Freigeben über


Hinzufügen von VPN-Einstellungen macOS-Geräten in Microsoft Intune

In diesem Artikel werden die Intune Einstellungen aufgeführt und beschrieben, die Sie zum Konfigurieren von VPN-Verbindungen auf Geräten mit macOS verwenden können.

Abhängig von den ausgewählten Einstellungen können nicht alle Werte in der folgenden Liste konfiguriert werden.

Diese Funktion gilt für:

  • macOS

Bevor Sie beginnen

Basis-VPN

  • Bereitstellungskanal: Wählen Sie aus, wie Sie das Profil bereitstellen möchten. Diese Einstellung bestimmt auch den Keychain, in dem die Authentifizierungszertifikate gespeichert sind. Daher ist es wichtig, den richtigen Kanal auszuwählen. Es ist nicht möglich, den Bereitstellungskanal zu bearbeiten, nachdem Sie das Profil bereitgestellt haben. Um es zu ändern, müssen Sie ein neues Profil erstellen.

    Hinweis

    Es wird empfohlen, die Bereitstellungskanaleinstellung in vorhandenen Profilen erneut zu überprüfen, wenn die verknüpften Authentifizierungszertifikate zur Verlängerung bereitstehen, um sicherzustellen, dass der beabsichtigte Kanal ausgewählt ist. Wenn dies nicht der Fall ist, erstellen Sie ein neues Profil mit dem richtigen Bereitstellungskanal.

    Sie haben zwei Möglichkeiten:

    • Benutzerkanal: Wählen Sie immer den Benutzerbereitstellungskanal in Profilen mit Benutzerzertifikaten aus. Mit dieser Option werden Zertifikate im benutzerseitig Keychain gespeichert.
    • Gerätekanal: Wählen Sie immer den Gerätebereitstellungskanal in Profilen mit Gerätezertifikaten aus. Diese Option speichert Zertifikate im System Keychain.
  • Verbindungsname: Geben Sie einen Namen für diese Verbindung ein. Endbenutzern wird dieser Name angezeigt, wenn sie ihr Gerät nach der Liste der verfügbaren VPN-Verbindungen durchsuchen.

  • VPN-Serveradresse: Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen des VPN-Servers ein, mit dem Geräte eine Verbindung herstellen. Geben Sie z. B. oder ein 192.168.1.1vpn.contoso.com.

  • Authentifizierungsmethode: Wählen Sie aus, wie Sich Geräte beim VPN-Server authentifizieren. Ihre Optionen:

    • Zertifikate: Wählen Sie unter Authentifizierungszertifikat ein SCEP- oder PKCS-Zertifikatprofil aus, das Sie zuvor zum Authentifizieren der Verbindung erstellt haben. Weitere Informationen zu Zertifikatprofilen finden Sie unter Konfigurieren von Zertifikaten. Wählen Sie die Zertifikate aus, die ihrer Bereitstellungskanalauswahl entsprechen. Wenn Sie den Benutzerkanal ausgewählt haben, sind Ihre Zertifikatoptionen auf Benutzerzertifikatprofile beschränkt. Wenn Sie den Gerätekanal ausgewählt haben, stehen Ihnen sowohl Benutzer- als auch Gerätezertifikatprofile zur Auswahl. Es wird jedoch empfohlen, immer den Zertifikattyp auszuwählen, der am ausgewählten Kanal ausgerichtet ist. Das Speichern von Benutzerzertifikaten im systeminternen Keychain erhöht die Sicherheitsrisiken.
    • Benutzername und Kennwort: Endbenutzer müssen einen Benutzernamen und ein Kennwort eingeben, um sich beim VPN-Server anzumelden.
  • Verbindungstyp: Wählen Sie den VPN-Verbindungstyp aus der folgenden Liste der Anbieter aus:

    • Check Point Capsule VPN

    • Cisco AnyConnect

    • SonicWall Mobile Connect

    • F5 Access

    • NetMotion Mobility

    • Benutzerdefiniertes VPN: Wählen Sie diese Option aus, wenn Ihr VPN-Anbieter nicht aufgeführt ist. Konfigurieren Sie außerdem Folgendes:

      • VPN-Bezeichner: Geben Sie einen Bezeichner für die vpn-App ein, die Sie verwenden. Dieser Bezeichner wird von Ihrem VPN-Anbieter bereitgestellt.
      • Geben Sie Schlüssel-Wert-Paare für die benutzerdefinierten VPN-Attribute ein: Hinzufügen oder Importieren von Schlüsseln und Werten , die Ihre VPN-Verbindung anpassen. Diese Werte werden in der Regel von Ihrem VPN-Anbieter bereitgestellt.
  • Geteiltes Tunneln: Aktivieren ermöglicht Es Geräten, abhängig vom Datenverkehr zu entscheiden, welche Verbindung verwendet werden soll. Beispielsweise verwendet ein Benutzer in einem Hotel die VPN-Verbindung, um auf Arbeitsdateien zuzugreifen, aber das Standardnetzwerk des Hotels für regelmäßiges Webbrowsen. Deaktivieren lässt den gesamten Datenverkehr den VPN-Tunnel verwenden, wenn die VPN-Verbindung aktiv ist.

Automatisches VPN

Wählen Sie den gewünschten Typ des automatischen VPN aus . Folgende Optionen sind verfügbar:

  • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert.

  • Bedarfsgesteuertes VPN: Bei bedarfsgesteuertem VPN werden Regeln verwendet, um die VPN-Verbindung automatisch zu verbinden oder zu trennen. Wenn Ihre Geräte versuchen, eine Verbindung mit dem VPN herzustellen, sucht sie nach Übereinstimmungen in den von Ihnen erstellten Parametern und Regeln, z. B. nach einer übereinstimmenden IP-Adresse oder einem Domänennamen. Wenn eine Übereinstimmung vorliegt, wird die ausgewählte Aktion ausgeführt.

    Erstellen Sie beispielsweise eine Bedingung, bei der die VPN-Verbindung nur verwendet wird, wenn ein Gerät nicht mit einem Unternehmen Wi-Fi Netzwerk verbunden ist. Wenn ein Gerät nicht auf eine von Ihnen eingegebene DNS-Suchdomäne zugreifen kann, wird die VPN-Verbindung nicht gestartet.

    • Hinzufügen: Wählen Sie diese Option aus, und fügen Sie eine Regel hinzu.

    • Ich möchte Folgendes tun: Wenn es eine Übereinstimmung zwischen dem Gerätewert und Ihrer On-Demand-Regel gibt, wählen Sie die Aktion aus. Ihre Optionen:

      • VPN verbinden
      • VPN trennen
      • Auswerten der einzelnen Verbindungsversuche
      • Ignorieren
    • Ich möchte einschränken auf: Wählen Sie die Bedingung aus, die die Regel erfüllen muss. Ihre Optionen:

      • Bestimmte SSIDs: Geben Sie einen oder mehrere Drahtlosnetzwerknamen ein, die von der Regel angewendet werden. Dieser Netzwerkname ist der Dienstsatzbezeichner (Service Set Identifier, SSID). Geben Sie beispielsweise Contoso VPN ein.
      • Bestimmte Suchdomänen: Geben Sie mindestens eine DNS-Domäne ein, die von der Regel angewendet wird. Geben Sie beispielsweise contoso.com ein.
      • Alle Domänen: Wählen Sie diese Option aus, um Ihre Regel auf alle Domänen in Ihrem organization anzuwenden.
    • Aber nur, wenn dieser URL-Test erfolgreich ist: Optional. Geben Sie eine URL ein, die die Regel als Test verwendet. Wenn das Gerät ohne Umleitung auf diese URL zugreift, wird die VPN-Verbindung gestartet. Außerdem stellt das Gerät eine Verbindung mit der Ziel-URL her. Der Benutzer wird die URL-Zeichenfolgentestwebsite nicht angezeigt.

      Ein URL-Zeichenfolgentest ist beispielsweise eine Überwachungs-Webserver-URL, die die Gerätekonformität überprüft, bevor eine Verbindung mit dem VPN hergestellt wird. Oder die URL testet die Fähigkeit des VPN, eine Verbindung mit einem Standort herzustellen, bevor das Gerät über das VPN eine Verbindung mit der Ziel-URL herstellt.

  • Benutzer am Deaktivieren des automatischen VPN blockieren: Ihre Optionen:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert.
    • Ja: Verhindert, dass Benutzer das automatische VPN deaktivieren. Es zwingt Benutzer, das automatische VPN aktiviert und ausgeführt zu lassen.
    • Nein: Ermöglicht Benutzern das Deaktivieren des automatischen VPN.

    Diese Einstellung gilt für:

    • macOS 11 und höher (Big Sur)
  • Pro-App-VPN: Aktiviert pro App-VPN, indem diese VPN-Verbindung einer macOS-App zugeordnet wird. Wenn die App ausgeführt wird, wird die VPN-Verbindung gestartet. Sie können das VPN-Profil einer App zuordnen, wenn Sie die Software zuweisen. Weitere Informationen finden Sie unter Zuweisen und Überwachen von Apps.

    • Safari-URLs, die dieses VPN auslösen: Fügen Sie eine oder mehrere Website-URLs hinzu. Wenn diese URLs über den Safari-Browser auf dem Gerät aufgerufen werden, wird die VPN-Verbindung automatisch hergestellt.

    • Zugeordnete Domänen: Geben Sie zugeordnete Domänen in das VPN-Profil ein, die die VPN-Verbindung automatisch starten. Geben Sie beispielsweise contoso.com ein. Geräte in der contoso.com Domäne starten die VPN-Verbindung automatisch.

      Weitere Informationen findest du unter Zugeordnete Domänen.

    • Ausgeschlossene Domänen: Geben Sie Domänen ein, die die VPN-Verbindung umgehen können, wenn pro App-VPN verbunden ist. Geben Sie beispielsweise contoso.com ein. Geräte in der contoso.com Domäne werden nicht gestartet oder verwenden die Pro-App-VPN-Verbindung nicht. Geräte in der contoso.com Domäne verwenden das öffentliche Internet.

    • Verhindern, dass Benutzer automatisches VPN deaktivieren: Ihre Optionen:

      • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert.
      • Ja: Verhindert, dass Benutzer das automatische VPN deaktivieren. Es zwingt Benutzer, das automatische VPN aktiviert und ausgeführt zu lassen.
      • Nein: Ermöglicht Benutzern das Deaktivieren des automatischen VPN.

      Diese Einstellung gilt für:

      • macOS 11 und höher (Big Sur)

Proxy

  • Automatisches Konfigurationsskript: Verwenden Sie eine Datei, um den Proxyserver zu konfigurieren. Geben Sie die Proxyserver-URL ein, die die Konfigurationsdatei enthält. Geben Sie beispielsweise http://proxy.contoso.com/pac ein.
  • Adresse: Geben Sie die IP-Adresse oder den vollqualifizierten Hostnamen des Proxyservers ein. Geben Sie z. B. oder ein 10.0.0.3vpn.contoso.com.
  • Portnummer: Geben Sie die Portnummer ein, die dem Proxyserver zugeordnet ist. Geben Sie beispielsweise 8080 ein.