Lägga till VPN-inställningar på macOS-enheter i Microsoft Intune

I den här artikeln beskrivs de Intune inställningar som du kan använda för att konfigurera VPN-anslutningar på enheter som kör macOS.

Beroende på vilka inställningar du väljer kan inte alla värden i följande lista konfigureras.

Den här funktionen gäller för:

• macOS

Innan du börjar

• Skapa en macOS VPN-enhetskonfigurationsprofil.

• Vissa Microsoft 365-tjänster, till exempel Outlook, kanske inte fungerar bra med hjälp av vpn-nätverk från tredje part eller partner. Om du använder en vpn-anslutning från tredje part eller partner och får problem med svarstid eller prestanda tar du bort VPN-anslutningen.

  Om du löser problemet genom att ta bort VPN kan du:

  • Arbeta med tredje part eller partner-VPN för möjliga lösningar. Microsoft tillhandahåller inte teknisk support för vpn-nätverk från tredje part eller partner.
  • Använd inte ett VPN med Outlook-trafik.
  • Om du behöver använda ett VPN använder du ett VPN med delad tunnel. Och tillåt att Outlook-trafiken kringgår VPN-anslutningen.

  Mer information finns i:

  • Översikt: DELADE VPN-tunnlar för Microsoft 365
  • Använda nätverksenheter eller lösningar från tredje part med Microsoft 365
  • Alternativa sätt för säkerhetspersonal och IT-personal att uppnå moderna säkerhetskontroller i dagens unika blogg om fjärrarbetsscenarier
  • Microsoft 365 principer för nätverksanslutningar

• De här inställningarna är tillgängliga för alla registreringstyper. Mer information om registreringstyperna finns i macOS-registrering.

Grundläggande VPN

• Distributionskanal: Välj hur du vill distribuera profilen. Den här inställningen avgör också nyckelringen där autentiseringscertifikaten lagras, så det är viktigt att välja rätt kanal. Det går inte att redigera distributionskanalen när du har distribuerat profilen. Om du vill ändra den måste du skapa en ny profil.

  Obs!

  Vi rekommenderar att du kontrollerar om distributionskanalinställningen i befintliga profiler när de länkade autentiseringscertifikaten är igång för förnyelse för att säkerställa att den avsedda kanalen har valts. Om den inte är det skapar du en ny profil med rätt distributionskanal.

  Du har två alternativ:

  • Användarkanal: Välj alltid användardistributionskanalen i profiler med användarcertifikat. Det här alternativet lagrar certifikat i användarnyckelringen.
  • Enhetskanal: Välj alltid enhetsdistributionskanalen i profiler med enhetscertifikat. Det här alternativet lagrar certifikat i systemnyckelringen.

• Anslutningsnamn: Ange ett namn för den här anslutningen. Slutanvändarna ser det här namnet när de bläddrar på sin enhet för listan över tillgängliga VPN-anslutningar.

• VPN-serveradress: Ange IP-adressen eller det fullständigt kvalificerade domännamnet för den VPN-server som enheterna ansluter till. Ange till exempel 192.168.1.1 eller vpn.contoso.com.

• Autentiseringsmetod: Välj hur enheter ska autentiseras mot VPN-servern. Dina alternativ:

  • Certifikat: Under Autentiseringscertifikat väljer du en SCEP- eller PKCS-certifikatprofil som du skapade tidigare för att autentisera anslutningen. Mer information om certifikatprofiler finns i Så här konfigurerar du certifikat. Välj de certifikat som överensstämmer med valet av distributionskanal. Om du har valt användarkanalen är dina certifikatalternativ begränsade till användarcertifikatprofiler. Om du har valt enhetskanalen har du både användar- och enhetscertifikatprofiler att välja mellan. Vi rekommenderar dock att du alltid väljer den certifikattyp som överensstämmer med den valda kanalen. Lagring av användarcertifikat i systemnyckelringen ökar säkerhetsriskerna.
  • Användarnamn och lösenord: Slutanvändare måste ange ett användarnamn och lösenord för att logga in på VPN-servern.

• Anslutningstyp: Välj VPN-anslutningstyp i följande lista över leverantörer:

  • Check Point Capsule VPN

  • Cisco AnyConnect

  • SonicWall Mobile Connect

  • F5-åtkomst

  • NetMotion Mobility

  • Anpassat VPN: Välj det här alternativet om VPN-leverantören inte finns med i listan. Konfigurera även:

    • VPN-identifierare: Ange en identifierare för den VPN-app som du använder. Den här identifieraren tillhandahålls av VPN-providern.
    • Ange nyckel- och värdepar för anpassade VPN-attribut: Lägg till eller importera nycklar och värden som anpassar VPN-anslutningen. Dessa värden tillhandahålls vanligtvis av VPN-providern.

• Delade tunnlar: Aktivera låter enheter bestämma vilken anslutning som ska användas beroende på trafiken. En användare på ett hotell använder till exempel VPN-anslutningen för att komma åt arbetsfiler, men använder hotellets standardnätverk för vanlig surfning. Inaktivera låter all trafik använda VPN-tunneln när VPN-anslutningen är aktiv.

Automatisk VPN

Välj den typ av automatiskt VPN som du vill använda. Dina alternativ:

• Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen.

• VPN på begäran: VPN på begäran använder regler för att automatiskt ansluta eller koppla från VPN-anslutningen. När dina enheter försöker ansluta till VPN-nätverket letar de efter matchningar i de parametrar och regler som du skapar, till exempel en matchande IP-adress eller ett domännamn. Om det finns en matchning körs den åtgärd som du väljer.

  Skapa till exempel ett villkor där VPN-anslutningen endast används när en enhet inte är ansluten till ett företag Wi-Fi nätverk. Om en enhet inte kan komma åt en DNS-sökdomän som du anger startas inte VPN-anslutningen.

  • Lägg till: Välj det här alternativet och lägg till en regel.

  • Jag vill göra följande: Om det finns en matchning mellan enhetsvärdet och regeln på begäran väljer du åtgärden. Dina alternativ:

    • Ansluta VPN
    • Koppla från VPN
    • Utvärdera varje anslutningsförsök
    • Bortse från

  • Jag vill begränsa till: Välj det villkor som regeln måste uppfylla. Dina alternativ:

    • Specifika SSID:er: Ange ett eller flera namn på trådlösa nätverk som regeln gäller. Det här nätverksnamnet är SSID (Service Set Identifier). Ange till exempel Contoso VPN.
    • Specifika sökdomäner: Ange en eller flera DNS-domäner som regeln gäller. Ange till exempel contoso.com.
    • Alla domäner: Välj det här alternativet om du vill tillämpa regeln på alla domäner i din organisation.

  • Men bara om den här URL-avsökningen lyckas: Valfritt. Ange en URL som regeln använder som ett test. Om enheten kommer åt den här URL:en utan omdirigering startas VPN-anslutningen. Och enheten ansluter till mål-URL:en. Användaren ser inte url-strängavsökningswebbplatsen.

    En URL-strängavsökning är till exempel en granskningswebbserver-URL som kontrollerar enhetens efterlevnad innan VPN ansluts. Eller så testar URL:en VPN-anslutningen till en plats innan enheten ansluter till mål-URL:en via VPN.

• Blockera användare från att inaktivera automatisk VPN: Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen.
  • Ja: Hindrar användare från att stänga av automatisk VPN. Det tvingar användarna att hålla den automatiska VPN-anslutningen aktiverad och igång.
  • Nej: Tillåter att användare inaktiverar automatisk VPN.

  Den här inställningen gäller för:

  • macOS 11 och senare (Big Sur)

• Per app-VPN: Aktiverar per app-VPN genom att koppla den här VPN-anslutningen till en macOS-app. När appen körs startar VPN-anslutningen. Du kan associera VPN-profilen med en app när du tilldelar programvaran. Mer information finns i Så här tilldelar och övervakar du appar.

  • Safari-URL:er som utlöser detta VPN: Lägg till en eller flera webbadresser för webbplatsen. När dessa URL:er besöks med safariwebbläsaren på enheten upprättas VPN-anslutningen automatiskt.

  • Associerade domäner: Ange associerade domäner i VPN-profilen som automatiskt startar VPN-anslutningen. Ange till exempel contoso.com. Enheter i domänen contoso.com startar automatiskt VPN-anslutningen.

    Mer information finns i associerade domäner.

  • Exkluderade domäner: Ange domäner som kan kringgå VPN-anslutningen när per app-VPN är anslutet. Ange till exempel contoso.com. Enheter i domänen contoso.com startar inte eller använder inte VPN-anslutningen per app. Enheter i domänen contoso.com använder det offentliga Internet.

  • Förhindra att användare inaktiverar automatisk VPN: Dina alternativ:

    • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen.
    • Ja: Hindrar användare från att stänga av automatisk VPN. Det tvingar användarna att hålla den automatiska VPN-anslutningen aktiverad och igång.
    • Nej: Tillåter att användare inaktiverar automatisk VPN.

    Den här inställningen gäller för:

    • macOS 11 och senare (Big Sur)

Proxyserver

• Automatiskt konfigurationsskript: Använd en fil för att konfigurera proxyservern. Ange den proxyserver-URL som innehåller konfigurationsfilen. Ange till exempel http://proxy.contoso.com/pac.
• Adress: Ange IP-adressen eller det fullständigt kvalificerade värdnamnet för proxyservern. Ange till exempel 10.0.0.3 eller vpn.contoso.com.
• Portnummer: Ange det portnummer som är associerat med proxyservern. Ange till exempel 8080.

Relaterade artiklar

• Tilldela sedan profilen och övervaka dess status.

• Konfigurera VPN-inställningar på Android-, Android Enterprise-, iOS/iPadOS- och Windows-enheter .