VPN-Profile zum Herstellen einer Verbindung mit VPN-Servern in Intune erstellen
Wichtig
Am 22. Oktober 2022 hat Microsoft Intune den Support für Geräte unter Windows 8.1 eingestellt. Technische Unterstützung und automatische Updates auf diesen Geräten sind nicht verfügbar.
Wenn Sie derzeit Windows 8.1 verwenden, wechseln Sie zu Windows 10/11-Geräten. Microsoft Intune verfügt über integrierte Sicherheits- und Gerätefeatures, die Windows 10/11-Clientgeräte verwalten.
Wichtig
Microsoft Intune beendet den Support für die Android-Geräteadministratorverwaltung auf Geräten mit Zugriff auf Google Mobile Services (GMS) am 31. Dezember 2024. Nach diesem Datum sind die Geräteregistrierung, der technische Support sowie Behebungen von Programmfehlern und Sicherheitslücken nicht mehr verfügbar. Wenn Sie zurzeit die Verwaltung per Geräteadministrator verwenden, empfiehlt es sich, vor dem Ende des Supports zu einer anderen Android-Verwaltungsoption in Intune zu wechseln. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.
Über virtuelle private Netzwerke (VPNs) erhalten Benutzer sicheren Remotezugriff auf Ihr Organisationsnetzwerk. Geräte verwenden ein VPN-Verbindungsprofil, um eine Verbindung mit dem VPN-Server herzustellen. VPN-Profile in Microsoft Intune weisen VPN-Einstellungen zu Benutzern und Geräten in Ihrer Organisation zu. Verwenden Sie diese Einstellungen, damit Benutzer problemlos und sicher eine Verbindung mit Ihrem Organisationsnetzwerk herstellen können.
Diese Funktion gilt für:
- Android-Geräteadministrator
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
- iOS/iPadOS
- macOS
- Windows 10
- Windows 11
- Windows 8.1 und höher
Angenommen, Sie möchten z. B. alle iOS-/iPadOS-Geräte mit den Einstellungen konfigurieren, die zum Herstellen einer Verbindung mit einer Dateifreigabe im Organisationsnetzwerk erforderlich sind. Erstellen Sie ein VPN-Profil, das diese Einstellungen enthält. Weisen Sie dieses Profil allen Benutzern zu, die über iOS-/iPadOS-Geräte verfügen. Die Benutzer sehen die VPN-Verbindung in der Liste der verfügbaren Netzwerke und können mit geringem Aufwand eine Verbindung herstellen.
In diesem Artikel werden die VPN-Apps aufgelistet, die Sie verwenden können. Außerdem wird gezeigt, wie Sie ein VPN-Profil erstellen und Ihre VPN-Profile schützen. Sie müssen die VPN-App bereitstellen, bevor Sie das VPN-Profil erstellen. Wenn Sie Hilfe beim Bereitstellen von Apps mit Microsoft Intune benötigen, wechseln Sie zu Was ist App-Verwaltung in Microsoft Intune?.
Bevor Sie beginnen
VPN-Profile für einen Gerätetunnel werden für Windows 10/11 Enterprise-Remotedesktops mit mehreren Sitzungen unterstützt.
Wenn Sie die zertifikatbasierte Authentifizierung für Ihr VPN-Profil verwenden, stellen Sie das VPN-Profil, das Zertifikatprofil und das vertrauenswürdige Stammprofil für dieselben Gruppen bereit. Mit diesem Schritt wird sichergestellt, dass jedes Gerät die Rechtmäßigkeit Ihrer Zertifizierungsstelle erkennen kann. Weitere Informationen finden Sie unter Konfigurieren von Zertifikaten mit Microsoft Intune.
Die Benutzerregistrierung für iOS/iPadOS und macOS unterstützt nur ein Pro-App-VPN.
Sie können benutzerdefinierte Intune-Konfigurationsrichtlinien verwenden, um VPN-Profile für die folgenden Plattformen zu erstellen:
- Android 4 und höher
- Registrierte Geräte unter Windows 8.1 und höher
- Registrierte Geräte, die Windows 10/11 ausführen
- Windows Holographic for Business
Bei Windows 11 Geräten liegt ein Problem zwischen dem Windows 11-Client und dem Windows VPNv2-CSP vor.
Ein Gerät mit mindestens einem Intune-VPN-Profil verliert seine VPN-Verbindung, wenn das Gerät mehrere Änderungen an VPN-Profilen für das Gerät gleichzeitig verarbeitet. Wenn das Gerät ein zweites Mal bei Intune eincheckt, verarbeitet es die VPN-Profiländerungen, und die Verbindung wird wiederhergestellt.
Die folgenden Änderungen können zu einem Verlust der VPN-Funktionalität führen:
- Sie ändern oder aktualisieren ein vorhandenes VPN-Profil, das zuvor vom Windows 11 Gerät verarbeitet wurde. Durch diese Aktion wird das ursprüngliche Profil gelöscht und das aktualisierte Profil angewendet.
- Zwei neue VPN-Profile gelten gleichzeitig für das Gerät.
- Ein aktives VPN-Profil wird zur gleichen Zeit entfernt, zu der ein neues VPN-Profil zugewiesen wird.
Dieses Problem tritt nicht auf, und die VPN-Konnektivität bleibt in den folgenden Szenarien erhalten:
Einem Windows 11 Gerät ist kein vorhandenes VPN-Profil zugewiesen, und die Geräte erhalten ein Intune VPN-Profil.
Windows 11 Geräten ist ein vorhandenes VPN-Profil zugewiesen, und es wird ein weiteres VPN-Profil ohne weitere Profiländerungen zugewiesen.
Ein Windows 10 Gerät wird auf Windows 11 aktualisiert, und es gibt keine Änderungen an den VPN-Profilen dieses Geräts. Nach dem Upgrade auf Windows 11 lösen alle Änderungen an den VPN-Profilen der Geräte oder das Hinzufügen neuer VPN-Profile das Problem aus.
Windows 11 erfordert Folgendes:
Alle Einstellungen der IKE-Sicherheitszuordnungsparameter und untergeordneten Sicherheitszuordnungsparameter sind konfiguriert.
OR
Keine der Einstellungen für IKE-Sicherheitszuordnungsparameter und untergeordnete Sicherheitszuordnungsparameter sind konfiguriert.
Wenn Sie nur eine der Einstellungen IKE Security Association Parameters oder Child Security Association Parameters konfigurieren, geht die VPN-Funktionalität verloren.
Schritt 1: Bereitstellen Ihrer VPN-App
Bevor Sie VPN-Profile verwenden können, die einem Gerät zugewiesen sind, müssen Sie die VPN-App installieren. Diese VPN-App stellt eine Verbindung mit Ihrem VPN-Server her.
Es sind verschiedene VPN-Apps verfügbar. Auf Benutzergeräten stellen Sie die VPN-App bereit, die Ihr organization verwendet. Nachdem die VPN-App bereitgestellt wurde, erstellen Sie ein VPN-Gerätekonfigurationsprofil, das die VPN-Servereinstellungen konfiguriert, einschließlich des VPN-Servernamens (oder FQDN) und der Authentifizierungsmethode.
Einige Plattformen und VPN-Apps erfordern eine App-Konfigurationsrichtlinie, um die VPN-App vorzukonfigurieren, anstelle eines VPN-Gerätekonfigurationsprofils. In diesem Abschnitt werden auch die Plattformen und VPN-Apps aufgeführt, die eine App-Konfigurationsrichtlinie verwenden müssen.
Wenn Sie die App mithilfe von Intune zuweisen möchten, wechseln Sie zu Hinzufügen von Apps zu Microsoft Intune.
VPN-Verbindungstypen
Sie können VPN-Profile mit den folgenden VPN-Verbindungstypen erstellen:
Automatisch
- Windows 10/11
Check Point Capsule VPN
- Android-Geräteadministrator
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
- Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil: App-Konfigurationsrichtlinie verwenden
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Cisco AnyConnect
- Android-Geräteadministrator
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
- Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil
- iOS/iPadOS
- macOS
- Windows 10/11
Cisco (IPSec)
- iOS/iPadOS
Citrix SSO
- Android-Geräteadministrator
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil: App-Konfigurationsrichtlinie verwenden
- Vollständig verwaltete und unternehmenseigene Android Enterprise-Arbeitsprofile: App-Konfigurationsrichtlinie verwenden
- iOS/iPadOS
- Windows 10/11
Benutzerdefiniertes VPN
- iOS/iPadOS
- macOS
Erstellen benutzerdefinierter VPN-Profile mithilfe von URI-Einstellungen finden Sie unter Erstellen eines Profils mit benutzerdefinierten Einstellungen in Intune.
F5 Access
- Android-Geräteadministrator
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
- Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
IKEv2
- iOS/iPadOS
- Windows 10/11
L2TP
- Windows 10/11
Microsoft Tunnel
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
- Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil
- iOS/iPadOS
NetMotion Mobility
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
- Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil
- iOS/iPadOS
- macOS
Palo Alto Networks – GlobalProtect
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil: App-Konfigurationsrichtlinie verwenden
- Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil: App-Konfigurationsrichtlinie verwenden
- iOS/iPadOS
- Windows 10/11
PPTP
- Windows 10/11
Pulse Secure
- Android-Geräteadministrator
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
- Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil
- iOS/iPadOS
- Windows 10/11
- Windows 8.1
SonicWall Mobile Connect
- Android-Geräteadministrator
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
- Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Zscaler
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil: App-Konfigurationsrichtlinie verwenden
- Vollständig verwaltetes und unternehmenseigenes Android Enterprise-Arbeitsprofil: App-Konfigurationsrichtlinie verwenden
- iOS/iPadOS
Schritt 2: Erstellen des Profils
Nachdem die VPN-App dem Gerät zugewiesen wurde, wird im nächsten Schritt die Gerätekonfigurationsrichtlinie erstellt, die die VPN-Verbindung konfiguriert. Wenn ihr VPN-App-Verbindungstyp eine App-Konfigurationsrichtlinie zum Konfigurieren der App verwendet, überspringen Sie diesen Schritt.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Geräte>Geräte verwalten>Konfiguration>Erstellen>Neue Richtlinie aus.
Geben Sie die folgenden Eigenschaften ein:
-
Plattform: Wählen Sie die Plattform Ihrer Geräte aus. Ihre Optionen:
- Android-Geräteadministrator
- Android Enterprise>Vollständig verwaltetes, dediziertes und unternehmenseigenes Arbeitsprofil
- Android Enterprise>Personally-owned work profile (Android Enterprise > Persönliches Arbeitsprofil)
- iOS/iPadOS
- macOS
- Windows 10 und höher
- Windows 8.1 und höher
- Profiltyp: Wählen Sie VPN aus. Oder wählen Sie Vorlagen>VPN aus.
-
Plattform: Wählen Sie die Plattform Ihrer Geräte aus. Ihre Optionen:
Wählen Sie Erstellen aus.
Geben Sie in Grundlagen die folgenden Eigenschaften ein:
- Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen. Ein geeigneter Profilname ist beispielsweise VPN-Profil für das gesamte Unternehmen.
- Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
Wählen Sie Weiter aus.
Die verfügbaren Konfigurationseinstellungen variieren je nach ausgewählter Plattform. Wählen Sie Ihre Plattform aus, um auf die einzelnen Einstellungen zuzugreifen:
- Android-Geräteadministrator
- Android für Unternehmen
- iOS/iPadOS
- macOS
- Windows 10 (einschließlich Windows Holographic for Business)
- Windows 8.1
Wählen Sie Weiter aus.
Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie
US-NC IT Team
oderJohnGlenn_ITDepartment
zu filtern. Weitere Informationen zu Bereichstags findest du unter Verwenden von RBAC und Bereichsmarkierungen für verteilte IT.Wählen Sie Weiter aus.
Wählen Sie unter Zuweisungen den Benutzer oder die Gruppen aus, die Ihr Profil erhalten. Weitere Informationen zum Zuweisen von Profilen findest du unter Zuweisen von Benutzer- und Geräteprofilen.
Wählen Sie Weiter aus.
Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.
VPN-Profile sichern
VPN-Profile können viele verschiedene Verbindungstypen und Protokolle von unterschiedlichen Herstellern verwenden. Diese Verbindungen werden in der Regel mit den folgenden Methoden gesichert.
Zertifikate
Wenn Sie das VPN-Profil erstellen, wählen Sie ein SCEP- oder PKCS-Zertifikatprofil aus, das Sie zuvor in Intune erstellt haben. Dieses Profil wird als Identitätszertifikat bezeichnet. Es dient zur Authentifizierung anhand eines von Ihnen erstellten vertrauenswürdigen Zertifikatprofils (oder eines Stammzertifikats), das Sie erstellen, damit das Gerät des Benutzers eine Verbindung herstellen kann. Das vertrauenswürdige Zertifikat wird dem Computer zugewiesen, der die VPN-Verbindung authentifiziert, in der Regel ist dies der VPN-Server.
Wenn Sie die zertifikatbasierte Authentifizierung für Ihr VPN-Profil verwenden, stellen Sie das VPN-Profil, das Zertifikatprofil und das vertrauenswürdige Stammprofil für dieselben Gruppen bereit. Diese Zuweisung stellt sicher, dass jedes Gerät die Rechtmäßigkeit Ihrer Zertifizierungsstelle erkennt.
Weitere Informationen zum Erstellen und Verwenden von Zertifikatprofilen in Intune finden Sie unter Konfigurieren von Zertifikaten mit Microsoft Intune.
Hinweis
Mit dem Profiltyp Importierte PKCS-Zertifikat hinzugefügte Zertifikate werden für die VPN-Authentifizierung nicht unterstützt. Zertifikate, die mit dem Profiltyp PKCS-Zertifikate hinzugefügt wurden, werden für die VPN-Authentifizierung unterstützt.
Benutzername und Kennwort
Der Benutzer authentifiziert sich beim VPN-Server durch Angabe von Benutzername und Kennwort oder mit abgeleiteten Anmeldeinformationen.
Nächste Schritte
- Zuweisen von Profilen und Überwachen von Profilen.
- Sie können Pro-App-VPNs auch für Android-Geräteadministrator-/Android Enterprise- und iOS-/iPadOS-Geräte erstellen und verwenden.