Delen via

AlwaysOn VPN-profiel implementeren op Windows 10- of nieuwere clients met Microsoft Intune

In dit artikel wordt uitgelegd hoe u Intune kunt gebruiken om AlwaysOn VPN-profielen te maken en te implementeren.

Als u echter een aangepast VPN-profielXML wilt maken, volgt u de richtlijnen in ProfileXML toepassen met behulp van Intune.

Benodigdheden

Intune maakt gebruik van Microsoft Entra-gebruikersgroepen, dus u moet het volgende doen:

  • Zorg ervoor dat u een PKI (Private Key Infrastructure) hebt die gebruikers- en apparaatcertificaten kan uitgeven voor verificatie. Zie Certificaten gebruiken voor verificatie in Microsoft Intunevoor meer informatie over certificaten voor Intune.

  • Maak een Microsoft Entra-gebruikersgroep die is gekoppeld aan VPN-gebruikers en wijs zo nodig nieuwe gebruikers toe aan de groep.

  • Zorg ervoor dat de VPN-gebruikers over de verbindingsmachtigingen voor de VPN-server beschikken.

De XML voor de EAP-configuratie (Extensible Authentication Protocol) maken

In deze sectie maakt u een EAP-configuratie-XML (Extensible Authentication Protocol).

  1. Kopieer de volgende XML-tekenreeks naar een teksteditor:

    Belangrijk

    Elke andere combinatie van hoofdletters of kleine letters voor 'true' in de volgende tags resulteert in een gedeeltelijke configuratie van het VPN-profiel:

    <AlwaysOn>waar</AlwaysOn->
    <RememberCredentials>true</RememberCredentials>

    <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>

  2. Vervang de <ServerNames>NPS.contoso.com</ServerNames> in de voorbeeld-XML door de FQDN van de NPS die lid is van het domein waar verificatie plaatsvindt.

  3. Vervang in het voorbeeld de <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> door de vingerafdruk van uw on-premises root-certificeringsinstantie in beide gevallen.

    Belangrijk

    Gebruik de voorbeeldvingerafdruk niet in de onderstaande sectie <TrustedRootCA></TrustedRootCA>. TrustedRootCA moet de vingerafdruk van het certificaat zijn van de on-premises basiscertificeringsinstantie die het certificaat voor serververificatie heeft uitgegeven voor RRAS- en NPS-servers. Dit moet niet het basiscertificaat van de cloud zijn, noch de vingerafdruk van het tussenliggende CA-certificaat.

  4. Sla de XML op voor gebruik in de volgende sectie.

Het AlwaysOn VPN-configuratiebeleid maken

  1. Meld u aan bij Microsoft Endpoint Manager-beheercentrum.

  2. Ga naar Apparaten>Configuratieprofielen.

  3. Selecteer + Profiel maken.

  4. Selecteer bij PlatformWindows 10 en hoger.

  5. Voor profieltypeselecteert u sjablonen.

  6. Selecteer VPNvoor sjabloonnaam .

  7. Klik op Creëren.

  8. Voor het tabblad Basis:

    • Voer een -naam in voor het VPN-profiel en (optioneel) een beschrijving.

  9. Voor het tabblad Configuratie-instellingen:

    1. Voor Gebruik dit VPN-profiel met een gebruikers-/apparaatbereik, selecteer Gebruiker.

    2. Voor verbindingstype:selecteert u IKEv2-.

    3. Voor verbindingsnaam: voer de naam van de VPN-verbinding in; Bijvoorbeeld Contoso AutoVPN-.

    4. Voor Servers:voegt u de ADRESSEN en beschrijvingen van de VPN-server toe. Stel voor de standaardserver standaardserver in op True.

    5. Selecteer voor IP-adressen registreren met interne DNSde optie Uitschakelen.

    6. Voor AlwaysOn:selecteert u inschakelen.

    7. Selecteer de waarde voor 'Referenties onthouden bij elke inlogpoging'die geschikt is voor uw beveiligingsbeleid.

    8. Selecteer EAP-voor verificatiemethode.

    9. Selecteer voor EAP XML-de XML die u hebt opgeslagen in Het EAP XML-maken.

    10. Voor Apparaattunnel, selecteer uitschakelen. Zie VPN-apparaattunnels configureren in Windows 10voor meer informatie over apparaattunnels.

    11. Voorwaarden voor IKE-beveiligingsassociatieparameters

      • Stel split tunneling in op inschakelen.
      • Configureer Vertrouwde Netwerkdetectie. Als u het DNS-achtervoegsel wilt vinden, kunt u Get-NetConnectionProfile > Name gebruiken op een systeem dat momenteel is verbonden met het netwerk en waarop het domeinprofiel is toegepast (NetworkCategory:DomainAuthenticated).

    12. Laat de overige instellingen standaard staan, tenzij voor uw omgeving verdere configuratie is vereist. Zie Windows 10/11- en Windows Holographic-apparaatinstellingen voor het toevoegen van VPN-verbindingen met Intunevoor meer informatie over EAP-profielinstellingen voor Intune.

    13. Kies Volgende.

  10. Laat voor het tabblad Scope Tags de standaard-instellingen staan en selecteer Volgende.

  11. Voor het tabblad Toewijzingen:

    1. Selecteer Groepen toevoegenen voeg uw VPN-gebruikersgroep toe.

    2. Kies Volgende.

  12. Laat voor het tabblad Toepasselijkheidsregels de standaardinstellingen staan en selecteer Volgende.

  13. Voor het tabblad Beoordelen + Maken, controleer al uw instellingen en selecteer Maken.

Het AlwaysOn VPN-configuratiebeleid synchroniseren met Intune

Als u het configuratiebeleid wilt testen, meldt u zich als VPN-gebruiker aan bij een Windows 10+-clientcomputer en synchroniseert u vervolgens met Intune.

  1. Selecteer in het menu Start Instellingen.

  2. Selecteer in Instellingen Accountsen selecteer Toegang tot werk- of school-.

  3. Selecteer het account om verbinding te maken met uw Microsoft Entra-id en selecteer Info.

  4. Navigeer naar beneden en selecteer Synchroniseren om een Intune-beleidsanalyse af te dwingen en op te halen.

  5. Wanneer de synchronisatie is voltooid, sluit u Instellingen. Na synchronisatie moet u verbinding kunnen maken met de VPN-server van uw organisatie.

Volgende stappen