Workspace ONE UEM unterstützt die Konfiguration von VPN-Geräteeinstellungen, damit Endbenutzer sicher remote auf das interne Netzwerk Ihres Unternehmens zugreifen können. Erfahren Sie, wie das VPN-Profil eine umfassende Steuerung der VPN-Einstellungen bietet, darunter spezielle Einstellungen zu VPN-Anbietern und Pro-App VPN-Zugriff.

Wichtig: Bevor Sie die VPN-Sperre aktivieren, müssen Sie sicherstellen, dass die VPN-Konfiguration für das VPN-Profil funktioniert. Wenn die VPN-Konfiguration nicht korrekt ist, kann das VPN-Profil möglicherweise nicht vom Gerät gelöscht werden, da es keine Internetverbindung gibt.

Prozedur

  1. Navigieren Sie zu Geräte > Profile > Listenansicht > Hinzufügen und wählen Sie Profil hinzufügen aus.
  2. Wählen Sie Windows und dann Windows Desktop.
  3. Wählen Sie Benutzerprofil oder Geräteprofil.
  4. Konfigurieren Sie die Profileinstellungen Allgemein.
  5. Wählen Sie das VPN-Profil.
  6. Konfigurieren Sie die Einstellungen für Verbindungsdaten:
    Einstellungen Beschreibungen
    Verbindungsname Geben Sie den Namen der VPN-Verbindung ein.
    Verbindungstyp

    Wählen Sie den VPN-Verbindungstyp:

    Server Geben Sie den VPN-Serverhostnamen oder die IP-Adresse ein.
    Port Geben Sie den Port ein, den der VPN-Server verwendet.
    Erweiterte Verbindungseinstellungen Aktivieren Sie diese Option, um erweiterte Routingregeln für die VPN-Verbindung des Geräts zu konfigurieren.
    Routing-Adressen

    Wählen Sie Hinzufügen aus, um die IP-Adressen und Subnetzpräfix-Größe für den VPN-Server einzugeben.

    Bei Bedarf können Sie weitere Routing-Adressen hinzufügen.

    DNS-Routing-Regeln

    Wählen Sie „Hinzufügen“ aus, um den für die Verwendung des VPN geltenden Domänennamen einzugeben. Geben Sie die DNS Server und Web-Proxyserver ein, die für die einzelnen Domänen verwendet werden sollen.

    Routing-Richtlinie

    Wählen Sie entweder Sämtlichen Verkehr durch VPN zwingen oder Direkten Zugriff auf externe Ressourcen zulassen.

    • Sämtlichen Verkehr durch VPN zwingen (Tunnelerzwingung): Bei dieser Verkehrsregel darf der gesamte IP-Datenverkehr nur über die VPN-Schnittstelle übermittelt werden.

    • Direkten Zugriff auf externe Ressourcen zulassen (Getrennter Tunnel): Bei dieser Regel zur Verkehrsfilterung wird nur der für die VPN-Schnittstelle bestimmte Datenverkehr (vom Netzwerkstapel festgelegt) über die Schnittstelle übermittelt. Der Internetdatenverkehr kann weiterhin über andere Schnittstellen gesendet werden.

    Proxy Wählen Sie AutoErkennung aus, damit die vom VPN verwendeten Proxyserver automatisch erkannt werden. Wählen Sie Manuell aus, um den Proxyserver zu konfigurieren.
    Server

    Geben Sie die IP-Adresse für den Proxyserver ein.

    Diese Option wird angezeigt, wenn Proxy auf Manuell festgelegt ist.

    URL für die Konfiguration des Proxyservers

    Geben Sie die URL für die Konfigurationseinstellungen des Proxyservers ein.

    Diese Option wird angezeigt, wenn Proxy auf Manuell festgelegt ist.

    Proxy bei lokalem Netzwerk umgehen Wählen Sie diese Option , um den Proxyserver zu umgehen, wenn das Gerät erkennt, dass dieser sich im lokalen Netzwerk befindet.
    Protokoll

    Wählen Sie das Authentifizierungsprotokoll für das VPN aus:

    • EAP – Lässt verschiedene Authentifizierungsmethoden zu
    • Computerzertifikat – Erkennt ein Clientzertifikat im Zertifikatsspeicher des Geräts, das zur Authentifizierung verwendet werden soll.
    EAP-Typ

    Wählen Sie den EAP-Authentifizierungstyp aus:

    • EAP-TLS – Smartcard- oder Clientzertifikatsauthentifizierung
    • EAP-MSCHAPv2 – Benutzername und Kennwort
    • EAP-TTLS
    • PEAP
    • Benutzerdefinierte Konfiguration – Lässt alle EAP-Konfigurationen zu

    Diese Option wird nur angezeigt, wenn Protokoll auf EAP festgelegt ist.

    Anmeldedatentyp

    Wählen Sie Zertifikat verwenden, um ein Clientzertifikat zu verwenden. Wählen Sie Smartcard verwenden aus, um eine Smartcard zur Authentifizierung zu verwenden.

    Diese Option wird nur angezeigt, wenn EAP-Typ auf EAP-TLS festgelegt ist.

    Einfache Zertifikatsauswahl

    Aktivieren Sie diese Option, um die Liste der Zertifikate, aus der der Benutzer seine Auswahl trifft, zu vereinfachen. Die Zertifikate werden nach dem zuletzt erstellten Zertifikat für jede Entität angezeigt.

    Diese Option wird nur angezeigt, wenn EAP-Typ auf EAP-TLS festgelegt ist.

    Windows-Anmeldedaten verwenden

    Aktivieren Sie diese Option, um dieselben Anmeldedaten wie beim Windows-Gerät zu verwenden.

    Diese Option wird nur angezeigt, wenn EAP-Typ auf EAP-MSCHAPv2 festgelegt ist.

    Identitätsschutz

    Geben Sie den Wert ein, der vor der Client-Authentifizierung der Serveridentität an die Server gesendet werden soll.

    Diese Option wird nur angezeigt, wenn EAP-Typ auf EAP-TTLS festgelegt ist.

    Innere Authentifizierungsmethode

    Wählen Sie die Authentifizierungsmethode für die innere Identitätauthentifizierung.

    Diese Option wird nur angezeigt, wenn EAP-Typ auf EAP-TTLS festgelegt ist.

    Schnelle Wiederverbindung

    Aktivieren Sie diese Option, um die zeitliche Verzögerung zwischen einer Authentifizierungsanforderung durch einen Client und der Antwort vom Server zu verringern.

    Diese Option wird nur angezeigt, wenn EAP-Typ auf PEAP festgelegt ist.

    Identitätsschutz aktivieren Aktivieren Sie diese Option, um die Identität des Benutzers zu schützen, bis der Client beim Server authentifiziert wird.
    Pro-App-VPN-Regeln Wählen Sie Hinzufügen, um Datenverkehrsregeln für bestimmte Legacy- und Modern-Anwendungen hinzuzufügen. Weitere Informationen zu Pro-App-VPN finden Sie unter Verwendung des Pro-App-VPN.
    Anwendungs-ID

    Wählen Sie zuerst aus, ob es sich bei der Anwendung um eine Windows Store-Anwendung oder eine Desktop-Anwendung handelt. Geben Sie dann den Pfad für die Anwendungsdatei für Desktop-Anwendungen ein. Sie können auch den Paketfamiliennamen für Store-Anwendungen eingeben, um anzugeben, für welche App die Datenverkehrsregeln gelten.

    • Beispiel für einen Dateipfad: %ProgramFiles%/ Internet Explorer/iexplore.exe
    • Paketfamilienname – Beispiel: AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4

    Die PFN-Suche ermöglicht die Suche nach dem PFN der Anwendung über das Suchsymbol. Ein Anzeigefenster wird geöffnet, in dem Sie die Anwendung auswählen können, für die geltende Pro-App-VPN-Regeln konfiguriert werden sollen. Der PFN wird dann automatisch aufgefüllt.

    VPN On-Demand Aktivieren Sie diese Option, damit beim Starten der Anwendung automatisch eine VPN-Verbindung hergestellt wird.
    Routing-Richtlinie

    Wählen Sie die Routing-Richtlinie für die Anwendung aus.

    • Direkten Zugriff auf externe Ressourcen zulassen ermöglicht sowohl Datenverkehr über das VPN als auch über die lokale Netzwerkverbindung.
    • Sämtlichen Verkehr durch VPN zwingen erzwingt die Übermittlung des gesamten Datenverkehrs über das VPN.
    DNS-Routing-Regeln

    Aktivieren Sie diese Option, um DNS-Routing-Regeln für den Anwendungsdatenverkehr hinzuzufügen.

    Wählen Sie Hinzufügen aus, um Filtertypen und Filterwerte für die Routing-Regeln hinzuzufügen. Nur Datenverkehr von der festgelegten Anwendung, der diesen Regeln entspricht, kann über das VPN übermittelt werden.

    • IP-Adresse: Eine Liste von durch Kommata getrennten Werten, die die zuzulassenden Remote-IP-Adressbereiche angibt.
    • Ports: Eine Liste von durch Kommata getrennten Werten, die die zuzulassenden Remote-Portbereiche angibt. Zum Beispiel: 100–120, 200, 300–320. Ports sind nur gültig, wenn als Protokoll „TCP“ oder „UDP“ festgelegt ist.
    • IP-Protokoll: Numerischer Wert von 0–255, der das zuzulassende IP-Protokoll darstellt. Zum Beispiel: TCP = 6 und UDP = 17.

    Weitere Informationen zur Funktionsweise dieser Filter und Richtlinien sowie zur verwendeten Logik finden Sie unter Verwendung des Pro-App-VPN.

    Geräteweite VPN-Regeln

    Wählen Sie Hinzufügen aus, um Verkehrsregeln für das gesamte Gerät hinzuzufügen.

    Wählen Sie Hinzufügen aus, um Filtertypen und Filterwerte für die Routing-Regeln hinzuzufügen. Nur Datenverkehr, der diesen Regeln entspricht, kann über das VPN übermittelt werden.

    • IP-Adresse: Eine Liste von durch Kommata getrennten Werten, die die zuzulassenden Remote-IP-Adressbereiche angibt.
    • Ports: Eine Liste von durch Kommata getrennten Werten, die die zuzulassenden Remote-Portbereiche angibt. Zum Beispiel: 100–120, 200, 300–320. Ports sind nur gültig, wenn als Protokoll „TCP“ oder „UDP“ festgelegt ist.
    • IP-Protokoll: Numerischer Wert von 0-255, der das zuzulassende IP-Protokoll darstellt. Zum Beispiel: TCP = 6 und UDP = 17. Eine Liste der numerischen Werte aller Protokolle finden Sie unter https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml.
    Anmeldedaten merken Aktivieren Sie diese Option, damit die Anmeldedaten des Benutzers gespeichert werden.
    Immer an Aktivieren Sie diese Option, um zu erzwingen, dass die VPN-Verbindung stets aktiviert ist.
    VPN-Sperre

    Aktivieren Sie diese Option, um zu erzwingen, dass das VPN stets aktiviert ist, niemals getrennt wird, etwaiger Netzwerkzugriff deaktiviert wird, wenn das VPN nicht verbunden ist, und zu verhindern, dass andere VPN-Profile eine Verbindung zum Gerät herstellen.

    Ein VPN-Profil mit aktivierter VPN-Sperre muss gelöscht werden, bevor Sie ein neues VPN-Profil per Push auf das Gerät übertragen.

    Diese Funktion wird nur angezeigt, wenn das Profil auf den Gerätekontext gesetzt ist.

    Umgehung für lokalen Verkehr Aktivieren Sie diese Option, um die VPN-Verbindung für den lokalen Intranetverkehr zu umgehen.
    Erkennung vertrauenswürdiger Netzwerke Geben Sie die Adressen vertrauenswürdiger Netzwerke getrennt durch Kommata ein. Es wird keine VPN-Verbindung hergestellt, wenn die Verbindung eines vertrauenswürdigen Netzwerks erkannt wird.
    Domäne

    Wählen Sie Neue Domäne hinzufügen, um Domänen hinzuzufügen, die über den VMware Tunnel Server aufgelöst werden.

    Hinzugefügte Domänen werden unabhängig von der App, von der der Datenverkehr ausgeht, über den VMware Tunnel Server aufgelöst. Beispielsweise wird vmware.com durch den VMware Tunnel Server aufgelöst, wenn Sie die Chrome- oder die nicht auf der Whitelist stehende Edge-Anwendung verwenden.

    Diese Option wird nur angezeigt, wenn Sie das VPN-Profil als Benutzerprofil erstellen.

  7. Wählen Sie nach Abschluss des Vorgangs Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.