Verwenden eines benutzerdefinierten Microsoft Intune-Profils zum Erstellen eines VPN-Profils pro App für Android-Geräte

Wichtig

Microsoft Intune endet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräteadministratoren auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind geräteregistrierung, technischer Support, Fehlerbehebungen und Sicherheitskorrekturen nicht mehr verfügbar. Wenn Sie derzeit die Geräteadministratorverwaltung verwenden, empfiehlt es sich, zu einer anderen Android-Verwaltungsoption in Intune zu wechseln, bevor der Support endet. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

Sie können ein Pro-App-VPN-Profil für Geräte mit Android 8.0 und höher erstellen, die bei Intune registriert sind. Erstellen Sie zunächst ein VPN-Profil, das den Pulse Secure- oder Citrix-Verbindungstyp verwendet. Erstellen Sie anschließend eine benutzerdefinierte Konfigurationsrichtlinie, die das VPN-Profil angegebenen Apps zuordnet.

Diese Funktion gilt für:

• Bei Intune registrierte Android-Geräteadministrator (DA)

Um ein Pro-App-VPN-Profil auf Android Enterprise-Geräten zu verwenden, richten Sie eine App-Konfigurationsrichtlinie ein. App-Konfigurationsrichtlinien unterstützen mehr VPN-Client-Apps. Auf Android Enterprise-Geräten können Sie die Schritte in diesem Artikel ausführen. Dies wird jedoch nicht empfohlen, und es stehen nur Pulse Secure- und Citrix-VPN-Verbindungen zur Verfügung.

Nachdem Sie die Richtlinie Ihrem Android DA-Gerät oder Ihren Benutzergruppen zugewiesen haben, sollten Benutzer den Pulse Secure- oder Citrix VPN-Client starten. Der VPN-Client lässt dann lediglich Datenverkehr von den angegebenen Apps über die offene VPN-Verbindung zu.

Hinweis

Für den Android-Geräteadministrator werden nur die Verbindungstypen „Pulse Secure“ und „Citrix“ unterstützt. Verwenden Sie auf Android Enterprise-eine App-Konfigurationsrichtlinie.

Voraussetzungen

• Um die Richtlinie zu erstellen, melden Sie sich mindestens beim Microsoft Intune Admin Center mit einem Konto an, das über die integrierte Rolle Richtlinien- und Profil-Manager verfügt. Weitere Informationen zu den integrierten Rollen findest du unter Rollenbasierte Zugriffssteuerung für Microsoft Intune.
• Das Gerät muss registriert und von Intune verwaltet werden. Informationen zu den Registrierungsoptionen für Android-Geräte finden Sie unter Android-Registrierungshandbuch für Microsoft Intune.

Schritt 1: Erstellen eines VPN-Profils

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen SieGerätekonfiguration>>Erstellen aus.

3. Geben Sie die folgenden Eigenschaften ein:

   • Platform: Wählen Sie Android-Geräteadministrator aus.
   • Profiltyp: Wählen Sie VPN aus.

4. Wählen Sie Erstellen aus.

5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen. Ein geeigneter Profilname ist beispielsweise Pro-App-VPN-Profil_Android-Geräteadministrator_gesamtes Unternehmen.
   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

6. Wählen Sie Weiter aus.

7. Konfigurieren Sie unter Konfigurationseinstellungen die Einstellungen für das Profil:

   • VPN-Einstellungen für Geräte des Android-Geräteadministrators.

   Notieren Sie den Wert für Verbindungsname, den Sie beim Erstellen des VPN-Profils eingeben. Dieser Name wird im nächsten Schritt benötigt. In diesem Beispiel lautet der Verbindungsname MyAppVpnProfile.

8. Klicken Sie auf Weiter, und setzen Sie die Erstellung des Profils fort. Weitere Informationen findest du unter Erstellen eines VPN-Profils.

Schritt 2: Erstellen einer benutzerdefinierten Konfigurationsrichtlinie

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen SieGerätekonfiguration>>Erstellen aus.

3. Geben Sie die folgenden Eigenschaften ein:

   • Platform: Wählen Sie Android-Geräteadministrator aus.
   • Profiltyp: Wählen Sie Benutzerdefiniert aus.

4. Wählen Sie Erstellen aus.

5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen aussagekräftigen Namen für das benutzerdefinierte Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen. Ein guter Profilname ist beispielsweise Android DA – OMA-URI VPN.
   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

6. Wählen Sie Weiter aus.

7. Wählen Sie unter Konfigurationseinstellungen>OMA-URI-Einstellungen die Option Hinzufügen aus. Geben Sie die folgenden OMA-URI-Werte ein:

   • Name: Geben Sie einen Namen für Ihre Einstellung ein.
   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
   • OMA-URI: Geben Sie ./Vendor/MSFT/VPN/Profile/*Name*/PackageList ein, wobei Name der in Schritt 1 angegebene Verbindungsname ist. In diesem Beispiel lautet die Zeichenfolge ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/PackageList.
   • Datentyp: Geben Sie die Zeichenfolge ein.
   • Wert: Geben Sie eine durch Semikolen getrennte Liste der Pakete ein, die dem Profil zugeordnet werden sollen. Wenn z. B. Excel und der Google-Browser Chrome die VPN-Verbindung verwenden sollen, geben Sie com.microsoft.office.excel;com.android.chrome ein.

   Ihre Einstellungen sehen ähnlich aus wie die folgenden:

   

8. Klicken Sie auf Weiter, und setzen Sie die Erstellung des Profils fort. Weitere Informationen findest du unter Erstellen eines VPN-Profils.

Festlegen der Listen mit gesperrten und zugelassenen Apps (optional)

Verwenden Sie den BLACKLIST-Wert , um eine Liste von Apps einzugeben, die die VPN-Verbindung nicht verwenden können. Alle anderen Apps stellen über das VPN eine Verbindung her. Alternativ können Sie mithilfe des Werts WHITELIST eine Liste von Apps angeben, die die VPN-Verbindung verwenden können. Apps, die sich nicht auf der Liste befinden, stellen keine Verbindung über das VPN her.

1. Klicken Sie im Bereich Benutzerdefinierte OMA-URI-Einstellungen auf Hinzufügen.
2. Geben Sie einen Einstellungsnamen ein.
3. Geben Sie in OMA-URI./Vendor/MSFT/VPN/Profile/*Name*/Mode ein, wobei Name der in Schritt 1 notierte Name für das VPN-Profil ist. In unserem Beispiel lautet die Zeichenfolge ./Vendor/MSFT/VPN/Profile/MyAppVpnProfile/Mode.
4. Geben Sie in DatentypZeichenfolgeein.
5. Geben Sie für Wert entweder BLACKLIST oder WHITELIST ein.

Schritt 3: Zuweisen beider Richtlinien

Weisen Sie beide Geräteprofile den erforderlichen Benutzern oder Geräten zu.

Ressourcen

• Eine Liste aller VPN-Einstellungen des Android-Geräteadministrators erhalten Sie unter Android-Geräteeinstellungen, um VPN zu konfigurieren.
• Weitere Informationen zu VPN-Einstellungen und Intune finden Sie unter Konfigurieren von VPN-Einstellungen in Microsoft Intune.