Android Enterprise-Geräteeinstellungen zum Konfigurieren von VPN in Intune

In diesem Artikel werden die verschiedenen VPN-Verbindungseinstellungen beschrieben, die Sie auf Android Enterprise-Geräten steuern können. Verwenden Sie im Rahmen Ihrer MDM-Lösung (Mobile Device Management, Verwaltung mobiler Geräte) diese Einstellungen, um eine VPN-Verbindung zu erstellen, die Art der VPN-Authentifizierung auszuwählen, einen VPN-Servertyp auszuwählen und vieles mehr.

Diese Funktion gilt für:

• Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil (BYOD)
• Unternehmenseigenes Android Enterprise-Arbeitsprofil (COPE)
• Unternehmenseigene, vollständig verwaltete Android Enterprise-Geräte (COBO)
• Unternehmenseigene, dedizierte Android Enterprise-Geräte (COSU)

Als Intune-Administrator können Sie VPN-Einstellungen erstellen und Android Enterprise-Geräten zuweisen. Weitere Informationen zu VPN-Profilen in Intune finden Sie unter VPN-Profile.

Hinweis

Zum Konfigurieren von Always-On-VPN müssen Sie folgendes ausführen:

1. Erstellen Sie ein VPN-Profil mit Ihren Verbindungsinformationen, wie in diesem Artikel beschrieben.
2. Erstellen Sie ein Geräteeinschränkungsprofil mit konfigurierter Always-On-VPN-Einstellung.
3. Weisen Sie Ihren Gruppen beide Profile zu.

Bevor Sie beginnen

• Erstellen Sie ein Android Enterprise-VPN-Gerätekonfigurationsprofil:

  • Vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil
  • Persönliches Arbeitsprofil

• Einige Microsoft 365-Dienste, z. B. Outlook, funktionieren möglicherweise nicht gut mit Drittanbieter- oder Partner-VPNs. Wenn Sie ein Drittanbieter- oder Partner-VPN verwenden und ein Latenz- oder Leistungsproblem auftritt, entfernen Sie das VPN.

  Wenn das Entfernen des VPN das Verhalten aufhebt, haben Sie folgende Möglichkeiten:

  • Arbeiten Sie mit dem Drittanbieter- oder Partner-VPN zusammen, um mögliche Lösungen zu finden. Microsoft bietet keinen technischen Support für Drittanbieter- oder Partner-VPNs.
  • Verwenden Sie kein VPN mit Outlook-Datenverkehr.
  • Wenn Sie ein VPN verwenden müssen, verwenden Sie ein Split-Tunnel-VPN. Und erlauben Sie dem Outlook-Datenverkehr, das VPN zu umgehen.

  Weitere Informationen finden Sie unter:

  • Übersicht: Geteiltes VPN-Tunneling für Microsoft 365
  • Verwenden von Netzwerkgeräten oder Lösungen von Drittanbietern mit Microsoft 365
  • Alternative Möglichkeiten für Sicherheitsexperten und IT-Mitarbeiter, moderne Sicherheitskontrollen im heutigen einzigartigen Blog für Remotearbeitsszenarien zu erreichen
  • Prinzipien der Microsoft 365-Netzwerkkonnektivität

• Wenn Sie diese Geräte benötigen, um mit moderner Authentifizierung und bedingtem Zugriff auf lokale Ressourcen zuzugreifen, können Sie Microsoft Tunnel verwenden, der geteiltes Tunneln unterstützt.

Vollständig verwaltetes, dediziertes und Corporate-Owned Arbeitsprofil

• Verbindungstyp: Wählen Sie den VPN-Verbindungstyp aus. Ihre Optionen:

  • Cisco AnyConnect
  • SonicWall Mobile Connect
  • F5 Access
  • Pulse Secure
  • Microsoft Tunnel (wird auf dedizierten Android Enterprise-Geräten nicht unterstützt.)

Die verfügbaren Einstellungen hängen vom ausgewählten VPN-Client ab. Einige Einstellungen sind nur für bestimmte VPN-Clients verfügbar.

Basis-VPN (vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil)

• Verbindungsname: Geben Sie einen Namen für diese Verbindung ein. Endbenutzern wird dieser Name angezeigt, wenn sie ihr Gerät nach den verfügbaren VPN-Verbindungen durchsuchen. Geben Sie beispielsweise Contoso VPN ein.

• VPN-Serveradresse oder FQDN: Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des VPN-Servers ein, mit dem Geräte eine Verbindung herstellen. Geben Sie z. B. oder ein 192.168.1.1vpn.contoso.com.

• Authentifizierungsmethode: Wählen Sie aus, wie Sich Geräte beim VPN-Server authentifizieren. Ihre Optionen:

  • Zertifikate: Wählen Sie ein vorhandenes SCEP- oder PKCS-Zertifikatprofil aus, das die Verbindung authentifiziert. Zertifikate konfigurieren enthält die Schritte zum Erstellen eines Zertifikatprofils.

  • Benutzername und Kennwort: Wenn sich Endbenutzer beim VPN-Server anmelden, werden Benutzer aufgefordert, ihren Benutzernamen und ihr Kennwort einzugeben.

  • Abgeleitete Anmeldeinformationen: Verwenden Sie ein Zertifikat, das von der Smartcard eines Benutzers abgeleitet wird. Wenn kein Aussteller für abgeleitete Anmeldeinformationen konfiguriert ist, werden Sie von Intune aufgefordert, einen Solchen hinzuzufügen.

    Weitere Informationen finden Sie unter Verwenden abgeleiteter Anmeldeinformationen in Intune.

• Geben Sie Schlüssel-Wert-Paare für die NetMotion Mobility-VPN-Attribute ein: Hinzufügen oder Importieren von Schlüsseln und Werten , die Ihre VPN-Verbindung anpassen. Diese Werte werden in der Regel von Ihrem VPN-Anbieter bereitgestellt.

• Microsoft Tunnel-Standort (nur Microsoft Tunnel): Wählen Sie einen vorhandenen Standort aus. Der VPN-Client stellt eine Verbindung mit der öffentlichen IP-Adresse oder dem FQDN dieses Standorts her.

  Weitere Informationen finden Sie unter Microsoft Tunnel für Intune.

Pro App-VPN (vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil)

• Hinzufügen: Wählen Sie verwaltete Apps aus der Liste aus. Wenn Benutzer die von Ihnen hinzugefügten Apps starten, wird der Datenverkehr automatisch über die VPN-Verbindung weitergeleitet.

Weitere Informationen finden Sie unter Verwenden einer VPN- und Pro-App-VPN-Richtlinie auf Android Enterprise-Geräten.

Always-On-VPN (vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil)

• Always-On-VPN: Aktivieren aktiviert Always-On-VPN, sodass VPN-Clients nach Möglichkeit automatisch eine Verbindung mit dem VPN herstellen und wieder herstellen. Wenn diese Einstellung auf Nicht konfiguriert festgelegt ist, ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig ist Always-On-VPN möglicherweise für alle VPN-Clients deaktiviert.

  Es kann nur ein VPN-Client für Always-On-VPN auf einem Gerät konfiguriert werden. Stellen Sie sicher, dass nicht mehr als eine Always-On-VPN-Richtlinie auf einem einzelnen Gerät bereitgestellt wird.

Proxy (vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil)

• Automatisches Konfigurationsskript: Verwenden Sie eine Datei, um den Proxyserver zu konfigurieren. Geben Sie die Proxyserver-URL ein, die die Konfigurationsdatei enthält. Geben Sie beispielsweise http://proxy.contoso.com/pac ein.
• Adresse: Geben Sie die IP-Adresse oder den vollqualifizierten Hostnamen des Proxyservers ein. Geben Sie z. B. oder ein 10.0.0.3vpn.contoso.com.
• Portnummer: Geben Sie die Portnummer ein, die dem Proxyserver zugeordnet ist. Geben Sie beispielsweise 8080 ein.

Persönliches Arbeitsprofil

• Verbindungstyp: Wählen Sie den VPN-Verbindungstyp aus. Ihre Optionen:

  • Check Point Capsule VPN

  • Cisco AnyConnect

    Hinweis

    Wenn Cisco AnyConnect im persönlichen Arbeitsprofil enthalten ist, gibt es möglicherweise einige zusätzliche Schritte für Endbenutzer, um die VPN-Verbindung abzuschließen. Weitere Informationen finden Sie unter VPN-Profile : Wie erfolgreiche VPN-Profile aussehen.

  • SonicWall Mobile Connect

  • F5 Access

  • Pulse Secure

  • NetMotion Mobility

  • Microsoft Tunnel

Die verfügbaren Einstellungen hängen vom ausgewählten VPN-Client ab. Einige Einstellungen sind nur für bestimmte VPN-Clients verfügbar.

Basis-VPN (persönliches Arbeitsprofil)

• Verbindungsname: Geben Sie einen Namen für diese Verbindung ein. Endbenutzern wird dieser Name angezeigt, wenn sie ihr Gerät nach den verfügbaren VPN-Verbindungen durchsuchen. Geben Sie beispielsweise Contoso VPN ein.

• VPN-Serveradresse: Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) des VPN-Servers ein, mit dem Geräte eine Verbindung herstellen. Geben Sie z. B. oder ein 192.168.1.1vpn.contoso.com.

• Authentifizierungsmethode: Wählen Sie aus, wie Sich Geräte beim VPN-Server authentifizieren. Ihre Optionen:

  • Zertifikate: Wählen Sie ein vorhandenes SCEP- oder PKCS-Zertifikatprofil aus, das die Verbindung authentifiziert. Zertifikate konfigurieren enthält die Schritte zum Erstellen eines Zertifikatprofils.

  • Benutzername und Kennwort: Wenn sich Endbenutzer beim VPN-Server anmelden, werden Benutzer aufgefordert, ihren Benutzernamen und ihr Kennwort einzugeben.

  • Abgeleitete Anmeldeinformationen: Verwenden Sie ein Zertifikat, das von der Smartcard eines Benutzers abgeleitet wird. Wenn kein Aussteller für abgeleitete Anmeldeinformationen konfiguriert ist, werden Sie von Intune aufgefordert, einen Solchen hinzuzufügen.

    Weitere Informationen finden Sie unter Verwenden abgeleiteter Anmeldeinformationen in Intune.

• Fingerabdruck (nur Check Point Capsule VPN): Geben Sie die Fingerabdruckzeichenfolge ein, die Ihnen vom VPN-Anbieter gegeben wurde, z Contoso Fingerprint Code. B. . Dieser Fingerabdruck überprüft, ob der VPN-Server vertrauenswürdig ist.

  Bei der Authentifizierung wird ein Fingerabdruck an den Client gesendet, damit der Client jedem Server vertraut, der über denselben Fingerabdruck verfügt. Wenn das Gerät nicht über den Fingerabdruck verfügt, wird der Benutzer aufgefordert, dem VPN-Server zu vertrauen, während der Fingerabdruck angezeigt wird. Der Benutzer überprüft den Fingerabdruck manuell und entscheidet sich für die Verbindung als vertrauenswürdig.

• Geben Sie Schlüssel-Wert-Paare für die NetMotion Mobility-VPN-Attribute ein: Hinzufügen oder Importieren von Schlüsseln und Werten , die Ihre VPN-Verbindung anpassen. Diese Werte werden in der Regel von Ihrem VPN-Anbieter bereitgestellt.

• Microsoft Tunnel-Standort (nur Microsoft Tunnel): Wählen Sie einen vorhandenen Standort aus. Der VPN-Client stellt eine Verbindung mit der öffentlichen IP-Adresse oder dem FQDN dieses Standorts her.

  Weitere Informationen finden Sie unter Microsoft Tunnel für Intune.

Pro App-VPN (persönliches Arbeitsprofil)

• Hinzufügen: Wählen Sie verwaltete Apps aus der Liste aus. Wenn Benutzer die von Ihnen hinzugefügten Apps starten, wird der Datenverkehr automatisch über die VPN-Verbindung weitergeleitet.

Weitere Informationen finden Sie unter Verwenden einer VPN- und Pro-App-VPN-Richtlinie auf Android Enterprise-Geräten.

Always-On-VPN (persönliches Arbeitsprofil)

• Always-On-VPN: Aktivieren aktiviert Always-On-VPN, sodass VPN-Clients nach Möglichkeit automatisch eine Verbindung mit dem VPN herstellen und wieder herstellen. Wenn diese Einstellung auf Nicht konfiguriert festgelegt ist, ändert oder aktualisiert Intune diese Einstellung nicht. Standardmäßig ist Always-On-VPN möglicherweise für alle VPN-Clients deaktiviert.

  Es kann nur ein VPN-Client für Always-On-VPN auf einem Gerät konfiguriert werden. Stellen Sie sicher, dass nicht mehr als eine Always-On-VPN-Richtlinie auf einem einzelnen Gerät bereitgestellt wird.

Proxy (persönliches Arbeitsprofil)

• Automatisches Konfigurationsskript: Verwenden Sie eine Datei, um den Proxyserver zu konfigurieren. Geben Sie die Proxyserver-URL ein, die die Konfigurationsdatei enthält. Geben Sie beispielsweise http://proxy.contoso.com/pac ein.
• Adresse: Geben Sie die IP-Adresse oder den vollqualifizierten Hostnamen des Proxyservers ein. Geben Sie z. B. oder ein 10.0.0.3vpn.contoso.com.
• Portnummer: Geben Sie die Portnummer ein, die dem Proxyserver zugeordnet ist. Geben Sie beispielsweise 8080 ein.

Verwandte Artikel

• Weisen Sie das Profil zu, und überwachen Sie seinen Status.

• Erstellen Sie VPN-Profile für Android-Geräteadministratoren, iOS/iPadOS, macOS und Windows.

• Erfahren Sie, wie Sie VPN-Profilprobleme in Microsoft Intune behandeln.