VPN-profilok létrehozása VPN-kiszolgálókhoz való csatlakozáshoz az Intune-ban

A virtuális magánhálózatok (VPN-ek) biztonságos távoli hozzáférést biztosítanak a felhasználóknak a szervezeti hálózathoz. Az eszközök VPN-kapcsolati profilt használnak a VPN-kiszolgálóval való kapcsolat indításához. A VPN-profilok Microsoft Intune VPN-beállításokat rendelnek a szervezet felhasználóihoz és eszközeihez. Ezeket a beállításokat használva a felhasználók könnyen és biztonságosan csatlakozhatnak a szervezeti hálózathoz.

Ez a funkció az alábbiakra vonatkozik:

• Android-eszközadminisztrátor
• Android Enterprise személyes tulajdonban lévő eszközök munkahelyi profillal
• iOS/iPadOS
• macOS
• Windows 10 rendszer esetén
• Windows 11
• Windows 8.1 és újabb

Például konfigurálnia kell az összes iOS/iPadOS-eszközt a szervezeti hálózaton lévő fájlmegosztáshoz való csatlakozáshoz szükséges beállításokkal. Létre kell hoznia egy VPN-profilt, amely tartalmazza ezeket a beállításokat. Ezt a profilt minden olyan felhasználóhoz hozzárendelheti, aki iOS/iPadOS rendszerű eszközzel rendelkezik. A felhasználók az elérhető hálózatok listájában látják a VPN-kapcsolatot, és minimális erőfeszítéssel tudnak csatlakozni.

Ez a cikk felsorolja a használható VPN-alkalmazásokat, bemutatja, hogyan hozhat létre VPN-profilokat, és útmutatást nyújt a VPN-profilok biztonságossá tételéhez. A VPN-profil létrehozása előtt telepítenie kell a VPN-alkalmazást. Ha segítségre van szüksége az alkalmazások Microsoft Intune használatával történő üzembe helyezéséhez, lépjen a Mi az alkalmazáskezelés a Microsoft Intune-ben? című témakörre.

Az első lépések

• Az eszközalagút VPN-profiljai Windows 10/11 Nagyvállalati több munkamenetes távoli asztalok esetében támogatottak.

• Ha tanúsítványalapú hitelesítést használ a VPN-profilhoz, helyezze üzembe a VPN-profilt, a tanúsítványprofilt és a megbízható legfelső szintű profilt ugyanazon csoportokban. Ez a lépés biztosítja, hogy minden eszköz felismerje a hitelesítésszolgáltató legitimitását. További információt a Tanúsítványok konfigurálása Microsoft Intune című témakörben talál.

• Az iOS/iPadOS és a macOS felhasználói regisztrációja csak az alkalmazásonkénti VPN-t támogatja.

• Az Intune egyéni konfigurációs szabályzatok használatával vpn-profilokat hozhat létre a következő platformokhoz:

  • Android 4 és újabb verziók
  • A Windows 8.1-et és újabb verziót futtató regisztrált eszközök
  • A Windows 10/11-et futtató regisztrált eszközök
  • Windows Holographic for Business

• Az Windows 11-eszközök esetében probléma van a Windows 11-ügyfél és a Windows VPNv2 CSP között.

  Egy vagy több Intune VPN-profillal rendelkező eszköz elveszíti VPN-kapcsolatát, amikor az eszköz egyszerre több módosítást dolgoz fel az eszköz VPN-profiljaiban. Amikor az eszköz másodszor is bejelentkezik Intune, feldolgozza a VPN-profil módosításait, és visszaállítja a kapcsolatot.

  A következő módosítások a VPN-funkciók elvesztését okozhatják:

  • Módosít vagy frissít egy meglévő VPN-profilt, amelyet az Windows 11 eszköz korábban feldolgozott. Ez a művelet törli az eredeti profilt, és alkalmazza a frissített profilt.
  • Egyszerre két új VPN-profil vonatkozik az eszközre.
  • Az aktív VPN-profilok az új VPN-profil hozzárendelésével egy időben törlődnek.

  Ez a probléma nem érvényes, és a VPN-kapcsolat a következő forgatókönyvekben marad:

  • Egy Windows 11 eszközhöz nincs hozzárendelve meglévő VPN-profil, és az eszközök egy Intune VPN-profilt kapnak.

  • Windows 11 eszközökhöz egy meglévő VPN-profil van hozzárendelve, és egy másik VPN-profil van hozzárendelve, más profilmódosítás nélkül.

  • A Windows 10 eszköz Windows 11 frissül, és az eszköz VPN-profiljai nem módosulnak. A Windows 11-re való frissítés után az eszközök VPN-profiljainak módosítása vagy új VPN-profilok hozzáadása kiváltja a problémát.

  • Windows 11 a következőt igényli:

    • Az IKE biztonsági társítási paramétereinek és a gyermekbiztonsági társítás paramétereinek összes beállítása konfigurálva van

      VAGY

    • Az IKE biztonsági társítási paramétereinek és a gyermekbiztonsági társítás paramétereinek egyik beállítása sincs konfigurálva

    Ha csak az IKE biztonsági társítási paramétereinek vagy a gyermekbiztonsági társítás paramétereinek egyikét konfigurálja, akkor a VPN-funkciók nem lesznek működőképesek.

1. lépés – A VPN-alkalmazás üzembe helyezése

Az eszközhöz rendelt VPN-profilok használatához telepítenie kell a VPN-alkalmazást. Ez a VPN-alkalmazás csatlakozik a VPN-kiszolgálóhoz.

Különböző VPN-alkalmazások érhetők el. A felhasználói eszközökön a szervezet által használt VPN-alkalmazást kell üzembe helyeznie. A VPN-alkalmazás üzembe helyezése után létre kell hoznia és üzembe kell helyeznie egy VPN-eszközkonfigurációs profilt, amely konfigurálja a VPN-kiszolgáló beállításait, beleértve a VPN-kiszolgáló nevét (vagy teljes tartománynevét) és a hitelesítési módszert.

Egyes platformok és VPN-alkalmazások esetében a VPN-eszköz konfigurációs profilja helyett alkalmazáskonfigurációs szabályzat szükséges a VPN-alkalmazás előzetes konfigurálásához. Ez a szakasz azokat a platformokat és VPN-alkalmazásokat is felsorolja, amelyeknek alkalmazáskonfigurációs szabályzatot kell használniuk.

Az alkalmazás Intune használatával történő hozzárendeléséhez lépjen az Alkalmazások hozzáadása Microsoft Intune című témakörhöz.

VPN-kapcsolattípusok

VPN-profilokat a következő VPN-kapcsolattípusok használatával hozhat létre:

• Automatikus

  • Windows 10/11

• Check Point Capsule VPN

  • Android-eszközadminisztrátor
  • Android Enterprise személyes tulajdonban lévő eszközök munkahelyi profillal
  • Android Enterprise teljes körűen felügyelt és vállalati tulajdonú munkahelyi profil: Alkalmazáskonfigurációs szabályzat használata
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• Cisco AnyConnect

  • Android-eszközadminisztrátor
  • Android Enterprise személyes tulajdonban lévő eszközök munkahelyi profillal
  • Android Enterprise teljes körűen felügyelt és vállalati tulajdonú munkahelyi profil
  • iOS/iPadOS
  • macOS
  • Windows 10/11

• Cisco (IPSec)

  • iOS/iPadOS

• Citrix SSO

  • Android-eszközadminisztrátor
  • Android Enterprise személyes tulajdonú eszközök munkahelyi profillal: Alkalmazáskonfigurációs szabályzat használata
  • Android Enterprise teljes körűen felügyelt és vállalati tulajdonú munkahelyi profilok: Alkalmazáskonfigurációs szabályzat használata
  • iOS/iPadOS
  • Windows 10/11

• Egyéni VPN

  • iOS/iPadOS
  • macOS

  Egyéni VPN-profilok létrehozása URI-beállításokkal a Profil létrehozása egyéni beállításokkal című témakörben.

• F5 Access

  • Android-eszközadminisztrátor
  • Android Enterprise személyes tulajdonban lévő eszközök munkahelyi profillal
  • Android Enterprise teljes körűen felügyelt és vállalati tulajdonú munkahelyi profil
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• IKEv2

  • iOS/iPadOS
  • Windows 10/11

• L2TP

  • Windows 10/11

• Microsoft Tunnel

  • Android Enterprise személyes tulajdonban lévő eszközök munkahelyi profillal
  • Android Enterprise teljes körűen felügyelt és vállalati tulajdonú munkahelyi profil
  • iOS/iPadOS

• NetMotion Mobility

  • Android Enterprise személyes tulajdonban lévő eszközök munkahelyi profillal
  • Android Enterprise teljes körűen felügyelt és vállalati tulajdonú munkahelyi profil
  • iOS/iPadOS
  • macOS

• Palo Alto Networks GlobalProtect

  • Android Enterprise személyes tulajdonú eszközök munkahelyi profillal: Alkalmazáskonfigurációs szabályzat használata
  • Android Enterprise teljes körűen felügyelt és vállalati tulajdonú munkahelyi profil: Alkalmazáskonfigurációs szabályzat használata
  • iOS/iPadOS
  • Windows 10/11

• PPTP

  • Windows 10/11

• Pulse Secure

  • Android-eszközadminisztrátor
  • Android Enterprise személyes tulajdonban lévő eszközök munkahelyi profillal
  • Android Enterprise teljes körűen felügyelt és vállalati tulajdonú munkahelyi profil
  • iOS/iPadOS
  • Windows 10/11
  • Windows 8.1

• SonicWall Mobile Connect

  • Android-eszközadminisztrátor
  • Android Enterprise személyes tulajdonban lévő eszközök munkahelyi profillal
  • Android Enterprise teljes körűen felügyelt és vállalati tulajdonú munkahelyi profil
  • iOS/iPadOS
  • macOS
  • Windows 10/11
  • Windows 8.1

• Zscaler

  • Android Enterprise személyes tulajdonú eszközök munkahelyi profillal: Alkalmazáskonfigurációs szabályzat használata
  • Android Enterprise teljes körűen felügyelt és vállalati tulajdonú munkahelyi profil: Alkalmazáskonfigurációs szabályzat használata
  • iOS/iPadOS

2. lépés – A profil létrehozása

Miután hozzárendelte a VPN-alkalmazást az eszközhöz, ez a következő lépés létrehozza a VPN-kapcsolatot konfiguráló eszközkonfigurációs szabályzatot. Ha a VPN-alkalmazás kapcsolattípusa alkalmazáskonfigurációs szabályzatot használ az alkalmazás konfigurálásához, hagyja ki ezt a lépést.

1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

2. Válassza az Eszközök>Eszközök kezelése>Konfiguráció>Létrehozás>Új házirend lehetőséget.

3. Adja meg a következő tulajdonságokat:

   • Platform: Válassza ki az eszközei platformját. Az Ön lehetőségei:
     • Android-eszközadminisztrátor
     • Android Enterprise>Teljes mértékben felügyelt, dedikált és Corporate-Owned munkahelyi profil
     • Android Enterprise>Személyes tulajdonú munkahelyi profil
     • iOS/iPadOS
     • macOS
     • Windows 10 és újabb
     • Windows 8.1 és újabb
   • Profil típusa: Válassza a VPN lehetőséget. Vagy válassza a Sablonok>VPN lehetőséget.

4. Válassza a Létrehozás lehetőséget.

5. Az Alapadatok között adja meg a következő tulajdonságokat:

   • Név: Adja meg a profil leíró nevét. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. A jó profilnév például a teljes vállalat VPN-profilja.
   • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

6. Válassza a Tovább gombot.

7. A Konfigurációs beállítások területen a választott platformtól függően a konfigurálható beállítások eltérőek. Válassza ki a platformot a részletes beállításokért:

   • Android-eszközadminisztrátor
   • Vállalati Android
   • iOS/iPadOS
   • macOS
   • Windows 10 (beleértve a Windows Holographic for Business)
   • Windows 8.1

8. Válassza a Tovább gombot.

9. A Hatókörcímkék (nem kötelező) csoportban rendeljen hozzá egy címkét a profil adott informatikai csoportokra (például US-NC IT Team vagy JohnGlenn_ITDepartment) való szűréséhez. A hatókörcímkékről további információt az RBAC és a hatókörcímkék használata elosztott it-hez című témakörben talál.

   Válassza a Tovább gombot.

10. A Feladatok csoportban válassza ki, hogy mely felhasználók vagy felhasználói csoportok kapják meg a profilját. A profilok hozzárendeléséről további információt a Felhasználói és eszközprofilok hozzárendelése című témakörben talál.

    Válassza a Tovább gombot.

11. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

A VPN-profilok védelme

A VPN-profilok számos különböző kapcsolattípust és protokollt használhatnak a különböző gyártóktól. Ezek a kapcsolatok általában az alábbi módszerekkel vannak védve.

Tanúsítványok

A VPN-profil létrehozásakor ki kell választania egy SCEP- vagy PKCS-tanúsítványprofilt, amelyet korábban Intune. Ezt a profilt identitástanúsítványnak nevezzük. A rendszer egy ön által létrehozott megbízható tanúsítványprofilon (vagy főtanúsítványon) történő hitelesítésre szolgál, amely lehetővé teszi a felhasználó eszközének csatlakozását. A megbízható tanúsítvány hozzá van rendelve ahhoz a számítógéphez, amely hitelesíti a VPN-kapcsolatot, általában a VPN-kiszolgálót.

Ha tanúsítványalapú hitelesítést használ a VPN-profilhoz, helyezze üzembe a VPN-profilt, a tanúsítványprofilt és a megbízható legfelső szintű profilt ugyanazon csoportokban. Ez a hozzárendelés biztosítja, hogy minden eszköz felismerje a hitelesítésszolgáltató legitimitását.

A tanúsítványprofilok Intune való létrehozásáról és használatáról a Tanúsítványok konfigurálása Microsoft Intune című témakörben talál további információt.

Felhasználónév és jelszó

A felhasználó felhasználónévvel és jelszóval vagy származtatott hitelesítő adatokkal hitelesíti magát a VPN-kiszolgálón.

Következő lépések

• Mindenképpen rendelje hozzá a profilt, és kövesse nyomon az állapotát.
• Alkalmazásonkénti VPN-eket androidos eszközadminisztrátori/Android Enterprise - és iOS/iPadOS-eszközökön is létrehozhat és használhat.