci kimlik doğrulama sertifikasını yapılandırmak ve atamak için aşağıdaki makalelerden birine gidin:

Sertifikayı istemci kimlik doğrulaması için yapılandırıldığından emin olun. İstemci kimlik doğrulamayı doğrudan SCEP sertifika profillerinde ayarlayabilirsiniz (Genişletilmiş anahtar kullanım listesi >İstemci kimlik doğrulaması). PKCS için, sertifika yetkilisindeki (CA) sertifika şablonunda istemci kimlik doğrulamasını ayarlayın.

Microsoft Intune ve Intune yönetim merkezinde bir SCEP sertifika profili oluşturun. Konu adı biçimini, anahtar kullanımını, genişletilmiş anahtar kullanımını ve daha fazlasını ekleyin.

Profili atamaya hazır olduğunuzda, bu profili 1. Adım - VPN kullanıcılarınız için grup oluşturma bölümünde oluşturduğunuz gruba atayın (bu makalede). Profili atadığınızda, gruptaki kullanıcılar veya cihazlar Intune hizmetine bir sonraki girişlerinde ilkeyi alır.

4. Adım - Uygulama başına VPN profili oluşturma

Bu VPN profili, istemci kimlik bilgilerine, VPN bağlantı bilgilerine ve iOS/iPadOS uygulaması tarafından kullanılan uygulama başına VPN'yi etkinleştiren uygulama başına VPN bayrağına sahip SCEP veya PKCS sertifikasını içerir.

  1. Microsoft Intune yönetim merkezindeCihazlar Cihazları>>yönetYapılandırma>Yeni ilkeoluştur'u> seçin.

  2. Aşağıdaki özellikleri girin ve Oluştur'u seçin:

    • Platform: iOS/iPadOS'ı seçin.
    • Profil türü: VPN'i seçin.

  3. Temel Bilgiler’de aşağıdaki özellikleri girin:

    • Ad: Özel profil için açıklayıcı bir ad girin. Profillerinizi daha sonra kolayca tanıyabileceğiniz şekilde adlandırın. Örneğin, uygulamam için iOS/iPadOS uygulama başına VPN profili iyi bir profil adıdır.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  4. Yapılandırma ayarları'nda aşağıdaki ayarları yapılandırın:

    • Bağlantı türü: VPN istemci uygulamanızı seçin.

    • Temel VPN: Ayarlarınızı yapılandırın. iOS/iPadOS VPN ayarları tüm ayarları açıklar. Uygulama başına VPN kullanırken, aşağıdaki özellikleri listelendiği gibi yapılandırdığınızdan emin olun:

      • Kimlik doğrulama yöntemi: Sertifikalar'ı seçin.
      • Kimlik doğrulama sertifikası: Mevcut bir SCEP veya PKCS sertifikası >Tamam'ı seçin.
      • Bölünmüş tünel: VPN bağlantısı etkin olduğunda tüm trafiği VPN tünelini kullanmaya zorlamak için Devre Dışı Bırak'ı seçin.

      Microsoft Intune ve Intune yönetim merkezinde uygulama başına VPN profilini, IP adresini veya FQDN'yi, kimlik doğrulama yöntemini ve bölünmüş tüneli gösteren ekran görüntüsü.

      Diğer ayarlar hakkında bilgi için iOS/iPadOS VPN ayarları'na gidin.

    • Otomatik VPN>Otomatik VPN> türüUygulama başına VPN

      Microsoft Intune'da iOS/iPadOS cihazlarda uygulama başına VPN olarak ayarlanan Otomatik VPN'i gösteren ekran görüntüsü.

  5. İleri'yi seçin ve VPN profilini oluşturmaya devam edin.

Profili atamaya hazır olduğunuzda, bu profili 1. Adım - VPN kullanıcılarınız için grup oluşturma bölümünde oluşturduğunuz gruba atayın (bu makalede). Profili atadığınızda, gruptaki kullanıcılar veya cihazlar Intune hizmetine bir sonraki girişlerinde ilkeyi alır.

5. Adım - Bir uygulamayı VPN profiliyle ilişkilendirme

VPN profilinizi ekledikten sonra uygulamayı ve Microsoft Entra grubunu profille ilişkilendirin.

  1. Microsoft Intune yönetim merkezindeUygulamalar TümUygulamalar'ı> seçin.

  2. Özellikler>Atamaları>Düzenle listesinden > bir uygulama seçin.

  3. Kayıtlı cihazlar içingerekli veya kullanılabilir bölümüne gidin.

  4. Grup >ekle'yi seçin 1. Adım - VPN kullanıcılarınız için grup oluşturma bölümünde oluşturduğunuz grubu seçin (bu makalede) >Seçin.

  5. VPN'lerde, Adım 4 - Uygulama başına VPN profili oluşturma (bu makalede) bölümünde oluşturduğunuz uygulama başına VPN profilini seçin.

    Microsoft Intune ve Intune yönetim merkezinde uygulama başına VPN profiline uygulama atamayı gösteren iki ekran görüntüsü.

  6. TamamKaydet'i> seçin.

Aşağıdaki koşulların tümü mevcut olduğunda, kullanıcı Şirket Portalı uygulamasından yeniden yükleme isteğinde bulunana kadar bir uygulama ile profil arasındaki ilişki kalır:

  • Uygulama kullanılabilir yükleme amacı ile hedeflendi ve
  • Profil ve uygulama aynı gruba atanır ve
  • Son kullanıcı uygulamanın Şirket Portalı uygulamasına yüklenmesini istedi. Bu istek, cihaza uygulama ve profilin yüklenmesiyle sonuçlanır ve
  • Uygulama başına VPN yapılandırmasını uygulama atamasından kaldırır veya değiştirirsiniz.

Aşağıdaki koşulların tümü mevcut olduğunda, bir sonraki cihaz iade işlemi sırasında uygulama ve profil arasındaki ilişki kaldırılır:

  • Uygulama gerekli yükleme amacı ile hedeflendi ve
  • Profil ve uygulama aynı gruba atanır ve
  • Uygulama başına VPN yapılandırmasını uygulama atamasından kaldırırsınız.

iOS/iPadOS cihazında bağlantıyı doğrulama

Uygulama başına VPN'niz ayarlandı ve uygulamanızla ilişkilendirildiyse, bağlantının bir cihazdan çalıştığını doğrulayın.

Bağlanmayı denemeden önce

  • Bu makalede açıklanan tüm ilkeleri aynı gruba dağıttığınıza emin olun. Aksi takdirde uygulama başına VPN deneyimi çalışmaz.

  • Pulse Secure VPN uygulamasını veya özel bir VPN istemci uygulamasını kullanıyorsanız uygulama katmanını veya paket katmanı tünelini kullanmayı seçebilirsiniz:

    • Uygulama katmanı tüneli için ProviderType değerini app-proxy olarak ayarlayın.
    • Paket katmanı tüneli için ProviderType değerini paket tüneli olarak ayarlayın.

    Doğru değeri kullandığınızdan emin olmak için VPN sağlayıcınızın belgelerine bakın.

Uygulama başına VPN kullanarak bağlanma

VPN'yi seçmek veya kimlik bilgilerinizi yazmak zorunda kalmadan bağlanarak sıfır dokunma deneyimini doğrulayın. Sıfır dokunma deneyimi şu anlama gelir:

  • Cihaz, VPN sunucusuna güvenmenizi istemez. Başka bir deyişle, kullanıcı Dinamik Güven iletişim kutusunu görmez.
  • Kullanıcının kimlik bilgilerini girmesi gerekmez.
  • Kullanıcı ilişkili uygulamalardan birini açtığında, kullanıcının cihazı VPN'e bağlanır.
  • Last updated on