Skapa VPN-profiler för att ansluta till VPN-servrar i Intune
Viktigt
Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.
Om du för närvarande använder Windows 8.1 går du till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.
Viktigt
Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 31 december 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.
Virtuella privata nätverk (VPN) ger användarna säker fjärråtkomst till ditt organisationsnätverk. Enheter använder en VPN-anslutningsprofil för att starta en anslutning med VPN-servern. VPN-profiler i Microsoft Intune tilldela VPN-inställningar till användare och enheter i din organisation. Använd de här inställningarna så att användarna enkelt och säkert kan ansluta till ditt organisationsnätverk.
Den här funktionen gäller för:
- Android-enhetsadministratör
- Android Enterprise-enheter med en personligt ägd arbetsprofil
- iOS/iPadOS
- macOS
- Windows 10
- Windows 11
- Windows 8.1 och senare
Du vill till exempel konfigurera alla iOS/iPadOS-enheter med de inställningar som krävs för att ansluta till en filresurs i organisationens nätverk. Du skapar en VPN-profil som innehåller de här inställningarna. Du tilldelar den här profilen till alla användare som har iOS/iPadOS-enheter. Användarna ser VPN-anslutningen i listan över tillgängliga nätverk och kan ansluta med minimal ansträngning.
Den här artikeln visar de VPN-appar som du kan använda, visar hur du skapar en VPN-profil och innehåller vägledning om hur du skyddar dina VPN-profiler. Du måste distribuera VPN-appen innan du skapar VPN-profilen. Om du behöver hjälp med att distribuera appar med hjälp av Microsoft Intune går du till Vad är apphantering i Microsoft Intune?.
Innan du börjar
VPN-profiler för en enhetstunnel stöds för Windows 10/11 Fjärrskrivbord med flera sessioner i Enterprise.
Om du använder certifikatbaserad autentisering för din VPN-profil distribuerar du VPN-profilen, certifikatprofilen och den betrodda rotprofilen till samma grupper. Det här steget ser till att varje enhet kan känna igen certifikatutfärdarnas legitimitet. Mer information finns i Konfigurera certifikat med Microsoft Intune.
Användarregistrering för iOS/iPadOS och macOS stöder endast per app-VPN.
Du kan använda Intune anpassade konfigurationsprinciper för att skapa VPN-profiler för följande plattformar:
- Android 4 och senare
- Registrerade enheter som kör Windows 8.1 och senare
- Registrerade enheter som kör Windows 10/11
- Windows Holographic for Business
För Windows 11 enheter finns det ett problem mellan Windows 11-klienten och WINDOWS VPNv2 CSP.
En enhet med en eller flera Intune VPN-profiler förlorar sin VPN-anslutning när enheten bearbetar flera ändringar av VPN-profiler för enheten samtidigt. När enheten checkar in med Intune en andra gång bearbetas VPN-profilens ändringar och anslutningen återställs.
Följande ändringar kan orsaka förlust av VPN-funktioner:
- Du ändrar eller uppdaterar en befintlig VPN-profil som tidigare bearbetats av Windows 11-enheten. Den här åtgärden tar bort den ursprungliga profilen och tillämpar den uppdaterade profilen.
- Två nya VPN-profiler gäller för enheten samtidigt.
- En aktiv VPN-profil tas bort samtidigt som en ny VPN-profil tilldelas.
Det här problemet gäller inte och VPN-anslutningen finns kvar i följande scenarier:
En Windows 11-enhet har ingen befintlig VPN-profil tilldelad och enheterna får en Intune VPN-profil.
Windows 11 enheter har en befintlig VPN-profil tilldelad och tilldelas en annan VPN-profil utan några andra profiländringar.
En Windows 10-enhet uppgraderas till Windows 11 och det finns inga ändringar i enhetens VPN-profiler. Efter uppgraderingen till Windows 11 utlöser eventuella ändringar av enheternas VPN-profiler eller tillägg av nya VPN-profiler problemet.
Windows 11 kräver följande:
Alla inställningar för IKE-säkerhetsassociationsparametrar och parametrar för underordnade säkerhetsassociationer har konfigurerats
ELLER
Ingen av inställningarna för IKE-säkerhetsassociationsparametrar och parametrar för underordnade säkerhetsassociationer har konfigurerats
Om du bara konfigurerar någon av inställningarna för IKE-säkerhetsassociationsparametrar eller parametrar för underordnade säkerhetsassociationer går VPN-funktionerna förlorade.
Steg 1 – Distribuera vpn-appen
Innan du kan använda VPN-profiler som tilldelats till en enhet måste du installera VPN-appen. Den här VPN-appen ansluter till DIN VPN-server.
Det finns olika VPN-appar tillgängliga. På användarenheter distribuerar du den VPN-app som din organisation använder. När VPN-appen har distribuerats skapar och distribuerar du en VPN-enhetskonfigurationsprofil som konfigurerar VPN-serverinställningarna, inklusive VPN-servernamnet (eller FQDN) och autentiseringsmetoden.
Vissa plattformar och VPN-appar kräver en appkonfigurationsprincip för att förkonfigurera VPN-appen i stället för en VPN-enhetskonfigurationsprofil. I det här avsnittet visas även de plattformar och VPN-appar som måste använda en appkonfigurationsprincip.
Om du vill hjälpa dig att tilldela appen med hjälp av Intune går du till Lägg till appar i Microsoft Intune.
VPN-anslutningstyper
Du kan skapa VPN-profiler med följande VPN-anslutningstyper:
Automatisk
- Windows 10/11
Check Point Capsule VPN
- Android-enhetsadministratör
- Android Enterprise-enheter med en personligt ägd arbetsprofil
- Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil: Använd appkonfigurationsprincip
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Cisco AnyConnect
- Android-enhetsadministratör
- Android Enterprise-enheter med en personligt ägd arbetsprofil
- Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil
- iOS/iPadOS
- macOS
- Windows 10/11
Cisco (IPSec)
- iOS/iPadOS
Citrix SSO
- Android-enhetsadministratör
- Personligt ägda Android Enterprise-enheter med en arbetsprofil: Använd appkonfigurationsprincip
- Fullständigt hanterade och företagsägda Android Enterprise-arbetsprofiler: Använd appkonfigurationsprincipen
- iOS/iPadOS
- Windows 10/11
Anpassad VPN
- iOS/iPadOS
- macOS
Skapa anpassade VPN-profiler med URI-inställningar i Skapa en profil med anpassade inställningar.
F5-åtkomst
- Android-enhetsadministratör
- Android Enterprise-enheter med en personligt ägd arbetsprofil
- Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
IKEv2
- iOS/iPadOS
- Windows 10/11
L2TP
- Windows 10/11
Microsoft Tunnel
- Android Enterprise-enheter med en personligt ägd arbetsprofil
- Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil
- iOS/iPadOS
NetMotion Mobility
- Android Enterprise-enheter med en personligt ägd arbetsprofil
- Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil
- iOS/iPadOS
- macOS
Palo Alto Networks GlobalProtect
- Personligt ägda Android Enterprise-enheter med en arbetsprofil: Använd appkonfigurationsprincip
- Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil: Använd appkonfigurationsprincip
- iOS/iPadOS
- Windows 10/11
PPTP
- Windows 10/11
Pulse Secure
- Android-enhetsadministratör
- Android Enterprise-enheter med en personligt ägd arbetsprofil
- Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil
- iOS/iPadOS
- Windows 10/11
- Windows 8.1
SonicWall Mobile Connect
- Android-enhetsadministratör
- Android Enterprise-enheter med en personligt ägd arbetsprofil
- Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil
- iOS/iPadOS
- macOS
- Windows 10/11
- Windows 8.1
Zscaler
- Personligt ägda Android Enterprise-enheter med en arbetsprofil: Använd appkonfigurationsprincip
- Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil: Använd appkonfigurationsprincip
- iOS/iPadOS
Steg 2 – Skapa profilen
När VPN-appen har tilldelats till enheten skapar nästa steg den enhetskonfigurationsprincip som konfigurerar VPN-anslutningen. Om vpn-appanslutningstypen använder en appkonfigurationsprincip för att konfigurera appen hoppar du över det här steget.
Logga in på Microsoft Intune administrationscenter.
Välj Enheter>Hantera enheter>Konfiguration>Skapa>Ny princip.
Ange följande egenskaper:
-
Plattform: Välj plattform för dina enheter. Dina alternativ:
- Android-enhetsadministratör
- Android Enterprise>Fullständigt hanterad, dedikerad och Corporate-Owned arbetsprofil
- Android Enterprise>Personligt ägd arbetsprofil
- iOS/iPadOS
- macOS
- Windows 10 och senare
- Windows 8.1 och senare
- Profiltyp: Välj VPN. Eller välj Mallar VPN>.
-
Plattform: Välj plattform för dina enheter. Dina alternativ:
Välj Skapa.
Ange följande egenskaper i Grundinställningar:
- Namn: Ange ett beskrivande namn på profilen. Namnge dina profiler så att du enkelt kan identifiera dem senare. Ett bra profilnamn är till exempel VPN-profil för hela företaget.
- Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.
Välj Nästa.
Under Konfigurationsinställningar visas olika inställningar som du kan konfigurera beroende på vilken plattform du väljer. Välj din plattform för detaljerade inställningar:
- Android-enhetsadministratör
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10 (inklusive Windows Holographic for Business)
- Windows 8.1
Välj Nästa.
Under Omfångstaggar (valfritt), tilldelar du en tagg för att filtrera profilen till specifika IT-grupper, till exempel
US-NC IT Team
ellerJohnGlenn_ITDepartment
. Mer information om omfångstaggar finns i Använda RBAC och omfångstaggar för distribuerad IT.Välj Nästa.
Under Tilldelningar väljer du de användare eller grupper som ska ta emot din profil. Mer information om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.
Välj Nästa.
Granska inställningarna under Granska + skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i profillistan.
Skydda dina VPN-profiler
VPN-profiler kan använda många olika anslutningstyper och protokoll från olika tillverkare. Dessa anslutningar skyddas vanligtvis med hjälp av följande metoder.
Certifikat
När du skapar VPN-profilen väljer du en SCEP- eller PKCS-certifikatprofil som du skapade tidigare i Intune. Den här profilen kallas identitetscertifikatet. Den används för att autentisera mot en betrodd certifikatprofil (eller rotcertifikat) som du skapar så att användarens enhet kan ansluta. Det betrodda certifikatet tilldelas den dator som autentiserar VPN-anslutningen, vanligtvis VPN-servern.
Om du använder certifikatbaserad autentisering för vpn-profilen distribuerar du VPN-profilen, certifikatprofilen och den betrodda rotprofilen till samma grupper. Den här tilldelningen ser till att varje enhet känner igen certifikatutfärdarnas legitimitet.
Mer information om hur du skapar och använder certifikatprofiler i Intune finns i Konfigurera certifikat med Microsoft Intune.
Obs!
Certifikat som läggs till med hjälp av den PKCS-importerade certifikatprofilen stöds inte för VPN-autentisering. Certifikat som läggs till med PKCS-certifikatprofilen stöds för VPN-autentisering.
Användarnamn och lösenord
Användaren autentiserar till VPN-servern genom att ange ett användarnamn och lösenord eller härledda autentiseringsuppgifter.
Nästa steg
- Tilldela sedan profilen och övervaka dess status.
- Du kan också skapa och använda vpn per app på Android-enhetsadministratörer/Android Enterprise - och iOS/iPadOS-enheter .