Hinzufügen von VPN-Einstellungen macOS-Geräten in Microsoft Intune
In diesem Artikel werden die Intune Einstellungen aufgeführt und beschrieben, die Sie zum Konfigurieren von VPN-Verbindungen auf Geräten mit macOS verwenden können.
Abhängig von den ausgewählten Einstellungen können nicht alle Werte in der folgenden Liste konfiguriert werden.
Diese Funktion gilt für:
- macOS
Bevor Sie beginnen
Erstellen Sie ein macOS-VPN-Gerätekonfigurationsprofil.
-
Einige Microsoft 365-Dienste, z. B. Outlook, funktionieren möglicherweise nicht gut mit Drittanbieter- oder Partner-VPNs. Wenn Sie ein Drittanbieter- oder Partner-VPN verwenden und ein Latenz- oder Leistungsproblem auftritt, entfernen Sie das VPN.
Wenn das Entfernen des VPN das Verhalten aufhebt, haben Sie folgende Möglichkeiten:
- Arbeiten Sie mit dem Drittanbieter- oder Partner-VPN zusammen, um mögliche Lösungen zu finden. Microsoft bietet keinen technischen Support für Drittanbieter- oder Partner-VPNs.
- Verwenden Sie kein VPN mit Outlook-Datenverkehr.
- Wenn Sie ein VPN verwenden müssen, verwenden Sie ein Split-Tunnel-VPN. Und erlauben Sie dem Outlook-Datenverkehr, das VPN zu umgehen.
Für weitere Informationen wechseln Sie zu:
- Übersicht: Geteiltes VPN-Tunneling für Microsoft 365
- Verwenden von Netzwerkgeräten oder Lösungen von Drittanbietern mit Microsoft 365
- Alternative Möglichkeiten für Sicherheitsexperten und IT-Mitarbeiter, moderne Sicherheitskontrollen im heutigen einzigartigen Blog für Remotearbeitsszenarien zu erreichen
- Prinzipien der Microsoft 365-Netzwerkkonnektivität
Diese Einstellungen sind für alle Registrierungstypen verfügbar. Weitere Informationen zu den Registrierungstypen findest du unter macOS-Registrierung.
Basis-VPN
Bereitstellungskanal: Wählen Sie aus, wie Sie das Profil bereitstellen möchten. Diese Einstellung bestimmt auch den Keychain, in dem die Authentifizierungszertifikate gespeichert sind. Daher ist es wichtig, den richtigen Kanal auszuwählen. Es ist nicht möglich, den Bereitstellungskanal zu bearbeiten, nachdem Sie das Profil bereitgestellt haben. Um es zu ändern, müssen Sie ein neues Profil erstellen.
Hinweis
Es wird empfohlen, die Bereitstellungskanaleinstellung in vorhandenen Profilen erneut zu überprüfen, wenn die verknüpften Authentifizierungszertifikate zur Verlängerung bereitstehen, um sicherzustellen, dass der beabsichtigte Kanal ausgewählt ist. Wenn dies nicht der Fall ist, erstellen Sie ein neues Profil mit dem richtigen Bereitstellungskanal.
Sie haben zwei Möglichkeiten:
- Benutzerkanal: Wählen Sie immer den Benutzerbereitstellungskanal in Profilen mit Benutzerzertifikaten aus. Mit dieser Option werden Zertifikate im benutzerseitig Keychain gespeichert.
- Gerätekanal: Wählen Sie immer den Gerätebereitstellungskanal in Profilen mit Gerätezertifikaten aus. Diese Option speichert Zertifikate im System Keychain.
Verbindungsname: Geben Sie einen Namen für diese Verbindung ein. Endbenutzern wird dieser Name angezeigt, wenn sie ihr Gerät nach der Liste der verfügbaren VPN-Verbindungen durchsuchen.
VPN-Serveradresse: Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen des VPN-Servers ein, mit dem Geräte eine Verbindung herstellen. Geben Sie z. B. oder ein
192.168.1.1
vpn.contoso.com
.Authentifizierungsmethode: Wählen Sie aus, wie Sich Geräte beim VPN-Server authentifizieren. Ihre Optionen:
- Zertifikate: Wählen Sie unter Authentifizierungszertifikat ein SCEP- oder PKCS-Zertifikatprofil aus, das Sie zuvor zum Authentifizieren der Verbindung erstellt haben. Weitere Informationen zu Zertifikatprofilen finden Sie unter Konfigurieren von Zertifikaten. Wählen Sie die Zertifikate aus, die ihrer Bereitstellungskanalauswahl entsprechen. Wenn Sie den Benutzerkanal ausgewählt haben, sind Ihre Zertifikatoptionen auf Benutzerzertifikatprofile beschränkt. Wenn Sie den Gerätekanal ausgewählt haben, stehen Ihnen sowohl Benutzer- als auch Gerätezertifikatprofile zur Auswahl. Es wird jedoch empfohlen, immer den Zertifikattyp auszuwählen, der am ausgewählten Kanal ausgerichtet ist. Das Speichern von Benutzerzertifikaten im systeminternen Keychain erhöht die Sicherheitsrisiken.
- Benutzername und Kennwort: Endbenutzer müssen einen Benutzernamen und ein Kennwort eingeben, um sich beim VPN-Server anzumelden.
Verbindungstyp: Wählen Sie den VPN-Verbindungstyp aus der folgenden Liste der Anbieter aus:
Check Point Capsule VPN
Cisco AnyConnect
SonicWall Mobile Connect
F5 Access
NetMotion Mobility
Benutzerdefiniertes VPN: Wählen Sie diese Option aus, wenn Ihr VPN-Anbieter nicht aufgeführt ist. Konfigurieren Sie außerdem Folgendes:
- VPN-Bezeichner: Geben Sie einen Bezeichner für die vpn-App ein, die Sie verwenden. Dieser Bezeichner wird von Ihrem VPN-Anbieter bereitgestellt.
- Geben Sie Schlüssel-Wert-Paare für die benutzerdefinierten VPN-Attribute ein: Hinzufügen oder Importieren von Schlüsseln und Werten , die Ihre VPN-Verbindung anpassen. Diese Werte werden in der Regel von Ihrem VPN-Anbieter bereitgestellt.
Geteiltes Tunneln: Aktivieren ermöglicht Es Geräten, abhängig vom Datenverkehr zu entscheiden, welche Verbindung verwendet werden soll. Beispielsweise verwendet ein Benutzer in einem Hotel die VPN-Verbindung, um auf Arbeitsdateien zuzugreifen, aber das Standardnetzwerk des Hotels für regelmäßiges Webbrowsen. Deaktivieren lässt den gesamten Datenverkehr den VPN-Tunnel verwenden, wenn die VPN-Verbindung aktiv ist.
Automatisches VPN
Wählen Sie den gewünschten Typ des automatischen VPN aus . Folgende Optionen sind verfügbar:
Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert.
Bedarfsgesteuertes VPN: Bei bedarfsgesteuertem VPN werden Regeln verwendet, um die VPN-Verbindung automatisch zu verbinden oder zu trennen. Wenn Ihre Geräte versuchen, eine Verbindung mit dem VPN herzustellen, sucht sie nach Übereinstimmungen in den von Ihnen erstellten Parametern und Regeln, z. B. nach einer übereinstimmenden IP-Adresse oder einem Domänennamen. Wenn eine Übereinstimmung vorliegt, wird die ausgewählte Aktion ausgeführt.
Erstellen Sie beispielsweise eine Bedingung, bei der die VPN-Verbindung nur verwendet wird, wenn ein Gerät nicht mit einem Unternehmen Wi-Fi Netzwerk verbunden ist. Wenn ein Gerät nicht auf eine von Ihnen eingegebene DNS-Suchdomäne zugreifen kann, wird die VPN-Verbindung nicht gestartet.
Hinzufügen: Wählen Sie diese Option aus, und fügen Sie eine Regel hinzu.
Ich möchte Folgendes tun: Wenn es eine Übereinstimmung zwischen dem Gerätewert und Ihrer On-Demand-Regel gibt, wählen Sie die Aktion aus. Ihre Optionen:
- VPN verbinden
- VPN trennen
- Auswerten der einzelnen Verbindungsversuche
- Ignorieren
Ich möchte einschränken auf: Wählen Sie die Bedingung aus, die die Regel erfüllen muss. Ihre Optionen:
-
Bestimmte SSIDs: Geben Sie einen oder mehrere Drahtlosnetzwerknamen ein, die von der Regel angewendet werden. Dieser Netzwerkname ist der Dienstsatzbezeichner (Service Set Identifier, SSID). Geben Sie beispielsweise
Contoso VPN
ein. -
Bestimmte Suchdomänen: Geben Sie mindestens eine DNS-Domäne ein, die von der Regel angewendet wird. Geben Sie beispielsweise
contoso.com
ein. - Alle Domänen: Wählen Sie diese Option aus, um Ihre Regel auf alle Domänen in Ihrem organization anzuwenden.
-
Bestimmte SSIDs: Geben Sie einen oder mehrere Drahtlosnetzwerknamen ein, die von der Regel angewendet werden. Dieser Netzwerkname ist der Dienstsatzbezeichner (Service Set Identifier, SSID). Geben Sie beispielsweise
Aber nur, wenn dieser URL-Test erfolgreich ist: Optional. Geben Sie eine URL ein, die die Regel als Test verwendet. Wenn das Gerät ohne Umleitung auf diese URL zugreift, wird die VPN-Verbindung gestartet. Außerdem stellt das Gerät eine Verbindung mit der Ziel-URL her. Der Benutzer wird die URL-Zeichenfolgentestwebsite nicht angezeigt.
Ein URL-Zeichenfolgentest ist beispielsweise eine Überwachungs-Webserver-URL, die die Gerätekonformität überprüft, bevor eine Verbindung mit dem VPN hergestellt wird. Oder die URL testet die Fähigkeit des VPN, eine Verbindung mit einem Standort herzustellen, bevor das Gerät über das VPN eine Verbindung mit der Ziel-URL herstellt.
Benutzer am Deaktivieren des automatischen VPN blockieren: Ihre Optionen:
- Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert.
- Ja: Verhindert, dass Benutzer das automatische VPN deaktivieren. Es zwingt Benutzer, das automatische VPN aktiviert und ausgeführt zu lassen.
- Nein: Ermöglicht Benutzern das Deaktivieren des automatischen VPN.
Diese Einstellung gilt für:
- macOS 11 und höher (Big Sur)
Pro-App-VPN: Aktiviert pro App-VPN, indem diese VPN-Verbindung einer macOS-App zugeordnet wird. Wenn die App ausgeführt wird, wird die VPN-Verbindung gestartet. Sie können das VPN-Profil einer App zuordnen, wenn Sie die Software zuweisen. Weitere Informationen finden Sie unter Zuweisen und Überwachen von Apps.
Safari-URLs, die dieses VPN auslösen: Fügen Sie eine oder mehrere Website-URLs hinzu. Wenn diese URLs über den Safari-Browser auf dem Gerät aufgerufen werden, wird die VPN-Verbindung automatisch hergestellt.
Zugeordnete Domänen: Geben Sie zugeordnete Domänen in das VPN-Profil ein, die die VPN-Verbindung automatisch starten. Geben Sie beispielsweise
contoso.com
ein. Geräte in dercontoso.com
Domäne starten die VPN-Verbindung automatisch.Weitere Informationen findest du unter Zugeordnete Domänen.
Ausgeschlossene Domänen: Geben Sie Domänen ein, die die VPN-Verbindung umgehen können, wenn pro App-VPN verbunden ist. Geben Sie beispielsweise
contoso.com
ein. Geräte in dercontoso.com
Domäne werden nicht gestartet oder verwenden die Pro-App-VPN-Verbindung nicht. Geräte in dercontoso.com
Domäne verwenden das öffentliche Internet.Verhindern, dass Benutzer automatisches VPN deaktivieren: Ihre Optionen:
- Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert.
- Ja: Verhindert, dass Benutzer das automatische VPN deaktivieren. Es zwingt Benutzer, das automatische VPN aktiviert und ausgeführt zu lassen.
- Nein: Ermöglicht Benutzern das Deaktivieren des automatischen VPN.
Diese Einstellung gilt für:
- macOS 11 und höher (Big Sur)
Proxy
-
Automatisches Konfigurationsskript: Verwenden Sie eine Datei, um den Proxyserver zu konfigurieren. Geben Sie die Proxyserver-URL ein, die die Konfigurationsdatei enthält. Geben Sie beispielsweise
http://proxy.contoso.com/pac
ein. -
Adresse: Geben Sie die IP-Adresse oder den vollqualifizierten Hostnamen des Proxyservers ein. Geben Sie z. B. oder ein
10.0.0.3
vpn.contoso.com
. -
Portnummer: Geben Sie die Portnummer ein, die dem Proxyserver zugeordnet ist. Geben Sie beispielsweise
8080
ein.
Verwandte Artikel
Konfigurieren Sie VPN-Einstellungen auf Android-, Android Enterprise-, iOS-/iPadOS- und Windows-Geräten .