Einrichten eines Pro-App-VPN für iOS-/iPadOS-Geräte in Microsoft Intune (2024)

Table of Contents
In diesem Artikel Pro-App-VPN mit Microsoft Tunnel oder Zscaler Voraussetzungen Schritt 1: Erstellen einer Gruppe für Ihre VPN-Benutzer Schritt 2: Erstellen eines vertrauenswürdigen Zertifikatprofils Schritt 3: Erstellen eines SCEP- oder PKCS-Zertifikatprofils Schritt 4: Erstellen eines Pro-App-VPN-Profils Schritt 5: Zuordnen einer App zum VPN-Profil Überprüfen der Verbindung auf dem iOS/iPadOS-Gerät Bevor Sie eine Verbindung herstellen: Herstellen einer Verbindung mithilfe des Pro-App-VPNs Ressourcen FAQs References
  • Artikel

Sie können in Microsoft Intune VPNs erstellen und verwenden, die einer bestimmten App zugewiesen sind. Dieses Feature wird als Pro-App-VPN bezeichnet. Sie wählen die verwalteten Apps aus, die das VPN auf Geräten verwenden können, die von Intune verwaltet werden. Wenn Sie Pro-App-VPNs verwenden, stellen Endbenutzer automatisch eine Verbindung über das VPN her und erhalten Zugriff auf Organisationsressourcen, z. B. Dokumente.

Diese Funktion gilt für:

  • iOS 9 und höher
  • iOS 13.0 und höher

Informieren Sie sich in der Dokumentation Ihres VPN-Anbieters, um zu erfahren, ob Ihr VPN Pro-App-VPNs unterstützt.

In diesem Artikel erfahren Sie, wie Sie ein Pro-App-VPN-Profil erstellen und dieses Profil Ihren Apps zuweisen. Anhand der folgenden Schritte können Sie Ihren Endbenutzern nahtlos Pro-App-VPNs zur Verfügung stellen. Bei den meisten VPNs, die ein Pro-App-VPN unterstützen, öffnen Benutzer eine App, und die Verbindung zum VPN wird automatisch hergestellt.

Bei einigen VPNs ist auch eine Authentifizierung mit Anmeldeinformationen für ein Pro-App-VPN möglich. Das bedeutet, dass Benutzer einen Benutzernamen und ein Kennwort eingeben müssen, um eine Verbindung mit dem VPN herzustellen.

Wichtig

  • Pro-App-VPN wird für IKEv2 VPN-Profile für iOS/iPadOS nicht unterstützt.

Pro-App-VPN mit Microsoft Tunnel oder Zscaler

Microsoft Tunnel und Zscaler Private Access (ZPA) sind für die Authentifizierung in Microsoft Entra ID integriert. Bei Tunnel oder ZPA benötigen Sie weder ein Profil mit einem vertrauenswürdigen Zertifikat noch ein Profil mit einem SCEP- oder PKCS-Zertifikat (dies wird in diesem Artikel beschrieben).

Wenn Sie ein Pro-App-VPN-Profil für Zscaler eingerichtet haben, wird beim Öffnen einer verknüpften App nicht automatisch eine Verbindung mit ZPA hergestellt. Stattdessen muss sich der Benutzer bei der Zscaler-App anmelden. Dann ist der Remotezugriff auf die verknüpften Apps beschränkt.

Voraussetzungen

  • Ihr VPN-Anbieter kann andere Anforderungen für pro App-VPN haben, z. B. bestimmte Hardware oder Lizenzierung. Vor der Einrichtung des Pro-App-VPN ist es daher erforderlich, dass Sie sich mit der Anbieterdokumentation vertraut machen und die beschriebenen Anforderungen erfüllen.

  • Exportieren Sie die vertrauenswürdige Stammzertifikatdatei .cer von Ihrem VPN-Server. Sie fügen diese Datei dem in diesem Artikel beschriebenen vertrauenswürdigen Zertifikatprofil hinzu, das Sie in Intune erstellen.

    So exportieren Sie die Datei:

    1. Öffnen Sie die Verwaltungskonsole auf Ihrem VPN-Server.

    2. Stellen Sie sicher, dass Ihr VPN-Server die zertifikatbasierte Authentifizierung verwendet.

      See Also
      Configure Anyconnect PerApp VPN for iOS with Meraki System ManagerWas ist ein VPN auf deinem iPhone und brauchst du eines? (Update 2024)Set up per-app VPN for iOS/iPadOS devices in Microsoft IntuneHow to Configure Per-App VPN in iOS Devices?

    3. Exportieren Sie die vertrauenswürdige Stammzertifikatdatei. Es verfügt über eine .cer Erweiterung.

    4. Fügen Sie den Namen der Zertifizierungsstelle (ZS) hinzu, die das Zertifikat für die Authentifizierung beim VPN-Server ausgestellt hat.

      Wenn die vom Gerät vorgelegte Zertifizierungsstelle mit einer CA in der Liste der vertrauenswürdigen Zertifizierungsstellen auf dem VPN-Server übereinstimmt, authentifiziert der VPN-Server das Gerät.

    Um seine Identität nachzuweisen, zeigt der VPN-Server das Zertifikat an, das vom Gerät ohne Aufforderung akzeptiert werden muss. Um die automatische Genehmigung des Zertifikats zu bestätigen, erstellen Sie ein vertrauenswürdiges Zertifikatprofil in Intune (in diesem Artikel). Das Intune-Profil für vertrauenswürdige Zertifikate muss das Stammzertifikat (.cer -Datei) des VPN-Servers enthalten, das von der Zertifizierungsstelle (Ca) ausgestellt wurde.

  • Um die Richtlinie zu erstellen, melden Sie sich mindestens beim Microsoft Intune Admin Center mit einem Konto an, das über die integrierte Rolle Richtlinien- und Profil-Manager verfügt. Weitere Informationen zu den integrierten Rollen findest du unter Rollenbasierte Zugriffssteuerung für Microsoft Intune.

Schritt 1: Erstellen einer Gruppe für Ihre VPN-Benutzer

Erstellen sie eine vorhandene Gruppe in Microsoft Entra ID, oder wählen Sie sie aus. Diese Gruppe:

  • Muss die Benutzer oder Geräte enthalten, die pro App-VPN verwenden.
  • Erhält alle von Ihnen erstellten Intune-Richtlinien.

Die Schritte zum Erstellen einer neuen Gruppe werden unter Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten beschrieben.

Schritt 2: Erstellen eines vertrauenswürdigen Zertifikatprofils

Importieren Sie das von der Zertifizierungsstelle ausgestellte Stammzertifikat des VPN-Servers in ein Intune-Profil. Dieses Stammzertifikat ist die Datei, die .cer Sie unter Voraussetzungen (in diesem Artikel) exportiert haben. Das Profil des vertrauenswürdigen Zertifikats weist das iOS/iPadOS-Gerät an, automatisch der CA zu vertrauen, die der VPN-Server präsentiert.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen SieGerätekonfiguration>>Erstellen aus.

  3. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie iOS/iPadOS aus.
    • Profiltyp: Wählen Sie Vertrauenswürdiges Zertifikat aus.

  4. Wählen Sie Erstellen aus.

  5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen. Ein geeigneter Profilname ist beispielsweise VPN-Profil für vertrauenswürdiges iOS/iPadOS-Zertifikat für das gesamte Unternehmen.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

  6. Wählen Sie Weiter aus.

  7. Wählen Sie in Konfigurationseinstellungen das Ordnersymbol aus, und navigieren Sie zu Ihrem VPN-Zertifikat (.cer Datei), das Sie über Ihre VPN-Verwaltungskonsole exportiert haben.

  8. Wählen Sie Weiter aus, und setzen Sie die Erstellung des Profils fort. Weitere Informationen findest du unter Erstellen eines VPN-Profils.

    See Also
    Apple finalisiert seine VPN-Strategie: iOS 9 bringt Per-App-VPN für jedermann

    Einrichten eines Pro-App-VPN für iOS-/iPadOS-Geräte in Microsoft Intune (1)

Schritt 3: Erstellen eines SCEP- oder PKCS-Zertifikatprofils

Das in Schritt 2 erstellte vertrauenswürdige Stammzertifikatprofil ermöglicht es dem Gerät, dem VPN-Server automatisch zu vertrauen.

Erstellen Sie in diesem Schritt das SCEP- oder PKCS-Zertifikatprofil in Intune. Das SCEP- oder PKCS-Zertifikat stellt Anmeldeinformationen aus dem iOS/iPadOS-VPN-Client an den VPN-Server bereit. Durch das Zertifikat kann das Gerät im Hintergrund eine Authentifizierung durchführen, ohne dass der Benutzer zur Eingabe eines Benutzernamens und Kennworts aufgefordert wird.

Um das Clientauthentifizierungszertifikat in Intune zu konfigurieren und zuzuweisen, wechseln Sie zu einem der folgenden Artikel:

  • Konfigurieren der Infrastruktur, sodass SCEP mit Intune unterstützt wird
  • Konfigurieren und Verwalten von PKCS-Zertifikaten mit Intune

Achten Sie darauf, dass das Zertifikat für die Clientauthentifizierung konfiguriert wurde. Sie können die Clientauthentifizierung direkt in SCEP-Zertifikatprofilen festlegen (Erweiterte Schlüsselverwendungsliste>Clientauthentifizierung). Legen Sie für PKCS die Clientauthentifizierung in der Zertifikatvorlage in der Zertifizierungsstelle fest.

Einrichten eines Pro-App-VPN für iOS-/iPadOS-Geräte in Microsoft Intune (2)

Schritt 4: Erstellen eines Pro-App-VPN-Profils

Dieses VPN-Profil enthält das SCEP- oder PKCS-Zertifikat, das die Anmeldeinformationen des Clients, die Verbindungsinformationen für das VPN und das Pro-App-VPN-Flag enthält, welches das von der iOS/iPadOS-Anwendung verwendete Pro-App-VPN aktiviert.

  1. Wählen Sie im Microsoft Intune Admin Centergerätekonfiguration>>Erstellen aus.

  2. Geben Sie die folgenden Eigenschaften ein, und wählen Sie Erstellen aus:

    • Plattform: Wählen Sie iOS/iPadOS aus.
    • Profiltyp: Wählen Sie VPN aus.

  3. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das benutzerdefinierte Profil ein. Benennen Sie Ihre Profile, damit Sie diese später leicht wiedererkennen. Ein geeigneter Profilname ist beispielsweise Pro-App-VPN-Profil für iOS/iPadOS für myApp.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird aber empfohlen.

  4. Konfigurieren Sie in den Konfigurationseinstellungen die folgenden Einstellungen:

    • Verbindungstyp: Wählen Sie Ihre VPN-Client-App aus.

    • Basis-VPN: Konfigurieren Sie Ihre Einstellungen. Im Artikel iOS-VPN-Einstellungen werden alle Einstellungen beschrieben. Achten Sie darauf, dass Sie die folgenden Konfigurationen wie unten angegeben vornehmen, wenn Sie ein Pro-App-VPN verwenden:

      • Authentifizierungsmethode: Wählen Sie Zertifikateaus.
      • Authentifizierungszertifikat: Wählen Sie ein vorhandenes SCEP- oder PKCS-Zertifikat >AUS.
      • Geteiltes Tunneling: Wählen Sie Deaktivieren aus, um zu erzwingen, dass der gesamte Datenverkehr den VPN-Tunnel verwendet, wenn die VPN-Verbindung aktiv ist.

      Einrichten eines Pro-App-VPN für iOS-/iPadOS-Geräte in Microsoft Intune (3)

      Informationen zu den anderen Einstellungen erhalten Sie unter iOS-/iPadOS-VPN-Einstellungen.

    • Automatisches VPN>Typ des automatischen VPN>Pro-App-VPN

      Einrichten eines Pro-App-VPN für iOS-/iPadOS-Geräte in Microsoft Intune (4)

  5. Klicken Sie auf Weiter, und setzen Sie die Erstellung des Profils fort. Weitere Informationen findest du unter Erstellen eines VPN-Profils.

Schritt 5: Zuordnen einer App zum VPN-Profil

Nachdem Sie Ihr VPN-Profil hinzugefügt haben, ordnen Sie dem Profil die App und Microsoft Entra Gruppe zu.

  1. Wählen Sie im Microsoft Intune Admin CenterApps>Alle Apps aus.

  2. Wählen Sie eine App aus der Liste >Eigenschaften>Zuweisungen>bearbeiten aus.

  3. Wechseln Sie zum Abschnitt Erforderlich oder Verfügbar für registrierte Geräte.

  4. Wählen Sie Gruppe> hinzufügen Wählen Sie die Gruppe aus, die Sie erstellt haben (in diesem Artikel) >Wählen Sie aus.

  5. Wählen Sie unter VPNs das Pro-App-VPN-Profil aus, das Sie im Rahmen dieses Artikels erstellt haben.

    Einrichten eines Pro-App-VPN für iOS-/iPadOS-Geräte in Microsoft Intune (5)

  6. Klicken Sie auf OK>Speichern.

Wenn alle der folgenden Bedingungen vorhanden sind, besteht eine Zuordnung zwischen einer App und einem Profil so lange, bis der Benutzer eine erneute Installation vom Intune-Unternehmensportal anfordert:

  • Die App wurde mit verfügbarer Installationsabsicht ausgerichtet.
  • Das Profil und die App sind auf dieselbe Gruppe ausgerichtet.
  • Der Endbenutzer hat die Installation der App in der Unternehmensportal-App angefordert. Diese Anforderung führt dazu, dass die App und das Profil auf dem Gerät installiert werden.
  • Sie entfernen oder ändern die Pro-App-VPN-Konfiguration über die App-Zuweisung.

Wenn die folgenden Bedingungen erfüllt sind, wird eine Zuordnung zwischen einer App und einem Profil während des nächsten Geräte-Check-Ins entfernt:

  • Die App wurde mit erforderlicher Installationsabsicht ausgerichtet.
  • Das Profil und die App sind auf dieselbe Gruppe ausgerichtet.
  • Sie entfernen die Pro-App-VPN-Konfiguration aus der App-Zuweisung.

Überprüfen der Verbindung auf dem iOS/iPadOS-Gerät

Wenn Ihr Pro-App-VPN eingerichtet und Ihrer App zugeordnet ist, überprüfen Sie, ob die Verbindung von einem Gerät aus funktioniert.

Bevor Sie eine Verbindung herstellen:

  • Stellen Sie sicher, dass Sie alle in diesem Artikel beschriebenen Richtlinien für dieselbe Gruppe bereitstellen. Ansonsten funktioniert das Pro-App-VPN nicht.

  • Wenn Sie die Pulse Secure VPN-App oder eine benutzerdefinierte VPN-Client-App verwenden, können Sie das Tunneln auf App- oder Paketebene verwenden:

    • Legen Sie für das Tunneln auf App-Ebene den ProviderType-Wert auf App-Proxy fest.
    • Legen Sie für das Tunneln auf Paketebene den ProviderType-Wert auf Packet-Tunnel fest.

    Informieren Sie sich in der Dokumentation Ihres VPN-Anbieters, um sicherzustellen, dass Sie den korrekten Wert verwenden.

Herstellen einer Verbindung mithilfe des Pro-App-VPNs

Überprüfen Sie die Zero Touch-Funktion, indem Sie eine Verbindung herstellen, ohne dabei das VPN auswählen oder Ihre Anmeldeinformationen eingeben zu müssen. Die Zero Touch-Funktion bedeutet Folgendes:

  • Das Gerät fordert den Benutzer nicht auf, dem VPN-Server zu vertrauen. Das heißt, dass dem Benutzer nicht das Dialogfeld Dynamic Trust (Dynamische Vertrauensstellung) angezeigt wird.
  • Der Benutzer muss keine Anmeldeinformationen eingeben.
  • Sobald der Benutzer eine der verknüpften Apps öffnet, wird das Benutzergerät mit dem VPN verbunden.

Ressourcen

  • Um die iOS-/iPadOS-Einstellungen zu überprüfen, wechseln Sie zu VPN-Einstellungen für iOS-/iPadOS-Geräte in Microsoft Intune.
  • Weitere Informationen zur VPN-Einstellung und zu Intune finden Sie unter Konfigurieren von VPN-Einstellungen in Microsoft Intune.
Einrichten eines Pro-App-VPN für iOS-/iPadOS-Geräte in Microsoft Intune (2024)

FAQs

Is Microsoft Intune a VPN? ›

Microsoft Tunnel is a VPN gateway solution for Microsoft Intune that runs in a container on Linux and allows access to on-premises resources from iOS/iPadOS and Android Enterprise devices using modern authentication and Conditional Access.

Keep Reading
Does Microsoft have VPN for Iphone? ›

Microsoft Intune includes many VPN settings that can be deployed to your iOS/iPadOS devices. These settings are used to create and configure VPN connections to your organization's network. This article describes these settings.

Get More Info
What is iOS per app VPN? ›

Per App VPN

This ability to segregate traffic at the app level allows the separation of personal data from organizational data—resulting in secure networking for internal-use apps, while at the same time preserving the privacy of personal device activity.

Continue Reading
Does Microsoft offer a free VPN? ›

Edge Secure Network uses VPN technology to stop third parties and bad actors from accessing your sensitive information, so you can make purchases online, fill out forms, and keep your browsing activity away from prying eyes. And best of all, it's built in and free in Microsoft Edge.

Discover More Details
Does Microsoft ban for VPN? ›

If its being used to bypass region restrictions such as getting a better deal, then yes, it would violate terms of service which could lead to being banned.

Tell Me More
Does Microsoft have a built in VPN? ›

In Windows, the built-in plug-in and the Universal Windows Platform (UWP) VPN plug-in platform are built on top of the Windows VPN platform. This article focuses on the Windows VPN platform clients and the features that can be configured.

See More
How does Microsoft VPN work? ›

A VPN, which stands for virtual private network, establishes a digital connection between your computer and a remote server owned by a VPN provider, creating a point-to-point tunnel that encrypts your personal data, masks your IP address, and lets you sidestep website blocks and firewalls on the internet.

Get More Info Here
How good is MS Defender VPN? ›

Microsoft 365 Defender has 57 reviews and a rating of 4.54 / 5 stars vs NordVPN which has 1300 reviews and a rating of 4.63 / 5 stars. Compare the similarities and differences between software options with real user reviews focused on features, ease of use, customer service, and value for money.

See Details
What is my VPN server name or address? ›

On Windows

Click the advanced options button in the lower left corner of the VPN client window. The icon will look like a gear. In the new window that opens, look in the Statistics tab under Address Information and the IP address provided by the VPN will be the line that reads “Client (IPv4).”

Discover More Details
How do I know if my VPN is working? ›

How do I check if a VPN is working? Visit websites such as WhatIsMyIP or IPLocation to see your original IP address. After connecting to a VPN, revisit the IP address checking website to recheck your IP address. The VPN works if the displayed IP address differs from your original IP address.

Continue Reading

Do ipads have VPN built-in? ›

Does the Apple iPad have a built-in VPN? Your iPad can be configured with a VPN but does not come with any preinstalled VPN applications. You can set your iPad up to send and receive data through a server using IKEv2 and L2TP/IPSec protocols, but Apple does not provide VPN servers.

Continue Reading
Does Apple have a built-in VPN? ›

The iPhone doesn't have a built-in VPN but has VPN settings if you wish to build or install one. To make a VPN work, you would need to complete a manual setup and find a server to connect to, which is not an option for most users.

Show Me More
Does Apple have a free VPN? ›

You can use Free VPN with your Apple ID on other iPhone, iPad and iPod devices. You can also register a unlimited number of devices. Free VPN, blocks 98% of ads, providing a better and seamless experience.

Learn More
Is MDM a VPN? ›

This ensures that employees can access company resources safely from anywhere. Mobile Device Management (MDM) makes this easier by helping IT administrators configure and manage these VPN connections on mobile devices efficiently.

View More
What can Microsoft Intune be used for? ›

Microsoft Intune is a cloud-based endpoint management solution. It manages user access to organizational resources and simplifies app and device management across your many devices, including mobile devices, desktop computers, and virtual endpoints.

See More
Can Microsoft Intune track location? ›

Intune collects information about the last known location of a device every eight hours or when the device checks in with Intune.

View More

References

Top Articles
How reviews on Google Maps work
How to see your Google reviews (and manage them properly)
How to make contact with the Lebara Mobile customer service team
Lebara Mobile - Hotline, Kundenservice und Login
The Best American Cities for Live Music (Besides Nashville)
Stap 4: Opname in het perioperatief traject - Richtlijn
What is the Chevron deference and why has it been overruled?
Pittsburgh Penguins trade forward Reilly Smith to New York Rangers for draft picks
Yolanda Busio on LinkedIn: Watch Quinn Finite Elevator Viral Video click to watch full video…
Exclusive Insights Into The Mikayla Campinos Twitter Leak
Latest Posts
Google Maps-reviews en -beoordelingen toevoegen, bewerken of verwijderen - Android
Read & reply to reviews on Google - Computer
Article information

Author: Francesca Jacobs Ret

Last Updated:

Views: 6612

Rating: 4.8 / 5 (68 voted)

Reviews: 91% of readers found this page helpful

Author information

Name: Francesca Jacobs Ret

Birthday: 1996-12-09

Address: Apt. 141 1406 Mitch Summit, New Teganshire, UT 82655-0699

Phone: +2296092334654

Job: Technology Architect

Hobby: Snowboarding, Scouting, Foreign language learning, Dowsing, Baton twirling, Sculpting, Cabaret

Introduction: My name is Francesca Jacobs Ret, I am a innocent, super, beautiful, charming, lucky, gentle, clever person who loves writing and wants to share my knowledge and understanding with you.