Bereitstellen des Always On VPN-Profils für Windows 10 oder neuere Clients mit Microsoft Intune

In diesem Artikel zur Vorgehensweise zeigen wir Ihnen, wie Sie Intune zum Erstellen und Bereitstellen von Always On VPN-Profilen verwenden.

Wenn Sie jedoch ein benutzerdefiniertes VPN profileXML erstellen möchten, befolgen Sie die Anleitung in "ProfileXML mithilfe von Intune anwenden".

Voraussetzungen

Intune verwendet Microsoft Entra-Benutzergruppen, daher müssen Sie:

• Stellen Sie sicher, dass Sie über eine Private Key Infrastructure (PKI) verfügen, die Benutzer- und Gerätezertifikate für die Authentifizierung ausstellen kann. Weitere Informationen zu Zertifikaten für Intune finden Sie unter Verwenden von Zertifikaten für die Authentifizierung in Microsoft Intune.

• Erstellen Sie eine Microsoft Entra-Benutzergruppe, die VPN-Benutzern zugeordnet ist, und weisen Sie der Gruppe nach Bedarf neue Benutzer zu.

• Stellen Sie sicher, dass die VPN-Benutzer über VPN-Serververbindungsberechtigungen verfügen.

Erstellen Sie die XML-Konfiguration für das Extensible Authentication Protocol (EAP)

In diesem Abschnitt erstellen Sie eine XML-Konfiguration für das Extensible Authentication Protocol (EAP).

1. Kopieren Sie die folgende XML-Zeichenfolge in einen Text-Editor:

   Von Bedeutung

   Jede andere Kombination aus Groß- oder Kleinschreibung für "true" in den folgenden Tags führt zu einer teilweisen Konfiguration des VPN-Profils:

   <AlwaysOn>true</AlwaysOn>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. Ersetzen Sie <ServerNames>NPS.contoso.com</ServerNames> in der Beispiel-XML durch den FQDN des in die Domäne eingebundenen NPS, in dem die Authentifizierung stattfindet.

3. Ersetzen Sie an beiden Stellen <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA> im Beispiel durch den Zertifikatfingerabdruck Ihrer lokalen Stammzertifizierungsstelle.

   Von Bedeutung

   Verwenden Sie den Beispiel-Fingerabdruck nicht im Abschnitt <TrustedRootCA></TrustedRootCA> weiter unten. TrustedRootCA muss der Zertifikatfingerabdruck der lokalen Stammzertifizierungsstelle sein, die das Serverauthentifizierungszertifikat für RRAS- und NPS-Server ausgestellt hat. Dabei darf es sich weder um das Cloudstammzertifikat noch um den Zertifikatsfingerabdruck der ausstellenden Zertifizierungsstelle handeln.

4. Speichern Sie den XML-Code für die Verwendung im nächsten Abschnitt.

Erstellen der Always On VPN-Konfigurationsrichtlinie

1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

2. Wechseln Sie zuGerätekonfigurationsprofilen>.

3. Wählen Sie + Profil erstellen aus.

4. Wählen Sie unter Plattform die Option Windows 10 und höher aus.

5. Wählen Sie für den Profiltyp"Vorlagen" aus.

6. Wählen Sie unter Vorlagenname die Option VPN aus.

7. Wählen Sie "Erstellen" aus.

8. Für die Registerkarte " Grundlagen ":

   • Geben Sie einen Namen für das VPN-Profil und (optional) eine Beschreibung ein.

9. Für die Registerkarte "Konfigurationseinstellungen ":

   1. Wenn Sie dieses VPN-Profil mit einem Benutzer-/Gerätebereich verwenden möchten, wählen Sie "Benutzer" aus.

   2. Wählen Sie für "Verbindungstyp:" die Option "IKEv2" aus.

   3. Für Verbindungsname: Geben Sie den Namen der VPN-Verbindung ein; Beispielsweise Contoso AutoVPN.

   4. Fügen Sie für Server:die VPN-Serveradressen und -beschreibungen hinzu. Legen Sie den Standardserver auf True fest.

   5. Wenn Sie IP-Adressen mit internem DNS registrieren möchten, wählen Sie "Deaktivieren" aus.

   6. Wählen Sie für "Immer ein:"die Option "Aktivieren" aus.

   7. Um Anmeldeinformationen bei jeder Anmeldung zu speichern, wählen Sie den Wert aus, der für Ihre Sicherheitsrichtlinie geeignet ist.

   8. Wählen Sie für die AuthentifizierungsmethodeEAP aus.

   9. Wählen Sie für EAP-XML den XML-Code aus, den Sie in "Erstellen des EAP-XML" gespeichert haben.

   10. Wählen Sie für "Gerätetunnel" die Option "Deaktivieren" aus. Weitere Informationen zu Gerätetunneln finden Sie unter Konfigurieren von VPN-Gerätetunneln in Windows 10.

   11. Für IKE-Sicherheitszuordnungsparameter

       • Legen Sie " Split Tunneling " auf "Enable" fest.
       • Konfigurieren sie die vertrauenswürdige Netzwerkerkennung. Um das DNS-Suffix zu finden, können Sie Get-NetConnectionProfile > Name auf einem System verwenden, das derzeit mit dem Netzwerk verbunden ist und auf dem das Domänenprofil angewendet wurde (NetworkCategory:DomainAuthenticated).

   12. Behalten Sie die verbleibenden Einstellungen als Standard bei, es sei denn, Ihre Umgebung erfordert eine weitere Konfiguration. Weitere Informationen zu den EAP-Profileinstellungen für Intune finden Sie unter Windows 10/11- und Windows Holographic-Geräteeinstellungen, um VPN-Verbindungen mit Intune hinzuzufügen.

   13. Wählen Sie Weiteraus.

10. Lassen Sie für die Registerkarte Bereichs-Tags die Standardeinstellungen, und wählen Sie Weiter aus.

11. Für die Registerkarte Zuweisungen:

    1. Wählen Sie "Gruppen hinzufügen" aus, und fügen Sie Ihre VPN-Benutzergruppe hinzu.

    2. Wählen Sie Weiteraus.

12. Lassen Sie für die Registerkarte "Anwendbare Regeln " die Standardeinstellungen, und wählen Sie "Weiter" aus.

13. Überprüfen Sie auf der Registerkarte " Überprüfen + Erstellen " alle Einstellungen, und wählen Sie "Erstellen" aus.

Synchronisieren der Always On VPN-Konfigurationsrichtlinie mit Intune

Um die Konfigurationsrichtlinie zu testen, melden Sie sich bei einem Windows 10+-Clientcomputer als VPN-Benutzer an, und synchronisieren Sie dann mit Intune.

1. Wählen Sie im Startmenü Einstellungen aus.

2. Wählen Sie in den Einstellungen die Option „Konten“ und dann „Arbeits- oder Schulkonto hinzufügen“ aus.

3. Wählen Sie das Konto aus, um eine Verbindung mit Ihrer Microsoft Entra-ID herzustellen, und wählen Sie "Info" aus.

4. Gehen Sie nach unten und wählen Sie Synchronisieren, um eine Intune-Richtlinienauswertung und einen Abruf der Richtlinie zu erzwingen.

5. Wenn die Synchronisierung abgeschlossen ist, schließen Sie "Einstellungen". Nach der Synchronisierung sollten Sie in der Lage sein, eine Verbindung mit dem VPN-Server Ihrer Organisation herzustellen.

Nächste Schritte

• Ein ausführliche Anleitung zum Einrichten von Always On VPN finden Sie im Anleitung: Einrichtungsinfrastruktur für Always On VPN.

• Informationen zum Konfigurieren von Always On VPN-Profilen mit Microsoft Configuration Manager finden Sie unter Deploy Always On VPN profile to Windows clients with Microsoft Configuration Manager

• Ausführlichere Informationen zu always on VPN-Konfigurationsoptionen für den Konfigurationsdienstanbieter (Configuration Service Provider, CSP) finden Sie unter VPNv2-Konfigurationsdienstanbieter.

• Informationen zur Problembehandlung bei der VPN-Bereitstellung in Microsoft Intune finden Sie unter Problembehandlung bei VPN-Profilproblemen in Microsoft Intune.