Microsoft Intune'da iOS ve iPadOS cihazlarında VPN ayarlarını ekleme

Microsoft Intune, iOS/iPadOS cihazlarınıza dağıtabileceğiniz birçok VPN ayarı içerir. Bu ayarlar, kuruluşunuzun ağına VPN bağlantıları oluşturmak ve yapılandırmak için kullanılır. Bu makalede bu ayarlar açıklanmaktadır. Bazı ayarlar yalnızca Citrix, Zscaler ve daha fazlası gibi bazı VPN istemcilerinde kullanılabilir.

Bu özellik şu platformlarda geçerlidir:

• iOS/iPadOS

Başlamadan önce

• Bir iOS/iPadOS VPN cihazı yapılandırma profili oluşturun.

• Outlook gibi bazı Microsoft 365 hizmetleri üçüncü taraf veya iş ortağı VPN'lerini kullanarak iyi performans göstermeyebilir. Üçüncü taraf veya iş ortağı VPN kullanıyorsanız ve gecikme süresi veya performans sorunuyla karşılaşıyorsanız VPN'yi kaldırın.

  VPN'yi kaldırmak davranışı çözerse şunları yapabilirsiniz:

  • Olası çözümler için üçüncü taraf veya iş ortağı VPN ile çalışın. Microsoft, üçüncü taraf veya iş ortağı VPN'ler için teknik destek sağlamaz.
  • Outlook trafiğiyle VPN kullanmayın.
  • VPN kullanmanız gerekiyorsa bölünmüş tünel VPN kullanın. Ayrıca, Outlook trafiğinin VPN'yi atlamasına izin verin.

  Daha fazla bilgi için bkz:

  • Genel bakış: Microsoft 365 için VPN bölünmüş tüneli
  • Microsoft 365 ile üçüncü taraf ağ cihazlarını veya çözümlerini kullanma
  • Günümüzün benzersiz uzaktan çalışma senaryoları blogunda güvenlik uzmanlarının ve BT'nin modern güvenlik denetimlerine ulaşmanın alternatif yolları
  • Microsoft 365 ağ bağlantısı ilkeleri

• Bu cihazların modern kimlik doğrulaması ve Koşullu Erişim kullanarak şirket içi kaynaklara erişmesi gerekiyorsa, bölünmüş tüneli destekleyen Microsoft Tunnel'ı kullanabilirsiniz.

Not

• Bu ayarlar, kullanıcı kaydı dışındaki tüm kayıt türlerinde kullanılabilir. Kullanıcı kaydı uygulama başına VPN ile sınırlıdır. Kayıt türleri hakkında daha fazla bilgi için bkz. iOS/iPadOS kaydı.

• Kullanılabilir ayarlar seçtiğiniz VPN istemcisine bağlıdır. Bazı ayarlar yalnızca belirli VPN istemcileri için kullanılabilir.

• Bu ayarlar Apple VPN yükünü kullanır (Apple'ın web sitesini açar).

Bağlantı türü

Aşağıdaki satıcı listesinden VPN bağlantı türünü seçin:

• Check Point Capsule VPN

• Cisco Legacy AnyConnect

  Cisco Legacy AnyConnect uygulaması sürüm 4.0.5x ve öncesi için geçerlidir.

• Cisco AnyConnect

  Cisco AnyConnect uygulaması sürüm 4.0.7x ve üzeri için geçerlidir.

• SonicWall Mobile Connect

• F5 Access Eski

  F5 Access uygulaması sürüm 2.1 ve öncesi için geçerlidir.

• F5 Erişimi

  F5 Access uygulaması sürüm 3.0 ve üzeri için geçerlidir.

• Palo Alto Networks GlobalProtect (Eski)

  Palo Alto Networks GlobalProtect uygulaması sürüm 4.1 ve öncesi için geçerlidir.

• Palo Alto Networks GlobalProtect

  Palo Alto Networks GlobalProtect uygulaması sürüm 5.0 ve üzeri için geçerlidir.

• Pulse Secure

• Cisco (IPSec)

• Citrix VPN

• Citrix SSO

• Zscaler

  Koşullu Erişim kullanmak veya kullanıcıların Zscaler oturum açma ekranını atlamasına izin vermek için Zscaler Özel Erişimi 'ni (ZPA) Microsoft Entra hesabınızla tümleştirmeniz gerekir. Ayrıntılı adımlar için Zscaler belgelerine bakın.

• NetMotion Mobility

• IKEv2

  IKEv2 ayarları (bu makalede) özellikleri açıklar.

• Microsoft Tunnel

  Tünel istemcisi işlevselliğini içeren Uç Nokta için Microsoft Defender uygulaması için geçerlidir.

• Özel VPN

Not

Cisco, Citrix, F5 ve Palo Alto, eski müşterilerinin iOS 12 ve sonraki sürümlerde çalışmadığını duyurdu. En kısa sürede yeni uygulamalara geçmeniz gerekir. Daha fazla bilgi için Bkz. Microsoft Intune Destek Ekibi Blogu.

Temel VPN ayarları

• Bağlantı adı: Son kullanıcılar, kullanılabilir VPN bağlantılarının listesi için cihazlarına göz atarken bu adı görür.

• Özel etki alanı adı (yalnızca Zscaler): Zscaler uygulamasının oturum açma alanını kullanıcılarınızın ait olduğu etki alanıyla önceden girin. Örneğin, bir kullanıcı adı iseJoe@contoso.netcontoso.net, uygulama açıldığında etki alanı alanda statik olarak görünür. Bir etki alanı adı girmezseniz, Microsoft Entra Id'de UPN'nin etki alanı bölümü kullanılır.

• VPN sunucusu adresi: Cihazların bağlanıldığı VPN sunucusunun IP adresi veya tam etki alanı adı (FQDN). Örneğin, veya vpn.contoso.comgirin192.168.1.1.

• Kuruluşun bulut adı (yalnızca Zscaler): Kuruluşunuzun sağlandığı bulut adını girin. Zscaler'da oturum açmak için kullandığınız URL'nin adı vardır.

• Kimlik doğrulama yöntemi: Cihazların VPN sunucusunda nasıl kimlik doğrulaması yapılacağını seçin.

  • Sertifikalar: Kimlik doğrulama sertifikası'nın altında, bağlantının kimliğini doğrulamak için mevcut bir SCEP veya PKCS sertifika profili seçin. Sertifikaları yapılandırma, sertifika profilleri hakkında bazı yönergeler sağlar.

  • Kullanıcı adı ve parola: Son kullanıcıların VPN sunucusunda oturum açmak için bir kullanıcı adı ve parola girmesi gerekir.

    Not

    Cisco IPsec VPN için kimlik doğrulama yöntemi olarak kullanıcı adı ve parola kullanılıyorsa, SharedSecret'i özel bir Apple Configurator profili aracılığıyla teslim etmelidir.

  • Türetilmiş kimlik bilgileri: Kullanıcının akıllı kartından türetilen bir sertifika kullanın. Türetilmiş kimlik bilgisi veren yapılandırılmamışsa, Intune sizden bir tane eklemenizi ister. Daha fazla bilgi için bkz. Microsoft Intune'da türetilmiş kimlik bilgilerini kullanma.

• Dışlanan URL'ler (yalnızca Zscaler): Zscaler VPN'e bağlanıldığında, listelenen URL'lere Zscaler bulutunun dışından erişilebilir. En fazla 50 URL ekleyebilirsiniz.

• Bölünmüş tünel: Trafiğe bağlı olarak hangi bağlantının kullanılacağına cihazların karar vermesine izin vermek için etkinleştirin veya Devre Dışı Bırakın . Örneğin, bir oteldeki bir kullanıcı iş dosyalarına erişmek için VPN bağlantısını kullanır, ancak düzenli web'de gezinmek için otelin standart ağını kullanır.

• VPN tanımlayıcısı (Özel VPN, Zscaler ve Citrix): Kullandığınız VPN uygulamasının tanımlayıcısı ve VPN sağlayıcınız tarafından sağlanır.

• Kuruluşunuzun özel VPN öznitelikleri (Özel VPN , Zscaler ve Citrix) için anahtar/değer çiftleri girin: VPN bağlantınızı özelleştiren Anahtarlar ve Değerler ekleyin veya içeri aktarın. Unutmayın, bu değerler genellikle VPN sağlayıcınız tarafından sağlanır.

• Ağ erişim denetimini (NAC) etkinleştir ( Cisco AnyConnect, Citrix SSO, F5 Access): Kabul ediyorum'u seçtiğinizde cihaz kimliği VPN profiline eklenir. Bu kimlik, ağ erişimine izin vermek veya erişimi engellemek için VPN kimlik doğrulaması için kullanılabilir.

  CISCO AnyConnect'i ISE ile kullanırken şunları yaptığınızdan emin olun:

  • Henüz yapmadıysanız, Cisco Identity Services Altyapısı Yönetici Kılavuzu'ndaMicrosoft Intune'u MDM Sunucusu olarak yapılandırma başlığı altında açıklandığı gibi ISE'yi NAC için Intune ile tümleştirin.
  • VPN profilinde NAC'yi etkinleştirin.

  Önemli

  Ağ erişim denetimi (NAC) hizmeti kullanım dışıdır ve Microsoft'un Uyumluluk Alma Hizmeti (CR Hizmeti) olan en son NAC hizmetiyle değiştirilir. Intune, Cisco ISE içindeki değişiklikleri desteklemek için cihaz kimliği biçimini değiştirdi. Bu nedenle, özgün NAC hizmetiyle mevcut profilleriniz çalışmayı durdurur.

  CR Hizmetini kullanmak ve VPN bağlantınızda kapalı kalma süresini önlemek için aynı VPN cihazı yapılandırma profilini yeniden dağıtın. Profilde değişiklik yapılması gerekmez. Yalnızca yeniden dağıtmanız gerekir. Cihaz Intune hizmetiyle eşitlendiğinde ve VPN yapılandırma profilini aldığında CR Hizmeti değişiklikleri cihaza otomatik olarak dağıtılır. Ayrıca VPN bağlantılarınız çalışmaya devam etmelidir.

  Ağ Geçidi ile Citrix SSO kullanırken şunları yaptığınızdan emin olun:

  • Citrix Gateway 12.0.59 veya üzerini kullandığınızı onaylayın.
  • Kullanıcılarınızın cihazlarında Citrix SSO 1.1.6 veya üzeri yüklü olduğunu onaylayın.
  • Citrix Gateway'i NAC için Intune ile tümleştirme. Microsoft Intune/Enterprise Mobility Suite'i NetScaler ile Tümleştirme (LDAP+OTP Senaryosu) Citrix dağıtım kılavuzuna bakın.
  • VPN profilinde NAC'yi etkinleştirin.

  F5 Access kullanırken şunları yaptığınızdan emin olun:

  • F5 BIG-IP 13.1.1.5 veya üzerini kullandığınızı onaylayın.
  • BIG-IP'yi NAC için Intune ile tümleştirme. Bkz. Genel Bakış: Uç nokta yönetim sistemleri F5 ile cihaz duruş denetimleri için APM'yi yapılandırma kılavuzu.
  • VPN profilinde NAC'yi etkinleştirin.

  Cihaz kimliğini destekleyen VPN iş ortakları için Citrix SSO gibi VPN istemcisi kimliği alabilir. Ardından cihazın kaydedildiğini ve VPN profilinin uyumlu olup olmadığını onaylamak için Intune'ı sorgulayabilir.

  • Bu ayarı kaldırmak için profili yeniden oluşturun ve Kabul ediyorum'ı seçmeyin. Ardından profili yeniden atayın.

• NetMotion Mobility VPN öznitelikleri için anahtar ve değer çiftlerini girin (yalnızca NetMotion Mobility): Anahtar ve değer çiftlerini girin veya içeri aktarın. Bu değerler VPN sağlayıcınız tarafından sağlanabilir.

• Microsoft Tunnel sitesi (yalnızca Microsoft Tunnel): Mevcut bir siteyi seçin. VPN istemcisi bu sitenin genel IP adresine veya FQDN'sine bağlanır.

  Daha fazla bilgi için bkz. Intune için Microsoft Tunnel.

IKEv2 ayarları

Bu ayarlar, Bağlantı türü>IKEv2'yi seçtiğinizde geçerlidir.

• Her zaman açık VPN: Enable bir VPN istemcisini vpn'e otomatik olarak bağlanacak ve vpn'e yeniden bağlanacak şekilde ayarlar. Kullanıcı cihazını kilitlediğinde, cihaz yeniden başlatıldığında veya kablosuz ağ değiştiğinde her zaman açık VPN bağlantıları bağlı kalır veya hemen bağlanır. Devre dışı bırak (varsayılan) olarak ayarlandığında, tüm VPN istemcileri için her zaman açık VPN devre dışı bırakılır. Etkinleştirildiğinde şunları da yapılandırın:

  • Ağ arabirimi: Tüm IKEv2 ayarları yalnızca seçtiğiniz ağ arabirimi için geçerlidir. Seçenekleriniz:

    • Wi-Fi ve Hücresel (varsayılan): IKEv2 ayarları cihazdaki Wi-Fi ve hücresel arabirimler için geçerlidir.
    • Hücresel: IKEv2 ayarları yalnızca cihazdaki hücresel arabirim için geçerlidir. Wi-Fi arabirimi devre dışı bırakılmış veya kaldırılmış cihazlara dağıtıyorsanız bu seçeneği belirleyin.
    • Wi-Fi: IKEv2 ayarları yalnızca cihazdaki Wi-Fi arabirimi için geçerlidir.

  • Kullanıcının VPN yapılandırmasını devre dışı bırakması: Etkinleştir ayarı, kullanıcıların her zaman açık VPN'yi kapatmasına olanak tanır. Devre dışı bırak (varsayılan) ayarı kullanıcıların kapatmasını engeller. Bu ayar için varsayılan değer en güvenli seçenektir.

  • Sesli mesaj: Her zaman açık VPN etkinleştirildiğinde sesli mesaj trafiğinde ne olacağını seçin. Seçenekleriniz:

    • VPN üzerinden ağ trafiğini zorlama (varsayılan): Bu ayar en güvenli seçenektir.
    • Ağ trafiğinin VPN dışından geçmesine izin ver
    • Ağ trafiğini bırakma

  • AirPrint: Her zaman açık VPN etkinleştirildiğinde AirPrint trafiğinde ne olacağını seçin. Seçenekleriniz:

    • VPN üzerinden ağ trafiğini zorlama (varsayılan): Bu ayar en güvenli seçenektir.
    • Ağ trafiğinin VPN dışından geçmesine izin ver
    • Ağ trafiğini bırakma

  • Hücresel hizmetler: iOS 13.0+ üzerinde, her zaman açık VPN etkinleştirildiğinde hücresel trafikte ne olacağını seçin. Seçenekleriniz:

    • VPN üzerinden ağ trafiğini zorlama (varsayılan): Bu ayar en güvenli seçenektir.
    • Ağ trafiğinin VPN dışından geçmesine izin ver
    • Ağ trafiğini bırakma

  • Yerel olmayan tutsak ağ uygulamalarından gelen trafiğin VPN dışından geçmesine izin ver: Tutsak ağ, genellikle restoranlarda ve otellerde bulunan Wi-Fi etkin noktaları ifade eder. Seçenekleriniz:

    • Hayır: TÜM Captive Networking (CN) uygulama trafiğini VPN tüneli üzerinden zorlar.

    • Evet, tüm uygulamalar: Tüm CN uygulama trafiğinin VPN'yi atlamasına izin verir.

    • Evet, belirli uygulamalar: Trafiği VPN'yi atlayan CN uygulamalarının listesini ekleyin . CN uygulamasının paket tanımlayıcılarını girin. Örneğin, girin com.contoso.app.id.package.

      Intune'a eklenen bir uygulamanın paket kimliğini almak için Intune yönetim merkezini kullanabilirsiniz.

  • Captive WebSheet uygulamasından VPN dışından geçen trafik: Captive WebSheet, captive oturum açmayı işleyen yerleşik bir web tarayıcısıdır. Etkinleştir , tarayıcı uygulaması trafiğinin VPN'yi atlamasına izin verir. Devre dışı bırak (varsayılan), Web Sayfası trafiğini her zaman açık VPN kullanmaya zorlar. Varsayılan değer en güvenli seçenektir.

  • Ağ adresi çevirisi (NAT) tutma aralığı (saniye):: Vpn'e bağlı kalmak için cihaz etkin kalması için ağ paketleri gönderir. 20-1440 arasındaki bu paketlerin ne sıklıkta gönderildiğine ilişkin saniye olarak bir değer girin. Örneğin, ağ paketlerini 60 saniyede bir VPN'e göndermek için değerini 60 girin. Varsayılan olarak, bu değer saniye olarak 110 ayarlanır.

  • Cihaz uykudayken NAT tutma özelliğini donanıma boşaltın: Bir cihaz uykudaykenEtkinleştir (varsayılan), cihazın VPN'ye bağlı kalması için NAT'nin sürekli etkin tutma paketleri göndermesini sağlar. Devre dışı bırak özelliği bu özelliği kapatır.

• Uzak tanımlayıcı: IKEv2 sunucusunun ağ IP adresini, FQDN'sini, UserFQDN'sini veya ASN1DN'sini girin. Örneğin, veya vpn.contoso.comgirin10.0.0.3. Genellikle Bağlantı adıyla aynı değeri girersiniz (bu makalede). Ancak bu, IKEv2 sunucu ayarlarınıza bağlıdır.

• Yerel tanımlayıcı: Cihazdaki IKEv2 VPN istemcisinin cihaz FQDN'sini veya konu ortak adını girin. Veya bu değeri boş bırakabilirsiniz (varsayılan). Genellikle, yerel tanımlayıcı kullanıcı veya cihaz sertifikasının kimliğiyle eşleşmelidir. IKEv2 sunucusu, istemcinin kimliğini doğrulayabilmesi için değerlerin eşleşmesini gerektirebilir.

• İstemci Kimlik Doğrulaması türü: VPN istemcisinin VPN'de nasıl kimlik doğrulaması yapılacağını seçin. Seçenekleriniz:

  • Kullanıcı kimlik doğrulaması (varsayılan): Kullanıcı kimlik bilgileri VPN'de kimlik doğrulaması yapar.
  • Makine kimlik doğrulaması: Cihaz kimlik bilgileri VPN'de kimlik doğrulaması yapar.

• Kimlik doğrulama yöntemi: Sunucuya gönderilecek istemci kimlik bilgilerinin türünü seçin. Seçenekleriniz:

  • Sertifikalar: VPN'de kimlik doğrulaması yapmak için mevcut bir sertifika profilini kullanır. Bu sertifika profilinin kullanıcıya veya cihaza zaten atandığından emin olun. Aksi takdirde VPN bağlantısı başarısız olur.

    • Sertifika türü: Sertifika tarafından kullanılan şifreleme türünü seçin. VPN sunucusunun bu tür bir sertifikayı kabul etmek için yapılandırıldığından emin olun. Seçenekleriniz:
      • RSA (varsayılan)
      • ECDSA256
      • ECDSA384
      • ECDSA521

  • Paylaşılan gizli dizi (yalnızca makine kimlik doğrulaması): VPN sunucusuna göndermek için paylaşılan bir gizli dizi girmenize izin verir.

    • Paylaşılan gizli dizi: Önceden paylaşılan anahtar (PSK) olarak da bilinen paylaşılan gizli diziyi girin. Değerin VPN sunucusunda yapılandırılan paylaşılan gizli diziyle eşleştiğinden emin olun.

• Sunucu sertifikası veren ortak adı: VPN sunucusunun VPN istemcisinde kimlik doğrulaması yapmasına izin verir. Cihazdaki VPN istemcisine gönderilen VPN sunucusu sertifikasının sertifika veren ortak adını (CN) girin. CN değerinin VPN sunucusundaki yapılandırmayla eşleştiğinden emin olun. Aksi takdirde VPN bağlantısı başarısız olur.

• Sunucu sertifikası ortak adı: Sertifikanın kendisi için CN girin. Boş bırakılırsa, uzak tanımlayıcı değeri kullanılır.

• Ölü eş algılama oranı: VPN istemcisinin VPN tünelinin etkin olup olmadığını ne sıklıkta denetlediğini seçin. Seçenekleriniz:

  • Yapılandırılmadı: Orta'yı seçmekle aynı olabilecek iOS/iPadOS sistem varsayılanını kullanır.
  • Yok: Ölü eş algılamayı devre dışı bırakır.
  • Düşük: 30 dakikada bir tutma iletisi gönderir.
  • Orta (varsayılan): 10 dakikada bir bir tutma iletisi gönderir.
  • Yüksek: 60 saniyede bir tutma iletisi gönderir.

• TLS sürüm aralığı en düşük: Kullanılacak en düşük TLS sürümünü girin. , 1.1veya 1.2girin1.0. Boş bırakılırsa varsayılan değeri 1.0 kullanılır. Kullanıcı kimlik doğrulaması ve sertifikaları kullanırken bu ayarı yapılandırmanız gerekir.

• TLS sürüm aralığı üst sınırı: Kullanılacak en yüksek TLS sürümünü girin. , 1.1veya 1.2girin1.0. Boş bırakılırsa varsayılan değeri 1.2 kullanılır. Kullanıcı kimlik doğrulaması ve sertifikaları kullanırken bu ayarı yapılandırmanız gerekir.

• Mükemmel iletme gizliliği: Mükemmel iletme gizliliğini (PFS) açmak için Etkinleştir'i seçin. PFS, oturum anahtarı tehlikeye atılırsa etkiyi azaltan bir IP güvenlik özelliğidir. Devre dışı bırak (varsayılan) PFS kullanmaz.

• Sertifika iptal denetimi: VPN bağlantısının başarılı olmasına izin vermeden önce sertifikaların iptal edilmemiş olduğundan emin olmak için Etkinleştir'i seçin. Bu denetim en iyi çabadır. Sertifikanın iptal edilip iptal edilmediğini saptamadan önce VPN sunucusu zaman aşımına uğradıysa erişim verilir. Devre dışı bırak (varsayılan) iptal edilen sertifikaları denetlemez.

• IPv4/IPv6 iç alt ağ özniteliklerini kullanma: Bazı IKEv2 sunucuları veya INTERNAL_IP6_SUBNET özniteliklerini kullanırINTERNAL_IP4_SUBNET. Etkinleştir seçeneği VPN bağlantısını bu öznitelikleri kullanmaya zorlar. Devre dışı bırak (varsayılan), VPN bağlantısını bu alt ağ özniteliklerini kullanmaya zorlamaz.

• Mobility ve multihoming (MOBIKE): MOBIKE, VPN istemcilerinin VPN sunucusuyla bir güvenlik ilişkisi oluşturmadan IP adreslerini değiştirmesine olanak tanır. Etkinleştir (varsayılan), ağlar arasında seyahat ederken VPN bağlantılarını geliştirebilen MOBIKE'yi açar. Devre dışı bırak özelliği MOBIKE'yi kapatır.

• Yeniden yönlendirme: Etkinleştir (varsayılan), VPN sunucusundan bir yeniden yönlendirme isteği alınırsa IKEv2 bağlantısını yeniden yönlendirir. Vpn sunucusundan yeniden yönlendirme isteği alınırsa , Disable IKEv2 bağlantısının yeniden yönlendirmesini engeller.

• Maksimum iletim birimi: 1-65536 arası bayt cinsinden maksimum iletim birimini (MTU) girin. Yapılandırılmadı olarak ayarlandığında veya boş bırakıldığında, Intune bu ayarı değiştirmez veya güncelleştirmez. Varsayılan olarak, Apple bu değeri 1280 olarak ayarlayabilir.

  Bu ayar şunlar için geçerlidir:

  • iOS/iPadOS 14 ve üstü

• Güvenlik ilişkilendirme parametreleri: VPN sunucusuyla güvenlik ilişkilendirmeleri oluştururken kullanılacak parametreleri girin:

  • Şifreleme algoritması: İstediğiniz algoritmayı seçin:

    • DES
    • 3DES
    • AES-128
    • AES-256 (varsayılan)
    • AES-128-GCM
    • AES-256-GCM

    Not

    Şifreleme algoritmasını AES-128-GCM veya AES-256-GCMAES-256 olarak ayarlarsanız varsayılan kullanılır. Bu bilinen bir sorundur ve gelecek bir sürümde düzeltilecektir. ETA yoktur.

  • Bütünlük algoritması: İstediğiniz algoritmayı seçin:

    • SHA1-96
    • SHA1-160
    • SHA2-256 (varsayılan)
    • SHA2-384
    • SHA2-512

  • Diffie-Hellman grubu: İstediğiniz grubu seçin. Varsayılan, grubudur 2.

  • Yaşam süresi (dakika): Anahtarlar döndürülene kadar güvenlik ilişkisinin ne kadar süreyle etkin kalacağını girin. ile 1440 arasında 10 bir tam değer girin (1440 dakika 24 saattir). Varsayılan değer: 1440.

• Alt güvenlik ilişkilendirme parametreleri: iOS/iPadOS, IKE bağlantısı ve alt bağlantılar için ayrı parametreler yapılandırmanıza olanak tanır. VPN sunucusuyla alt güvenlik ilişkilendirmeleri oluştururken kullanılan parametreleri girin:

  • Şifreleme algoritması: İstediğiniz algoritmayı seçin:

    • DES
    • 3DES
    • AES-128
    • AES-256 (varsayılan)
    • AES-128-GCM
    • AES-256-GCM

    Not

    Şifreleme algoritmasını AES-128-GCM veya AES-256-GCMAES-256 olarak ayarlarsanız varsayılan kullanılır. Bu bilinen bir sorundur ve gelecek bir sürümde düzeltilecektir. ETA yoktur.

• Bütünlük algoritması: İstediğiniz algoritmayı seçin:

  • SHA1-96
  • SHA1-160
  • SHA2-256 (varsayılan)
  • SHA2-384
  • SHA2-512

  Ayrıca şunları da yapılandırın:

  • Diffie-Hellman grubu: İstediğiniz grubu seçin. Varsayılan, grubudur 2.
  • Yaşam süresi (dakika): Anahtarlar döndürülene kadar güvenlik ilişkisinin ne kadar süreyle etkin kalacağını girin. ile 1440 arasında 10 bir tam değer girin (1440 dakika 24 saattir). Varsayılan değer: 1440.

Otomatik VPN

• Otomatik VPN türü: Yapılandırmak istediğiniz VPN türünü seçin - İsteğe bağlı VPN veya uygulama başına VPN. Yalnızca bir seçenek kullandığınızdan emin olun. İkisinin de aynı anda kullanılması bağlantı sorunlarına neden olur.

  • Yapılandırılmadı (varsayılan): Intune bu ayarı değiştirmez veya güncelleştirmez.

  • İsteğe bağlı VPN: İsteğe bağlı VPN, VPN bağlantısını otomatik olarak bağlamak veya bağlantısını kesmek için kuralları kullanır. Cihazlarınız VPN'e bağlanmaya çalıştığında, oluşturduğunuz parametrelerde ve kurallarda eşleşen etki alanı adı gibi eşleşmeleri arar. Eşleşme varsa, seçtiğiniz eylem çalıştırılır.

    Örneğin, VPN bağlantısının yalnızca bir cihaz şirket Wi-Fi ağına bağlı olmadığında kullanıldığı bir koşul oluşturabilirsiniz. Alternatif olarak, bir cihaz girdiğiniz dns arama etki alanına erişemiyorsa VPN bağlantısı başlatılmaz.

    • İsteğe bağlı kurallar>Ekle: Kural eklemek için Ekle'yi seçin. Mevcut bir VPN bağlantısı yoksa bu ayarları kullanarak isteğe bağlı bir kural oluşturun. Kuralınızla bir eşleşme varsa, seçtiğiniz eylemi cihaz yapar.

      • Aşağıdakileri yapmak istiyorum: Cihaz değeriyle isteğe bağlı kuralınız arasında bir eşleşme varsa, cihazın gerçekleştirmesini istediğiniz eylemi seçin. Seçenekleriniz:

        • VPN oluşturma: Cihaz değeri ile isteğe bağlı kuralınız arasında bir eşleşme varsa cihaz VPN'e bağlanır.

        • VPN bağlantısını kesme: Cihaz değeriyle isteğe bağlı kuralınız arasında bir eşleşme varsa VPN bağlantısının bağlantısı kesilir.

        • Her bağlantı girişimini değerlendirme: Cihaz değeri ile isteğe bağlı kuralınız arasında bir eşleşme varsa, her VPN bağlantı girişiminde ne olacağına karar vermek için Bağlanıp bağlanmayacağını seçin ayarını kullanın:

          • Gerekirse bağlan: Cihaz bir iç ağdaysa veya dahili ağa önceden kurulmuş bir VPN bağlantısı varsa isteğe bağlı VPN bağlanmaz. Bu ayarlar kullanılmaz.

            Mevcut bir VPN bağlantısı yoksa , her VPN bağlantısı girişimi için kullanıcıların bir DNS etki alanı adı kullanarak bağlanmaları gerekip gerekmediğini belirleyin. Bu kural yalnızca kullanıcılar bu etki alanlarına erişmeye çalıştığında listesindeki etki alanları için geçerlidir. Diğer tüm etki alanları yoksayılır.

            • Kullanıcılar bu etki alanlarına erişmeye çalıştığında: gibi contoso.combir veya daha fazla DNS etki alanı girin. Kullanıcılar bu listedeki bir etki alanına bağlanmaya çalışırsa, cihaz girdiğiniz etki alanlarını çözümlemek için DNS kullanır. Etki alanı çözümlenmezse , yani iç kaynaklara erişimi yoksa, isteğe bağlı VPN'e bağlanır. Etki alanı çözümlenmezse, yani zaten iç kaynaklara erişimi varsa VPN'e bağlanmaz.

              Not

              • Kullanıcılar bu etki alanlarına erişmeye çalıştığında ayarı boşsa, cihaz etki alanını çözümlemek için ağ bağlantı hizmetinde (Wi-Fi/ethernet) yapılandırılmış DNS sunucularını kullanır. Buradaki fikir, bu DNS sunucularının genel sunucular olmasıdır.

                Kullanıcılar bu etki alanlarına erişmeye çalıştığında listesindeki etki alanları iç kaynaklardır. İç kaynaklar genel DNS sunucularında değildir ve çözümlenemez. Bu nedenle cihaz VPN'e bağlanır. Artık etki alanı VPN bağlantısının DNS sunucuları kullanılarak çözümlenir ve iç kaynak kullanılabilir.

                Cihaz iç ağdaysa, etki alanı çözülür ve iç etki alanı zaten kullanılabilir olduğundan VPN bağlantısı oluşturulmaz. VPN kaynaklarını zaten iç ağdaki cihazlarda harcamak istemezsiniz.

              • Kullanıcılar bu etki alanlarına erişmeye çalıştığında ayarı doldurulmuşsa, listedeki etki alanlarını çözümlemek için bu listedeki DNS sunucuları kullanılır.

                Fikir, ilk madde işaretinin tersidir (Kullanıcılar bu etki alanlarına erişmeye çalıştığında ayarı boş olur). Örneğin, kullanıcılar bu etki alanlarına erişmeye çalıştığında listesinde iç DNS sunucuları vardır. Dış ağdaki bir cihaz iç DNS sunucularına yönlendiremez. Ad çözümlemesi zaman aşımına uysa cihaz isteğe bağlı OLARAK VPN'e bağlanır. Artık iç kaynaklar kullanılabilir.

                Bu bilgilerin yalnızca kullanıcılar bu etki alanlarına erişmeye çalıştığında listesindeki etki alanları için geçerli olduğunu unutmayın. Diğer tüm etki alanları genel DNS sunucularıyla çözümlenir. Cihaz iç ağa bağlandığında, listedeki DNS sunucularına erişilebilir ve VPN'e bağlanmaya gerek yoktur.

            • Bu etki alanlarını çözümlemek için aşağıdaki DNS sunucularını kullanın (isteğe bağlı): gibi 10.0.0.22bir veya daha fazla DNS sunucusu IP adresi girin. Girdiğiniz DNS sunucuları, Kullanıcılar bu etki alanlarına erişmeyi denediğinde ayarındaki etki alanlarını çözümlemek için kullanılır.

            • Bu URL'ye ulaşılamıyorsa VPN'ye zorla bağlanın: İsteğe bağlı. Kuralın test olarak kullandığı bir HTTP veya HTTPS yoklama URL'si girin. Örneğin, girin https://probe.Contoso.com. Bu URL, kullanıcılar bu etki alanlarına erişmeyi denediğinde ayarında bir kullanıcı bir etki alanına erişmeye çalıştığında yoklanır. Kullanıcı URL dizesi yoklama sitesini görmüyor.

              URL'ye ulaşılamadığı veya 200 HTTP durum kodu döndürmediği için yoklama başarısız olursa cihaz VPN'e bağlanır.

              Amaç, URL'ye yalnızca iç ağ üzerinden erişilebilir olmasıdır. URL'ye erişilebiliyorsa VPN bağlantısı gerekmez. URL'ye erişilemiyorsa cihaz bir dış ağdadır ve isteğe bağlı OLARAK VPN'ye bağlanır. VPN bağlantısı kurulduktan sonra iç kaynaklar kullanılabilir.

          • Hiçbir zaman bağlanma: Her VPN bağlantısı girişiminde, kullanıcılar girdiğiniz etki alanlarına erişmeye çalıştığında cihaz hiçbir zaman VPN'e bağlanmaz.

            • Kullanıcılar bu etki alanlarına erişmeye çalıştığında: gibi contoso.combir veya daha fazla DNS etki alanı girin. Kullanıcılar bu listedeki bir etki alanına bağlanmaya çalışırsa VPN bağlantısı oluşturulmaz. Bu listede olmayan bir etki alanına bağlanmaya çalışırlarsa cihaz VPN'e bağlanır.

        • Yoksay: Cihaz değeriyle isteğe bağlı kuralınız arasında bir eşleşme varsa VPN bağlantısı yoksayılır.

      • Şunu kısıtlamak istiyorum: Aşağıdaki ayarı yapmak istiyorum bölümünde VPN Oluştur, VPN Bağlantısını Kes veya Yoksay'ı seçerseniz kuralın uyması gereken koşulu seçin. Seçenekleriniz:

        • Belirli SSID'ler: Kuralın geçerli olduğu bir veya daha fazla kablosuz ağ adı girin. Bu ağ adı Hizmet Kümesi Tanımlayıcısı 'dır (SSID). Örneğin, girin Contoso VPN.
        • Belirli arama etki alanları: Kuralın geçerli olduğu bir veya daha fazla DNS etki alanı girin. Örneğin, girin contoso.com.
        • Tüm etki alanları: Kuralınızı kuruluşunuzdaki tüm etki alanlarına uygulamak için bu seçeneği belirleyin.

      • Ancak yalnızca bu URL yoklaması başarılı olursa: İsteğe bağlı. Kuralın test olarak kullandığı url'yi girin. Örneğin, girin https://probe.Contoso.com. Cihaz yeniden yönlendirme olmadan bu URL'ye erişiyorsa VPN bağlantısı başlatılır. Cihaz hedef URL'ye bağlanır. Kullanıcı URL dizesi yoklama sitesini görmüyor.

        Örneğin URL, cihaz VPN aracılığıyla hedef URL'ye bağlanmadan önce VPN'in siteye bağlanma yeteneğini test eder.

    • Kullanıcıların otomatik VPN'i devre dışı bırakmasını engelle: Seçenekleriniz:

      • Yapılandırılmadı: Intune bu ayarı değiştirmez veya güncelleştirmez.
      • Evet: Kullanıcıların otomatik VPN'i kapatmasını engeller. Kullanıcıları otomatik VPN'i etkin ve çalışır durumda tutmaya zorlar.
      • Hayır: Kullanıcıların otomatik VPN'i kapatmasına izin verir.

      Bu ayar şunlar için geçerlidir:

      • iOS 14 ve daha yenisi
      • iPadOS 14 ve üstü

  • Uygulama başına VPN: Bu VPN bağlantısını belirli bir uygulamayla ilişkilendirerek uygulama başına VPN'i etkinleştirir. Uygulama çalıştırıldığında VPN bağlantısı başlatılır. Uygulama yazılımını veya programını atarken VPN profilini bir uygulamayla ilişkilendirebilirsiniz. Daha fazla bilgi için bkz. Uygulamaları atama ve izleme.

    IKEv2 bağlantısında uygulama başına VPN desteklenmez. Daha fazla bilgi için bkz. iOS/iPadOS cihazları için uygulama başına VPN'i ayarlama.

    • Sağlayıcı Türü: Yalnızca Pulse Secure ve Özel VPN için kullanılabilir.

      Pulse Secure veya Özel VPN ile uygulama başına VPN profilleri kullanırken uygulama katmanı tüneli (uygulama ara sunucusu) veya paket düzeyi tünel (paket tüneli) seçeneğini belirleyin:

      • app-proxy: Uygulama katmanı tüneli için bu seçeneği belirleyin.
      • packet-tunnel: Paket katmanı tüneli için bu seçeneği belirleyin.

      Hangi seçeneği kullanacağınızdan emin değilseniz VPN sağlayıcınızın belgelerine bakın.

    • Bu VPN'i tetikleyecek Safari URL'leri: Bir veya daha fazla web sitesi URL'sini ekleyin. Bu URL'ler cihazda Safari tarayıcısı kullanılarak ziyaret edildiğinde VPN bağlantısı otomatik olarak kurulur. Örneğin, girin contoso.com.

    • İlişkili Etki Alanları: Bu VPN bağlantısıyla kullanılacak VPN profiline ilişkili etki alanlarını girin.

      Daha fazla bilgi için bkz. ilişkili etki alanları.

    • Dışlanan Etki Alanları: Uygulama başına VPN bağlandığında VPN bağlantısını atlayan etki alanlarını girin. Örneğin, girin contoso.com. contoso.com VPN bağlı olsa bile etki alanına gelen trafik genel İnternet'i kullanır.

    • Kullanıcıların otomatik VPN'i devre dışı bırakmasını engelle: Seçenekleriniz:

      • Yapılandırılmadı: Intune bu ayarı değiştirmez veya güncelleştirmez.
      • Evet: Kullanıcıların VPN profili ayarlarında İsteğe Bağlı Bağlan düğmesini kapatmasını engeller. Kullanıcıları uygulama başına VPN veya isteğe bağlı kuralları etkin ve çalışır durumda tutmaya zorlar.
      • Hayır: Kullanıcıların İsteğe Bağlı Bağlan iki durumlu düğmesini kapatmasına izin verir ve bu da uygulama başına VPN ve isteğe bağlı kuralları devre dışı bırakır.

      Bu ayar şunlar için geçerlidir:

      • iOS 14 ve daha yenisi
      • iPadOS 14 ve üstü

Uygulama başına VPN

Bu ayarlar aşağıdaki VPN bağlantı türleri için geçerlidir:

• Microsoft Tunnel

Ayarlar:

• Uygulama başına VPN: Enable özelliği belirli bir uygulamayı bu VPN bağlantısıyla ilişkilendirir. Uygulama çalıştırıldığında trafik otomatik olarak VPN bağlantısı üzerinden yönlendirilir. Yazılımı atarken VPN profilini bir uygulamayla ilişkilendirebilirsiniz. Daha fazla bilgi için bkz. Uygulamaları atama ve izleme.

  Daha fazla bilgi için bkz. Intune için Microsoft Tunnel.

• Bu VPN'i tetikleyecek Safari URL'leri: Bir veya daha fazla web sitesi URL'sini ekleyin. Bu URL'ler cihazda Safari tarayıcısı kullanılarak ziyaret edildiğinde VPN bağlantısı otomatik olarak kurulur. Örneğin, girin contoso.com.

• İlişkili Etki Alanları: Bu VPN bağlantısıyla kullanılacak VPN profiline ilişkili etki alanlarını girin.

  Daha fazla bilgi için bkz. ilişkili etki alanları.

• Dışlanan Etki Alanları: Uygulama başına VPN bağlandığında VPN bağlantısını atlayan etki alanlarını girin. Örneğin, girin contoso.com. contoso.com VPN bağlı olsa bile etki alanına gelen trafik genel İnternet'i kullanır.

Proxy

Ara sunucu kullanıyorsanız aşağıdaki ayarları yapılandırın.

• Otomatik yapılandırma betiği: Ara sunucuyu yapılandırmak için bir dosya kullanın. Yapılandırma dosyasını içeren proxy sunucu URL'sini girin. Örneğin, girin http://proxy.contoso.com/pac.
• Adres: Ara sunucunun IP adresini veya tam ana bilgisayar adını girin. Örneğin, veya vpn.contoso.comgirin10.0.0.3.
• Bağlantı noktası numarası: Proxy sunucusuyla ilişkili bağlantı noktası numarasını girin. Örneğin, girin 8080.

Sonraki adımlar

Profil oluşturuldu, ancak henüz bir şey yapmıyor olabilir. Profili atadığınızdan ve durumunu izlediğinden emin olun.

Android, Android Enterprise, macOS ve Windows cihazlarında VPN ayarlarını yapılandırın.