Microsoft Tunnel für Microsoft IntuneMicrosoft Tunnel for Microsoft Intune

Microsoft Tunnel ist eine VPN-Gatewaylösung für Microsoft Intune.Microsoft Tunnel is a VPN gateway solution for Microsoft Intune. Der Tunnel ermöglicht Zugriff auf lokale Ressourcen von iOS/iPadOS- und Android Enterprise-Geräten mit moderner Authentifizierung und bedingtem Zugriff.The tunnel allows access to on-premises resources from iOS/iPadOS and Android Enterprise devices using modern authentication and Conditional Access. Dieser Artikel beschreibt die Funktionsweise des Tunnels, einschließlich der Voraussetzungen für seine Nutzung, sowie seine Architektur.This article explains how the tunnel works, including prerequisites to use it, and its architecture.

Microsoft Tunnel befindet sich in der öffentlichen Vorschau.Microsoft Tunnel is in public preview.

Wenn Sie die erforderlichen Konfigurationen eingerichtet haben und bereit sind, den Tunnel zu installieren, finden Sie weitere Informationen unter Konfigurieren von Microsoft Tunnel.When you have your prerequisite configurations in place and are ready to install the tunnel, see Configure the Microsoft Tunnel.

Übersicht über Microsoft TunnelOverview of Microsoft Tunnel

Microsoft Tunnel Gateway wird in einem Docker-Container installiert, der auf einem Linux-Server ausgeführt wird.Microsoft Tunnel Gateway installs to a Docker container that runs on a Linux server. Der Linux-Server kann ein physischer Computer in Ihrer lokalen Umgebung oder ein virtueller Computer sein, der lokal oder in der Cloud ausgeführt wird.The Linux server can be a physical box in your on-premises environment, or a virtual machine that runs on-premises or in the cloud. Nachdem der Tunnel installiert wurde, verwenden Sie Intune-VPN-Profile für iOS oder Android, um Ihre Geräte anzuweisen, dass sie den Tunnel für Verbindungen mit Ihrem Unternehmensnetzwerk und Ressourcen verwenden.After the tunnel installs, you use Intune VPN profiles for iOS or Android to direct your devices to use the tunnel for connections to your corporate network and resources. Wenn der Tunnel in der Cloud gehostet wird, müssen Sie eine Lösung wie Azure ExpressRoute verwenden, um Ihr lokales Netzwerk in die Cloud zu erweitern.When the tunnel is hosted in the cloud, you’ll need to use a solution like Azure ExpressRoute to extend your on-premises network to the cloud.

Über das Microsoft Endpoint Manager Admin Center führen Sie Folgendes aus:Through the Microsoft Endpoint Manager admin center, you’ll:

  • Herunterladen des Microsoft Tunnel-Installationsskripts, das Sie auf den Linux-Servern ausführen.Download the Microsoft Tunnel installation script that you’ll run on the Linux servers.
  • Konfigurieren einzelner Aspekte von Microsoft Tunnel Gateway, etwa IP-Adressen, DNS-Server und Ports.Configure aspects of Microsoft Tunnel Gateway like IP addresses, DNS servers, and ports.
  • Bereitstellen von VPN-Profilen für Geräte, um sie zur Verwendung des Tunnels anzuweisen.Deploy VPN profiles to devices to direct them to use the tunnel.
  • Bereitstellen der Microsoft Tunnel-Apps für Ihre Geräte.Deploy the Microsoft Tunnel apps to your devices.

Über die Microsoft Tunnel-App erfolgt für iOS/iPadOS- und Android Enterprise-Geräte Folgendes:Through the Microsoft Tunnel app, iOS/iPadOS and Android Enterprise devices:

  • Verwenden von Azure Active Directory (Azure AD) zum Authentifizieren beim Tunnel.Use Azure Active Directory (Azure AD) to authenticate to the tunnel.
  • Auswerten der Geräte anhand Ihrer Richtlinien für bedingten Zugriff.Are evaluated against your Conditional Access policies. Wenn das Gerät nicht kompatibel ist, besitzt es keinen Zugriff auf den VPN-Server oder Ihr lokales Netzwerk.If the device isn’t compliant, then it won’t have access to your VPN server or your on-premises network.

Zum Herstellen einer Verbindung mit dem Tunnel verwenden die Geräte die Microsoft Tunnel-App, die über die iOS/iPadOS- oder Android-App Stores verfügbar ist.To connect to the tunnel, devices use the Microsoft Tunnel app, which is available from the iOS/iPadOS or Android app stores.

Sie können mehrere Linux-Server zur Unterstützung von Microsoft Tunnel installieren und Server in logischen Gruppen kombinieren, die als Sites bezeichnet werden.You can install multiple Linux servers to support Microsoft Tunnel, and combine servers into logical groups called Sites. Jeder Server kann einer einzelnen Site beitreten.Each server can join a single Site. Wenn Sie eine Site konfigurieren, definieren Sie einen Verbindungspunkt für Geräte, der verwendet werden soll, wenn sie auf den Tunnel zugreifen.When you configure a Site, you’re defining a connection point for devices to use when they access the tunnel. Sites benötigen eine Serverkonfiguration, die Sie definieren und der Site zuweisen.Sites require a Server configuration that you’ll define and assign to the Site. Die Serverkonfiguration wird auf jeden Server angewendet, den Sie dieser Site hinzufügen, um die Konfiguration zusätzlicher Server zu vereinfachen.The Server configuration is applied to each server you add to that Site, simplifying the configuration of additional servers.

Sie erstellen eine VPN-Richtlinie für Microsoft Tunnel und stellen diese bereit, um Geräte anzuweisen, den Tunnel zu verwenden.To direct devices to use the tunnel, you create and deploy a VPN policy for Microsoft Tunnel. Diese Richtlinie ist ein Gerätekonfigurations-VPN-Profil, das Microsoft Tunnel als Verbindungstyp verwendet.This policy is a device configuration VPN profile that uses the Microsoft Tunnel for its connection type.

Zu den Features der VPN-Profile für den Tunnel gehören:Features of the VPN profiles for the tunnel include:

  • Ein Anzeigename für die VPN-Verbindung, der Endbenutzern angezeigt wird.A friendly name for the VPN connection that your end users will see.
  • Die Site, mit der der VPN-Client eine Verbindung herstellt.The Site that the VPN client connects to.
  • VPN-Konfigurationen pro App, die definieren, für welche Apps das VPN-Profil verwendet wird, und ob dieses „always-on“ ist.Per-app VPN configurations that define which apps the VPN profile is used for, and if it's always-on or not. Wenn „always-on“ festgelegt ist, stellt das VPN automatisch eine Verbindung her und wird nur für die von Ihnen definierten Apps verwendet.When always-on, the VPN will automatically connect and is used only for the apps you define. Wenn keine Apps definiert sind, bietet die Always-on-Verbindung Tunnelzugriff für den gesamten Netzwerkdatenverkehr des Geräts.If no apps are defined, the always-on connection provides tunnel access for all network traffic from the device.
  • Manuelle Verbindungen mit dem Tunnel, wenn ein Benutzer das VPN startet und Verbinden auswählt.Manual connections to the tunnel when a user launches the VPN and selects Connect.
  • Proxyunterstützung (iOS/iPadOS, Android 10 und höher)Proxy support (iOS/iPadOS, Android 10+)

Zu den Serverkonfigurationen gehört Folgendes:Server configurations include:

  • IP-Adressbereich: Die IP-Adressen, die Geräten zugewiesen werden, die eine Verbindung mit einer Microsoft Tunnel-Instanz herstellen.IP address range – The IP addresses that are assigned to devices that connect to a Microsoft Tunnel.
  • DNS-Server: Der DNS-Server, den Geräte verwenden sollten, wenn sie eine Verbindung mit dem Server herstellen.DNS servers – The DNS server devices should use when they connect to the server.
  • DNS-Suffixsuche.DNS suffix search.
  • Regeln für Split Tunneling: Insgesamt bis zu 500 Regeln, die für Einschluss- und Ausschlussrouten verwendet werden.Split tunneling rules – Up to 500 rules shared across include and exclude routes. Wenn Sie z. B. 300 Einschlussregeln erstellen, können Sie bis zu 200 Ausschlussregeln nutzen.For example, if you create 300 include rules, you can then have up to 200 exclude rules.
  • Port: Der Port, an dem Microsoft Tunnel Gateway lauscht.Port – The port that Microsoft Tunnel Gateway listens on.

Die Sitekonfiguration umfasst Folgendes:Site configuration includes:

  • Eine öffentliche IP-Adresse oder einen FQDN als Verbindungspunkt für Geräte, die den Tunnel verwenden.A public IP address or FQDN, which is the connection point for devices that use the tunnel. Diese Adresse kann für einen einzelnen Server gelten oder die IP-Adresse oder der FQDN eines Lastenausgleichsservers sein.This address can be for an individual server or the IP or FQDN of a load-balancing server.
  • Die Serverkonfiguration, die auf jeden Server in der Site angewendet wird.The Server configuration that is applied to each server in the Site.

Sie weisen einer Site einen Server zu, wenn Sie die Tunnelsoftware auf dem Linux-Server installieren.You assign a server to a Site at the time you install the tunnel software on the Linux server. Bei der Installation wird ein Skript verwendet, das Sie aus Admin Center herunterladen können.The installation uses a script that you can download from within the admin center. Nach dem Starten des Skripts werden Sie aufgefordert, die Vorgänge für Ihre Umgebung zu konfigurieren. Dazu gehört auch die Angabe der Site, der der Server beitreten soll.After starting the script, you’ll be prompted to configure its operation for your environment, which includes specifying the Site the server will join.

Um die Microsoft Tunnel-Instanz verwenden zu können, müssen Geräte die Microsoft Tunnel-App installieren.To use the Microsoft Tunnel, devices will need to install the Microsoft Tunnel app. Sie erhalten die App aus den iOS/iPadOS- oder Android-App Stores und stellen sie für Benutzer bereit.You get the app from the iOS/iPadOS or Android app stores and deploy it to users.

Konfigurieren der Voraussetzungen für Microsoft TunnelConfigure prerequisites for Microsoft Tunnel

In den folgenden Abschnitten werden die Voraussetzungen für den Linux-Server, der die Tunnelsoftware hostet, und für Ihr Netzwerk beschrieben.The following sections detail prerequisites for the Linux server that hosts the tunnel software, and for your network.

Hinweis

Microsoft Tunnel wird in Azure Government Cloud-Umgebungen nicht unterstützt.Microsoft Tunnel isn’t supported with Azure Government cloud environments.

Linux-ServerLinux server

Richten Sie einen Linux-basierten virtuellen Computer oder einen physischen Server ein, auf dem Microsoft Tunnel Gateway installiert wird.Set up a Linux based virtual machine or a physical server on which Microsoft Tunnel Gateway will install.

  • Linux-Distribution: Folgendes wird unterstützt:Linux distribution - The following are supported:

    • CentOS 7.4 und höher (CentOS 8 und höher wird nicht unterstützt)CentOS 7.4+(CentOS 8+ isn’t supported)
    • Red hat (RHEL) 7.4 und höher (RHEL 8 und höher wird nicht unterstützt)Red Hat (RHEL) 7.4+ (RHEL 8+ isn't supported)
    • Ubuntu 18.04Ubuntu 18.04
    • Ubuntu 20.04Ubuntu 20.04
  • Größe des Linux-Servers: Verwenden Sie die folgenden Richtwerte, um die erwartete Auslastung zu gewährleisten:Size the Linux server: Use the following guidance to meet your expected use:

    Anzahl Geräte# Devices Anzahl CPUs# CPUs Arbeitsspeicher (GB)Memory GB Anzahl Server# Servers Anzahl Sites# Sites Speicherplatz auf dem Datenträger in GBDisk Space GB
    1.0001,000 44 44 11 11 3030
    2.0002,000 44 44 11 11 3030
    5.0005,000 88 88 22 11 3030
    10.00010,000 88 88 33 11 3030
    20.00020,000 88 88 44 11 3030
    40.00040,000 88 88 88 11 3030

    Die Unterstützung wird linear skaliert.Support scales linearly. Während jeder Microsoft-Tunnel bis zu 64.000 gleichzeitige Verbindungen unterstützt, können einzelne Geräte mehrere Verbindungen öffnen.While each Microsoft Tunnel supports up to 64,000 concurrent connections, individual devices can open multiple connections.

  • CPU: 64-Bit-AMD/Intel-Prozessor.CPU: 64-bit AMD/Intel processor.

  • Installieren von Docker: Installieren Sie die Docker-Version 19.03 CE oder höher.Install Docker: Install Docker version 19.03 CE or later.

    Microsoft Tunnel erfordert Docker auf dem Linux-Server, um Unterstützung für Container bereitzustellen.Microsoft Tunnel requires Docker on the Linux server to provide support for containers. Container bieten eine konsistente Ausführungsumgebung, Integritätsüberwachung und proaktive Wiederherstellung sowie ein sauberes Upgradeszenario.Containers provide a consistent execution environment, health monitoring and proactive remediation, and a clean upgrade experience.

    Weitere Informationen zum Installieren und Konfigurieren von Docker finden Sie in den folgenden Artikeln:For information about installing and configuring Docker, see:

  • TLS-Zertifikat (Transport Layer Security) : Für den Linux-Server ist ein vertrauenswürdiges TLS-Zertifikat erforderlich, um die Verbindung zwischen Geräten und dem Tunnel Gateway-Server zu sichern.Transport Layer Security (TLS) certificate: The Linux server requires a trusted TLS certificate to secure the connection between devices and the Tunnel Gateway server. Sie fügen das TLS-Zertifikat einschließlich der vollständig vertrauenswürdigen Zertifikatkette dem Server während der Installation von Tunnel Gateway hinzu.You’ll add the TLS certificate, including the full trusted certificate chain, to the server during installation of the Tunnel Gateway.

    • Das TLS-Zertifikat, das zum Sichern des Tunnel Gateway-Endpunkts verwendet wird, muss über die IP-Adresse oder den FQDN des Tunnel-Gatewayservers im SAN verfügen.The TLS certificate used to secure the Tunnel Gateway endpoint must have the IP address or FQDN of the Tunnel Gateway server in the SAN.

    • Für das TLS-Zertifikat darf das Ablaufdatum maximal zwei Jahre betragen.TLS certificate can't have an expiration date longer than two years. Wenn das Ablaufdatum länger als zwei Jahre ist, wird es auf iOS-Geräten nicht akzeptiert.If the date is longer than two years, it won't be accepted on iOS devices.

    • Die Verwendung von Platzhaltern wird mit Einschränkungen unterstützt.Use of wildcards has limited support. Beispielsweise wird *.contoso.com unterstützt.For example, *.contoso.com is supported. cont*.com wird nicht unterstützt.cont*.com isn’t supported.

    • Während der Installation des Tunnel Gateway-Servers müssen Sie die gesamte vertrauenswürdige Zertifikatkette auf Ihren Linux-Server kopieren.During installation of the Tunnel Gateway server, you must copy the entire trusted certificate chain to your Linux server. Das Installationsskript gibt den Speicherort an, in den Sie die Zertifikatdateien kopieren müssen, und fordert Sie zum Kopieren auf.The installation script provides the location where you copy the certificate files and prompts you to do so.

    • Wenn Sie ein TLS-Zertifikat verwenden, das nicht öffentlich vertrauenswürdig ist, müssen Sie die gesamte Vertrauenskette auf Geräte mit einem Intune-Profil des Typs Vertrauenswürdiges Zertifikat pushen.If you use a TLS certificate that's not publicly trusted, you must push the entire trust chain to devices using an Intune Trusted certificate profile.

    • Das TLS-Zertifikat kann PEM- oder PFX-Format vorliegen.The TLS certificate can be in PEM or pfx format.

  • TLS-Version: Standardmäßig verwenden Verbindungen zwischen Microsoft Tunnel-Clients und -Servern TLS 1.3.TLS version: By default, connections between Microsoft Tunnel clients and servers use TLS 1.3. Wenn TLS 1.3 nicht verfügbar ist, kann eine Verbindung TLS 1.2 verwenden.When TLS 1.3 isn’t available, the connection can fallback to use TLS 1.2.

NetzwerkNetwork

Wir empfehlen die Verwendung von zwei NICs (Network Interface Controller) pro Linux-Server, um die Leistung zu verbessern, obwohl die Verwendung von zwei Controllern optional ist.We recommend using two Network Interface controllers (NICs) per Linux server to improve performance, though use of two is optional.

  • NIC 1: Dieser NIC verarbeitet den Datenverkehr von ihren verwalteten Geräten und sollte sich in einem öffentlichen Netzwerk mit öffentlicher IP-Adresse befinden.NIC 1 - This NIC handles traffic from your managed devices and should be on a public network with public IP address.  Diese IP-Adresse ist die Adresse, die Sie in der *Sitekonfiguration* konfigurieren.  This IP address is the address that you configure in the *Site configuration*. Diese Adresse kann einen einzelnen Server oder ein Lastenausgleichsmodul darstellen.This address can represent a single server or a load balancer.

  • Nic 2: Dieser NIC verarbeitet den Datenverkehr zu Ihren lokalen Ressourcen und sollte sich in Ihrem privaten internen Netzwerk ohne Netzwerksegmentierung befinden.NIC 2 - This NIC handles traffic to your on-premises resources and should be on your private internal network without network segmentation.

Wenn Sie Linux als VM in einer Cloud ausführen, müssen Sie sicherstellen, dass der Server auf Ihr lokales Netzwerk zugreifen kann.If you run Linux as a VM in a cloud, you’ll need to ensure the server can access to your on-premises network. Wenn Ihre VM z. B. in Azure ausgeführt wird, können Sie Azure ExpressRoute oder ein ähnliches Tool verwenden, um Zugriff zu gewähren.For example, if your VM runs in Azure, you can use Azure ExpressRoute or something similar to provide access. Wenn Sie den Server lokal auf einer VM ausführen, ist ExpressRoute nicht erforderlich.If you run the server in a VM on-premises, ExpressRoute isn't necessary.

Wenn Sie sich für das Hinzufügen eines Lastenausgleichsmoduls entscheiden, finden Sie in der Dokumentation des Herstellers weitere Informationen zur Konfiguration.If you choose to add a load balancer, consult your vendors documentation for configuration details. Berücksichtigen Sie den Netzwerkverkehr und die Firewallports, die für Intune und die Microsoft Tunnel-Instanz spezifisch sind.Take into consideration network traffic and firewall ports specific to Intune and the Microsoft Tunnel.

FirewallFirewall

Standardmäßig verwenden die Microsoft Tunnel-Instanz und der Server die folgenden Ports:By default, the Microsoft Tunnel and server use the following ports:

Ports für eingehenden Datenverkehr:Inbound ports:

  • TCP 443 – für Microsoft Tunnel erforderlich.TCP 443 – Required by Microsoft Tunnel.
  • UDP 443 – für Microsoft Tunnel erforderlich.UDP 443 – Required by Microsoft Tunnel.
  • TCP 22 – optional.TCP 22 – Optional. Wird für SSH/SCP zum Linux-Server verwendet.Used for SSH/SCP to the Linux server.

Ports für ausgehenden Datenverkehr:Outbound ports:

  • TCP 443 – für den Zugriff auf Intune-Dienste erforderlich.TCP 443 – Required to access Intune services. Wird von Docker zum Pullen von Images benötigt.Required by Docker to pull images.
  • TCP 80 – für den Zugriff auf Intune-Dienste erforderlich.TCP – 80 – Required to access Intune services.

Wenn Sie eine Serverkonfiguration für den Tunnel erstellen, können Sie einen anderen Port als den Standardport 443 angeben.When you create a Server configuration for the tunnel, you can specify a different port than the default of 443. Wenn Sie einen anderen Port angeben, müssen Sie die Firewalls so konfigurieren, dass Ihre Konfiguration unterstützt wird.If you specify a different port, be sure to configure firewalls to support your configuration.

Zusätzliche Anforderungen:Additional requirements:

ProxyProxy

Sie können einen Proxyserver mit Microsoft Tunnel verwenden.You can use a proxy server with Microsoft Tunnel. Die folgenden Überlegungen können Ihnen helfen, den Linux-Server und Ihre Umgebung erfolgreich zu konfigurieren:The following considerations can help you configure the Linux server and your environment for success:

  • Wenn Sie einen internen Proxy verwenden, müssen Sie den Linux-Host möglicherweise mithilfe von Umgebungsvariablen so konfigurieren, dass der Proxyserver verwendet wird.If you use an internal proxy, you might need to configure the Linux host to use your proxy server by using environment variables. Um die Variablen zu verwenden, bearbeiten Sie die Datei /etc/environment auf dem Linux-Server, und fügen Sie die folgenden Zeilen hinzu:To use the variables, edit the /etc/environment file on the Linux server, and adding the following lines:

    http_proxy=[address]
    https_proxy=[address]

  • Authentifizierte Proxys werden nicht unterstützt.Authenticated proxies aren't supported.

  • Der Proxy kann keine Unterbrechung und Untersuchung ausführen.The proxy can’t perform break and inspect. Dies liegt daran, dass der Linux-Server bei der Verbindung mit Intune gegenseitige TLS-Authentifizierung verwendet.This is because the Linux server uses TLS mutual authentication when connecting to Intune.

  • Konfigurieren Sie Docker so, dass der Proxy zum Pullen von Images verwendet wird.Configure Docker to use the proxy to pull images. Bearbeiten Sie hierzu die Datei /etc/systemd/System/docker.service.d/http-proxy.conf auf dem Linux-Server, und fügen Sie die folgenden Zeilen hinzu:To do so, edit the /etc/systemd/system/docker.service.d/http-proxy.conf file on the Linux server and add the following lines:

    [Service]
    Environment="HTTP_PROXY=http://your.proxy:8080/"
    Environment="HTTPS_PROXY=http://your.proxy:8080/"
    Environment="NO_PROXY=127.0.0.1,localhost
    

    Hinweis

    Microsoft Tunnel unterstützt keinen Azure AD-App-Proxy oder ähnliche Proxylösungen.Microsoft Tunnel doesn’t support Azure AD App Proxy, or similar proxy solutions.

PlattformenPlatforms

Nur Geräte, die bei Intune registriert sind, werden mit Microsoft Tunnel unterstützt.Only devices that are enrolled to Intune are supported with Microsoft Tunnel. Die folgenden Geräteplattformen werden unterstützt:The following device platforms are supported:

  • Android Enterprise (vollständig verwaltet, unternehmenseigenes Arbeitsprofil, Arbeitsprofil)Android Enterprise (Fully managed, Corporate-Owned Work Profile, Work profile)
  • iOS/iPadOSiOS/iPadOS

Die folgende Funktionalität wird von allen Plattformen unterstützt:The following functionality is supported by all platforms:

  • Azure AD-Authentifizierung (Azure Active Directory) beim Tunnel entweder mit Benutzername und Kennwort oder mit Zertifikaten.Azure Active Directory (Azure AD) authentication to the Tunnel using either username and password, or certificates.
  • Unterstützung pro App.Per-app support.
  • Manueller vollständiger Gerätetunnel über eine Tunnel-App, bei dem der Benutzer das VPN startet und Verbinden auswählt.Manual full-device tunnel through a Tunnel app, where the user launches VPN and selects Connect.
  • Split Tunneling.Split tunneling. Unter iOS werden Split Tunneling-Regeln jedoch ignoriert, wenn Ihr VPN-Profil ein VPN pro App verwendet.However, on iOS split tunneling rules are ignored when your VPN profile uses per app VPN.

Unterstützung für einen Proxy ist auf die folgenden Plattformen beschränkt:Support for a Proxy is limited to the following platforms:

  • Android 10 und höherAndroid 10 and later
  • iOS/iPadOSiOS/iPadOS

Ausführen des BereitschaftstoolsRun the readiness tool

Bevor Sie eine Serverinstallation starten, empfiehlt es sich, das mst-readiness-Tool herunterzuladen und auszuführen.Before you start a server install, we recommend you download and run the mst-readiness tool. Das Tool ist ein Skript, das auf Ihrem Linux-Server ausgeführt wird und die folgenden Aktionen durchführt:The tool is a script that runs on your Linux server and does the following actions:

  • Es bestätigt, dass die Netzwerkkonfiguration es Microsoft Tunnel ermöglicht, auf die erforderlichen Microsoft-Endpunkte zuzugreifen.Confirms that your network configuration allows Microsoft Tunnel to access the required Microsoft endpoints.
  • Es überprüft, ob das Azure Active Directory-Konto (Azure AD), das Sie zum Installieren von Microsoft Tunnel verwenden, über die erforderlichen Rollen zum Durchführen der Registrierung verfügt.Validates that the Azure Active Directory (Azure AD) account you’ll use to install Microsoft Tunnel has the required roles to complete enrollment.

Das mst-readiness-Tool weist eine Abhängigkeit von jq auf, einem Befehlszeilen-JSON-Prozessor.The mst-readiness tool has a dependency on jq, a command-line JSON processor. Bevor Sie das Bereitschaftstool ausführen, stellen Sie sicher, dass jq installiert ist.Before you run the readiness tool, ensure jq is installed. Informationen dazu, wie Sie jq abrufen und installieren, finden Sie in der Dokumentation zu der von Ihnen verwendete Version von Linux.For information about how to get and install jq, see the documentation for the version of Linux that you use.

So verwenden Sie das Bereitschaftstool:To use the readiness tool:

  1. Rufen Sie das Bereitschaftstool ab, indem Sie eine der folgenden Methoden verwenden:Get the readiness tool by using one of the following methods:

    • Laden Sie das Tool direkt mithilfe eines Webbrowsers herunter.Download the tool directly by using a web browser. Navigieren Sie zu https://aka.ms/microsofttunnelready, um eine Datei namens mst-readiness herunterzuladen.Go to https://aka.ms/microsofttunnelready to download a file named mst-readiness.

    • Melden Sie sich bei Microsoft Endpoint Manager Admin Center > Mandantenverwaltung > Microsoft Tunnel Gateway an, wählen Sie die Registerkarte Server aus, wählen Sie Erstellen aus, um den Bereich Server erstellen zu öffnen, und wählen Sie dann Bereitschaftstool herunterladen aus.Sign in to Microsoft Endpoint Manager admin center > Tenant administration > Microsoft Tunnel Gateway, select the Servers tab, select Create to open the Create a server pane, and then select Download readiness tool.

    • Verwenden Sie einen Linux-Befehl, um das Bereitschaftstool direkt abzurufen.Use a Linux command to get the readiness tool directly. Beispielsweise können Sie wget oder curl verwenden, um den Link https://aka.ms/microsofttunnelready zu öffnen.For example, you can use wget or curl to open the link https://aka.ms/microsofttunnelready.

      Um etwa wget zu verwenden und Details während des Downloads in mst-readiness zu protokollieren, führen Sie wget --output-document=mst-readiness https://aka.ms/microsofttunnelready aus.For example, to use wget and log details to mst-readiness during the download, run wget --output-document=mst-readiness https://aka.ms/microsofttunnelready

    Sie können das Skript auf einem beliebigen Linux-Server ausführen, der sich im selben Netzwerk wie der Server befindet, den Sie installieren möchten, sodass Netzwerkadministratoren das Skript ausführen und Netzwerkprobleme unabhängig beheben können.You can run the script from any Linux server that is on the same network as the server you plan to install, allowing network admins to run it and troubleshoot network issues independently.

  2. Um Ihre Netzwerkkonfiguration zu überprüfen, führen Sie das Skript als root aus.To validate your network configuration, run the script as root. Sie können z. B. die folgende Befehlszeile verwenden: sudo chmod +x ./mst-readiness networkFor example, you might use the following command line: sudo chmod +x ./mst-readiness network

    Das Skript führt die folgenden Aktionen aus und meldet Erfolg oder Fehler für beide Aktionen:The script runs the following actions and reports on success or error for both:

    • Es versucht, eine Verbindung mit jedem Microsoft-Endpunkt herzustellen, den der Tunnel verwenden wird.Tries to connect to each Microsoft endpoint the tunnel will use.
    • Es überprüft, ob die erforderlichen Ports in der Firewall geöffnet sind.Checks that the required ports are open in your firewall.
  3. Um zu überprüfen, ob das Konto, das Sie zur Installation von Microsoft Tunnel verwenden, über die erforderlichen Rollen und Berechtigungen verfügt, um die Registrierung abzuschließen, führen Sie das Skript mit der folgenden Befehlszeile aus: ./mst-readiness accountTo validate that the account you’ll use to install Microsoft Tunnel has the required roles and permissions to complete enrollment, run the script with the following command line: ./mst-readiness account

    Das Skript fordert Sie auf, einen anderen Computer mit einem Webbrowser zu verwenden, mit dem Sie sich bei Azure AD und Intune authentifizieren können.The script prompts you to use a different machine with a web browser, which you use to authenticate to Azure AD and to Intune. Das Tool meldet den Erfolg oder einen Fehler.The tool will report success or an error.

Weitere Informationen zu diesem Tool finden Sie unter Referenz für mst-cli im Referenzartikel für den Microsoft Tunnel-Artikel.For more information about this tool, see Reference for mst-cli in the reference article for Microsoft Tunnel article.

Verwenden von bedingtem Zugriff mit Microsoft TunnelUse Conditional Access with the Microsoft Tunnel

Wenn Sie bedingten Zugriff mit Intune verwenden, können Sie Richtlinien erstellen, um Gerätezugriff auf Microsoft Tunnel Gateway weiterzuleiten.When you use Conditional Access with Intune, you can create policies to gate device access to Microsoft Tunnel Gateway.

Bereitstellen Ihres MandantenProvision your tenant

Bevor Sie Richtlinien für den bedingten Zugriff für den Tunnel konfigurieren können, müssen Sie es Ihrem Mandanten ermöglichen, Microsoft Tunnel für bedingten Zugriff zu unterstützen.Before you can configure Conditional Access policies for the tunnel, you must enable your tenant to support Microsoft Tunnel for Conditional Access. Um Ihren Mandanten zu aktivieren, führen Sie ein PowerShell-Skript aus, das Ihren Mandanten so ändert, dass Microsoft Tunnel Gateway als Cloud-App hinzugefügt wird, das Sie dann als Teil einer Richtlinie für bedingten Zugriff auswählen können.To enable your tenant, you run a PowerShell script that modifies your tenant to add Microsoft Tunnel Gateway as a cloud app that you can then select as part of a Conditional Access policy. Dieser Prozess erfordert die Verwendung des Azure Active Directory PowerShell-Moduls.This process requires the use of the Azure Active Directory PowerShell module.

  1. Laden Sie das AzureAD PowerShell-Modul herunter, und installieren Sie es.Download and install the AzureAD PowerShell module.

  2. Laden Sie das PowerShell-Skript namens mst-CA-readiness.ps1 von aka.ms/mst-ca-provisioning herunter.Download the PowerShell script named mst-CA-readiness.ps1 from aka.ms/mst-ca-provisioning.

  3. Führen Sie das Skript unter Verwendung von Anmeldeinformationen mit den Azure-Rollenberechtigungen, die äquivalent zu Anwendungsadministrator sind, von einem beliebigen Speicherort in Ihrer Umgebung aus, um Ihren Mandanten bereitzustellen.Using credentials that have the Azure Role permissions equivalent to Application Administrator, run the script from any location in your environment, to provision your tenant.

    Achtung

    Während der Vorschau von Microsoft Tunnel ist mst-CA-readiness.ps1 ein nicht signiertes Skript.During the Microsoft Tunnel preview, mst-CA-readiness.ps1 is an unsigned script. Verwenden Sie den folgenden Befehl, um das Ausführen eines nicht signierten Skripts zu aktivieren: Set-ExecutionPolicy -executionPolicy Unrestricted.To enable an unsigned script to run, use the following command: Set-ExecutionPolicy -executionPolicy Unrestricted. Durch die Verwendung dieses Befehls kann die Sicherheit in Ihrer Umgebung beeinträchtigt werden.Use of this command can reduce security in your environment. Wenn Sie den Befehl verwenden, um die Verwendung von mst-CA-readiness.ps1 zu aktivieren, planen Sie daher die Wiederherstellung einer stärkeren PowerShell-Sicherheitsstufe in Ihrer Umgebung, nachdem die Verwendung des Bereitschaftsskripts abgeschlossen ist.Therefore, if you use the command to enable use of mst-CA-readiness.ps1, plan to restore a stronger level of PowerShell security to your environment after the your use of the readiness script is complete. Weitere Informationen finden Sie unter set-executionpolicy in der PowerShell-Dokumentation.For more information, see set-executionpolicy in the PowerShell documentation.

    In einem zukünftigen Update wird mst-CA-readiness.ps1 signiert sein, sodass ExecutionPolicy nicht mehr auf Unrestricted festgelegt werden muss.In a future update, mst-CA-readiness.ps1 will be signed, which will remove the need to set ExecutionPolicy to Unrestricted.

    Das Skript ändert Ihren Mandanten, indem ein Dienstprinzipal mit den folgenden Details erstellt wird:The script modifies your tenant by creating a service principle with the following details:

    • App-ID: 3678c9e9-9681-447a-974d-d19f668fcd88App ID: 3678c9e9-9681-447a-974d-d19f668fcd88
    • Name: Microsoft Tunnel GatewayName: Microsoft Tunnel Gateway

    Das Hinzufügen dieses Dienstprinzipals ist erforderlich, damit Sie die Tunnel-Cloud-App auswählen können, wenn Sie Richtlinien für bedingten Zugriff konfigurieren.The addition of this service principle is required so you can select the tunnel cloud app while configuring Conditional Access policies. Es ist auch möglich, Graph zum Hinzufügen der Dienstprinzipalinformationen zu Ihrem Mandanten zu verwenden.It's also possible to use Graph to add the service principle information to your tenant.

  4. Nachdem das Skript abgeschlossen wurde, können Sie den normalen Prozess zum Erstellen von Richtlinien für bedingten Zugriff verwenden.After the script completes, you can use your normal process to create Conditional Access policies.

Informationen zum Erstellen von Richtlinien für bedingten Zugriff finden Sie unter Erstellen einer gerätebasierten Richtlinie für bedingten Zugriff.To create policies for Conditional Access, see Create a device-based Conditional Access policy.

Erstellen einer Richtlinie für bedingten Zugriff, um den Zugriff auf Microsoft Tunnel einzuschränkenCreate Conditional Access policy to limit access to Microsoft Tunnel

Wenn Sie die Richtlinie für bedingten Zugriff konfigurieren, um Benutzerzugriff einzuschränken, empfiehlt es sich, diese Richtlinie zu konfigurieren, nachdem Sie Ihren Mandanten zur Unterstützung der Microsoft Tunnel Gateway-Cloud-App bereitgestellt haben, aber bevor Sie Tunnel Gateway installieren.If you choose to configure Conditional Access policy to limit user access, we recommend configuring this policy after you provision your tenant to support the Microsoft Tunnel Gateway cloud app, but before you install the Tunnel Gateway.

  1. Melden Sie sich bei Microsoft Endpoint Manager Admin Center > Endpunktsicherheit > Bedingter Zugriff > Neue Richtlinie an.Sign in to Microsoft Endpoint Manager admin center > Endpoint Security > Conditional access > New policy.
  2. Geben Sie einen Namen für diese Richtlinie ein.Specify a name for this policy.
  3. Um Benutzer- und Gruppenzugriff zu konfigurieren, wählen Sie unter Zuweisungen die Option Benutzer und Gruppen aus.To configure user and group access, below Assignments, select Users and groups.
    1. Wählen Sie Einschließen > Alle Benutzer aus.Select Include > All users.
    2. Wählen Sie dann Ausschließen aus, und konfigurieren Sie die Gruppen, denen Sie Zugriff gewähren möchten, und speichern Sie die Benutzer- und Gruppenkonfiguration.Next, select Exclude and configure the groups you want to grant access to, and then save the user and Group configuration.
  4. Wählen Sie unter Cloud-Apps oder Aktionen > Apps auswählen die Microsoft Tunnel Gateway-App aus.Under Cloud apps or actions > Select apps, select the Microsoft Tunnel Gateway app.
  5. Wählen Sie unter Zugriffssteuerungen die Option Gewähren aus, wählen Sie Zugriff blockieren aus, und speichern Sie die Konfiguration dann.Below Access controls, select Grant, select Block access, and then save the configuration.
  6. Legen Sie Richtlinie aktivieren auf Ein fest.Set Enable policy to On.
  7. Klicken Sie auf Erstellen.Select Create.

AufbauArchitecture

Microsoft Tunnel Gateway wird in Docker-Containern ausgeführt, die auf Linux-Servern ausgeführt werden.The Microsoft Tunnel Gateway runs in Docker containers that run on Linux servers.

Abbildung der Microsoft Tunnel Gateway-Architektur

Komponenten:Components:

  • A: Microsoft Intune.A – Microsoft Intune.
  • B: Azure Active Directory (AD).B- Azure Active Directory (AD).
  • C: Linux-Server mit Docker.C – Linux server with Docker.
    • Ci: Microsoft Tunnel Gateway.Ci - Microsoft Tunnel Gateway.
    • Cii: Verwaltungs-Agent.Cii – Management Agent.
    • Ciii: Authentifizierungs-Plug-In – Authentifizierungs-Plug-In, das sich bei Azure AD authentifiziert.Ciii – Authentication plugin – Authorization plugin, which authenticates with Azure AD.
  • D: IP-Adresse oder FQDN der öffentlichen Seite des Microsoft-Tunnels.D – Public facing IP or FQDN of the Microsoft Tunnel. Diese(r) kann ein Lastenausgleichsmodul darstellen.This can represent a load balancer.
  • E: Mobile Geräteverwaltung (MDM) des registrierten Geräts.E – Mobile Device Management (MDM) enrolled device.
  • F: FirewallF – Firewall
  • G: Interner Proxyserver (optional).G – Internal Proxy Server (optional).
  • H: Unternehmensnetzwerk.H – Corporate Network.
  • I: Öffentliches Internet.I – Public internet.

Aktionen:Actions:

  • 1: Intune-Administrator konfiguriert Serverkonfigurationen und Sites, Serverkonfigurationen werden Sites zugeordnet.1 - Intune administrator configures Server configurations and Sites, Server configurations are associated with Sites.
  • 2: Intune-Administrator installiert Microsoft Tunnel Gateway, und das Authentifizierungs-Plug-In authentifiziert Microsoft Tunnel Gateway mit Azure AD.2 - Intune administrator installs Microsoft Tunnel Gateway and the authentication plugin authenticates Microsoft Tunnel Gateway with Azure AD. Der Microsoft Tunnel Gateway-Server wird einer Site zugewiesen.Microsoft Tunnel Gateway server is assigned to a site.
  • 3: Verwaltungs-Agent kommuniziert mit Intune, um Ihre Serverkonfigurationsrichtlinien abzurufen und Telemetrieprotokolle an Intune zu senden.3 - Management Agent communicates to Intune to retrieve your server configuration policies, and to send telemetry logs to Intune.
  • 4: Intune-Administrator erstellt VPN-Profile und die Tunnel-App für Geräte und stellt sie auf Geräten bereit.4 - Intune administrator creates and deploys VPN profiles and the Tunnel app to devices.
  • 5:Gerät wird bei Azure AD authentifiziert.5 - Device authenticates to Azure AD. Richtlinien für bedingten Zugriff werden ausgewertet.Conditional Access policies are evaluated.
  • 6: Mit Split Tunnel:6 - With split tunnel:
    • 6a: Ein Teil des Datenverkehrs wird direkt an das öffentliche Internet weitergeleitet.6a - Some traffic goes directly to the public internet.
    • 6b: Ein Teil des Datenverkehrs wird an Ihre öffentliche IP-Adresse für den Tunnel weitergeleitet.6b - Some traffic goes to your public facing IP address for the Tunnel.
  • 7: Der Tunnel leitet Datenverkehr an Ihren internen Proxy (optional) und das Unternehmensnetzwerk weiter.7 - The Tunnel routes traffic to your internal proxy (optional) and your corporate network.

Weitere Details:Additional details:

  • Bedingter Zugriff erfolgt im VPN-Client und basiert auf der Cloud-App Microsoft Tunnel Gateway.Conditional Access is done in the VPN client and based on the cloud app Microsoft Tunnel Gateway. Nicht kompatible Geräte erhalten kein Zugriffstoken von Azure AD und können nicht auf den VPN-Server zugreifen.Non-compliant devices won’t receive an access token from Azure AD and can't access the VPN server. Weitere Informationen zum Verwenden von bedingtem Zugriff mit Microsoft Tunnel finden Sie unter Verwenden von bedingtem Zugriff mit Microsoft Tunnel.For more information about using Conditional Access with Microsoft Tunnel, see Use Conditional Access with the Microsoft Tunnel.

  • Der Verwaltungs-Agent wird anhand von Azure AD mit Azure-App-ID/geheimen Schlüsseln autorisiert.The Management Agent is authorized against Azure AD using Azure app ID/secret keys.

  • Der Tunnel Gateway-Server verwendet NAT, um Adressen für VPN-Clients bereitzustellen, die eine Verbindung mit dem Unternehmensnetzwerk herstellen.The Tunnel Gateway server uses NAT to provide addresses to VPN clients that are connecting to the corporate network.

Nächste SchritteNext steps

Installieren und Konfigurieren von Microsoft TunnelInstall and configure Microsoft Tunnel