Android Enterprise-apparaatinstellingen voor het configureren van VPN in Intune

In dit artikel worden de verschillende VPN-verbindingsinstellingen beschreven die u kunt beheren op Android Enterprise-apparaten. Als onderdeel van uw MDM-oplossing (Mobile Device Management) gebruikt u deze instellingen om een VPN-verbinding te maken, te kiezen hoe de VPN wordt geverifieerd, een VPN-servertype te selecteren en meer.

Deze functie is van toepassing op:

• Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel (BYOD)
• Android Enterprise-werkprofiel in bedrijfseigendom (COPE)
• Volledig beheerd door Android Enterprise (COBO) in bedrijfseigendom
• Toegewezen Android Enterprise-apparaten in bedrijfseigendom (COSU)

Als Intune-beheerder kunt u VPN-instellingen maken en toewijzen aan Android Enterprise-apparaten. Zie VPN-profielen voor meer informatie over VPN-profielen in Intune.

Opmerking

Als u een always-on VPN wilt configureren, moet u het volgende doen:

1. Maak een VPN-profiel met uw verbindingsgegevens, zoals beschreven in dit artikel.
2. Maak een profiel voor apparaatbeperkingen met de instelling Always-on VPN geconfigureerd.
3. Wijs beide profielen toe aan uw groepen.

Voordat u begint

• Een Configuratieprofiel voor android Enterprise VPN-apparaten maken:

  • Volledig beheerd, toegewezen en bedrijfseigendom werkprofiel
  • Werkprofiel in persoonlijk eigendom

• Sommige Microsoft 365-services, zoals Outlook, presteren mogelijk niet goed met VPN's van derden of partners. Als u een VPN van derden of partners gebruikt en een latentie- of prestatieprobleem ondervindt, verwijdert u het VPN.

  Als het verwijderen van de VPN het gedrag oplost, kunt u het volgende doen:

  • Neem contact op met de externe partij of partner-VPN voor mogelijke oplossingen. Microsoft biedt geen technische ondersteuning voor VPN's van derden of partners.
  • Gebruik geen VPN met Outlook-verkeer.
  • Als u een VPN wilt gebruiken, gebruikt u een vpn met gesplitste tunnel. En laat het Outlook-verkeer de VPN omzeilen.

  Ga voor meer informatie naar:

  • Overzicht: VPN split tunneling voor Microsoft 365
  • Netwerkapparaten of oplossingen van derden gebruiken met Microsoft 365
  • Alternatieve manieren voor beveiligingsprofessionals en IT om moderne beveiligingscontroles te realiseren in de unieke blog over scenario's voor extern werken
  • Beginselen voor Microsoft 365-netwerkverbindingen

• Als u deze apparaten nodig hebt voor toegang tot on-premises resources met behulp van moderne verificatie en voorwaardelijke toegang, kunt u Microsoft Tunnel gebruiken, die split tunneling ondersteunt.

Volledig beheerd, toegewezen en Corporate-Owned werkprofiel

• Verbindingstype: selecteer het TYPE VPN-verbinding. Uw opties:

  • Cisco AnyConnect
  • SonicWall Mobile Connect
  • F5-toegang
  • Pulse Secure
  • Microsoft Tunnel (niet ondersteund op toegewezen Android Enterprise-apparaten.)

De beschikbare instellingen zijn afhankelijk van de VPN-client die u kiest. Sommige instellingen zijn alleen beschikbaar voor specifieke VPN-clients.

Basis-VPN (volledig beheerd, toegewezen en werkprofiel in bedrijfseigendom)

• Verbindingsnaam: voer een naam in voor deze verbinding. Eindgebruikers zien deze naam wanneer ze op hun apparaat naar de beschikbare VPN-verbindingen bladeren. Voer bijvoorbeeld in Contoso VPN.

• VPN-serveradres of FQDN: voer het IP-adres of de FQDN-naam (Fully Qualified Domain Name) in van de VPN-server waarmee apparaten verbinding maken. Voer bijvoorbeeld of vpn.contoso.comin192.168.1.1.

• Verificatiemethode: kies hoe apparaten worden geverifieerd bij de VPN-server. Uw opties:

  • Certificaten: selecteer een bestaand SCEP- of PKCS-certificaatprofiel waarmee de verbinding wordt geverifieerd. Certificaten configureren bevat de stappen voor het maken van een certificaatprofiel.

  • Gebruikersnaam en wachtwoord: wanneer eindgebruikers zich aanmelden bij de VPN-server, worden gebruikers gevraagd hun gebruikersnaam en wachtwoord in te voeren.

  • Afgeleide referentie: gebruik een certificaat dat is afgeleid van de smartcard van een gebruiker. Als er geen verlener van afgeleide referenties is geconfigureerd, wordt u door Intune gevraagd er een toe te voegen.

    Zie Afgeleide referenties gebruiken in Intune voor meer informatie.

• Voer sleutel- en waardeparen in voor de Kenmerken van netMotion Mobility VPN: Sleutels enwaarden toevoegen of importeren waarmee uw VPN-verbinding wordt aangepast. Deze waarden worden doorgaans geleverd door uw VPN-provider.

• Microsoft Tunnel-site (alleen Microsoft Tunnel): selecteer een bestaande site. De VPN-client maakt verbinding met het openbare IP-adres of de FQDN van deze site.

  Zie Microsoft Tunnel voor Intune voor meer informatie.

VPN per app (volledig beheerd, toegewezen en werkprofiel in bedrijfseigendom)

• Toevoegen: selecteer beheerde apps in de lijst. Wanneer gebruikers de apps starten die u toevoegt, wordt het verkeer automatisch gerouteerd via de VPN-verbinding.

Zie Vpn- en VPN-beleid per app gebruiken op Android Enterprise-apparaten voor meer informatie.

Always-on VPN (volledig beheerd, toegewezen en werkprofiel in bedrijfseigendom)

• Always-on VPN: Inschakelen schakelt always-on VPN in, zodat VPN-clients automatisch verbinding maken en waar mogelijk opnieuw verbinding maken met het VPN. Wanneer deze instelling is ingesteld op Niet geconfigureerd, wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is altijd ingeschakelde VPN mogelijk uitgeschakeld voor alle VPN-clients.

  Er kan slechts één VPN-client worden geconfigureerd voor always-on VPN op een apparaat. Zorg ervoor dat niet meer dan één always-on VPN-beleid is geïmplementeerd op één apparaat.

Proxy (volledig beheerd, toegewezen werkprofiel en werkprofiel in bedrijfseigendom)

• Automatisch configuratiescript: gebruik een bestand om de proxyserver te configureren. Voer de URL van de proxyserver in die het configuratiebestand bevat. Voer bijvoorbeeld in http://proxy.contoso.com/pac.
• Adres: voer het IP-adres of de volledig gekwalificeerde hostnaam van de proxyserver in. Voer bijvoorbeeld of vpn.contoso.comin10.0.0.3.
• Poortnummer: voer het poortnummer in dat is gekoppeld aan de proxyserver. Voer bijvoorbeeld in 8080.

Werkprofiel in persoonlijk eigendom

• Verbindingstype: selecteer het TYPE VPN-verbinding. Uw opties:

  • Check Point Capsule VPN

  • Cisco AnyConnect

    Opmerking

    Met Cisco AnyConnect in het werkprofiel in persoonlijk eigendom zijn er mogelijk enkele extra stappen voor eindgebruikers om de VPN-verbinding te voltooien. Ga voor meer informatie naar VPN-profielen - Hoe geslaagde VPN-profielen eruitzien.

  • SonicWall Mobile Connect

  • F5-toegang

  • Pulse Secure

  • NetMotion Mobility

  • Microsoft Tunnel

De beschikbare instellingen zijn afhankelijk van de VPN-client die u kiest. Sommige instellingen zijn alleen beschikbaar voor specifieke VPN-clients.

Basis-VPN (werkprofiel in persoonlijk eigendom)

• Verbindingsnaam: voer een naam in voor deze verbinding. Eindgebruikers zien deze naam wanneer ze op hun apparaat naar de beschikbare VPN-verbindingen bladeren. Voer bijvoorbeeld in Contoso VPN.

• VPN-serveradres: voer het IP-adres of FQDN (Fully Qualified Domain Name) in van de VPN-server waarmee apparaten verbinding maken. Voer bijvoorbeeld of vpn.contoso.comin192.168.1.1.

• Verificatiemethode: kies hoe apparaten worden geverifieerd bij de VPN-server. Uw opties:

  • Certificaten: selecteer een bestaand SCEP- of PKCS-certificaatprofiel waarmee de verbinding wordt geverifieerd. Certificaten configureren bevat de stappen voor het maken van een certificaatprofiel.

  • Gebruikersnaam en wachtwoord: wanneer eindgebruikers zich aanmelden bij de VPN-server, worden gebruikers gevraagd hun gebruikersnaam en wachtwoord in te voeren.

  • Afgeleide referentie: gebruik een certificaat dat is afgeleid van de smartcard van een gebruiker. Als er geen verlener van afgeleide referenties is geconfigureerd, wordt u door Intune gevraagd er een toe te voegen.

    Zie Afgeleide referenties gebruiken in Intune voor meer informatie.

• Vingerafdruk (alleen Check Point Capsule VPN): voer de vingerafdruktekenreeks in die u hebt gekregen van de VPN-leverancier, zoals Contoso Fingerprint Code. Met deze vingerafdruk wordt gecontroleerd of de VPN-server kan worden vertrouwd.

  Tijdens het verifiëren wordt een vingerafdruk naar de client verzonden, zodat de client weet dat elke server met dezelfde vingerafdruk wordt vertrouwd. Als het apparaat geen vingerafdruk heeft, wordt de gebruiker gevraagd de VPN-server te vertrouwen terwijl de vingerafdruk wordt weergegeven. De gebruiker controleert de vingerafdruk handmatig en kiest ervoor om te vertrouwen om verbinding te maken.

• Voer sleutel- en waardeparen in voor de Kenmerken van netMotion Mobility VPN: Sleutels enwaarden toevoegen of importeren waarmee uw VPN-verbinding wordt aangepast. Deze waarden worden doorgaans geleverd door uw VPN-provider.

• Microsoft Tunnel-site (alleen Microsoft Tunnel): selecteer een bestaande site. De VPN-client maakt verbinding met het openbare IP-adres of de FQDN van deze site.

  Zie Microsoft Tunnel voor Intune voor meer informatie.

VPN per app (werkprofiel in persoonlijk eigendom)

• Toevoegen: selecteer beheerde apps in de lijst. Wanneer gebruikers de apps starten die u toevoegt, wordt het verkeer automatisch gerouteerd via de VPN-verbinding.

Zie Vpn- en VPN-beleid per app gebruiken op Android Enterprise-apparaten voor meer informatie.

Always-on VPN (werkprofiel in persoonlijk eigendom)

• Always-on VPN: Inschakelen schakelt always-on VPN in, zodat VPN-clients automatisch verbinding maken en waar mogelijk opnieuw verbinding maken met het VPN. Wanneer deze instelling is ingesteld op Niet geconfigureerd, wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is altijd ingeschakelde VPN mogelijk uitgeschakeld voor alle VPN-clients.

  Er kan slechts één VPN-client worden geconfigureerd voor always-on VPN op een apparaat. Zorg ervoor dat niet meer dan één always-on VPN-beleid is geïmplementeerd op één apparaat.

Proxy (werkprofiel in persoonlijk eigendom)

• Automatisch configuratiescript: gebruik een bestand om de proxyserver te configureren. Voer de URL van de proxyserver in die het configuratiebestand bevat. Voer bijvoorbeeld in http://proxy.contoso.com/pac.
• Adres: voer het IP-adres of de volledig gekwalificeerde hostnaam van de proxyserver in. Voer bijvoorbeeld of vpn.contoso.comin10.0.0.3.
• Poortnummer: voer het poortnummer in dat is gekoppeld aan de proxyserver. Voer bijvoorbeeld in 8080.

Verwante artikelen

• Wijs het profiel toe en controleer de status ervan.

• Maak VPN-profielen voor Android-apparaatbeheerder, iOS/iPadOS, macOS en Windows.

• Meer informatie over het oplossen van problemen met VPN-profielen in Microsoft Intune.