Megosztás a következőn keresztül:

VPN-beállítások hozzáadása iOS- és iPadOS-eszközökön a Microsoft Intune-ban

  • Cikk

Microsoft Intune számos VPN-beállítást tartalmaz, amelyek üzembe helyezhetők az iOS/iPadOS-eszközökön. Ezek a beállítások a szervezet hálózatához kapcsolódó VPN-kapcsolatok létrehozására és konfigurálására szolgálnak. Ez a cikk ezeket a beállításokat ismerteti. Egyes beállítások csak néhány VPN-ügyfélhez érhetők el, például a Citrixhez, a Zscalerhez és egyebekhez.

Ez a funkció az alábbiakra vonatkozik:

  • iOS/iPadOS

Az első lépések

Megjegyzés:

  • Ezek a beállítások a felhasználói regisztráció kivételével minden regisztrációs típushoz elérhetők. A felhasználóregisztráció alkalmazásonkénti VPN-re korlátozódik. A regisztrációs típusokkal kapcsolatos további információkért lásd: iOS/iPadOS-regisztráció.

  • Az elérhető beállítások a választott VPN-ügyféltől függenek. Egyes beállítások csak adott VPN-ügyfelek esetében érhetők el.

  • Ezek a beállítások az Apple VPN hasznos adatait használják (megnyitja az Apple webhelyét).

Kapcsolat típusa

Válassza ki a VPN-kapcsolat típusát a szállítók alábbi listájából:

  • Check Point Capsule VPN

  • Cisco Legacy AnyConnect

    A Cisco Legacy AnyConnect alkalmazás 4.0.5x és korábbi verziójára vonatkozik.

  • Cisco AnyConnect

    A Cisco AnyConnect alkalmazás 4.0.7x-es és újabb verzióira vonatkozik.

  • SonicWall Mobile Connect

  • F5 Access örökölt

    Az F5 Access alkalmazás 2.1-es és korábbi verziójára vonatkozik.

  • F5 Access

    Az F5 Access alkalmazás 3.0-s és újabb verzióira vonatkozik.

  • Palo Alto Networks GlobalProtect (örökölt)

    A Palo Alto Networks GlobalProtect alkalmazás 4.1-es és korábbi verziójára vonatkozik.

  • Palo Alto Networks GlobalProtect

    A Palo Alto Networks GlobalProtect alkalmazás 5.0-s és újabb verzióira vonatkozik.

  • Pulse Secure

  • Cisco (IPSec)

  • Citrix VPN

  • Citrix SSO

  • Zscaler

    Ha feltételes hozzáférést szeretne használni, vagy engedélyezni szeretné a felhasználók számára, hogy megkerüljék a Zscaler bejelentkezési képernyőt, integrálnia kell a Zscaler Private Accesst (ZPA) a Microsoft Entra-fiókjával. Részletes lépésekért tekintse meg a Zscaler dokumentációját.

  • NetMotion Mobility

  • IKEv2

    Az IKEv2 beállításai (ebben a cikkben) ismertetik a tulajdonságokat.

  • Microsoft Tunnel

    Az alagútügyfél funkcióit tartalmazó Végponthoz készült Microsoft Defender alkalmazásra vonatkozik.

  • Egyéni VPN

Megjegyzés:

A Cisco, a Citrix, az F5 és a Palo Alto bejelentette, hogy örökölt ügyfeleik nem működnek az iOS 12-es és újabb verzióiban. A lehető leghamarabb át kell telepítenie az új alkalmazásokat. További információt a Microsoft Intune támogatási csapat blogjában talál.

AlapSZINTŰ VPN-beállítások

  • Kapcsolat neve: A végfelhasználók ezt a nevet látják, amikor az eszközükön keresik az elérhető VPN-kapcsolatok listáját.

  • Egyéni tartománynév (csak Zscaler esetén): Előre feltöltheti a Zscaler-alkalmazás bejelentkezési mezőjét azzal a tartománnyal, amelyhez a felhasználók tartoznak. Ha például a felhasználónév Joe@contoso.net, akkor a contoso.net tartomány statikusan jelenik meg a mezőben az alkalmazás megnyitásakor. Ha nem ad meg tartománynevet, akkor a rendszer az egyszerű felhasználónév tartományrészét használja Microsoft Entra ID.

  • VPN-kiszolgáló címe: Annak a VPN-kiszolgálónak az IP-címe vagy teljes tartományneve (FQDN), amelyhez az eszközök csatlakoznak. Írja be például a vagy a értéket 192.168.1.1vpn.contoso.com.

  • Szervezet felhőneve (csak Zscaler esetén): Adja meg azt a felhőnevet, ahol a szervezet ki van építve. A Zscalerbe való bejelentkezéshez használt URL-cím neve.

  • Hitelesítési módszer: Válassza ki, hogy az eszközök hogyan hitelesítsék magukat a VPN-kiszolgálón.

    • Tanúsítványok: A Hitelesítési tanúsítvány területen válasszon ki egy meglévő SCEP- vagy PKCS-tanúsítványprofilt a kapcsolat hitelesítéséhez. A tanúsítványok konfigurálása útmutatást nyújt a tanúsítványprofilokkal kapcsolatban.

    • Felhasználónév és jelszó: A végfelhasználóknak meg kell adniuk egy felhasználónevet és egy jelszót a VPN-kiszolgálóra való bejelentkezéshez.

      Megjegyzés:

      Ha a Cisco IPsec VPN hitelesítési módszereként felhasználónevet és jelszót használ, a SharedSecretet egy egyéni Apple Configurator-profilon keresztül kell továbbítania.

    • Származtatott hitelesítő adatok: Használjon egy felhasználó intelligens kártyájából származó tanúsítványt. Ha nincs konfigurálva származtatott hitelesítőadat-kibocsátó, Intune megkéri, hogy adjon hozzá egyet. További információ: Származtatott hitelesítő adatok használata Microsoft Intune.

  • Kizárt URL-címek (csak Zscaler esetén): Ha a Zscaler VPN-hez csatlakozik, a felsorolt URL-címek a Zscaler-felhőn kívül érhetők el. Legfeljebb 50 URL-címet adhat hozzá.

  • Osztott bújtatás: Engedélyezze vagy tiltsa le , hogy az eszközök a forgalomtól függően eldönthessék, melyik kapcsolatot használják. Egy szálloda felhasználója például a VPN-kapcsolaton keresztül fér hozzá a munkahelyi fájlokhoz, de a szálloda szokásos hálózatát használja a rendszeres böngészéshez.

  • VPN-azonosító (egyéni VPN, Zscaler és Citrix): A használt VPN-alkalmazás azonosítója, amelyet a VPN-szolgáltató biztosít.

  • Adjon meg kulcs-érték párokat a szervezet egyéni VPN-attribútumaihoz (egyéni VPN, Zscaler és Citrix): A VPN-kapcsolatot testre szabó kulcsok és értékek hozzáadása vagy importálása. Ne feledje, hogy ezeket az értékeket általában a VPN-szolgáltató biztosítja.

  • Hálózati hozzáférés-vezérlés (NAC) engedélyezése ( Cisco AnyConnect, Citrix SSO, F5 Access): Ha az Elfogadom lehetőséget választja, az eszközazonosító megjelenik a VPN-profilban. Ez az azonosító használható a VPN-hitelesítéshez a hálózati hozzáférés engedélyezéséhez vagy megakadályozásához.

    Ha a Cisco AnyConnectet isE-vel használja, ügyeljen a következőre:

    Fontos

    A hálózati hozzáférés-vezérlési (NAC) szolgáltatás elavult , és a Microsoft legújabb NAC szolgáltatására váltja fel, amely a Megfelelőségi lekérési szolgáltatás (CR szolgáltatás). A Cisco ISE változásainak támogatásához Intune módosította az eszközazonosító formátumát. Így az eredeti NAC-szolgáltatással rendelkező meglévő profilok nem fognak működni.

    A CR szolgáltatás használatához és a VPN-kapcsolat állásidejének megakadályozásához helyezze újra üzembe ugyanezt a VPN-eszközkonfigurációs profilt. Nincs szükség a profil módosítására. Csak újra üzembe kell helyeznie. Amikor az eszköz Intune szolgáltatással szinkronizál, és megkapja a VPN-konfigurációs profilt, a CR-szolgáltatás módosításai automatikusan üzembe lesznek helyezve az eszközön. A VPN-kapcsolatoknak továbbra is működnie kell.

    Ha Citrix SSO-t használ átjáróval, ügyeljen a következőre:

    Az F5 Access használatakor ügyeljen a következőre:

    Az eszközazonosítót támogató VPN-partnerek esetében a VPN-ügyfél, például a Citrix SSO, lekérheti az azonosítót. Ezután lekérdezheti Intune, hogy az eszköz regisztrálva van-e, és hogy a VPN-profil megfelelő-e vagy sem.

    • A beállítás eltávolításához hozza létre újra a profilt, és ne válassza az Elfogadom lehetőséget. Ezután rendelje hozzá újra a profilt.

  • Adjon meg kulcs- és értékpárokat a NetMotion Mobility VPN-attribútumaihoz (csak NetMotion Mobility esetén): Kulcs- és értékpárok megadása vagy importálása. Ezeket az értékeket a VPN-szolgáltató szolgáltathatja.

  • Microsoft Tunnel-webhely (csak Microsoft Tunnel esetén): Válasszon ki egy meglévő webhelyet. A VPN-ügyfél a hely nyilvános IP-címéhez vagy teljes tartománynevéhez csatlakozik.

    További információ: Microsoft Tunnel for Intune.

IKEv2-beállítások

Ezek a beállítások azIKEv2kapcsolattípus> kiválasztásakor érvényesek.

  • Mindig bekapcsolt VPN: Az engedélyezés beállítja , hogy a VPN-ügyfél automatikusan csatlakozzon és csatlakozzon újra a VPN-hez. Az always-on VPN-kapcsolatok továbbra is csatlakoztatva maradnak, vagy azonnal csatlakoznak, amikor a felhasználó zárolja az eszközt, az eszköz újraindul, vagy a vezeték nélküli hálózat megváltozik. Ha a Letiltás (alapértelmezett) értékre van állítva, az összes VPN-ügyfélhez tartozó mindig bekapcsolt VPN le van tiltva. Ha engedélyezve van, konfigurálja a következőket is:

    • Hálózati adapter: Minden IKEv2-beállítás csak a választott hálózati adapterre vonatkozik. Az Ön lehetőségei:

      • Wi-Fi és Mobilhálózat (alapértelmezett): Az IKEv2-beállítások az eszköz Wi-Fi és mobilhálózati adapterére vonatkoznak.
      • Mobilhálózat: Az IKEv2-beállítások csak az eszközön lévő mobilinterfészre vonatkoznak. Akkor válassza ezt a lehetőséget, ha letiltott vagy eltávolított Wi-Fi felülettel rendelkező eszközökön telepíti azokat.
      • Wi-Fi: Az IKEv2-beállítások csak az eszköz Wi-Fi felületére vonatkoznak.

    • A FELHASZNÁLÓ letilthatja a VPN-konfigurációt: Az engedélyezés lehetővé teszi, hogy a felhasználók kikapcsolják a mindig bekapcsolt VPN-t. A letiltás (alapértelmezett) megakadályozza, hogy a felhasználók kikapcsolják. A beállítás alapértelmezett értéke a legbiztonságosabb beállítás.

    • Hangposta: Válassza ki, mi történik a hangposta-forgalommal, ha a mindig bekapcsolt VPN engedélyezve van. Az Ön lehetőségei:

      • Hálózati forgalom kényszerítése VPN-en keresztül (alapértelmezett): Ez a beállítás a legbiztonságosabb beállítás.
      • A hálózati forgalom vpn-en kívüli áthaladásának engedélyezése
      • Hálózati forgalom elvetése

    • AirPrint: Válassza ki, mi történik az AirPrint-forgalommal, ha a mindig bekapcsolt VPN engedélyezve van. Az Ön lehetőségei:

      • Hálózati forgalom kényszerítése VPN-en keresztül (alapértelmezett): Ez a beállítás a legbiztonságosabb beállítás.
      • A hálózati forgalom vpn-en kívüli áthaladásának engedélyezése
      • Hálózati forgalom elvetése

    • Mobilszolgáltatások: iOS 13.0 vagy újabb rendszeren válassza ki, hogy mi történjen a mobil adatforgalommal, ha a mindig bekapcsolt VPN engedélyezve van. Az Ön lehetőségei:

      • Hálózati forgalom kényszerítése VPN-en keresztül (alapértelmezett): Ez a beállítás a legbiztonságosabb beállítás.
      • A hálózati forgalom vpn-en kívüli áthaladásának engedélyezése
      • Hálózati forgalom elvetése

    • Engedélyezi a nem natív, kötött hálózati alkalmazásokból érkező forgalmat a VPN-en kívülre: A kötött hálózat általában éttermekben és szállodákban található Wi-Fi elérési pontokra utal. Az Ön lehetőségei:

      • Nem: Kényszeríti az összes kötött hálózati (CN-) alkalmazás forgalmát a VPN-alagúton keresztül.

      • Igen, minden alkalmazás: Lehetővé teszi, hogy az összes CN-alkalmazás forgalma megkerülje a VPN-t.

      • Igen, adott alkalmazások: Adja meg azon CN-alkalmazások listáját, amelyek forgalma megkerülheti a VPN-t. Adja meg a CN-alkalmazás csomagazonosítóit. Írja be például a következőt: com.contoso.app.id.package.

        A Intune hozzáadott alkalmazás csomagazonosítójának lekéréséhez használja a Intune Felügyeleti központot.

    • A Kötött websheet alkalmazásból a VPN-en kívülre irányuló forgalom: A Kötött WebSheet egy beépített webböngésző, amely kezeli a kötött bejelentkezést. Az engedélyezés lehetővé teszi, hogy a böngészőalkalmazás forgalma megkerülje a VPN-t. A letiltás (alapértelmezett) arra kényszeríti a WebSheet-forgalmat, hogy a mindig bekapcsolt VPN-t használja. Az alapértelmezett érték a legbiztonságosabb beállítás.

    • Hálózati címfordítás (NAT) megőrzési időköze (másodperc): A VPN-hez való folyamatos csatlakozás érdekében az eszköz hálózati csomagokat küld, hogy aktív maradjon. Adja meg másodpercben, hogy milyen gyakran küldi el ezeket a csomagokat 20–1440 között. Adja meg például a értékét 60 , hogy a hálózati csomagokat 60 másodpercenként küldje el a VPN-nek. Ez az érték alapértelmezés szerint másodpercre 110 van állítva.

    • A NAT-megőrzés kiszervezése a hardverre, amikor az eszköz alvó állapotban van: Ha egy eszköz alvó állapotban van, az Engedélyezés (alapértelmezett) beállításban a NAT folyamatosan küld életben tartási csomagokat, hogy az eszköz továbbra is csatlakozhasson a VPN-hez. A letiltás kikapcsolja ezt a funkciót.

  • Távoli azonosító: Adja meg az IKEv2-kiszolgáló hálózati IP-címét, teljes tartománynevét, UserFQDN-ét vagy ASN1DN-ét. Írja be például a vagy a értéket 10.0.0.3vpn.contoso.com. Általában ugyanazt az értéket adja meg, mint a Kapcsolat neve (ebben a cikkben). Ez azonban az IKEv2-kiszolgáló beállításaitól függ.

  • Helyi azonosító: Adja meg az eszközön található IKEv2 VPN-ügyfél teljes tartománynevét vagy tulajdonosának köznapi nevét. Azt is megteheti, hogy üresen hagyja ezt az értéket (alapértelmezett). A helyi azonosítónak általában egyeznie kell a felhasználó vagy az eszköztanúsítvány identitásával. Előfordulhat, hogy az IKEv2-kiszolgálónak meg kell egyeznie az értékekkel, hogy ellenőrizni tudja az ügyfél identitását.

  • Ügyfél-hitelesítés típusa: Adja meg, hogy a VPN-ügyfél hogyan hitelesítse magát a VPN-en. Az Ön lehetőségei:

    • Felhasználói hitelesítés (alapértelmezett): A felhasználói hitelesítő adatok hitelesítése a VPN-en.
    • Gépi hitelesítés: Az eszköz hitelesítő adatai hitelesítik magukat a VPN-en.

  • Hitelesítési módszer: Válassza ki a kiszolgálónak küldendő ügyfél-hitelesítő adatok típusát. Az Ön lehetőségei:

    • Tanúsítványok: Meglévő tanúsítványprofilt használ a VPN-hitelesítéshez. Győződjön meg arról, hogy ez a tanúsítványprofil már hozzá van rendelve a felhasználóhoz vagy az eszközhöz. Ellenkező esetben a VPN-kapcsolat meghiúsul.

      • Tanúsítvány típusa: Válassza ki a tanúsítvány által használt titkosítás típusát. Győződjön meg arról, hogy a VPN-kiszolgáló úgy van konfigurálva, hogy elfogadja ezt a tanúsítványtípust. Az Ön lehetőségei:
        • RSA (alapértelmezett)
        • ECDSA256
        • ECDSA384
        • ECDSA521

    • Megosztott titkos kód (csak gépi hitelesítés esetén): Lehetővé teszi egy megosztott titkos kód megadását a VPN-kiszolgálónak való küldéshez.

      • Megosztott titkos kód: Adja meg a megosztott titkos kódot, más néven az előmegosztott kulcsot (PSK). Győződjön meg arról, hogy az érték megegyezik a VPN-kiszolgálón konfigurált megosztott titkos kóddal.

  • Kiszolgálótanúsítvány-kibocsátó köznapi neve: Lehetővé teszi, hogy a VPN-kiszolgáló hitelesítse magát a VPN-ügyfélen. Adja meg az eszközön a VPN-ügyfélnek küldött VPN-kiszolgálói tanúsítvány tanúsítványkibocsátójának köznapi nevét (CN). Győződjön meg arról, hogy a CN érték megegyezik a VPN-kiszolgálón található konfigurációval. Ellenkező esetben a VPN-kapcsolat meghiúsul.

  • Kiszolgálótanúsítvány köznapi neve: Adja meg magának a tanúsítványnak a CN-ét. Ha üresen hagyja, a rendszer a távoli azonosító értékét használja.

  • Nem működő társészlelési arány: Adja meg, hogy a VPN-ügyfél milyen gyakran ellenőrzi, hogy a VPN-alagút aktív-e. Az Ön lehetőségei:

    • Nincs konfigurálva: Az iOS/iPadOS rendszer alapértelmezett beállítását használja, amely megegyezhet a Közepes lehetőség választásával.
    • Nincs: Letiltja a nem elérhető társészlelést.
    • Alacsony: 30 percenként küld egy megőrzési üzenetet.
    • Közepes (alapértelmezett): 10 percenként küld egy megőrzési üzenetet.
    • Magas: 60 másodpercenként küld egy megőrzési üzenetet.

  • TLS-verziótartomány minimális száma: Adja meg a minimálisan használandó TLS-verziót. Írja be a 1.0, a 1.1vagy 1.2a kifejezést. Ha üresen hagyja, a rendszer az alapértelmezett értéket 1.0 használja. Felhasználói hitelesítés és tanúsítványok használatakor konfigurálnia kell ezt a beállítást.

  • TLS-verziótartomány maximuma: Adja meg a maximálisan használandó TLS-verziót. Írja be a 1.0, a 1.1vagy 1.2a kifejezést. Ha üresen hagyja, a rendszer az alapértelmezett értéket 1.2 használja. Felhasználói hitelesítés és tanúsítványok használatakor konfigurálnia kell ezt a beállítást.

  • Tökéletes titkosság: Válassza az Engedélyezés lehetőséget a tökéletes titkosság (PFS) bekapcsolásához. A PFS egy IP-biztonsági funkció, amely csökkenti a munkamenet-kulcsok sérülésének hatását. A Letiltás (alapértelmezett) nem használja a PFS-t.

  • Tanúsítvány-visszavonás ellenőrzése: Válassza az Engedélyezés lehetőséget , és győződjön meg arról, hogy a tanúsítványok nincsenek visszavonva, mielőtt a VPN-kapcsolat sikeres lesz. Ez az ellenőrzés a legjobb megoldás. Ha a VPN-kiszolgáló túllépi az időkorlátot, mielőtt megállapítanák, hogy visszavonták-e a tanúsítványt, a rendszer hozzáférést biztosít. A letiltás (alapértelmezett) nem ellenőrzi a visszavont tanúsítványokat.

  • IPv4/IPv6 belső alhálózati attribútumok használata: Egyes IKEv2-kiszolgálók a vagy INTERNAL_IP6_SUBNET attribútumokat INTERNAL_IP4_SUBNET használják. Az engedélyezés kényszeríti a VPN-kapcsolatot, hogy ezeket az attribútumokat használja. A Letiltás (alapértelmezett) nem kényszeríti a VPN-kapcsolatot ezen alhálózati attribútumok használatára.

  • Mobilitás és többszörös használat (MOBIKE): A MOBIKE lehetővé teszi, hogy a VPN-ügyfelek anélkül módosíthassák IP-címüket, hogy biztonsági társítást hoznak létre a VPN-kiszolgálóval. Az engedélyezés (alapértelmezett) bekapcsolja a MOBIKE-t, amely javíthatja a VPN-kapcsolatokat a hálózatok közötti utazás során. A letiltás kikapcsolja a MOBIKE-t.

  • Átirányítás: Az engedélyezés (alapértelmezett) átirányítja az IKEv2-kapcsolatot, ha átirányítási kérés érkezik a VPN-kiszolgálótól. A letiltás megakadályozza az IKEv2-kapcsolat átirányítását, ha átirányítási kérés érkezik a VPN-kiszolgálótól.

  • Maximális átviteli egység: Adja meg a maximális átviteli egységet (MTU) bájtban, 1–65536 között. Ha a Nincs konfigurálva vagy üresen hagyva értékre van állítva, Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az Apple ezt az értéket 1280-ra állíthatja.

    Ez a beállítás a következőkre vonatkozik:

    • iOS/iPadOS 14 és újabb

  • Biztonsági társítás paraméterei: Adja meg azokat a paramétereket, amelyekkel biztonsági társításokat hozhat létre a VPN-kiszolgálóval:

    • Titkosítási algoritmus: Válassza ki a kívánt algoritmust:

      • DES
      • 3DES
      • AES-128
      • AES-256 (alapértelmezett)
      • AES-128-GCM
      • AES-256-GCM

      Megjegyzés:

      Ha a titkosítási algoritmust vagy AES-256-GCMértékre AES-128-GCM állítja, akkor a rendszer az AES-256 alapértelmezett értéket használja. Ez egy ismert probléma, és egy későbbi kiadásban fogjuk kijavítani. Nincs ETA.

    • Integritási algoritmus: Válassza ki a kívánt algoritmust:

      • SHA1-96
      • SHA1-160
      • SHA2-256 (alapértelmezett)
      • SHA2-384
      • SHA2-512

    • Diffie-Hellman csoport: Válassza ki a kívánt csoportot. Az alapértelmezett érték a csoport 2.

    • Élettartam (perc): Adja meg, hogy a biztonsági társítás mennyi ideig marad aktív a kulcsok elforgatásáig. Adjon meg egy egész értéket és 1440 között 10 (1440 perc 24 óra). Az alapértelmezett érték: 1440.

  • Gyermekbiztonsági társítási paraméterek: Az iOS/iPadOS lehetővé teszi külön paraméterek konfigurálását az IKE-kapcsolathoz és a gyermekkapcsolatokhoz. Adja meg a gyermekbiztonsági társítások VPN-kiszolgálóval való létrehozásakor használt paramétereket:

    • Titkosítási algoritmus: Válassza ki a kívánt algoritmust:

      • DES
      • 3DES
      • AES-128
      • AES-256 (alapértelmezett)
      • AES-128-GCM
      • AES-256-GCM

      Megjegyzés:

      Ha a titkosítási algoritmust vagy AES-256-GCMértékre AES-128-GCM állítja, akkor a rendszer az AES-256 alapértelmezett értéket használja. Ez egy ismert probléma, és egy későbbi kiadásban fogjuk kijavítani. Nincs ETA.

  • Integritási algoritmus: Válassza ki a kívánt algoritmust:

    • SHA1-96
    • SHA1-160
    • SHA2-256 (alapértelmezett)
    • SHA2-384
    • SHA2-512

    Konfigurálja a következőket is:

    • Diffie-Hellman csoport: Válassza ki a kívánt csoportot. Az alapértelmezett érték a csoport 2.
    • Élettartam (perc): Adja meg, hogy a biztonsági társítás mennyi ideig marad aktív a kulcsok elforgatásáig. Adjon meg egy egész értéket és 1440 között 10 (1440 perc 24 óra). Az alapértelmezett érték: 1440.

Automatikus VPN

  • Az automatikus VPN típusa: Válassza ki a konfigurálni kívánt VPN-típust – Igény szerinti VAGY alkalmazásonkénti VPN. Győződjön meg arról, hogy csak egy lehetőséget használ. A kettő egyidejű használata csatlakozási problémákat okoz.

    • Nincs konfigurálva (alapértelmezett): Intune nem módosítja vagy frissíti ezt a beállítást.

    • Igény szerinti VPN: Az igény szerinti VPN szabályok használatával automatikusan csatlakoztatja vagy bontja a VPN-kapcsolatot. Amikor az eszközök megpróbálnak csatlakozni a VPN-hez, az egyezéseket keres a létrehozott paraméterekben és szabályokban, például egyező tartománynévben. Ha van egyezés, akkor a választott művelet lefut.

      Létrehozhat például egy feltételt, amelyben a VPN-kapcsolatot csak akkor használja a rendszer, ha egy eszköz nincs vállalati Wi-Fi hálózathoz csatlakoztatva. Vagy ha egy eszköz nem fér hozzá a megadott DNS-keresési tartományhoz, akkor a VPN-kapcsolat nem indul el.

      • Igény szerinti szabályok>Hozzáadás: Szabály hozzáadásához válassza a Hozzáadás lehetőséget. Ha nincs meglévő VPN-kapcsolat, akkor ezekkel a beállításokkal hozzon létre egy igény szerinti szabályt. Ha a szabálynak van egyezése, akkor az eszköz végrehajtja a kiválasztott műveletet.

        • A következőket szeretném tenni: Ha egyezés van az eszköz értéke és az igény szerinti szabály között, válassza ki az eszköz által végrehajtandó műveletet. Az Ön lehetőségei:

          • VPN létrehozása: Ha egyezés van az eszköz értéke és az igény szerinti szabály között, akkor az eszköz csatlakozik a VPN-hez.

          • VPN leválasztása: Ha egyezés van az eszköz értéke és az igény szerinti szabály között, akkor a VPN-kapcsolat megszakad.

          • Az egyes csatlakozási kísérletek kiértékelése: Ha egyezés van az eszköz értéke és az igény szerinti szabály között, a Válassza ki, hogy csatlakozik-e beállítással döntse el, mi történjen az egyes VPN-csatlakozási kísérletek esetén:

            • Csatlakozás szükség esetén: Ha az eszköz belső hálózaton található, vagy ha már létezik VPN-kapcsolat a belső hálózattal, akkor az igény szerinti VPN nem fog csatlakozni. Ezek a beállítások nem használatosak.

              Ha nincs meglévő VPN-kapcsolat, akkor minden VPN-csatlakozási kísérletnél döntse el, hogy a felhasználók DNS-tartománynévvel csatlakozzanak-e. Ez a szabály csak azokra a tartományokra vonatkozik, amelyekre a Felhasználók megpróbálnak hozzáférni ezekhez a tartományokhoz listában. A többi tartomány figyelmen kívül lesz hagyva.

              • Amikor a felhasználók megpróbálják elérni ezeket a tartományokat: Adjon meg egy vagy több DNS-tartományt, például contoso.com: . Ha a felhasználók a listában szereplő tartományhoz próbálnak csatlakozni, akkor az eszköz DNS használatával oldja fel a megadott tartományokat. Ha a tartomány nem oldja fel a problémát, ami azt jelenti, hogy nem rendelkezik hozzáféréssel a belső erőforrásokhoz, akkor igény szerint csatlakozik a VPN-hez. Ha a tartomány feloldja a problémát, ami azt jelenti, hogy már rendelkezik hozzáféréssel a belső erőforrásokhoz, akkor nem csatlakozik a VPN-hez.

                Megjegyzés:

                • Ha a Amikor a felhasználók megpróbálják elérni ezeket a tartományokat beállítást, az eszköz a hálózati kapcsolati szolgáltatásban (Wi-Fi/ethernet) konfigurált DNS-kiszolgálókat használja a tartomány feloldásához. Az elképzelés az, hogy ezek a DNS-kiszolgálók nyilvános kiszolgálók.

                  A Amikor a felhasználók megpróbálják elérni ezeket a tartományokat listában szereplő tartományok belső erőforrások. A belső erőforrások nem nyilvános DNS-kiszolgálókon találhatók, és nem oldhatók fel. Az eszköz tehát csatlakozik a VPN-hez. Most a tartomány feloldása a VPN-kapcsolat DNS-kiszolgálóinak használatával történik, és a belső erőforrás elérhető.

                  Ha az eszköz a belső hálózaton található, a tartomány feloldódik, és nem jön létre VPN-kapcsolat, mert a belső tartomány már elérhető. Nem szeretne VPN-erőforrásokat pazarolni a belső hálózaton már meglévő eszközökön.

                • Ha a Amikor a felhasználók megpróbálják elérni ezeket a tartományokat beállítást, a rendszer a listán szereplő DNS-kiszolgálókat használja a listában szereplő tartományok feloldásához.

                  Az ötlet az első listajel ellentéte (Amikor a felhasználók megpróbálják elérni ezeket a tartományokat , a beállítás üres). Például a Amikor a felhasználók megpróbálják elérni ezeket a tartományokat lista belső DNS-kiszolgálókkal rendelkezik. Egy külső hálózaton lévő eszköz nem tud a belső DNS-kiszolgálókra irányítani. A névfeloldás túllépi az időkorlátot, és az eszköz igény szerint csatlakozik a VPN-hez. Most már elérhetők a belső erőforrások.

                  Ne feledje, hogy ezek az információk csak azokra a tartományokra vonatkoznak, amelyekre a Felhasználók megpróbálnak hozzáférni ezekhez a tartományokhoz listában. Minden más tartomány nyilvános DNS-kiszolgálókkal van feloldva. Ha az eszköz csatlakozik a belső hálózathoz, a listában szereplő DNS-kiszolgálók elérhetők, és nincs szükség a VPN-hez való csatlakozásra.

              • A következő DNS-kiszolgálók használatával oldhatja fel ezeket a tartományokat (nem kötelező): Adjon meg egy vagy több DNS-kiszolgáló IP-címét, például 10.0.0.22: . A megadott DNS-kiszolgálók a Tartományok elérésekor beállításban található tartományok feloldására szolgálnak .

              • Ha ez az URL-cím nem érhető el, kényszerítse a VPN csatlakoztatását: Nem kötelező. Adjon meg egy HTTP- vagy HTTPS-mintavételi URL-címet, amelyet a szabály tesztként használ. Írja be például a következőt: https://probe.Contoso.com. Ezt az URL-címet a rendszer minden alkalommal teszteli, amikor egy felhasználó megpróbál hozzáférni egy tartományhoz a Amikor a felhasználók megpróbálnak hozzáférni ezekhez a tartományokhoz beállításban. A felhasználó nem látja az URL-sztring mintavételi helyét.

                Ha a mintavétel meghiúsul, mert az URL-cím nem érhető el, vagy nem ad vissza 200 HTTP-állapotkódot, akkor az eszköz csatlakozik a VPN-hez.

                Az elképzelés az, hogy az URL-cím csak a belső hálózaton érhető el. Ha az URL-cím elérhető, akkor nincs szükség VPN-kapcsolatra. Ha az URL-cím nem érhető el, akkor az eszköz egy külső hálózaton található, és igény szerint csatlakozik a VPN-hez. A VPN-kapcsolat létrejötte után belső erőforrások érhetők el.

            • Soha ne csatlakozzon: Minden VPN-kapcsolati kísérlet esetén, amikor a felhasználók megpróbálják elérni a megadott tartományokat, az eszköz soha nem csatlakozik a VPN-hez.

              • Amikor a felhasználók megpróbálják elérni ezeket a tartományokat: Adjon meg egy vagy több DNS-tartományt, például contoso.com: . Ha a felhasználók a listában szereplő tartományhoz próbálnak csatlakozni, akkor nem jön létre VPN-kapcsolat. Ha olyan tartományhoz próbálnak csatlakozni, amely nem szerepel a listán, akkor az eszköz a VPN-hez csatlakozik.

          • Figyelmen kívül hagyás: Ha egyezés van az eszköz értéke és az igény szerinti szabály között, a rendszer figyelmen kívül hagyja a VPN-kapcsolatot.

        • A korlátozást a következőre szeretném korlátozni: A következő beállítást szeretném elvégezni , ha a VPN létrehozása, a VPN leválasztása vagy a Mellőzés lehetőséget választja, akkor válassza ki azt a feltételt, amelyet a szabálynak teljesítenie kell. Az Ön lehetőségei:

          • Adott SSID-k: Adjon meg egy vagy több vezeték nélküli hálózatnevet, amelyekre a szabály vonatkozik. Ez a hálózatnév a szolgáltatáskészlet azonosítója (SSID). Írja be például a következőt: Contoso VPN.
          • Adott keresési tartományok: Adjon meg egy vagy több DNS-tartományt, amelyekre a szabály vonatkozik. Írja be például a következőt: contoso.com.
          • Minden tartomány: Akkor válassza ezt a lehetőséget, ha a szabályt a szervezet összes tartományára alkalmazni szeretné.

        • De csak akkor, ha ez az URL-mintavétel sikeres: Nem kötelező. Adjon meg egy URL-címet, amelyet a szabály tesztként használ. Írja be például a következőt: https://probe.Contoso.com. Ha az eszköz átirányítás nélkül fér hozzá ehhez az URL-címhez, akkor a VPN-kapcsolat elindul. Az eszköz pedig a cél URL-címhez csatlakozik. A felhasználó nem látja az URL-sztring mintavételi helyét.

          Az URL-cím például azt teszteli, hogy a VPN képes-e csatlakozni egy helyhez, mielőtt az eszköz a VPN-en keresztül csatlakozik a cél URL-címhez.

      • Letilthatja a felhasználók számára az automatikus VPN letiltását: Az Ön beállításai:

        • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást.
        • Igen: Megakadályozza, hogy a felhasználók kikapcsolják az automatikus VPN-t. Arra kényszeríti a felhasználókat, hogy engedélyezve és futva tartsák az automatikus VPN-t.
        • Nem: Lehetővé teszi, hogy a felhasználók kikapcsolják az automatikus VPN-t.

        Ez a beállítás a következőkre vonatkozik:

        • iOS 14 és újabb
        • iPadOS 14 és újabb

    • Alkalmazásonkénti VPN: Engedélyezi az alkalmazásonkénti VPN-t, ha ezt a VPN-kapcsolatot egy adott alkalmazáshoz társítja. Az alkalmazás futtatásakor elindul a VPN-kapcsolat. A VPN-profilt társíthatja egy alkalmazással, amikor hozzárendeli az alkalmazásszoftvert vagy -programot. További információ: Alkalmazások hozzárendelése és monitorozása.

      Az alkalmazásonkénti VPN nem támogatott IKEv2-kapcsolaton. További információ: Alkalmazásonkénti VPN beállítása iOS/iPadOS-eszközökhöz.

      • Szolgáltató típusa: Csak Pulse Secure és egyéni VPN esetén érhető el.

        Ha alkalmazásonkénti VPN-profilokat használ a Pulse Secure vagy egy egyéni VPN használatával, válassza az alkalmazásrétegbeli bújtatást (alkalmazásproxy) vagy csomagszintű bújtatást (csomagalagút):

        • alkalmazásproxy: Válassza ezt a lehetőséget az alkalmazásrétegbeli bújtatáshoz.
        • csomagalagút: Válassza ezt a lehetőséget csomagréteg-bújtatáshoz.

        Ha nem biztos abban, hogy melyik lehetőséget használja, tekintse meg a VPN-szolgáltató dokumentációját.

      • A VPN-t aktiváló Safari URL-címek: Adjon hozzá egy vagy több webhely URL-címét. Ha ezeket az URL-címeket az eszközön a Safari böngészővel látogatja meg, a VPN-kapcsolat automatikusan létrejön. Írja be például a következőt: contoso.com.

      • Társított tartományok: Adja meg a vpn-profilban az ezzel a VPN-kapcsolattal használandó társított tartományokat.

        További információ: társított tartományok.

      • Kizárt tartományok: Olyan tartományokat adjon meg, amelyek megkerülhetik a VPN-kapcsolatot, ha alkalmazásonkénti VPN csatlakozik. Írja be például a következőt: contoso.com. A contoso.com tartományba érkező forgalom akkor is a nyilvános internetet használja, ha a VPN csatlakozik.

      • Letilthatja a felhasználók számára az automatikus VPN letiltását: Az Ön beállításai:

        • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást.
        • Igen: Megakadályozza, hogy a felhasználók kikapcsolják az Igény szerinti csatlakozás kapcsolót a VPN-profil beállításai között. Arra kényszeríti a felhasználókat, hogy az alkalmazásonkénti VPN- vagy igény szerinti szabályokat engedélyezve és futva tartsák.
        • Nem: Lehetővé teszi, hogy a felhasználók kikapcsolják az Igény szerinti csatlakozás kapcsolót, amely letiltja az alkalmazásonkénti VPN-t és az igény szerinti szabályokat.

        Ez a beállítás a következőkre vonatkozik:

        • iOS 14 és újabb
        • iPadOS 14 és újabb

Alkalmazásonkénti VPN

Ezek a beállítások a következő VPN-kapcsolattípusokra vonatkoznak:

  • Microsoft Tunnel

Beállítások:

  • Alkalmazásonkénti VPN: Az engedélyezés egy adott alkalmazást társít ehhez a VPN-kapcsolathoz. Az alkalmazás futtatásakor a forgalom automatikusan áthalad a VPN-kapcsolaton. A szoftver hozzárendelésekor társíthatja a VPN-profilt egy alkalmazással. További információ: Alkalmazások hozzárendelése és monitorozása.

    További információ: Microsoft Tunnel for Intune.

  • A VPN-t aktiváló Safari URL-címek: Adjon hozzá egy vagy több webhely URL-címét. Ha ezeket az URL-címeket az eszközön a Safari böngészővel látogatja meg, a VPN-kapcsolat automatikusan létrejön. Írja be például a következőt: contoso.com.

  • Társított tartományok: Adja meg a vpn-profilban az ezzel a VPN-kapcsolattal használandó társított tartományokat.

    További információ: társított tartományok.

  • Kizárt tartományok: Olyan tartományokat adjon meg, amelyek megkerülhetik a VPN-kapcsolatot, ha alkalmazásonkénti VPN csatlakozik. Írja be például a következőt: contoso.com. A contoso.com tartományba érkező forgalom akkor is a nyilvános internetet használja, ha a VPN csatlakozik.

Helyettes

Ha proxyt használ, konfigurálja az alábbi beállításokat.

  • Automatikus konfigurációs szkript: Fájl használatával konfigurálja a proxykiszolgálót. Adja meg a konfigurációs fájlt tartalmazó proxykiszolgáló URL-címét. Írja be például a következőt: http://proxy.contoso.com/pac.
  • Cím: Adja meg a proxykiszolgáló IP-címét vagy teljes gazdagépnevét. Írja be például a vagy a értéket 10.0.0.3vpn.contoso.com.
  • Portszám: Adja meg a proxykiszolgálóhoz társított portszámot. Írja be például a következőt: 8080.

Következő lépések

A profil létrejön, de lehet, hogy még nem csinál semmit. Ügyeljen arra, hogy hozzárendelje a profilt , és figyelje az állapotát.

VPN-beállítások konfigurálása Android, Android Enterprise, macOS és Windows rendszerű eszközökön.