Windows 10-VPN-Einstellungen in IntuneWindows 10 VPN settings in Intune

Sie können VPN-Verbindungen mit Intune konfigurieren.You can configure VPN connections using Intune. In diesem Artikel werden diese Einstellungen, die Datenverkehrsregeln, der bedingte Zugriff und DNS- sowie Proxyeinstellungen erläutert.This article describes these settings, the traffic rules, conditional access, and DNS & proxy settings.

Diese Einstellungen gelten für:These settings apply to:

  • Windows 10-GeräteDevices running Windows 10
  • Windows Holographic for Business-GeräteDevices running Windows Holographic for Business

Abhängig von den ausgewählten Einstellungen können nicht alle der aufgeführten Werte konfiguriert werden.Depending on the settings you choose, not all values may be configurable.

Grundlegende VPN-EinstellungenBase VPN settings

  • Verbindungsname: Geben Sie einen Namen für diese Verbindung ein.Connection name: Enter a name for this connection. Benutzern wird dieser Name angezeigt, wenn sie auf ihrem Gerät die Liste der verfügbaren VPN-Verbindungen durchsuchen.End users see this name when they browse their device for the list of available VPN connections.

  • Server: Fügen Sie mindestens einen VPN-Server hinzu, mit dem Geräte eine Verbindung herstellen.Servers: Add one or more VPN servers that devices connect to. Wenn Sie einen Server hinzufügen, geben Sie folgende Informationen ein:When you add a server, you enter the following information:

    • Beschreibung: Geben Sie einen beschreibenden Namen für den Server ein, z.B. Contoso-VPN-Server.Description: Enter a descriptive name for the server, such as Contoso VPN server
    • IP-Adresse oder FQDN: Geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen des VPN-Servers ein, mit dem Geräte eine Verbindung herstellen, z.B. 192.168.1.1 oder vpn.contoso.com.IP address or FQDN: Enter the IP address or fully qualified domain name of the VPN server that devices connect to, such as 192.168.1.1 or vpn.contoso.com
    • Standardserver: Aktiviert diesen Server als Standardserver, über den Geräte die Verbindung herstellen.Default server: Enables this server as the default server that devices use to establish the connection. Legen Sie nur einen Server als Standard fest.Set only one server as the default.
    • Importieren: Suchen Sie nach einer Datei, die eine durch Trennzeichen getrennte Liste von Servern im Format „Beschreibung, IP-Adresse oder FQDN, Standardserver“ enthält.Import: Browse to a comma-separated file that contains a list of servers in the format: description, IP address or FQDN, Default server. Wählen Sie OK aus, um diese Server in die Liste Server zu importieren.Choose OK to import these servers into the Servers list.
    • Exportieren: Exportiert die Liste der Server in eine CSV-Datei (Comma-Separated Values, durch Trennzeichen getrennte Werte).Export: Exports the list of servers to a comma-separated-values (csv) file
  • Verbindungstyp: Wählen Sie den VPN-Verbindungstyp aus der folgenden Liste von Anbietern aus:Connection type: Select the VPN connection type from the following list of vendors:

    • Pulse SecurePulse Secure
    • F5 Edge ClientF5 Edge Client
    • SonicWall Mobile ConnectSonicWALL Mobile Connect
    • Check Point Capsule VPNCheck Point Capsule VPN
    • CitrixCitrix
    • Palo Alto Networks GlobalProtectPalo Alto Networks GlobalProtect
    • AutomatischAutomatic
    • IKEv2IKEv2
    • L2TPL2TP
    • PPTPPPTP

    Wenn Sie einen VPN-Verbindungstyp auswählen, werden Sie möglicherweise aufgefordert, folgende Einstellungen vorzunehmen:When you choose a VPN connection type, you may also be asked for the following settings:

    • Always On: Aktivieren, um automatisch die VPN-Verbindung herzustellen, wenn Folgendes geschieht:Always On: Enable to automatically connect to the VPN connection when the following happens:

      • Benutzer melden sich an ihren Geräten an.Users sign into their devices
      • Das Netzwerk auf dem Gerät ändert sich.The network on the device changes
      • Der Bildschirm wird auf dem Gerät wieder eingeschaltet, nachdem er ausgeschaltet war.The screen on the device turns back on after being turned off
    • Authentifizierungsmethode: Wählen Sie aus, wie Benutzer sich bei dem VPN-Server authentifizieren sollen.Authentication method: Select how you want users to authenticate to the VPN server. Die Verwendung von Zertifikaten bietet erweiterte Funktionen, z.B. berührungslose Authentifizierung, bedarfsgesteuertes VPN und Pro-App-VPN.Using certificates provides enhanced capabilities, such as zero-touch experience, on-demand VPN, and per-app VPN.

    • Anmeldeinformationen bei jeder Anmeldung speichern: Wählen Sie das Zwischenspeichern von Anmeldeinformationen für die Authentifizierung aus.Remember credentials at each logon: Choose to cache the authentication credentials.

    • Benutzerdefiniertes XML: Geben Sie benutzerdefinierte XML-Befehle zum Konfigurieren der VPN-Verbindung ein.Custom XML: Enter any custom XML commands that configure the VPN connection.

    • EAP-XML: Geben Sie EAP-XML-Befehle zum Konfigurieren der VPN-Verbindung ein.EAP Xml: Enter any EAP XML commands that configure the VPN connection

Pulse Secure-BeispielPulse Secure example

<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

F5 Edge Client-BeispielF5 Edge Client example

<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>

SonicWall Mobile Connect-BeispielSonicWALL Mobile Connect example

Anmeldegruppe oder Domäne: Diese Eigenschaft kann nicht im VPN-Profil festgelegt werden.Login group or domain: This property can't be set in the VPN profile. Stattdessen analysiert Mobile Connect diesen Wert, wenn der Benutzername und die Domäne im Format username@domain oder DOMAIN\username eingegeben werden.Instead, Mobile Connect parses this value when the user name and domain are entered in the username@domain or DOMAIN\username formats.

Beispiel:Example:

<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

CheckPoint Mobile VPN-BeispielCheckPoint Mobile VPN example

<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

Schreiben von benutzerdefiniertem XML-CodeWriting custom XML

Weitere Informationen zum Erstellen von benutzerdefinierten XML-Befehlen finden Sie in der VPN-Dokumentation des jeweiligen Herstellers.For more information about writing custom XML commands, see each manufacturer's VPN documentation.

Weitere Informationen zum Erstellen von benutzerdefinierten EAP-XML finden Sie unter EAP configuration (EAP-Konfiguration).For more information about creating custom EAP XML, see EAP configuration.

Regeln für Apps und DatenverkehrApps and Traffic Rules

  • Diesem VPN WIP oder Apps zuordnen: Aktivieren Sie diese Einstellung, wenn nur die angegebenen Apps die VPN-Verbindung verwenden sollen.Associate WIP or apps with this VPN: Enable this setting if you only want some apps to use the VPN connection. Folgende Optionen sind verfügbar:Your options:

    • Dieser Verbindung WIP zuordnen: Geben Sie eine WIP-Domäne für diese Verbindung ein.Associate a WIP with this connection: Enter a WIP domain for this connection
    • Apps dieser Verbindung zuordnen: Sie können die VPN-Verbindung auf diese Apps beschränken und dann Zugeordnete Apps hinzufügen.Associate apps with this connection: You can Restrict VPN connection to these apps, and then add Associated Apps. Die von Ihnen eingegebenen Apps verwenden automatisch die VPN-Verbindung.The apps you enter automatically use the VPN connection. Der Typ der App bestimmt den App-Bezeichner.The type of app determines the app identifier. Geben Sie für eine universelle App den Paketfamiliennamen ein.For a universal app, enter the package family name. Geben Sie für eine Desktop-App den Dateipfad der App ein.For a desktop app, enter the file path of the app.

    Wichtig

    Es wird empfohlen, alle App-Listen schützen, die für Pro-App-VPNs erstellt sind.We recommend that you secure all app lists created for per-app VPNs. Wenn ein nicht autorisierter Benutzer die Liste ändert, und Sie sie in die Liste der Apps für Pro-App-VPNs importieren, autorisieren Sie damit möglicherweise den VPN-Zugriff auf Apps, auf die nicht zugegriffen werden soll.If an unauthorized user changes this list, and you import it into the per-app VPN app list, then you potentially authorize VPN access to apps that shouldn't have access. Eine Möglichkeit, App-Listen zu sichern, ist die Verwendung einer Zugriffssteuerungsliste (Access Control List, ACL).One way you can secure app lists is using an access control list (ACL).

  • Regeln für den Netzwerkdatenverkehr für diese VPN-Verbindung: Wählen Sie die Protokolle, die lokalen Ports und die Remoteports sowie die Adressbereiche aus, die für die VPN-Verbindung aktiviert werden sollen.Network traffic rules for this VPN connection: Select which protocols, and which local & remote port and address ranges, are enabled for the VPN connection. Wenn Sie keine Regel für den Netzwerkdatenverkehr erstellen, werden alle Protokolle, Ports und Adressbereiche aktiviert.If you don't create a network traffic rule, then all protocols, ports, and address ranges are enabled. Nachdem Sie eine Regel erstellt haben, werden nur die in dieser Regel festgelegten Protokolle, Ports und Adressbereiche von der VPN-Verbindung verwendet.After you create a rule, the VPN connection uses only the protocols, ports, and address ranges that you enter in that rule.

Bedingter ZugriffConditional Access

  • Bedingter Zugriff für diese VPN-Verbindung: Aktiviert den Gerätekonformitätsflow vom Client.Conditional access for this VPN connection: Enables device compliance flow from the client. Wenn aktiviert, versucht der VPN-Client, mit Azure Active Directory (AD) zu kommunizieren, um ein Zertifikat für die Authentifizierung abzurufen.When enabled, the VPN client attempts to communicate with Azure Active Directory (AD) to get a certificate to use for authentication. Der VPN sollte für die Zertifikatauthentifizierung eingerichtet sein, und der VPN-Server muss dem Server vertrauen, der von Azure AD zurückgegeben wird.The VPN should be set up to use certificate authentication, and the VPN server must trust the server returned by Azure AD.

  • Einmaliges Anmelden (Single Sign-On, SSO) mit alternativem Zertifikat: Verwenden Sie aus Gründen der Gerätekonformität ein anderes Zertifikat als das VPN-Authentifizierungszertifikat für die Kerberos-Authentifizierung.Single sign-on (SSO) with alternate certificate: For device compliance, use a certificate different from the VPN authentication certificate for Kerberos authentication. Geben Sie das Zertifikat mit den folgenden Einstellungen ein:Enter the certificate with the following settings:

    • Name: Name für erweiterte Schlüsselverwendung (Extended Key Usage, EKU)Name: Name for extended key usage (EKU)
    • Objektbezeichner: Objektbezeichner für die EKUObject Identifier: Object identifier for EKU
    • Ausstellerhash: Fingerabdruck des SSO-ZertifikatsIssuer hash: Thumbprint for SSO certificate

DNS-EinstellungenDNS Settings

Domäne und Server für diese VPN-Verbindung: Fügen Sie Domäne und DNS-Server für das zu verwendende VPN hinzu.Domain and servers for this VPN connection: Add domain and DNS server for the VPN to use. Sie können die DNS-Server auswählen, die die VPN-Verbindung nach dem Herstellen der Verbindung verwendet.You can choose which DNS servers the VPN connection uses after the connection is established. Geben Sie für jeden Server Folgendes an:For each server, enter:

  • DomäneDomain
  • DNS-ServerDNS Server
  • ProxyProxy

ProxyeinstellungenProxy settings

  • Automatisches Konfigurationsskript: Verwenden Sie eine Datei zum Konfigurieren des Proxyservers.Automatic configuration script: Use a file to configure the proxy server. Geben Sie die Proxyserver-URL ein, die die Konfigurationsdatei enthält, z.B. http://proxy.contoso.com.Enter the Proxy server URL, such as http://proxy.contoso.com, that contains the configuration file.
  • Adresse: Geben Sie die Adresse des Proxyservers ein, etwa eine IP-Adresse oder vpn.contoso.com.Address: Enter the proxy server address, such as an IP address or vpn.contoso.com
  • Portnummer: Geben Sie die von Ihrem Proxyserver verwendete TCP-Portnummer ein.Port number: Enter the TCP port number used by your proxy server
  • Proxy für lokale Adressen umgehen: Wenn Sie keinen Proxyserver für lokale Adressen verwenden möchten, wählen Sie „Aktivieren“ aus.Bypass proxy for local addresses: If you don't want to use a proxy server for local addresses, then choose Enable. Diese Einstellung gilt, wenn der VPN-Server für die Verbindung einen Proxyserver benötigt.This setting applies if your VPN server requires a proxy server for the connection.

Getrenntes TunnelnSplit Tunneling

  • Tunneling teilen: Aktivieren oder deaktivieren Sie diese Option, damit die Geräte anhand des Datenverkehrs selbst entscheiden können, welche Verbindung verwendet werden soll.Split tunneling: Enable or Disable to let devices decide which connection to use depending on the traffic. Zum Beispiel verwendet ein Benutzer in einem Hotel die VPN-Verbindung zum Zugreifen auf Arbeitsdateien, das Standardnetzwerk des Hotels jedoch für normales Webbrowsen.For example, a user in a hotel uses the VPN connection to access work files, but uses the hotel's standard network for regular web browsing.
  • Tunnelingrouten für diese VPN-Verbindung teilen: Fügen Sie optionale Routen für VPN-Drittanbieter hinzu.Split tunneling routes for this VPN connection: Add optional routes for third-party VPN providers. Geben Sie ein Zielpräfix und eine Präfixgröße für jede Verbindung ein.Enter a destination prefix, and a prefix size for each connection.