VPN-On-Demand ist die Methode, mit der eine VPN-Verbindung für bestimmte Domänen automatisch hergestellt wird. Um Sicherheit und Bedienkomfort zu erhöhen, nutzt VPN-On-Demand Zertifikate zur Authentifizierung anstelle einfacher Kennungen.

Voraussetzungen

Stellen Sie sicher, dass Ihre Zertifizierungsstellen und Zertifikatsvorlagen in Workspace ONE UEM ordnungsgemäß zur Zertifikatsverteilung konfiguriert sind. Machen Sie die Drittanbieter-VPN-App Ihrer Wahl für Endbenutzer verfügbar, indem Sie die App auf Geräte übertragen und sie in Ihrem Unternehmens-App-Katalog empfehlen.

Prozedur

  1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und dann iOS.
  2. Wählen Sie die VPN-Nutzlast aus der Liste.
  3. Konfigurieren Sie Ihr Basis-VPN-Profil entsprechend.
  4. Wählen Sie Zertifikat aus dem Dropdown-Menü Benutzerauthentifizierung. Navigieren Sie zur Anmeldedaten-Nutzlast.
    1. Wählen Sie aus dem Dropdown-Menü Quelle der Anmeldedaten die Option Festgelegte Zertifizierungsstelle.
    2. Wählen Sie die Zertifizierungsstelle und Zertifikatsvorlage aus den entsprechenden Dropdown-Menüs.
    3. Navigieren Sie zurück zur VPN-Nutzlast.
  5. Wählen Sie das Identitätszertifikat gemäß der Angabe in der Anmeldedaten-Nutzlast, wenn Sie die Zertifikatauthentifizierung auf das VPN-Profil anwenden.
  6. Aktivieren Sie das Kontrollkästchen VPN-On-Demand aktivieren.
  7. Konfigurieren Sie die Option Neue On-Demand-Schlüssel verwenden (iOS 7), um eine VPN-Verbindung zu aktivieren, wenn Endbenutzer auf eine der angegebenen Domäne zugreifen:
    Einstellung Beschreibung
    Neue On-Demand-Schlüssel verwenden (iOS 7 und höher) Wählen Sie diese Option, um die neue Syntax zu verwenden, die detailliertere VPN-Regeln ermöglichen.
    On-Demand-Regel/Aktion

    Wählen Sie eine Aktion zur Definition des VPN-Verhaltens, die auf die VPN-Verbindung angewendet werden soll, basierend auf den definierten Kriterien. Wenn die Kriterien zutreffen, wird die festgelegte Aktion durchgeführt.

    • Verbindung bewerten: Die VPN-Tunnelverbindung wird automatisch basierend auf den Netzwerkeinstellungen und den Eigenschaften jeder Verbindung eingerichtet. Die Bewertung erfolgt jedes Mal, wenn eine VPN-Verbindung mit einer Website erfolgt.
    • Verbinden: Die VPN-Tunnelverbindung wird beim nächsten Netzwerkversuch automatisch erstellt, wenn das Netzwerkkriterium eingehalten wird.
    • Trennen: Die VPN-Tunnelverbindung wird automatisch deaktiviert und nicht wieder auf Anfrage hergestellt, wenn die Netzwerkkriterien eingehalten werden.
    • Ignorieren: Die bestehende VPN-Verbindung wird beibehalten, aber eine erneute Verbindung auf Anfrage wird nicht hergestellt, solange die Netzwerkkriterien eingehalten werden.
    Aktionsparameter

    Konfigurieren Sie Aktionsparameter für die angegebenen Domänen, um einen VPN-Verbindungsversuch auszulösen, wenn die Auflösung des Domänennamens fehlschlägt, beispielsweise wenn der DNS-Server angibt, dass er die Domäne nicht auflösen kann, mit einer Umleitung auf einen anderen Server reagiert oder gar nicht antwortet (Zeitablauf).

    Wenn Sie Verbindung bewerten auswählen, werden die folgenden Optionen angezeigt:

    • Wählen Sie Verbindung herstellen, wenn nötig/Nie verbinden und geben Sie weitere Informationen ein:

      • Domänen – Geben Sie die Domänen ein, für die diese Bewertung gilt.
      • URL-Test – Geben Sie die HTTP- oder HTTPS-URL (bevorzugt) zum Testen ein und verwenden Sie eine GET-Abfrage. Wenn der Hostname der URL nicht aufgelöst werden kann, der Server nicht erreichbar ist oder nicht mit einem 200 HTTP-Statuscode reagiert, wird als Reaktion eine VPN-Verbindung eingerichtet.
      • DNS-Server – Geben Sie eine Reihe von IP-Adressen für DNS-Server ein, die für die Auflösung der angegebenen Domänen verwendet werden sollen. Diese Server müssen nicht Teil der aktuellen Netzwerkkonfiguration des Geräts sein. Wenn diese DNS-Server nicht erreichbar sind, wird als Reaktion eine VPN-Verbindung eingerichtet. Diese DNS-Server müssen entweder interne DNS-Server oder vertrauenswürdige externe DNS-Server sein. (Optional)
    Kriterien/Wert für Parameter
    • Schnittstellenübereinstimmung – Wählen Sie den Typ der Verbindung aus, der mit dem aktuellen Adapter des Gerätnetzwerks übereinstimmt. Die verfügbaren Werte sind Beliebig, WLAN, Ethernet und Mobilfunknetz.
    • URL-Test – Geben Sie die festgelegte URL für die Kriterien ein, die eingehalten werden sollen. Wenn die Kriterien eingehalten werden, wird ein 200 HTTP-Statuscode zurückgegeben. Dieses Format umfasst das Protokoll (HTTPS).
    • Übereinstimmung bei SSID – Geben Sie die aktuelle Netzwerk-ID des Geräts ein. Damit die Kriterien eingehalten werden, muss mindestens ein Wert in der Reihe zutreffen.
      • Verwenden Sie das Symbol +, um gegebenenfalls mehrere SSIDs einzugeben.
    • Übereinstimmung bei DNS-Domänen – Geben Sie die Suchdomäne des aktuellen Netzwerks des Geräts ein. Ein Platzhalter kann verwendet werden (*.example.com).
    • Übereinstimmung bei DNS-Adressen – Geben Sie die DNS-Adresse ein, die mit der IP-Adresse des aktuellen DNS-Servers des Geräts übereinstimmt. Damit die Kriterien eingehalten werden, sind alle aufgelisteten IP-Adressen des Geräts einzugeben. Die Übereinstimmung mithilfe eines einzelnen Platzhalters wird unterstützt (17.*).
  8. Als Alternative können Sie die veraltete Option VPN-On-Demand verwenden:
    Einstellung Beschreibung
    Domäne oder Host abstimmen

    On-Demand-Aktion

    • Bei Bedarf herstellen oder Immer herstellen – Initiiert eine VPN-Verbindung nur, wenn die angegebene Seite nicht direkt erreicht werden kann.
    • Nie herstellen – Errichtet keine VPN-Verbindung für Adressen, die mit der angegebenen Domäne übereinstimmen. Wenn das VPN bereits aktiv ist, kann es jedoch verwendet werden.
  9. Verwenden Sie das Symbol +, um gegebenenfalls zusätzliche Regeln und Aktionsparameter hinzuzufügen.
  10. Wählen Sie einen Proxy-Typ:
    Einstellung Beschreibung
    Proxy

    Wählen Sie den Proxytyp Manuell oder Automatisch zur Konfiguration mit dieser VPN-Verbindung.

    Server Geben Sie die URL für den Proxyserver ein.
    Port Geben Sie den Port ein, der für die Kommunikation mit dem Proxy verwendet wird.
    Benutzername Geben Sie den Benutzernamen für die Verbindung mit dem Proxyserver ein.
    Kennwort Geben Sie das Kennwort für die Authentifizierung ein.
  11. Richten Sie die Anbieterkonfigurationen ein. Diese Werte sind für jeden VPN-Anbieter eindeutig.
    Einstellung Beschreibung
    Anbieterschlüssel

    Wählen Sie diese Option, um benutzerdefinierte Schlüssel zu erstellen, die in das Konfigurationswörterbuch für Anbieter aufgenommen werden.

    Schlüssel Geben Sie den spezifischen Schlüssel ein, der vom Anbieter bereitgestellt wurde.
    Wert Geben Sie den VPN-Wert für jeden Schlüssel ein.
  12. Klicken Sie auf Speichern und veröffentlichen. Sobald das Profil auf dem Gerät installiert wird, erscheint automatisch eine VPN-Verbindungsaufforderung, wenn der Benutzer zu einer Site navigiert, die diese verlangt, wie beispielsweise SharePoint.