Konfigurieren von Microsoft Tunnel für Intune

Microsoft Tunnel Gateway wird in einem Container auf einem Linux-Server installiert, der entweder lokal oder in der Cloud ausgeführt wird. Abhängig von Ihrer Umgebung und Infrastruktur sind möglicherweise zusätzliche Konfigurationen und Software wie Azure ExpressRoute erforderlich.

Bevor Sie mit der Installation beginnen, müssen Sie die folgenden Aufgaben ausführen:

• Lesen Sie den Artikel Konfigurieren von Microsoft Tunnel für Intune und konfigurieren Sie die Voraussetzungen.
• Führen Sie das Bereitschaftstool für Microsoft Tunnel aus, um zu überprüfen, ob Ihre Umgebung die Verwendung des Tunnels unterstützt.

Sobald Sie alle Voraussetzungen erfüllen, kehren Sie zu diesem Artikel zurück, um die Installation und Konfiguration des Tunnels zu starten.

Erstellen einer Serverkonfiguration

Die Verwendung einer Serverkonfiguration ermöglicht Ihnen das einmalige Erstellen einer Konfiguration und anschließende Verwenden dieser Konfiguration durch mehrere Server. Zur Konfiguration gehören IP-Adressbereiche, DNS-Server und Regeln für Split Tunneling. Später weisen Sie einem Standort eine Serverkonfiguration zu, die diese Serverkonfiguration automatisch auf jeden Server anwendet, der diesem Standort beitritt.

Erstellen einer Serverkonfiguration

1. Melden Sie sich bei Microsoft Intune Admin Center>An, Mandantenverwaltung>Microsoft Tunnel Gateway>wählen Sie dieRegisterkarte>Serverkonfigurationenaus Create neu.

2. Geben Sie auf der Registerkarte Grundlagen einen Namen und eine Beschreibung(optional) ein, und wählen Sie Weiter aus.

3. Konfigurieren Sie auf der Registerkarte Einstellungen die folgenden Elemente:

   • IP-Adressenbereich: IP-Adressen in diesem Bereich werden für Geräte geleast, wenn sie eine Verbindung mit dem Tunnelgateway herstellen. Der angegebene Tunnel Client-IP-Adressbereich darf nicht mit einem lokalen Netzwerkbereich in Konflikt geraten.

     • Erwägen Sie die Verwendung des APIPA-Bereichs (Automatic Private IP Addressing) von 169.254.0.0/16, da dieser Bereich Konflikte mit anderen Unternehmensnetzwerken vermeidet.
     • Wenn der Client-IP-Adressbereich mit dem Ziel in Konflikt kommt, verwendet er die Loopbackadresse und kann nicht mit dem Unternehmensnetzwerk kommunizieren.
     • Sie können einen beliebigen Client-IP-Adressbereich auswählen, den Sie verwenden möchten, wenn dieser nicht mit Ihren IP-Adressbereichen des Unternehmensnetzwerks in Konflikt steht.

   • Serverport:Geben Sie den Port ein, an dem der Server auf Verbindungen lauscht.

   • DNS-Server: Diese Server werden verwendet, wenn eine DNS-Anforderung von einem Gerät stammt, das eine Verbindung mit dem Tunnelgateway herstellt.

   • DNS-Suffixsuche(optional): Diese Domäne wird Clients als Standarddomäne bereitgestellt, wenn sie eine Verbindung mit Dem Tunnelgateway herstellen.

   • UDP-Connections deaktivieren(optional): Wenn diese Option ausgewählt ist, stellen Clients nur über TCP-Verbindungen eine Verbindung mit dem VPN-Server her. Da der eigenständige Tunnelclient UDP erfordert, aktivieren Sie das Kontrollkästchen, um UDP-Verbindungen erst zu deaktivieren, nachdem Sie Ihre Geräte für die Verwendung von Microsoft Defender for Endpoint als Tunnelclient-App konfiguriert haben.

4. Konfigurieren Sie außerdem auf der Registerkarte Einstellungen Split-Tunneling-Regeln, die optional sind.

   Sie können Adressen einschließen oder ausschließen. Eingeschlossene Adressen werden an das Tunnelgateway weitergeleitet. Ausgeschlossene Adressen werden nicht an Das Tunnelgateway weitergeleitet. Sie können beispielsweise eine Einschlussregel für 255.255.0.0 oder 192.168.0.0/16 konfigurieren.

   Verwenden Sie die folgenden Optionen, um Adressen ein- oder auszuschließen:

   • Einzuschließende IP-Bereiche
   • Auszuschließende IP-Bereiche

   Hinweis

   Verwenden Sie keinen IP-Adressbereich, der 0.0.0.0 in einer der Ein- oder Ausschlussadressen angibt. Tunnel Gateway kann datenverkehr nicht weiterleiten, wenn dieser Bereich verwendet wird.

5. Sehen Sie sich auf der Registerkarte Überprüfen und erstellen die Konfiguration an, und klicken Sie dann auf Erstellen, um sie zu speichern.

   Hinweis

   Standardmäßig bleibt jede VPN-Sitzung nur 3.600 Sekunden (eine Stunde) aktiv, bevor die Verbindung getrennt wird (für den Fall, dass der Client Always On VPN verwenden soll, wird sofort eine neue Sitzung eingerichtet). Sie können jedoch den Sitzungstimeoutwert zusammen mit anderen Serverkonfigurationseinstellungen mithilfe von Graphaufrufen (microsoftTunnelConfiguration) ändern.

Erstellen eines Standorts

Bei Standorten handelt es sich um eine logische Servergruppe, die Microsoft Tunnel hostet. Sie weisen jedem von Ihnen erstellten Standort eine Serverkonfiguration zu. Diese Konfiguration wird auf jeden Server angewendet, der dem Standort hinzugefügt wird.

Erstellen einer Standortkonfiguration

1. Melden Sie sich bei Microsoft Intune Admin Center>mandantenverwaltung>Microsoft Tunnel Gateway>an, wählen Sie dieRegisterkarte>Standorteaus Create.

2. Geben Sie im Bereich Standort erstellen die folgenden Eigenschaften an:

   • Name: Geben Sie einen Namen für den Standort ein.

   • Beschreibung: Optional können Sie eine benutzerfreundliche Beschreibung für die Website angeben.

   • Öffentliche IP-Adresse oder FQDN: Geben Sie eine öffentliche IP-Adresse oder einen FQDN an. Dies ist der Verbindungspunkt für Geräte, die den Tunnel verwenden. Diese IP-Adresse oder dieser FQDN kann einen einzelnen Server oder einen Lastenausgleichsserver identifizieren. Die IP-Adresse oder der FQDN muss im öffentlichen DNS auflösbar sein, und die aufgelöste IP-Adresse muss öffentlich routingfähig sein.

   • Serverkonfiguration: Um eine Serverkonfiguration auszuwählen, die diesem Standort zugeordnet werden soll, verwenden Sie die Dropdownliste.

   • URL für interne Netzwerkzugriffsprüfung: Geben Sie eine HTTP- oder HTTPS-URL für einen Standort in Ihrem internen Netzwerk an. Alle fünf Minuten versucht jeder Server, der dieser Website zugewiesen ist, auf die URL zuzugreifen, um zu bestätigen, dass er auf Ihr internes Netzwerk zugreifen kann. Server melden den Status dieser Überprüfung auf der Registerkarte Integritätsprüfung des Servers als Interner Netzwerkzugriff.

   • Automatisches Upgrade von Servern an diesem Standort: Wenn Ja ausgewählt ist, werden Server automatisch aktualisiert, wenn ein Upgrade verfügbar ist. Wenn Nein, werden Upgrades manuell ausgeführt, und ein Administrator muss ein Upgrade genehmigen, bevor es gestartet werden kann.

     Weitere Informationen finden Sie unter Durchführen eines Upgrades für Microsoft Tunnel.

   • Limit server upgrades to maintenance window (Serverupgrades auf das Wartungsfenster beschränken): Wenn Ja, können Serverupgrades für diesen Standort nur zwischen der angegebenen Start- und Endzeit gestartet werden. Zwischen Startzeit und Endzeit muss mindestens eine Stunde liegen. Wenn die Option auf Nein festgelegt ist, gibt es kein Wartungsfenster, und Upgrades werden so schnell wie möglich gestartet, je nachdem, wie Serverupgrades an diesem Standort automatisch ausführen konfiguriert ist.

     Wenn diese Einstellung auf Ja festgelegt ist, konfigurieren Sie die folgenden Optionen:

     • Zeitzone: Die von Ihnen ausgewählte Zeitzone bestimmt, wann das Wartungsfenster auf allen Servern am Standort unabhängig von der Zeitzone der einzelnen Server beginnt und endet.
     • Startzeit: Geben Sie basierend auf der ausgewählten Zeitzone die früheste Zeit an, zu der der Upgradezyklus gestartet werden kann.
     • Endzeit: Geben Sie basierend auf der ausgewählten Zeitzone die späteste Zeit an, zu der der Upgradezyklus gestartet werden kann. Die Ausführung von Upgradezyklen, die vor dieser Zeit gestartet werden, wird fortgesetzt und kann nach diesem Zeitpunkt abgeschlossen werden.

     Weitere Informationen finden Sie unter Durchführen eines Upgrades für Microsoft Tunnel.

3. Klicken Sie auf Erstellen, um den Standort zu speichern.

Installieren des Microsoft Tunnel-Gateways

Bevor Sie das Microsoft Tunnel-Gateway auf einem Linux-Server installieren, konfigurieren Sie für Ihren Mandanten mindestens eine Serverkonfiguration, und erstellen Sie dann einen Standort. Später geben Sie den Standort an, dem ein Server bei der Installation des Tunnels auf diesem Server beitritt.

Mit einer Serverkonfiguration und einem Standort können Sie dann das folgende Verfahren verwenden, um das Microsoft Tunnel-Gateway zu installieren.

Wenn Sie jedoch planen, das Microsoft Tunnel Gateway in einem Rootless Podman-Container zu installieren, lesen Sie Verwenden eines rootlosen Podman-Containers , bevor Sie mit der Installation beginnen. Der verknüpfte Abschnitt enthält zusätzliche Erforderliche Anforderungen und eine geänderte Befehlszeile für das Installationsskript. Nachdem die zusätzlichen Voraussetzungen konfiguriert wurden, können Sie hierher zurückkehren, um mit dem folgenden Installationsvorgang fortzufahren.

Verwenden des Skripts für das Installieren von Microsoft Tunnel

1. Laden Sie das Skript für die Microsoft Tunnel-Installation über eine der folgenden Methoden herunter:

   • Laden Sie das Tool direkt mithilfe eines Webbrowsers herunter. Navigieren Sie zu https://aka.ms/microsofttunneldownload, um die Datei mstunnel-setup herunterzuladen.

   • Melden Sie sich bei Microsoft Intune Admin Center>Mandantenverwaltung>Microsoft Tunnel Gateway an, wählen Sie die Registerkarte Server aus, wählen Sie Create aus, um den Bereich Create einem Server zu öffnen, und wählen Sie dann Skript herunterladen aus.

     

   • Verwenden Sie einen Linux-Befehl, um die Tunnelsoftware direkt herunterzuladen. Auf dem Server, auf dem Sie den Tunnel installieren, können Sie beispielsweise wget oder curl verwenden, um den Link https://aka.ms/microsofttunneldownloadzu öffnen.

     Um etwa wget zu verwenden und Details während des Downloads in mstunnel-setup zu protokollieren, führen Sie wget --output-document=mstunnel-setup https://aka.ms/microsofttunneldownload aus.

2. Führen Sie zum Starten der Serverinstallation das Skript als root aus. Sie können z. B. die folgende Befehlszeile verwenden: sudo chmod +x ./mstunnel-setup. Das Skript installiert immer die neueste Version von Microsoft Tunnel.

   Wichtig

   Wenn Sie Tunnel in einem stammlosen Podman-Container installieren, verwenden Sie die folgende geänderte Befehlszeile, um das Skript zu starten: chmod mst_rootless_mode=1 ./mstunnel-setup

   So zeigen Sie während der Registrierung des Tunnel- und Installations-Agents eine ausführliche Konsolenausgabe an:

   1. Führen Sie aus export mst_verbose_log="true" , bevor Sie das Skript ./mstunnel-setup ausführen. Führen Sie exportaus, um zu bestätigen, dass die ausführliche Protokollierung aktiviert ist.

   2. Bearbeiten Sie nach Abschluss des Setups die Umgebungsdatei /etc/mstunnel/env.sh , um eine neue Zeile hinzuzufügen: mst_verbose_log="true". Führen Sie nach dem Hinzufügen der Zeile aus mst-cli server restart , um den Server neu zu starten.

   Wichtig

   Für die Cloud for US Government muss die Befehlszeile auf die Government-Cloudumgebung verweisen. Führen Sie dazu die folgenden Befehle aus, um der Befehlszeile intune_env=FXP hinzuzufügen:

   1. Ausführen von sudo chmod +x ./mstunnel-setup
   2. Ausführen von sudo intune_env=FXP ./mstunnel-setup

   Tipp

   Wenn Sie die Installation und das Skript anhalten, können Sie die Ausführung neu starten, indem Sie die Befehlszeile erneut ausführen. Die Installation wird dann dort fortgesetzt, wo Sie sie angehalten haben.

   Wenn Sie das Skript starten, lädt es Containerimages aus den Microsoft Tunnel Gateway-Containerimages des Intune-Dienstes herunter und erstellt die erforderlichen Ordner und Dateien auf dem Server.

   Während des Setups werden Sie vom Skript aufgefordert, mehrere Administratoraufgaben auszuführen.

3. Wenn Sie vom Skript dazu aufgefordert werden, akzeptieren Sie den Lizenzvertrag (EULA).

4. Überprüfen und konfigurieren Sie die Variablen in den folgenden Dateien, damit Ihre Umgebung unterstützt wird.

   • Umgebungsdatei: /etc/mstunnel/env.shWeitere Informationen zu diesen Variablen finden Sie unter Umgebungsvariablen im Referenzartikel zu Microsoft Tunnel.

5. Kopieren Sie bei Aufforderung die vollständige Kette Ihrer TLS-Zertifikatsdatei (Transport Layer Security) auf den Linux-Server. Das Skript zeigt den korrekten Standort an, der für den Linux-Server verwendet werden soll.

   Das TLS-Zertifikat schützt die Verbindung zwischen den Geräten, die den Tunnel verwenden, sowie den Endpunkt des Tunnelgateways. Das Zertifikat muss über die IP-Adresse oder den FQDN des Tunnelgatewayservers im SAN verfügen.

   Der private Schlüssel bleibt auf dem Computer verfügbar, auf dem Sie die Zertifikatsignieranforderung für das TLS-Zertifikat erstellen. Diese Datei muss mit dem Name site.key exportiert werden.

   Installieren Sie das TLS-Zertifikat und den privaten Schlüssel. Verwenden Sie die folgende Anleitung, die Ihrem Dateiformat entspricht:

   • PFX:

     • Der Zertifikatsdateiname muss site.pfx lauten. Kopieren Sie die Zertifikatsdatei in /etc/mstunnel/private/site.pfx.

   • PEM:

     • Die vollständige Kette (Root-Zertifikat, Zwischenzertifikat, End-Entität) muss sich in einer einzelnen Datei namens site.crt befinden. Wenn Sie ein Zertifikat eines öffentlichen Anbieters wie DigiCert verwenden, besteht die Option, die vollständige Kette als einzelne PEM-Datei herunterzuladen.

     • Der Zertifikatsdateiname muss *site.crt lauten. Kopieren Sie die vollständige Zertifikatskette in /etc/mstunnel/certs/site.crt. Beispiel: cp [full path to cert] /etc/mstunnel/certs/site.crt

       Erstellen Sie alternativ einen Link zur vollständigen Zertifikatskette in /etc/mstunnel/certs/site.crt. Beispiel: ln -s [full path to cert] /etc/mstunnel/certs/site.crt

     • Kopieren Sie die private Schlüsseldatei in /etc/mstunnel/private/site.key. Beispiel: cp [full path to key] /etc/mstunnel/private/site.key

       Erstellen Sie alternativ einen Link zur privaten Schlüsseldatei in /etc/mstunnel/private/site.key. Beispiel: ln -s [full path to key file] /etc/mstunnel/private/site.key Dieser Schlüssel sollte nicht mit einem Kennwort verschlüsselt werden. Der Name der privaten Schlüsseldatei muss site.key lauten.

6. Nachdem das Setup das Zertifikat installiert und die Tunnel Gateway-Dienste erstellt hat, werden Sie aufgefordert, sich mit Intune anzumelden und zu authentifizieren. Dem Benutzerkonto muss entweder die Rolle eines Intune-Administrators oder eines globalen Administrators zugewiesen sein. Das Konto, das Sie für die Authentifizierung verwenden, muss über eine Intune-Lizenz verfügen. Die Anmeldeinformationen dieses Kontos werden nicht gespeichert und nur für die erste Anmeldung bei Microsoft Entra ID verwendet. Nach erfolgreicher Authentifizierung werden Azure-App-IDs/geheime Schlüssel für die Authentifizierung zwischen tunnel gateway und Microsoft Entra verwendet.

   Diese Authentifizierung registriert Tunnel Gateway bei Microsoft Intune und Ihrem Intune Mandanten.

   1. Öffnen Sie einen Webbrowser in , https://Microsoft.com/devicelogin geben Sie den Gerätecode ein, der vom Installationsskript bereitgestellt wird, und melden Sie sich dann mit Ihren Intune Administratoranmeldeinformationen an.

   2. Nachdem das Microsoft Tunnel-Gateway für Intune registriert wurde, ruft das Skript Informationen zu Ihren Standorten und Serverkonfigurationen von Intune ab. Das Skript fordert Sie dann auf, den GUID des Tunnelstandorts einzugeben, dem dieser Server hinzugefügt werden soll. Das Skript zeigt eine Liste verfügbarer Standorte an.

   3. Nachdem Sie einen Standort ausgewählt haben, ruft das Setup die Serverkonfiguration für diesen Standort von Intune ab und wendet sie auf Ihren neuen Server an, um die Microsoft Tunnel-Installation abzuschließen.

7. Nach Abschluss des Installationsskripts können Sie in Microsoft Intune Admin Center zur Registerkarte Microsoft Tunnel Gateway navigieren, um allgemeine status für den Tunnel anzuzeigen. Sie können auch die Registerkarte Integritätsstatus öffnen, um zu überprüfen, ob der Server online ist.

8. Wenn Sie RHEL 8.4 oder höher verwenden, müssen Sie den Tunnelgatewayserver neu starten, indem Sie eingeben, mst-cli server restart bevor Sie versuchen, Clients mit diesem zu verbinden.

Hinzufügen vertrauenswürdiger Stammzertifikate zu Tunnelcontainern

Vertrauenswürdige Stammzertifikate müssen den Tunnelcontainern hinzugefügt werden, wenn:

• Der Ausgehende Serverdatenverkehr erfordert eine SSL-Proxyüberprüfung.
• Die Endpunkte, auf die von den Tunnelcontainern zugegriffen wird, sind nicht von der Proxyüberprüfung ausgenommen.

Schritte:

1. Kopieren Sie die vertrauenswürdigen Stammzertifikate mit der Erweiterung .crt nach /etc/mstunnel/ca-trust.
2. Neustarten von Tunnelcontainern mithilfe von "mst-cli server restart" und "mst-cli agent restart"

Bereitstellen der Microsoft Tunnel-Client-App

Zur Verwendung von Microsoft Tunnel benötigen Geräte Zugriff auf eine Microsoft Tunnel-Client-App. Microsoft Tunnel verwendet Microsoft Defender for Endpoint als Tunnel-Client-App:

• Android: Laden Sie Microsoft Defender for Endpoint zur Verwendung als Microsoft Tunnel-Client-App aus dem Google Play Store herunter. Unter Hinzufügen von Android Store-Apps zu Microsoft Intune finden Sie weitere Informationen.

  Wenn Sie Microsoft Defender für Endpunkt als Tunnelclient- und MTD-Anwendung (Mobile Threat Defense) einsetzen, finden Sie unter Verwenden von Microsoft Defender für Endpunkt für MTD und als Microsoft Tunnel-Client-App wichtige Hinweise zur Konfiguration.

• iOS/iPadOS: Laden Sie Microsoft Defender for Endpoint zur Verwendung als Microsoft Tunnel-Client-App aus dem Apple App Store herunter. Weitere Informationen finden Sie unter Hinzufügen von iOS Store-Apps zu Microsoft Intune.

Weitere Informationen zum Bereitstellen von Apps mit Intune finden Sie unter Hinzufügen von Apps zu Microsoft Intune.

Erstellen eines VPN-Profils

Nachdem Microsoft Tunnel installiert und Geräte Microsoft Defender for Endpoint installiert haben, können Sie VPN-Profile bereitstellen, um Geräte zur Verwendung des Tunnels zu leiten. Erstellen Sie dazu VPN-Profile mit dem Verbindungstyp Microsoft Tunnel:

• Android: Die Android-Plattform unterstützt das Routing von Datenverkehr über ein Pro-App-VPN und geteilte Tunnelregeln unabhängig oder gleichzeitig.

• iOS/iPadOS Die iOS-Plattform unterstützt das Routing von Datenverkehr entweder über ein Pro-App-VPN oder durch Split-Tunneling-Regeln, aber nicht beide gleichzeitig. Wenn Sie ein Pro-App-VPN für iOS aktivieren, werden Regeln für getrenntes Tunneln ignoriert.

Android

1. Melden Sie sich bei Microsoft Intune Admin Center>Gerätekonfiguration>> auf der Registerkarte Richtlinien an, und wählen Sie Create aus.

2. Wählen Sie Android Enterprise als Plattform aus. Wählen Sie für Profil die Option VPN für Corporate-Owned Work Profile (Unternehmenseigenes Arbeitsprofil) oder Personally-Owned Work Profile (Persönliches Arbeitsprofil) aus, und klicken Sie dann auf Erstellen.

   Hinweis

   Dedizierte Android Enterprise-Geräte werden vom Microsoft Tunnel nicht unterstützt.

3. Geben Sie auf der Registerkarte Grundlagen einen Namen und eine Beschreibung(optional) ein, und wählen Sie Weiter aus.

4. Wählen Sie als Verbindungstyp die Option Microsoft Tunnel aus, und konfigurieren Sie dann die folgenden Details:

   • Basis-VPN:

     • Geben Sie als Verbindungsname einen Namen an, der für Benutzer angezeigt wird.
     • Wählen Sie für Microsoft Tunnel-Standort den Tunnelstandort aus, den dieses VPN-Profil verwendet.

   • VPN pro App:

     • Apps, die im Pro-App-VPN-Profil zugewiesen werden, senden App-Datenverkehr an den Tunnel.
     • Unter Android wird beim Starten einer App nicht das Pro-App-VPN gestartet. Wenn für das VPN jedoch Always-On-VPN auf Aktivieren festgelegt ist, ist das VPN bereits verbunden, und der App-Datenverkehr verwendet das aktive VPN. Wenn das VPN jedoch nicht auf Always On festgelegt ist, muss der Benutzer es manuell starten, bevor es verwendet werden kann.
     • Wenn Sie die Defender für Endpunkt-App zum Herstellen einer Verbindung mit Tunnel verwenden, den Webschutz aktiviert haben und pro App-VPN verwenden, gilt der Webschutz nur für die Apps in der Pro-App-VPN-Liste. Auf Geräten mit einem Arbeitsprofil empfehlen wir in diesem Szenario, alle Webbrowser im Arbeitsprofil der VPN-Liste pro App hinzuzufügen, um sicherzustellen, dass der gesamte Webdatenverkehr des Arbeitsprofils geschützt ist.
     • Um ein pro App-VPN zu aktivieren, wählen Sie Hinzufügen aus, und navigieren Sie dann zu den benutzerdefinierten oder öffentlichen Apps, die in Intune importiert wurden.

   • Always On-VPN:

     • Wählen Sie für Always-On-VPN die Option Aktivieren aus, um einen VPN-Client so festzulegen, dass er automatisch eine Verbindung mit dem VPN herstellt und diese gegebenenfalls wiederherstellt. Always On-VPN-Verbindungen bleiben aktiv. Wenn die Option Pro-App-VPN auf Aktivieren festgelegt ist, wird nur der Datenverkehr der von Ihnen ausgewählten Apps durch den Tunnel weitergeleitet.

   • Proxy:

     • Konfigurieren Sie Proxyserverdetails für Ihre Umgebung.

       Hinweis

       Proxyserverkonfigurationen werden bei Android-Versionen vor Version 10 nicht unterstützt. Weitere Informationen finden Sie unter VpnService.Builder in dieser Android-Entwicklerdokumentation.

   Weitere Informationen finden Sie unter Android Enterprise-Geräteeinstellungen zur VPN-Konfiguration in Intune

   Wichtig

   Bei Android Enterprise-Geräten, die Microsoft Defender für Endpunkt als Microsoft Tunnel-Clientanwendung und MTD-App verwenden, müssen Sie zum Konfigurieren von Microsoft Defender für Endpunkt benutzerdefinierte Einstellungen statt eines separaten App-Konfigurationsprofils verwenden. Wenn Sie keine Defender-Funktionalität, einschließlich Webschutz, nutzen möchten, verwenden Sie im VPN-Profil benutzerdefinierte Einstellungen, und legen Sie die Einstellung Defender-Toggle auf 0 fest.

5. Konfigurieren Sie auf der Seite Zuweisungen die Gruppen, die dieses Profil erhalten sollen.

6. Sehen Sie sich auf der Registerkarte Überprüfen und erstellen die Konfiguration an, und klicken Sie dann auf Erstellen, um sie zu speichern.

iOS

1. Melden Sie sich bei Microsoft Intune Admin Center>Gerätekonfiguration>>an Create.

2. Wählen Sie als Plattform die Option iOS/iPadOS aus, und wählen Sie für Profil die Option VPN aus. Klicken Sie dann auf Erstellen.

3. Geben Sie auf der Registerkarte Grundlagen einen Namen und eine Beschreibung(optional) ein, und wählen Sie Weiter aus.

4. Wählen Sie unter Verbindungstypdie Option Microsoft Tunnel aus, und konfigurieren Sie dann die folgenden Elemente:

   • Basis-VPN:

     • Geben Sie als Verbindungsname einen Namen an, der für Benutzer angezeigt wird.
     • Wählen Sie für Microsoft Tunnel-Standort den Tunnelstandort aus, den dieses VPN-Profil verwendet.

     Hinweis

     Wenn Sie sowohl die Microsoft Tunnel-VPN-Verbindung als auch Defender Web Protection im kombinierten Modus auf iOS-Geräten verwenden, ist es wichtig, die "On Demand"-Regeln zu konfigurieren, um die Einstellung "Im Ruhezustand trennen" effektiv zu aktivieren. Andernfalls werden sowohl das Tunnel-VPN als auch das Defender-VPN getrennt, wenn das iOS-Gerät in den Energiesparmodus wechselt, während das VPN aktiviert ist.

   • VPN pro App:
     Wenn Sie ein Pro-App-VPN aktivieren möchten, klicken Sie auf Aktivieren. Für Pro-App-VPNs für iOS-Geräte sind zusätzliche Konfigurationsschritte erforderlich. Wenn das Pro-App-VPN konfiguriert ist, ignoriert iOS Ihre Regeln für geteiltes Tunneln.

     Weitere Informationen finden Sie unter Einrichten eines Pro-App-VPN für iOS-Geräte in Intune.

   • Bedarfsgesteuerte VPN-Regeln:
     Definieren Sie bedarfsgesteuerte Regeln, die die Verwendung des VPN zulassen, wenn Bedingungen für spezifische FQDNs (vollqualifizierte Domänennamen) oder IP-Adressen erfüllt sind.

     Weitere Informationen finden Sie unter Automatische VPN-Einstellungen.

   • Proxy:
     Konfigurieren Sie Proxyserverdetails für Ihre Umgebung.

Hinweis

Wenn Sie sowohl die Microsoft Tunnel-VPN-Verbindung als auch Defender Web Protection im kombinierten Modus auf iOS-Geräten verwenden, ist es wichtig, die "On-Demand"-Regeln zu konfigurieren, um die Einstellung "Im Ruhezustand trennen" effektiv zu aktivieren. So konfigurieren Sie die On-Demand-Regel beim Konfigurieren des Tunnel-VPN-Profils:

1. Erweitern Sie auf der Seite Konfigurationseinstellung den Abschnitt On-Demand-VPN-Regeln .
2. Wählen Sie für Bedarfsgesteuerte Regelndie Option Hinzufügen aus, um den Bereich Zeile hinzufügen zu öffnen.
3. Legen Sie im Bereich Zeile hinzufügenfolgendes auf VPN verbinden fest, und wählen Sie dann für Ich möchte einschränken eine Einschränkung aus, z. B. Alle Domänen.
4. Optional können Sie dem Feld Aber nur dann eine URL hinzufügen, wenn dieser URL-Test erfolgreich ist .
5. Klicken Sie auf Speichern.

Verwenden einer Proxyausschlussliste für Android Enterprise

Wenn Sie einen einzelnen direkten Proxyserver in Ihrer Umgebung verwenden, können Sie eine Proxyausschlussliste in Ihren Microsoft Tunnel-VPN-Profilen für Android Enterprise verwenden. Proxyausschlusslisten werden für Microsoft Tunnel und Microsoft Tunnel für MAM unterstützt.

Wichtig

Die Proxyausschlussliste wird nur unterstützt, wenn Sie einen einzelnen direkten Proxyproxyserver verwenden. Sie werden in Umgebungen, in denen mehrere Proxyserver verwendet werden, nicht unterstützt.

Die Proxyausschlussliste im VPN-Profil unterstützt die Eingabe bestimmter Domänen, die dann von Ihrer direkten Proxykonfiguration für Geräte ausgeschlossen werden, die das Profil empfangen und verwenden.

Die folgenden Formate werden für Ausschlusslisteneinträge unterstützt:

• Vollständige URLs mit exakter Unterdomänen-Übereinstimmung. Beispiel: sub.contoso.com
• Ein führender Wildcard in URLs. Mithilfe des vollständigen URL-Beispiels können wir beispielsweise den führenden Unterdomänennamen (Sub) durch ein Sternchen ersetzen, um die Unterstützung so zu erweitern, dass alle Unterdomänen von contso.com eingeschlossen werden: *.contoso.com
• IPv4- und IPv6-Adressen

Zu den nicht unterstützten Formaten gehören:

• Interne Wildcards. Beispiel: con*oso.com, contos*.comund contoso.*

Konfigurieren der Proxyausschlussliste

Sie können die Ausschlussliste konfigurieren, wenn Sie ein Microsoft Tunnel-VPN-Profil für die Android Enterprise-Plattform bearbeiten oder erstellen.

Wenn Sie sich auf der Seite Konfigurationseinstellungen befinden, nachdem Sie den Verbindungstyp auf Microsoft Tunnel festgelegt haben:

1. Erweitern Sie Proxy, und wählen Sie dann für Proxyausschlüsse verwalten die Option Proxyausschlüsse verwalten aus.

2. Gehen Sie im Bereich Proxyausschlussliste wie

   • Geben Sie im Textfeld eine einzelne URL oder IP-Adresse an. Jedes Mal, wenn Sie einen Eintrag hinzufügen, wird ein neues Textfeld für weitere Einträge bereitgestellt.
   • Wählen Sie Importieren aus, um den Bereich Proxyausschlüsse importieren zu öffnen, in dem Sie dann eine Liste im CSV-Dateiformat importieren können.
   • Wählen Sie Exportieren aus, um die aktuelle Ausschlussliste aus diesem Profil im CSV-Dateiformat zu exportieren.

3. Wählen Sie OK aus, um die Konfiguration der Proxyausschlussliste zu speichern und das VPN-Profil weiter zu bearbeiten.

   

Verwenden benutzerdefinierter Einstellungen für Microsoft Defender für Endpunkt

Intune unterstützt auf Android Enterprise-Geräten Microsoft Defender für Endpunkt sowohl als MTD-App als auch als die Microsoft Tunnel-Clientanwendung. Wenn Sie Defender für Endpunkt sowohl als Microsoft Tunnel-Clientanwendung als auch als MTD-App einsetzen, können Sie zur Vereinfachung Ihrer Konfigurationen in Ihrem VPN-Profil für Microsoft Tunnel benutzerdefinierte Einstellungen verwenden. Durch Verwendung benutzerdefinierter Einstellungen im VPN-Profil wird ein separates Konfigurationsprofil für die App überflüssig.

Für Geräte, die als persönliches Android Enterprise-Arbeitsprofilregistriert sind und Defender für Endpunkt für beide Zwecke verwenden, müssen Sie benutzerdefinierte Einstellungen anstelle eines App-Konfigurationsprofils verwenden. Auf diesen Geräten gerät das Konfigurationsprofil der App für Microsoft Defender für Endpunkt in Konflikt mit Microsoft Tunnel und kann verhindern, dass das Gerät sich mit Microsoft Tunnel verbindet.

Wenn Sie Microsoft Defender for Endpoint für Microsoft Tunnel, aber nicht MTD verwenden, verwenden Sie weiterhin das App-Tunnelkonfigurationsprofil, um Microsoft Defender for Endpoint als Tunnelclient zu konfigurieren.

Hinzufügen von App-Konfigurationsunterstützung für Microsoft Defender für Endpoint zu einem VPN-Profil für Microsoft Tunnel

Konfigurieren Sie mithilfe der folgenden Informationen die benutzerdefinierten Einstellungen in einem VPN-Profil so, dass Microsoft Defender für Endpunkt anstelle eines separaten App-Konfigurationsprofils konfiguriert wird. Die verfügbaren Einstellungen variieren je nach Plattform.

Für Android für Unternehmen-Geräte:

Konfigurationsschlüssel	Werttyp	Konfigurationswert	Beschreibung
VPN	Ganzzahl	Optionen: 1 – Aktivieren (Standard) 0 – Deaktivieren	Auf Aktivieren festlegen, damit die Antiphishingfunktion von Microsoft Defender für Endpunkt ein lokales VPN verwenden kann.
antiphishing	Ganzzahl	Optionen: 1 – Aktivieren (Standard) 0 – Deaktivieren	Auf Aktivieren festlegen, um die Antiphishingfunktion von Microsoft Defender für Endpunkt einzuschalten. Falls deaktiviert, ist die Antiphishingfunktion ausgeschaltet.
defendertoggle	Ganzzahl	Optionen: 1 – Aktivieren (Standard) 0 – Deaktivieren	Auf Aktivieren festlegen, um Microsoft Defender für Endpunkt zu verwenden. Falls deaktiviert, ist keine Microsoft Defender für Endpunkt-Funktionalität verfügbar.

Für iOS/iPad-Geräte:

Konfigurationsschlüssel	Werte	Beschreibung
TunnelOnly	True : Alle Defender für Endpunkt-Funktionen sind deaktiviert. Diese Einstellung sollte verwendet werden, wenn Sie die App nur für Tunnelfunktionen verwenden. False(standard): Die Defender für Endpunkt-Funktionalität ist aktiviert.	Bestimmt, ob die Defender-App auf Microsoft Tunnel beschränkt ist oder ob die App auch den vollständigen Satz von Defender für Endpunkt-Funktionen unterstützt.
WebProtection	True(Standard): Webschutz ist aktiviert, und Benutzer können die Registerkarte Webschutz in der Defender für Endpunkt-App sehen. False : Der Webschutz ist deaktiviert. Wenn ein Tunnel-VPN-Profil bereitgestellt wird, können Benutzer nur die Registerkarten Dashboard und Tunnel in der Defender für Endpunkt-App sehen.	Bestimmt, ob Defender für Endpoint Web Protection (Antiphishingfunktion) für die App aktiviert ist. Diese Funktion ist standardmäßig aktiviert.
AutoOnboard	True : Wenn Webschutz aktiviert ist, werden der Defender für Endpunkt-App automatisch Berechtigungen zum Hinzufügen von VPN-Verbindungen erteilt, ohne den Benutzer dazu aufzufordern. Eine On-Demand-Regel "VPN verbinden" ist erforderlich. Weitere Informationen zu On-Demand-Regeln finden Sie unter Automatische VPN-Einstellungen. False(Default): Wenn Webschutz aktiviert ist, wird der Benutzer aufgefordert, der Defender für Endpunkt-App das Hinzufügen von VPN-Konfigurationen zu erlauben.	Bestimmt, ob Defender für Endpunkt Web Protection aktiviert ist, ohne den Benutzer aufzufordern, eine VPN-Verbindung hinzuzufügen (da ein lokales VPN für die Web protection-Funktionalität erforderlich ist). Diese Einstellung gilt nur, wenn WebProtection auf "True" festgelegt ist.

Konfigurieren des TunnelOnly-Modus für die Einhaltung der Datengrenze der Europäischen Union

Bis Ende des Kalenderjahres 2022 müssen alle personenbezogenen Daten, einschließlich Kundeninhalte (CC), EUII, EUPI und Supportdaten, in der Europäischen Union (EU) für EU-Mandanten gespeichert und verarbeitet werden.

Das Microsoft Tunnel-VPN-Feature in Defender für Endpunkt ist EUDB-konform (European Union Data Boundary). Während die Defender für Endpunkt-Bedrohungsschutzkomponenten im Zusammenhang mit der Protokollierung noch nicht EUDB-konform sind, ist Defender für Endpunkt Teil des Datenschutz-Nachtrags (DPA) und mit der Datenschutz-Grundverordnung (DSGVO) konform.

In der Zwischenzeit können Microsoft Tunnel-Kunden mit EU-Mandanten den TunnelOnly-Modus in der Defender für Endpunkt-Client-App aktivieren. Führen Sie die folgenden Schritte aus, um dies zu konfigurieren:

1. Führen Sie die Schritte unter Installieren und Konfigurieren der Microsoft Tunnel-VPN-Lösung für Microsoft Intune | Microsoft Learn zum Erstellen einer App-Konfigurationsrichtlinie, die die Defender für Endpunkt-Funktionalität deaktiviert.

2. Create einen Schlüssel namens TunnelOnly, und legen Sie den Wert auf True fest.

Durch das Konfigurieren des TunnelOnly-Modus wird die gesamte Defender für Endpunkt-Funktionalität deaktiviert, während die Tunnelfunktionalität weiterhin für die Verwendung in der App verfügbar ist.

Gastkonten und Microsoft-Konten (MSA), die nicht spezifisch für den Mandanten Ihres organization sind, werden für den mandantenübergreifenden Zugriff über Microsoft Tunnel VPN nicht unterstützt. Dies bedeutet, dass diese Kontotypen nicht für den sicheren Zugriff auf interne Ressourcen über das VPN verwendet werden können. Es ist wichtig, diese Einschränkung zu berücksichtigen, wenn Sie den sicheren Zugriff auf interne Ressourcen mithilfe von Microsoft Tunnel VPN einrichten.

Weitere Informationen zur EU-Datengrenze finden Sie unter EU-Datengrenze für die Microsoft-Cloud | Häufig gestellte Fragen im Microsoft-Blog zu Sicherheit und Compliance.

Microsoft Tunnel upgraden

Intune veröffentlicht regelmäßig Updates für den Microsoft Tunnel-Server. Damit der Support erhalten bleibt, muss auf den Tunnel-Servern das neueste Release oder zumindest die vorherige Version ausgeführt werden.

Wenn ein neues Upgrade verfügbar ist, startet Intune das Upgrade von Tunnel-Servern standardmäßig so bald wie möglich an jedem Ihrer Tunnel-Standorte. Um Sie bei der Verwaltung von Upgrades zu unterstützen, können Sie Optionen konfigurieren, mit denen der Upgradeprozess verwaltet wird:

• Sie können ein automatisches Upgrade von Servern an einem Standort zulassen oder eine Administratorgenehmigung verlangen, bevor Upgrades ausgeführt werden.
• Sie können ein Wartungsfenster konfigurieren, das einschränkt, wann Upgrades an einem Standort gestartet werden können.

Weitere Informationen zu Upgrades für Microsoft Tunnel, einschließlich der Anzeige des Tunnelstatus und der Konfiguration von Upgradeoptionen, finden Sie unter Durchführen eines Upgrades für Microsoft Tunnel.

Aktualisieren des TLS-Zertifikats auf dem Linux-Server

Sie können das TLS-Zertifikat auf dem Server mit dem Befehlszeilentool ./mst-cli aktualisieren:

PFX:

1. Kopieren Sie die Zertifikatsdatei in /etc/mstunnel/private/site.pfx
2. Führen Sie Folgendes aus: mst-cli import_cert
3. Führen Sie Folgendes aus: mst-cli server restart

PEM:

1. Kopieren Sie das neue Zertifikat in /etc/mstunnel/certs/site.crt.
2. Kopieren Sie den privaten Schlüssel in /etc/mstunnel/private/site.key.
3. Führen Sie Folgendes aus: mst-cli import_cert
4. Führen Sie Folgendes aus: mst-cli server restart

Hinweis

Der Befehl "import-cert" mit einem zusätzlichen Parameter namens "delay". Mit diesem Parameter können Sie die Verzögerung in Minuten angeben, bevor das importierte Zertifikat verwendet wird. Beispiel: mst-cli import_cert delay 10080

Weitere Informationen zu mst-cli finden Sie in der Referenz für Microsoft Tunnel.

Verwenden eines Rootless-Podman-Containers

Wenn Sie Red Hat Linux mit Podman-Containern zum Hosten Von Microsoft Tunnel verwenden, können Sie den Container als Rootless-Container konfigurieren.

Die Verwendung eines Rootless-Containers kann dazu beitragen, die Auswirkungen eines Container-Escapes zu begrenzen, wobei alle Dateien in und unterhalb des Ordners /etc/mstunnel auf dem Server im Besitz eines nicht privilegierten Benutzerkontos sind. Der Kontoname auf dem Linux-Server, auf dem Tunnel ausgeführt wird, ist gegenüber einer Standardinstallation unverändert, wird jedoch ohne Root-Benutzerberechtigungen erstellt.

Um einen Podman-Container ohne Stamm erfolgreich verwenden zu können, müssen Sie:

• Konfigurieren Sie zusätzliche Voraussetzungen, die im folgenden Abschnitt beschrieben sind.
• Ändern Sie die Skriptbefehlszeile beim Starten der Microsoft Tunnel-Installation.

Wenn die Voraussetzungen erfüllt sind, können Sie dann das Installationsskriptverfahren verwenden, um zuerst das Installationsskript herunterzuladen und dann die Installation mithilfe der geänderten Skriptbefehlszeile auszuführen.

Zusätzliche Voraussetzungen für Rootless Podman-Container

Die Verwendung eines Rootless Podman-Containers erfordert, dass Ihre Umgebung die folgenden Voraussetzungen erfüllt, die zusätzlich zu den Microsoft Tunnel-Standardvoraussetzungen gelten:

Unterstützte Plattform:

• Auf dem Linux-Server muss Red Hat (RHEL) 8.8 oder höher ausgeführt werden.

• Der Container muss Podman 4.6.1 oder höher ausführen. Rootless-Container werden mit Docker nicht unterstützt.

• Der Rootless-Container muss im Ordner /home installiert werden.

• Der Ordner /home muss mindestens 10 GB freien Speicherplatz enthalten.

Durchsatz

• Der Spitzendurchsatz darf 230 MBit/s nicht überschreiten.

Netzwerk: Die folgenden Netzwerkeinstellungen, die in einem Rootless-Namespace nicht verfügbar sind, müssen in /etc/sysctl.conf festgelegt werden:

• net.core.somaxconn=8192
• net.netfilter.nf_conntrack_acct=1
• net.netfilter.nf_conntrack_timestamp=1

Wenn Sie außerdem das stammlose Tunnelgateway an einen Port binden, der kleiner als 1024 ist, müssen Sie auch die folgende Einstellung in /etc/sysctl.conf hinzufügen und auf den von Ihnen verwendeten Port festlegen:

• net.ipv4.ip_unprivileged_port_start

Verwenden Sie beispielsweise den folgenden Eintrag, um Port 443 anzugeben: net.ipv4.ip_unprivileged_port_start=443

Nach dem Bearbeiten von sysctl.conf müssen Sie den Linux-Server neu starten, bevor die neuen Konfigurationen wirksam werden.

Ausgehender Proxy für den Rootless-Benutzer: Bearbeiten Sie /etc/profile.d/http_proxy.sh , und fügen Sie die folgenden beiden Zeilen hinzu, um einen proxy für ausgehenden Datenverkehr für den rootlosen Benutzer zu unterstützen. In den folgenden Zeilen ist 10.10.10.1:3128 ein Beispieleintrag address:port . Wenn Sie diese Zeilen hinzufügen, ersetzen Sie 10.10.10.1:3128 durch die Werte für Ihre Proxy-IP-Adresse und Ihren Port:

• export http_proxy=http://10.10.10.1:3128
• export https_proxy=http://10.10.10.1:3128

Geänderte Installationsbefehlszeile für rootlose Podman-Container

Um Microsoft Tunnel in einem Rootless Podman-Container zu installieren, verwenden Sie die folgende Befehlszeile, um das Installationsskript zu starten. Diese Befehlszeile legt mst_rootless_mode als Umgebungsvariable fest und ersetzt die Verwendung der Standardinstallationsbefehlszeile während Schritt 2 des Installationsvorgangs:

• mst_rootless_mode=1 ./mstunnel-setup

Deinstallieren von Microsoft Tunnel

Führen Sie zum Deinstallieren des Produkts die mst-cli-Deinstallation auf dem Linux-Server als Stamm aus.

Nachdem das Produkt deinstalliert wurde, löschen Sie den entsprechenden Serverdatensatz im Microsoft Intune Admin Center unter Mandantenverwaltung>Microsoft Tunnel Gateway>Servers.

Nächste Schritte

Verwenden von bedingtem Zugriff mit Microsoft Tunnel
Microsoft Tunnel überwachen