VPN-instellingen toevoegen op macOS-apparaten in Microsoft Intune

In dit artikel worden de Intune instellingen beschreven die u kunt gebruiken voor het configureren van VPN-verbindingen op apparaten met macOS.

Afhankelijk van de instellingen die u kiest, kunnen niet alle waarden in de volgende lijst worden geconfigureerd.

Deze functie is van toepassing op:

• macOS

Voordat u begint

• Maak een configuratieprofiel voor macOS VPN-apparaten.

• Sommige Microsoft 365-services, zoals Outlook, presteren mogelijk niet goed met VPN's van derden of partners. Als u een VPN van derden of partners gebruikt en een latentie- of prestatieprobleem ondervindt, verwijdert u het VPN.

  Als het verwijderen van de VPN het gedrag oplost, kunt u het volgende doen:

  • Neem contact op met de externe partij of partner-VPN voor mogelijke oplossingen. Microsoft biedt geen technische ondersteuning voor VPN's van derden of partners.
  • Gebruik geen VPN met Outlook-verkeer.
  • Als u een VPN wilt gebruiken, gebruikt u een vpn met gesplitste tunnel. En laat het Outlook-verkeer de VPN omzeilen.

  Ga voor meer informatie naar:

  • Overzicht: VPN split tunneling voor Microsoft 365
  • Netwerkapparaten of oplossingen van derden gebruiken met Microsoft 365
  • Alternatieve manieren voor beveiligingsprofessionals en IT om moderne beveiligingscontroles te realiseren in de unieke blog over scenario's voor extern werken
  • Beginselen voor Microsoft 365-netwerkverbindingen

• Deze instellingen zijn beschikbaar voor alle inschrijvingstypen. Ga naar macOS-inschrijving voor meer informatie over de inschrijvingstypen.

Basis-VPN

• Implementatiekanaal: selecteer hoe u het profiel wilt implementeren. Deze instelling bepaalt ook de sleutelhanger waarin de verificatiecertificaten worden opgeslagen, dus het is belangrijk om het juiste kanaal te selecteren. Het is niet mogelijk om het implementatiekanaal te bewerken nadat u het profiel hebt geïmplementeerd. Als u dit wilt wijzigen, moet u een nieuw profiel maken.

  Opmerking

  We raden u aan de instelling van het implementatiekanaal in bestaande profielen opnieuw te controleren wanneer de gekoppelde verificatiecertificaten moeten worden vernieuwd om ervoor te zorgen dat het beoogde kanaal is geselecteerd. Als dat niet zo is, maakt u een nieuw profiel met het juiste implementatiekanaal.

  U hebt twee opties:

  • Gebruikerskanaal: selecteer altijd het gebruikersimplementatiekanaal in profielen met gebruikerscertificaten. Met deze optie worden certificaten opgeslagen in de sleutelhanger van de gebruiker.
  • Apparaatkanaal: selecteer altijd het apparaatimplementatiekanaal in profielen met apparaatcertificaten. Met deze optie worden certificaten opgeslagen in de systeemsleutelhanger.

• Verbindingsnaam: voer een naam in voor deze verbinding. Eindgebruikers zien deze naam wanneer ze op hun apparaat bladeren naar de lijst met beschikbare VPN-verbindingen.

• VPN-serveradres: voer het IP-adres of de volledig gekwalificeerde domeinnaam in van de VPN-server waarmee apparaten verbinding maken. Voer bijvoorbeeld of vpn.contoso.comin192.168.1.1.

• Verificatiemethode: kies hoe apparaten worden geverifieerd bij de VPN-server. Uw opties:

  • Certificaten: selecteer onder Verificatiecertificaat een SCEP- of PKCS-certificaatprofiel dat u eerder hebt gemaakt om de verbinding te verifiëren. Ga naar Certificaten configureren voor meer informatie over certificaatprofielen. Kies de certificaten die zijn afgestemd op de selectie van uw implementatiekanaal. Als u het gebruikerskanaal hebt geselecteerd, zijn uw certificaatopties beperkt tot gebruikerscertificaatprofielen. Als u het apparaatkanaal hebt geselecteerd, kunt u kiezen uit zowel gebruikers- als apparaatcertificaatprofielen. We raden u echter aan altijd het certificaattype te selecteren dat is afgestemd op het geselecteerde kanaal. Het opslaan van gebruikerscertificaten in de systeemsleutelhanger verhoogt de beveiligingsrisico's.
  • Gebruikersnaam en wachtwoord: eindgebruikers moeten een gebruikersnaam en wachtwoord invoeren om zich aan te melden bij de VPN-server.

• Verbindingstype: selecteer het TYPE VPN-verbinding in de volgende lijst met leveranciers:

  • Check Point Capsule VPN

  • Cisco AnyConnect

  • SonicWall Mobile Connect

  • F5-toegang

  • NetMotion Mobility

  • Aangepaste VPN: selecteer deze optie als uw VPN-leverancier niet wordt vermeld. Configureer ook:

    • VPN-id: voer een id in voor de VPN-app die u gebruikt. Deze id wordt geleverd door uw VPN-provider.
    • Voer sleutel- en waardeparen in voor de aangepaste VPN-kenmerken: Voeg sleutels en waarden toe of importeer deze om uw VPN-verbinding aan te passen. Deze waarden worden doorgaans geleverd door uw VPN-provider.

• Split tunneling: Met Inschakelen kunnen apparaten bepalen welke verbinding moet worden gebruikt, afhankelijk van het verkeer. Een gebruiker in een hotel gebruikt bijvoorbeeld de VPN-verbinding om toegang te krijgen tot werkbestanden, maar gebruikt het standaardnetwerk van het hotel voor regelmatig surfen op het web. Met Uitschakelen kan al het verkeer de VPN-tunnel gebruiken wanneer de VPN-verbinding actief is.

Automatische VPN

Selecteer het gewenste type automatische VPN . Uw opties:

• Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij.

• VPN op aanvraag: VPN op aanvraag maakt gebruik van regels om automatisch verbinding te maken of de VPN-verbinding te verbreken. Wanneer uw apparaten verbinding proberen te maken met de VPN, wordt gezocht naar overeenkomsten in de parameters en regels die u maakt, zoals een overeenkomend IP-adres of domeinnaam. Als er een overeenkomst is, wordt de actie die u kiest uitgevoerd.

  Maak bijvoorbeeld een voorwaarde waarbij de VPN-verbinding alleen wordt gebruikt wanneer een apparaat niet is verbonden met een bedrijf Wi-Fi netwerk. Of als een apparaat geen toegang heeft tot een DNS-zoekdomein dat u invoert, wordt de VPN-verbinding niet gestart.

  • Toevoegen: selecteer deze optie en voeg een regel toe.

  • Ik wil het volgende doen: Als er een overeenkomst is tussen de waarde van het apparaat en uw regel op aanvraag, selecteert u de actie. Uw opties:

    • Verbinding maken met VPN
    • VPN verbreken
    • Elke verbindingspoging evalueren
    • Negeren

  • Ik wil beperken tot: selecteer de voorwaarde waaraan de regel moet voldoen. Uw opties:

    • Specifieke SSID's: voer een of meer namen van draadloze netwerken in die door de regel worden toegepast. Deze netwerknaam is de SSID (Service Set Identifier). Voer bijvoorbeeld in Contoso VPN.
    • Specifieke zoekdomeinen: voer een of meer DNS-domeinen in waarop de regel van toepassing is. Voer bijvoorbeeld in contoso.com.
    • Alle domeinen: selecteer deze optie om uw regel toe te passen op alle domeinen in uw organisatie.

  • Maar alleen als deze URL-test slaagt: optioneel. Voer een URL in die door de regel wordt gebruikt als test. Als het apparaat deze URL zonder omleiding opent, wordt de VPN-verbinding gestart. En het apparaat maakt verbinding met de doel-URL. De gebruiker ziet de url-tekenreekstestsite niet.

    Een URL-tekenreekstest is bijvoorbeeld een controle-URL van de webserver die de naleving van het apparaat controleert voordat de VPN wordt verbonden. Of de URL test de mogelijkheid van de VPN om verbinding te maken met een site voordat het apparaat via de VPN verbinding maakt met de doel-URL.

• Gebruikers blokkeren om automatische VPN uit te schakelen: Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij.
  • Ja: Hiermee voorkomt u dat gebruikers automatische VPN uitschakelen. Het dwingt gebruikers om de automatische VPN ingeschakeld en actief te houden.
  • Nee: hiermee kunnen gebruikers automatische VPN uitschakelen.

  Deze instelling is van toepassing op:

  • macOS 11 en hoger (Big Sur)

• VPN per app: hiermee schakelt u VPN per app in door deze VPN-verbinding te koppelen aan een macOS-app. Wanneer de app wordt uitgevoerd, wordt de VPN-verbinding gestart. U kunt het VPN-profiel koppelen aan een app wanneer u de software toewijst. Ga naar Apps toewijzen en bewaken voor meer informatie.

  • Safari-URL's die deze VPN activeren: voeg een of meer website-URL's toe. Wanneer deze URL's worden bezocht met behulp van de Safari-browser op het apparaat, wordt de VPN-verbinding automatisch tot stand gebracht.

  • Gekoppelde domeinen: voer gekoppelde domeinen in het VPN-profiel in die automatisch de VPN-verbinding starten. Voer bijvoorbeeld in contoso.com. Apparaten in het contoso.com domein starten automatisch de VPN-verbinding.

    Ga naar gekoppelde domeinen voor meer informatie.

  • Uitgesloten domeinen: voer domeinen in die de VPN-verbinding kunnen omzeilen wanneer vpn per app is verbonden. Voer bijvoorbeeld in contoso.com. Apparaten in het contoso.com domein starten niet of gebruiken de VPN-verbinding per app niet. Apparaten in het contoso.com domein gebruiken het openbare internet.

  • Voorkomen dat gebruikers automatische VPN uitschakelen: Uw opties:

    • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij.
    • Ja: Hiermee voorkomt u dat gebruikers automatische VPN uitschakelen. Het dwingt gebruikers om de automatische VPN ingeschakeld en actief te houden.
    • Nee: hiermee kunnen gebruikers automatische VPN uitschakelen.

    Deze instelling is van toepassing op:

    • macOS 11 en hoger (Big Sur)

Proxy

• Automatisch configuratiescript: gebruik een bestand om de proxyserver te configureren. Voer de URL van de proxyserver in die het configuratiebestand bevat. Voer bijvoorbeeld in http://proxy.contoso.com/pac.
• Adres: voer het IP-adres of de volledig gekwalificeerde hostnaam van de proxyserver in. Voer bijvoorbeeld of vpn.contoso.comin10.0.0.3.
• Poortnummer: voer het poortnummer in dat is gekoppeld aan de proxyserver. Voer bijvoorbeeld in 8080.

Verwante artikelen

• Wijs het profiel toe en controleer de status ervan.

• VPN-instellingen configureren op Android-, Android Enterprise-, iOS-/iPadOS- en Windows-apparaten .