Delen via


VPN-profielen maken om verbinding te maken met VPN-servers in Intune

Belangrijk

Op 22 oktober 2022 Microsoft Intune de ondersteuning beëindigd voor apparaten met Windows 8.1. Technische ondersteuning en automatische updates op deze apparaten zijn niet beschikbaar.

Als je momenteel Windows 8.1 gebruikt, ga je naar Windows 10/11-apparaten. Microsoft Intune heeft ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd.

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 31 december 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning wordt beëindigd. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Virtuele particuliere netwerken (VPN's) bieden gebruikers beveiligde externe toegang tot het netwerk van uw organisatie. Apparaten gebruiken een VPN-verbindingsprofiel om een verbinding met de VPN-server te starten. VPN-profielen in Microsoft Intune VPN-instellingen toewijzen aan gebruikers en apparaten in uw organisatie. Gebruik deze instellingen zodat gebruikers eenvoudig en veilig verbinding kunnen maken met het netwerk van uw organisatie.

Deze functie is van toepassing op:

  • Android apparaatbeheerder
  • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11
  • Windows 8.1 en hoger

U wilt bijvoorbeeld alle iOS-/iPadOS-apparaten configureren met de vereiste instellingen om verbinding te maken met een bestandsshare in het netwerk van de organisatie. U maakt een VPN-profiel dat deze instellingen bevat. U wijst dit profiel toe aan alle gebruikers met iOS-/iPadOS-apparaten. De gebruikers zien de VPN-verbinding in de lijst met beschikbare netwerken en kunnen met minimale inspanning verbinding maken.

Dit artikel bevat de VPN-apps die u kunt gebruiken, laat zien hoe u een VPN-profiel maakt en bevat richtlijnen voor het beveiligen van uw VPN-profielen. U moet de VPN-app implementeren voordat u het VPN-profiel maakt. Als u hulp nodig hebt bij het implementeren van apps met behulp van Microsoft Intune, gaat u naar Wat is app-beheer in Microsoft Intune?.

Voordat u begint

  • VPN-profielen voor een apparaattunnel worden ondersteund voor externe bureaubladen van Windows 10/11 Enterprise met meerdere sessies.

  • Als u verificatie op basis van certificaten gebruikt voor uw VPN-profiel, implementeert u het VPN-profiel, het certificaatprofiel en het vertrouwde basisprofiel in dezelfde groepen. Deze stap zorgt ervoor dat elk apparaat de legitimiteit van uw certificeringsinstantie kan herkennen. Ga voor meer informatie naar Certificaten configureren met Microsoft Intune.

  • Gebruikersinschrijving voor iOS/iPadOS en macOS biedt alleen ondersteuning voor VPN per app.

  • U kunt Intune aangepast configuratiebeleid gebruiken om VPN-profielen te maken voor de volgende platforms:

    • Android 4 en hoger
    • Ingeschreven apparaten waarop Windows 8.1 en hoger wordt uitgevoerd
    • Ingeschreven apparaten waarop Windows 10/11 wordt uitgevoerd
    • Windows Holographic for Business
  • Voor Windows 11 apparaten is er een probleem tussen de Windows 11-client en de Windows VPNv2-CSP.

    Een apparaat met een of meer Intune VPN-profielen verliest de VPN-verbinding wanneer het apparaat meerdere wijzigingen in VPN-profielen voor het apparaat tegelijkertijd verwerkt. Wanneer het apparaat een tweede keer met Intune incheckt, worden de wijzigingen in het VPN-profiel verwerkt en wordt de verbinding hersteld.

    De volgende wijzigingen kunnen leiden tot verlies van VPN-functionaliteit:

    • U wijzigt of werkt een bestaand VPN-profiel bij dat eerder is verwerkt door het Windows 11-apparaat. Met deze actie wordt het oorspronkelijke profiel verwijderd en wordt het bijgewerkte profiel toegepast.
    • Er zijn tegelijkertijd twee nieuwe VPN-profielen van toepassing op het apparaat.
    • Een actief VPN-profiel wordt verwijderd op hetzelfde moment dat er een nieuw VPN-profiel wordt toegewezen.

    Dit probleem is niet van toepassing en vpn-connectiviteit blijft aanwezig in de volgende scenario's:

    • Er is geen bestaand VPN-profiel toegewezen aan een Windows 11 apparaat en de apparaten ontvangen één Intune VPN-profiel.

    • Windows 11 apparaten een bestaand VPN-profiel hebben toegewezen en een ander VPN-profiel zonder andere profielwijzigingen toegewezen.

    • Een Windows 10 apparaat wordt bijgewerkt naar Windows 11 en er zijn geen wijzigingen in de VPN-profielen van dat apparaat. Na de upgrade naar Windows 11 wordt het probleem veroorzaakt door wijzigingen in de VPN-profielen van het apparaat of het toevoegen van nieuwe VPN-profielen.

    • Windows 11 vereist dat:

      Als u slechts een van de instellingen voor IKE-beveiligingskoppelingsparameters of parameters voor onderliggende beveiligingskoppelingen configureert, gaat de VPN-functionaliteit verloren.

Stap 1: uw VPN-app implementeren

Voordat u VPN-profielen kunt gebruiken die zijn toegewezen aan een apparaat, moet u de VPN-app installeren. Deze VPN-app maakt verbinding met uw VPN-server.

Er zijn verschillende VPN-apps beschikbaar. Op gebruikersapparaten implementeert u de VPN-app die uw organisatie gebruikt. Nadat de VPN-app is geïmplementeerd, maakt en implementeert u een VPN-apparaatconfiguratieprofiel waarmee de VPN-serverinstellingen worden geconfigureerd, inclusief de NAAM van de VPN-server (of FQDN) en verificatiemethode.

Voor sommige platforms en VPN-apps is een app-configuratiebeleid vereist om de VPN-app vooraf te configureren, in plaats van een VPN-apparaatconfiguratieprofiel. In deze sectie vindt u ook de platforms en VPN-apps die een app-configuratiebeleid moeten gebruiken.

Als u de app wilt toewijzen met behulp van Intune, gaat u naar Apps toevoegen aan Microsoft Intune.

VPN-verbindingstypen

U kunt VPN-profielen maken met behulp van de volgende VPN-verbindingstypen:

  • Automatisch

    • Windows 10/11
  • Check Point Capsule VPN

    • Android apparaatbeheerder
    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd Android Enterprise-werkprofiel en werkprofiel in bedrijfseigendom: app-configuratiebeleid gebruiken
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Cisco AnyConnect

    • Android apparaatbeheerder
    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd android enterprise-werkprofiel en werkprofiel in bedrijfseigendom
    • iOS/iPadOS
    • macOS
    • Windows 10/11
  • Cisco (IPSec)

    • iOS/iPadOS
  • Citrix SSO

  • Aangepaste VPN

    • iOS/iPadOS
    • macOS

    Maak aangepaste VPN-profielen met behulp van URI-instellingen in Een profiel maken met aangepaste instellingen.

  • F5-toegang

    • Android apparaatbeheerder
    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd android enterprise-werkprofiel en werkprofiel in bedrijfseigendom
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10/11
  • L2TP

    • Windows 10/11
  • Microsoft Tunnel

    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd android enterprise-werkprofiel en werkprofiel in bedrijfseigendom
    • iOS/iPadOS
  • NetMotion Mobility

    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd android enterprise-werkprofiel en werkprofiel in bedrijfseigendom
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10/11
  • Pulse Secure

    • Android apparaatbeheerder
    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd android enterprise-werkprofiel en werkprofiel in bedrijfseigendom
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1
  • SonicWall Mobile Connect

    • Android apparaatbeheerder
    • Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel
    • Volledig beheerd android enterprise-werkprofiel en werkprofiel in bedrijfseigendom
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Zscaler

Stap 2: het profiel maken

Nadat de VPN-app is toegewezen aan het apparaat, maakt u in deze volgende stap het apparaatconfiguratiebeleid waarmee de VPN-verbinding wordt geconfigureerd. Als uw VPN-app-verbindingstype een app-configuratiebeleid gebruikt om de app te configureren, slaat u deze stap over.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Apparaten beheren>Configuratie>Maken>Nieuw beleid.

  3. Geef de volgende eigenschappen op:

    • Platform: kies het platform van uw apparaten. Uw opties:
      • Android apparaatbeheerder
      • Android Enterprise>Volledig beheerd, toegewezen en Corporate-Owned werkprofiel
      • Android Enterprise>Werkprofiel in persoonlijk eigendom
      • iOS/iPadOS
      • macOS
      • Windows 10 en hoger
      • Windows 8.1 en hoger
    • Profieltype: selecteer VPN. Of selecteer Sjablonen>VPN.
  4. Selecteer Maken.

  5. Voer in Basisinformatie de volgende eigenschappen in:

    • Naam: een unieke beschrijvende naam voor het beleid. Geef uw profielen een naam zodat u ze later gemakkelijk kunt identificeren. Een goede profielnaam is bijvoorbeeld EEN VPN-profiel voor het hele bedrijf.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
  6. Selecteer Volgende.

  7. In Configuratie-instellingen zijn de instellingen die u kunt configureren, afhankelijk van het platform dat u hebt gekozen, anders. Selecteer uw platform voor gedetailleerde instellingen:

  8. Selecteer Volgende.

  9. Wijs in Bereiktags (optioneel) een tag toe om het profiel te filteren op specifieke IT-groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. Ga voor meer informatie over bereiktags naar RBAC en bereiktags gebruiken voor gedistribueerde IT.

    Selecteer Volgende.

  10. Selecteer in Toewijzingen de gebruiker of groepen die uw profiel ontvangen. Ga naar Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Selecteer Volgende.

  11. Controleer uw instellingen in Controleren en maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de lijst met profielen.

Uw VPN-profielen beveiligen

VPN-profielen kunnen veel verschillende verbindingstypen en protocollen van verschillende fabrikanten gebruiken. Deze verbindingen worden doorgaans beveiligd via de volgende methoden.

Certificaten

Wanneer u het VPN-profiel maakt, kiest u een SCEP- of PKCS-certificaatprofiel dat u eerder hebt gemaakt in Intune. Dit profiel wordt het identiteitscertificaat genoemd. Het wordt gebruikt om te verifiëren op basis van een vertrouwd certificaatprofiel (of basiscertificaat) dat u maakt, zodat het apparaat van de gebruiker verbinding kan maken. Het vertrouwde certificaat wordt toegewezen aan de computer die de VPN-verbinding verifieert, meestal de VPN-server.

Als u verificatie op basis van certificaten gebruikt voor uw VPN-profiel, implementeert u het VPN-profiel, het certificaatprofiel en het vertrouwde basisprofiel in dezelfde groepen. Deze toewijzing zorgt ervoor dat elk apparaat de legitimiteit van uw certificeringsinstantie herkent.

Ga naar Certificaten configureren met Microsoft Intune voor meer informatie over het maken en gebruiken van certificaatprofielen in Intune.

Opmerking

Certificaten die zijn toegevoegd met behulp van het geïmporteerde PKCS-certificaatprofiel , worden niet ondersteund voor VPN-verificatie. Certificaten die zijn toegevoegd met behulp van het PKCS-certificaatprofiel , worden ondersteund voor VPN-verificatie.

Gebruikersnaam en wachtwoord

De gebruiker verifieert zich bij de VPN-server door een gebruikersnaam en wachtwoord of afgeleide referenties op te geven.

Volgende stappen