Skapa VPN-profiler för att ansluta till VPN-servrar i Intune

Viktigt

Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.

Om du för närvarande använder Windows 8.1 går du till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.

Viktigt

Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 31 december 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.

Virtuella privata nätverk (VPN) ger användarna säker fjärråtkomst till ditt organisationsnätverk. Enheter använder en VPN-anslutningsprofil för att starta en anslutning med VPN-servern. VPN-profiler i Microsoft Intune tilldelar VPN-inställningar till användare och enheter i din organisation. Använd de här inställningarna så att användarna enkelt och säkert kan ansluta till ditt organisationsnätverk.

Den här funktionen gäller för:

  • Android-enhetsadministratör
  • Android Enterprise-enheter med en personligt ägd arbetsprofil
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11
  • Windows 8.1 och senare

Du vill till exempel konfigurera alla iOS/iPadOS-enheter med de inställningar som krävs för att ansluta till en filresurs i organisationens nätverk. Du skapar en VPN-profil som innehåller de här inställningarna. Du tilldelar den här profilen till alla användare som har iOS/iPadOS-enheter. Användarna ser VPN-anslutningen i listan över tillgängliga nätverk och kan ansluta med minimal ansträngning.

Den här artikeln visar de VPN-appar som du kan använda, visar hur du skapar en VPN-profil och innehåller vägledning om hur du skyddar dina VPN-profiler. Du måste distribuera VPN-appen innan du skapar VPN-profilen. Om du behöver hjälp med att distribuera appar med Microsoft Intune går du till Vad är apphantering i Microsoft Intune?.

Innan du börjar

  • VPN-profiler för en enhetstunnel stöds för Windows 10/11 Enterprise fjärrskrivbord med flera sessioner.

  • Om du använder certifikatbaserad autentisering för din VPN-profil distribuerar du VPN-profilen, certifikatprofilen och den betrodda rotprofilen till samma grupper. Det här steget ser till att varje enhet kan känna igen certifikatutfärdarnas legitimitet. Mer information finns i Så här konfigurerar du certifikat med Microsoft Intune.

  • Användarregistrering för iOS/iPadOS och macOS stöder endast per app-VPN.

  • Du kan använda anpassade konfigurationsprinciper för Intune för att skapa VPN-profiler för följande plattformar:

    • Android 4 och senare
    • Registrerade enheter som kör Windows 8.1 och senare
    • Registrerade enheter som kör Windows 10/11
    • Windows Holographic for Business
  • För Windows 11-enheter finns det ett problem mellan Windows 11-klienten och WINDOWS VPNv2 CSP.

    En enhet med en eller flera Intune VPN-profiler förlorar sin VPN-anslutning när enheten bearbetar flera ändringar i VPN-profiler för enheten samtidigt. När enheten checkar in med Intune en andra gång bearbetas VPN-profiländringarna och anslutningen återställs.

    Följande ändringar kan orsaka förlust av VPN-funktioner:

    • Du ändrar eller uppdaterar en befintlig VPN-profil som tidigare bearbetats av Windows 11-enheten. Den här åtgärden tar bort den ursprungliga profilen och tillämpar den uppdaterade profilen.
    • Två nya VPN-profiler gäller för enheten samtidigt.
    • En aktiv VPN-profil tas bort samtidigt som en ny VPN-profil tilldelas.

    Det här problemet gäller inte och VPN-anslutningen finns kvar i följande scenarier:

    • En Windows 11-enhet har ingen befintlig VPN-profil tilldelad och enheterna får en Intune VPN-profil.

    • Windows 11-enheter har en befintlig VPN-profil tilldelad och tilldelas en annan VPN-profil utan några andra profiländringar.

    • En Windows 10-enhet uppgraderar till Windows 11 och det finns inga ändringar i enhetens VPN-profiler. Efter uppgraderingen till Windows 11 utlöser eventuella ändringar av enheternas VPN-profiler eller tillägg av nya VPN-profiler problemet.

    • Windows 11 kräver att:

      Om du bara konfigurerar någon av inställningarna för IKE-säkerhetsassociationsparametrar eller parametrar för underordnade säkerhetsassociationer går VPN-funktionerna förlorade.

Steg 1 – Distribuera vpn-appen

Innan du kan använda VPN-profiler som tilldelats till en enhet måste du installera VPN-appen. Den här VPN-appen ansluter till DIN VPN-server.

Det finns olika VPN-appar tillgängliga. På användarenheter distribuerar du den VPN-app som din organisation använder. När VPN-appen har distribuerats skapar och distribuerar du en VPN-enhetskonfigurationsprofil som konfigurerar VPN-serverinställningarna, inklusive VPN-servernamnet (eller FQDN) och autentiseringsmetoden.

Vissa plattformar och VPN-appar kräver en appkonfigurationsprincip för att förkonfigurera VPN-appen i stället för en VPN-enhetskonfigurationsprofil. I det här avsnittet visas även de plattformar och VPN-appar som måste använda en appkonfigurationsprincip.

Om du vill hjälpa dig att tilldela appen med Hjälp av Intune går du till Lägg till appar i Microsoft Intune.

VPN-anslutningstyper

Du kan skapa VPN-profiler med följande VPN-anslutningstyper:

  • Automatisk

    • Windows 10/11
  • Check Point Capsule VPN

    • Android-enhetsadministratör
    • Android Enterprise-enheter med en personligt ägd arbetsprofil
    • Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil: Använd appkonfigurationsprincip
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Cisco AnyConnect

    • Android-enhetsadministratör
    • Android Enterprise-enheter med en personligt ägd arbetsprofil
    • Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil
    • iOS/iPadOS
    • macOS
    • Windows 10/11
  • Cisco (IPSec)

    • iOS/iPadOS
  • Citrix SSO

    • Android-enhetsadministratör
    • Personligt ägda Android Enterprise-enheter med en arbetsprofil: Använd appkonfigurationsprincip
    • Fullständigt hanterade och företagsägda Android Enterprise-arbetsprofiler: Använd appkonfigurationsprincipen
    • iOS/iPadOS
    • Windows 10/11
  • Anpassad VPN

    • iOS/iPadOS
    • macOS

    Skapa anpassade VPN-profiler med URI-inställningar i Skapa en profil med anpassade inställningar.

  • F5-åtkomst

    • Android-enhetsadministratör
    • Android Enterprise-enheter med en personligt ägd arbetsprofil
    • Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10/11
  • L2TP

    • Windows 10/11
  • Microsoft Tunnel

    • Android Enterprise-enheter med en personligt ägd arbetsprofil
    • Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil
    • iOS/iPadOS
  • NetMotion Mobility

    • Android Enterprise-enheter med en personligt ägd arbetsprofil
    • Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10/11
  • Pulse Secure

    • Android-enhetsadministratör
    • Android Enterprise-enheter med en personligt ägd arbetsprofil
    • Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1
  • SonicWall Mobile Connect

    • Android-enhetsadministratör
    • Android Enterprise-enheter med en personligt ägd arbetsprofil
    • Fullständigt hanterad och företagsägd Android Enterprise-arbetsprofil
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Zscaler

Steg 2 – Skapa profilen

När VPN-appen har tilldelats till enheten skapar nästa steg den enhetskonfigurationsprincip som konfigurerar VPN-anslutningen. Om vpn-appanslutningstypen använder en appkonfigurationsprincip för att konfigurera appen hoppar du över det här steget.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enheter>Hantera enheter>Konfiguration>Skapa>Ny princip.

  3. Ange följande egenskaper:

    • Plattform: Välj plattform för dina enheter. Dina alternativ:
      • Android-enhetsadministratör
      • Android Enterprise>Fullständigt hanterad, dedikerad och Corporate-Owned arbetsprofil
      • Android Enterprise>Personligt ägd arbetsprofil
      • iOS/iPadOS
      • macOS
      • Windows 10 och senare
      • Windows 8.1 och senare
    • Profiltyp: Välj VPN. Eller välj Mallar VPN>.
  4. Välj Skapa.

  5. Ange följande egenskaper i Grundinställningar:

    • Namn: Ange ett beskrivande namn på profilen. Namnge dina profiler så att du enkelt kan identifiera dem senare. Ett bra profilnamn är till exempel VPN-profil för hela företaget.
    • Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.
  6. Välj Nästa.

  7. Under Konfigurationsinställningar visas olika inställningar som du kan konfigurera beroende på vilken plattform du väljer. Välj din plattform för detaljerade inställningar:

  8. Välj Nästa.

  9. Under Omfångstaggar (valfritt), tilldelar du en tagg för att filtrera profilen till specifika IT-grupper, till exempel US-NC IT Team eller JohnGlenn_ITDepartment. Mer information om omfångstaggar finns i Använda RBAC och omfångstaggar för distribuerad IT.

    Välj Nästa.

  10. Under Tilldelningar väljer du de användare eller grupper som ska ta emot din profil. Mer information om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.

    Välj Nästa.

  11. Granska inställningarna under Granska + skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i profillistan.

Skydda dina VPN-profiler

VPN-profiler kan använda många olika anslutningstyper och protokoll från olika tillverkare. Dessa anslutningar skyddas vanligtvis med hjälp av följande metoder.

Certifikat

När du skapar VPN-profilen väljer du en SCEP- eller PKCS-certifikatprofil som du skapade tidigare i Intune. Den här profilen kallas identitetscertifikatet. Den används för att autentisera mot en betrodd certifikatprofil (eller rotcertifikat) som du skapar så att användarens enhet kan ansluta. Det betrodda certifikatet tilldelas den dator som autentiserar VPN-anslutningen, vanligtvis VPN-servern.

Om du använder certifikatbaserad autentisering för vpn-profilen distribuerar du VPN-profilen, certifikatprofilen och den betrodda rotprofilen till samma grupper. Den här tilldelningen ser till att varje enhet känner igen certifikatutfärdarnas legitimitet.

Mer information om hur du skapar och använder certifikatprofiler i Intune finns i Konfigurera certifikat med Microsoft Intune.

Obs!

Certifikat som läggs till med hjälp av den PKCS-importerade certifikatprofilen stöds inte för VPN-autentisering. Certifikat som läggs till med PKCS-certifikatprofilen stöds för VPN-autentisering.

Användarnamn och lösenord

Användaren autentiserar till VPN-servern genom att ange ett användarnamn och lösenord eller härledda autentiseringsuppgifter.

Nästa steg