VPN-Geräterichtlinie

Sie können in Endpoint Management eine Geräterichtlinie hinzufügen, um die Einstellungen für ein VPN (virtuelles privates Netzwerk) für eine sichere Verbindung zwischen Geräten und Unternehmensressourcen zu konfigurieren. Sie können die VPN-Richtlinie für die nachstehenden Plattformen konfigurieren. Jede Plattform erfordert andere Werte. Diese werden im vorliegenden Artikel detailliert beschrieben.

Zum Hinzufügen oder Konfigurieren dieser Richtlinie gehen Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

iOS-Einstellungen

Hinweis:

Vorbereitung von Geräteupgrades auf iOS 12: Der Verbindungstyp “Citrix VPN” in der VPN-Geräterichtlinie für iOS unterstützt iOS 12 nicht. Mit diesen Schritten löschen Sie Ihre VPN-Geräterichtlinie und erstellen eine neue mit dem Verbindungstyp “Citrix SSO”:

  1. Löschen Sie Ihre VPN-Geräterichtlinie für iOS.
  2. Fügen Sie eine VPN-Geräterichtlinie für iOS hinzu. Wichtige Einstellungen:
    • Verbindungstyp = Citrix SSO
    • Pro-App-VPN aktivieren = Ein
    • Anbietertyp = Pakettunnel
  3. Fügen Sie eine Geräterichtlinie “App-Attribute” für iOS hinzu. Wählen Sie für ID für VPN-Zugriff pro App die Option iOS_VPN.

Bild des Konfigurationsbildschirms für Geräterichtlinien

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein.
  • Verbindungstyp: Klicken Sie in der Liste auf das Protokoll, das für die Verbindung verwendet werden soll. Der Standardwert ist L2TP.
    • L2TP: Layer-2-Tunnelingprotokoll mit Authentifizierung mit vorinstalliertem Schlüssel
    • PPTP: Point-to-Point Tunneling
    • IPSec: Ihre Unternehmens-VPN-Verbindung.
    • Cisco Legacy AnyConnect: Dieser Verbindungstyp erfordert, dass der Cisco AnyConnect VPN-Client auf dem Benutzergerät installiert ist. Cisco lässt den Cisco Legacy AnyConnect-Client auslaufen, der auf einem mittlerweile veralteten VPN-Framework basiert. Weitere Informationen finden Sie im Endpoint Management-Supportartikel https://support.citrix.com/article/CTX227708.

      Zur Verwendung des aktuellen Cisco AnyConnect-Clients wählen Sie als Verbindungstyp die Option Benutzerdefiniertes SSL. Die erforderlichen Einstellungen finden Sie unter “Konfigurieren des benutzerdefinierten SSL-Protokolls” in diesem Abschnitt.

    • Juniper SSL: Juniper Networks SSL VPN-Client.
    • F5 SSL: F5 Networks SSL VPN-Client.
    • SonicWALL Mobile Connect: einheitlicher Dell VPN-Client für iOS.
    • Ariba VIA: Ariba Networks Virtual Internet Access-Client.
    • IKEv2 (nur iOS): Internet Key Exchange Version 2 für iOS.
    • Citrix SSO: Citrix SSO-Client für iOS 12 und höher.
    • Benutzerdefiniertes SSL: benutzerdefiniertes Secure Socket Layer. Dieser Verbindungstyp ist für den Cisco AnyConnect-Client mit Paket-ID com.cisco.anyconnect erforderlich. Geben Sie einen Verbindungsnamen für Cisco AnyConnect an. Sie können auch die VPN-Richtlinie bereitstellen und einen NAC-Filter (Network Access Control) für iOS-Geräte aktivieren. Der Filter blockiert eine VPN-Verbindung für Geräte, auf denen nicht richtlinientreue Apps installiert sind. Die Konfiguration erfordert spezifische Einstellungen für die iOS-VPN-Richtlinie (siehe Abschnitt “iOS” unten). Informationen zu weiteren Einstellungen, die zum Aktivieren des NAC-Filters erforderlich sind, finden Sie unter Netzwerkzugriffssteuerung.

In den folgenden Abschnitten werden die Konfigurationsoptionen für die einzelnen Verbindungsmethoden aufgeführt.

Konfigurieren von L2TP für iOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Wählen Sie Kennwortauthentifizierung oder RSA SecureID-Authentifizierung.
  • Gemeinsamer geheimer Schlüssel: Geben Sie den gemeinsamen geheimen Schlüssel für IPsec ein.
  • Gesamten Datenverkehr senden: Wählen Sie aus, ob der gesamte Datenverkehr über das VPN geleitet werden soll. Der Standardwert ist Aus.

Konfigurieren von PPTP für iOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Wählen Sie Kennwortauthentifizierung oder RSA SecureID-Authentifizierung.
  • Verschlüsselungsgrad: Wählen Sie in der Liste einen Verschlüsselungsgrad aus. Der Standardwert ist Ohne.
    • Ohne: keine Verschlüsselung verwenden.
    • Automatisch: den höchsten vom Server unterstützten Verschlüsselungsgrad verwenden.
    • Maximum (128 Bit): immer 128-Bit-Verschlüsselung verwenden.
  • Gesamten Datenverkehr senden: Wählen Sie aus, ob der gesamte Datenverkehr über das VPN geleitet werden soll. Der Standardwert ist Aus.

Konfigurieren von IPsec für iOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Gemeinsamer geheimer Schlüssel oder Zertifikat für den Authentifizierungstyp dieser Verbindung aus. Die Standardeinstellung ist Gemeinsamer geheimer Schlüssel.
  • Bei Auswahl von Gemeinsamer geheimer Schlüssel konfigurieren Sie die folgenden Einstellungen:
    • Gruppenname: Geben Sie optional einen Gruppennamen ein.
    • Gemeinsamer geheimer Schlüssel: Geben Sie optional einen gemeinsamen geheimen Schlüssel ein.
    • Hybride Authentifizierung: Wählen Sie aus, ob die Hybridauthentifizierung verwendet werden soll. Bei der hybriden Authentifizierung authentifiziert sich der Server zuerst beim Client und der Client authentifiziert sich dann beim Server. Der Standardwert ist Aus.
    • Zur Kennworteingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihres Kennworts aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
  • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
    • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
    • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer ihre PIN eingeben müssen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf für iOS.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Nur in iOS 9.0 und höher verfügbar.
  • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
  • Safari-Domänen: Klicken Sie auf Hinzufügen, um einen Safari-Domänennamen hinzuzufügen.

Konfigurieren von Cisco Legacy AnyConnect für iOS

Für einen Wechsel vom Cisco Legacy AnyConnect-Client zum neuen Cisco AnyConnect-Client verwenden Sie das benutzerdefinierte SSL-Protokoll.

  • Anbieterpaket-ID: Die Paket-ID für den Legacy AnyConnect-Client ist com.cisco.anyconnect.gui.
  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Gruppe: Geben Sie optional einen Gruppennamen ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf für iOS.
  • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Nur für iOS 7.0 und höher verfügbar. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von Juniper SSL für iOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Bereich: Geben Sie optional einen Bereichsnamen ein.
  • Rolle: Geben Sie optional einen Rollennamen ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf für iOS.
  • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Nur für iOS 7.0 und höher verfügbar. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von F5 SSL für iOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf für iOS.
  • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Nur für iOS 7.0 und höher verfügbar. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von SonicWALL für iOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Anmeldegruppe oder -domäne: Geben Sie optional eine Anmeldegruppe oder -domäne ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf für iOS.
  • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Nur für iOS 7.0 und höher verfügbar. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von Ariba VIA für iOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf für iOS.
  • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Nur für iOS 7.0 und höher verfügbar. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von IKEv2-Protokollen für iOS

Dieser Abschnitt enthält Informationen zu den Einstellungen für die Protokolle IKEv2, AlwaysOn, und AlwaysOn IKEv2-Doppelkonfiguration.

  • Deaktivieren der automatischen Verbindung durch Benutzer zulassen: für AlwaysOn-Protokolle. Wählen Sie, ob Benutzer das Herstellen einer automatischen Verbindung mit dem Netzwerk auf ihren Geräten deaktivieren können. Der Standardwert ist Aus.

  • Hostname oder IP-Adresse des Servers: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.

  • Lokale ID: Geben Sie den FQDN oder die IP-Adresse des IKEv2-Clients ein. Diese Angabe ist erforderlich.

  • Remote-ID: Geben Sie den FQDN oder die IP-Adresse des VPN-Servers ein. Diese Angabe ist erforderlich.

  • Maschinenauthentifizierung: Wählen Sie Gemeinsamer geheimer Schlüssel oder Zertifikat als Authentifizierungstyp für die Verbindung aus. Die Standardeinstellung ist Gemeinsamer geheimer Schlüssel.

    • Wenn Sie Gemeinsamer geheimer Schlüssel auswählen, geben Sie einen gemeinsamen geheimen Schlüssel ein.

    • Bei Auswahl von Zertifikat wählen Sie die zu verwendenden Identitätsanmeldeinformationen. Der Standardwert ist Ohne.

  • Erweiterte Authentifizierung aktiviert: Wählen Sie aus, ob das Protokoll für erweiterte Authentifizierung (EAP) aktiviert werden soll. Bei Auswahl Ein geben Sie das Benutzerkonto und das Authentifizierungskennwort ein (iOS 8.0 und höher).

  • DPD-Intervall (Dead Peer Detection): Wählen Sie aus, wie oft eine Verbindung mit Peer-Geräten hergestellt werden soll, um sicherzustellen, dass die Geräte erreichbar bleiben. Der Standardwert ist Ohne. Es stehen folgende Optionen zur Verfügung (iOS 8.0 und höher):

    • Ohne: Dead Peer Detection ist deaktiviert.

    • Niedrig: Verbindung mit Peer alle 30 Minuten herstellen.

    • Mittel: Verbindung mit Peer alle 10 Minuten herstellen.

    • Hoch: Verbindung mit Peer jede Minute herstellen.

  • Mobilität und Multihoming deaktivieren: Wählen Sie aus, ob dieses Feature deaktiviert werden soll (iOS 9.0 und höher).

  • Interne IPv4-/IPv6-Subnetzattribute verwenden: Wählen Sie aus, ob dieses Feature aktiviert werden soll (iOS 9.0 und höher).

  • Umleitungen deaktivieren: Wählen Sie aus, ob Umleitungen deaktiviert werden sollen (iOS 9.0 und höher).

  • NAT-Keep-Alive aktivieren, wenn Gerät im Standbymodus ist: für AlwaysOn-Protokolle. Keep-Alive-Pakete behalten NAT-Zuordnungen für IKEv2-Verbindungen. Diese Pakete werden in regelmäßigen Abständen gesendet, wenn das Gerät im aktiven Zustand ist. Wenn diese Einstellung auf Ein festgelegt ist, werden Keep-Alive-Pakete auch dann gesendet, wenn das Gerät im Standbymodus ist. Der Standardwert ist 20 Sekunden über Wi-Fi und 110 Sekunden über das Mobilfunknetz. Sie können das Intervall über den Parameter NAT-Keep-Alive-Intervall ändern (iOS 9.0 und höher).

  • NAT-Keep-Alive Intervall (Sekunden): Der Standardwert ist 20 Sekunden (iOS 9.0 und höher).

  • Perfect Forward Secrecy (PFS) aktivieren: Wählen Sie, ob dieses Feature aktiviert werden soll (iOS 9.0 und höher).

  • IP-Adressen der DNS-Server: optional. Liste der DNS-Server-IP-Adressen. Die Liste kann IPv4- und IPv6-Adressen enthalten. Klicken Sie auf Hinzufügen, um eine Adresse einzugeben.

  • Domänenname: optional. Primäre Domäne des Tunnels (iOS 10.0 und höher)

  • Suchdomänen: optional. Liste von Domänenzeichenfolgen, die verwendet werden, um einteilige Hostnamen vollständig zu qualifizieren.

  • Zusätzliche Domänen für Übereinstimmungen an Auflösungsliste anhängen: optional. Legt fest, ob die zusätzlichen Domänen für Übereinstimmungen an die Liste der Suchdomänen für die Auflösung angehängt werden sollen. 0 bedeutet anhängen, 1 bedeutet nicht anhängen. Der Standardwert ist 0.

  • Zusätzliche Domänen für Übereinstimmungen: optional. Liste der Domänenzeichenfolgen zur Bestimmung der DNS-Abfragen, die die Einstellungen der DNS-Auflösung in den DNS-Serveradressen verwenden sollen. Der Schlüssel erstellt eine geteilte DNS-Konfiguration, bei der nur Hosts in bestimmten Domänen über die DNS-Auflösung des Tunnels aufgelöst werden. Hosts, die nicht auf der Liste stehen, werden unter Verwendung der Standard-Systemauflösung aufgelöst.

Wenn dieser Parameter eine leere Zeichenfolge enthält, wird diese Zeichenfolge als die Standarddomäne verwendet. Auf diese Weise werden durch die Split-Tunnel-Konfiguration alle DNS-Abfragen vor den primären DNS-Servern an die VPN-DNS-Server geleitet. Wenn der VPN-Tunnel zur Standardroute des Netzwerks wird, werden die aufgelisteten DNS-Server zur Standardauflösung. Die zusätzlichen Domänen für Übereinstimmungen werden dann ignoriert.

  • IKE SA-Parameter und Untergeordnete SA-Parameter. Konfigurieren Sie folgende Einstellungen für jeden Parameter der Sicherheitszuordnung (SA):

    • Verschlüsselungsalgorithmus: Klicken Sie in der Liste auf den IKE-Verschlüsselungsalgorithmus, der verwendet werden soll. Der Standardwert ist 3DES.

    • Integritätsalgorithmus: Klicken Sie in der Liste auf den Integritätsalgorithmus, der verwendet werden soll. Die Standardeinstellung ist SHA1-96.

    • Diffie Hellman-Gruppe: Klicken Sie in der Liste auf die Diffie Hellman-Gruppennummer. Der Standardwert ist 2.

    • Lebensdauer in Minuten: Geben Sie eine Ganzzahl zwischen 10 und 1440 für die SA-Lebensdauer ein (Intervall der Schlüsselerneuerung). Der Standardwert ist 1440 Minuten.

  • Dienstausnahmen: für AlwaysOn-Protokolle. Dienstausnahmen sind Systemdienste, die vom Always-On-VPN ausgenommen sind. Konfigurieren Sie folgende Einstellungen für Dienstausnahmen:

    • Voicemail: Klicken Sie in der Liste auf die gewünschte Behandlung der Voicemail-Ausnahme. Der Standardwert ist Datenverkehr über Tunnel zulassen.

    • AirPrint: Klicken Sie in der Liste auf die gewünschte Behandlung der AirPrint-Ausnahme. Der Standardwert ist Datenverkehr über Tunnel zulassen.

    • Datenverkehr von Captive-Websheet außerhalb des Tunnels zulassen: Wählen Sie aus, ob Benutzern das Herstellen einer Verbindung mit öffentlichen Hotspots außerhalb des VPN-Tunnels gestattet werden soll. Der Standardwert ist Aus.

    • Datenverkehr von allen Captive-Netzwerk-Apps außerhalb des Tunnels zulassen: Wählen Sie aus, ob alle Hotspot-Netzwerk-Apps außerhalb des VPN-Tunnels zugelassen werden sollen. Der Standardwert ist Aus.

    • Paket-ID für Captive-Netzwerk-App: Klicken Sie zur Auswahl der einzelnen Paket-IDs der Hotspot-Netzwerk-Apps, auf die Benutzer zugreifen dürfen, auf Hinzufügen und geben Sie die Paket-ID der Hotspot-Netzwerk-App ein. Klicken Sie auf Speichern, um die App-Paket-ID zu speichern.

  • VPN-Zugriff pro App: Konfigurieren Sie diese Einstellungen für IKEv2-Verbindungen

    • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Nur in iOS 9.0 und höher verfügbar.
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Safari-Domänen: Klicken Sie auf Hinzufügen, um einen Safari-Domänennamen hinzuzufügen.
  • Proxykonfiguration: Wählen Sie nach Bedarf das Routing der VPN-Verbindung über einen Proxyserver aus. Standardwert ist Ohne.

Konfigurieren des Citrix SSO-Protokolls für iOS

Der Citrix SSO-Client steht hier im Apple-Store zur Verfügung.

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf für iOS.
  • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
    • Anbietertyp: Legen Sie dies auf Pakettunnel fest.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • Benutzerdefiniertes XML: Für jeden benutzerdefinierten XML-Parameter, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und geben Sie das Schlüssel/Wert-Paar an. Folgende Parameter sind verfügbar:
    • disableL3: deaktiviert VPN auf Systemebene. Nur VPN-Zugriff pro App ist zulässig. Es ist kein Wert erforderlich.
    • useragent: ordnet dieser Geräterichtlinie alle NetScaler-Richtlinien zu, die auf VPN-Plug-In-Clients abzielen. Der Wert für diesen Schlüssel wird für die vom Plug-In initiierten Anfragen automatisch an das VPN-Plug-In angehängt.

Konfigurieren des benutzerdefinierten SSL-Protokolls für iOS

Nutzen Sie folgende Schrittfolge für den Wechsel vom Cisco Legacy AnyConnect-Client zum Cisco AnyConnect-Client:

  1. Konfigurieren Sie die VPN-Geräterichtlinie mit dem benutzerdefinierten SSL-Protokoll. Stellen Sie die Richtlinie auf iOS-Geräten bereit.
  2. Laden Sie den Cisco AnyConnect-Client von https://itunes.apple.com/us/app/cisco-anyconnect/id1135064690?mt=8 hoch, fügen Sie die App Endpoint Management hinzu und stellen Sie sie dann auf iOS-Geräten bereit.
  3. Entfernen Sie die alte VPN-Geräterichtlinie von iOS-Geräten.

Einstellungen:

  • Benutzerdefinierte SSL-ID (Reverse DNS-Format): Legen Sie dies auf die Paket-ID fest. Verwenden Sie com.cisco.anyconnect für den Cisco AnyConnect-Client.
  • Anbieterpaket-ID: Wenn die unter Benutzerdefinierte SSL-ID angegebene App mehrere VPN-Anbieter des gleichen Typs hat (App-Proxy oder Pakettunnel), geben Sie diese ID an. Verwenden Sie com.cisco.anyconnect für den Cisco AnyConnect-Client.
  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf für iOS.
  • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Nur für iOS 7.0 und höher verfügbar. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
    • Anbietertyp: Der Anbietertyp gibt an, ob es sich um einen VPN-Dienst oder einen Proxy-Dienst handelt. Wählen Sie für VPN-Dienst die Option Pakettunnel. Wählen Sie für Proxy-Dienst App-Proxy. Wählen Sie Pakettunnel für den Cisco AnyConnect-Client.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • Benutzerdefiniertes XML: Für jeden benutzerdefinierten XML-Parameter, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
    • Parametername: Geben Sie den Namen des gewünschten Parameters ein.
    • Wert: Geben Sie den mit Parametername verknüpften Wert ein.
    • Klicken Sie auf Speichern, um den Parameter zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der VPN-Geräterichtlinie zur Unterstützung von NAC

  1. Für die Konfiguration des NAC-Filters muss für den Verbindungstyp die Option Benutzerdefiniertes SSL verwendet werden.
  2. Geben Sie für Verbindungsname die Option VPN an.
  3. Geben Sie für Benutzerdefinierte SSL-ID den Text com.citrix.NetScalerGateway.ios.app ein.
  4. Geben Sie für Anbieterpaket-ID den Text com.citrix.NetScalerGateway.ios.app.vpnplugin ein.

Die Werte in Schritt 3 und 4 entstammen der erforderlichen Citrix SSO 1.0.1-Installation für die NAC-Filterung. Sie konfigurieren kein Authentifizierungskennwort. Weitere Informationen zur Verwendung der NAC-Funktion finden Sie unter Netzwerkzugriffssteuerung.

Konfigurieren der Optionen für “VPN bei Bedarf aktivieren” für iOS

  • On-Demand-Domäne: Klicken Sie für jede gewünschte Domäne und Aktion, die beim Herstellen einer Verbindung mit der Domäne erfolgen soll, auf Hinzufügen und führen Sie folgende Schritte aus:
  • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
  • Aktion: Klicken Sie in der Liste auf eine mögliche Aktion:
    • Immer herstellen: Die Domäne löst immer eine VPN-Verbindung aus.
    • Nie herstellen: Die Domäne löst nie eine VPN-Verbindung aus.
    • Wenn erforderlich herstellen: Die Domäne löst eine VPN-Verbindung aus, wenn die Auflösung des Domänennamens fehlschlägt, z. B. wenn der DNS-Server die Domäne nicht auflösen kann oder die Verbindung an einen anderen Server umleitet oder wenn beim DNS-Server ein Timeout auftritt.
    • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • On-Demand-Regeln
    • Aktion: Klicken Sie in der Liste auf die gewünschte Aktion. Der Standardwert ist EvaluateConnection. Zulässige Aktionen:
      • Zulassen: On-Demand-VPN-Verbindung bei einer entsprechenden Auslösung zulassen.
      • Verbinden: Auf jeden Fall eine VPN-Verbindung herstellen.
      • Trennen: VPN-Verbindung trennen und bei Zutreffen der Regel keine Wiederverbindung herstellen.
      • EvaluateConnection: ActionParameters-Array für jede Verbindung auswerten.
      • Ignorieren: Bestehende VPN-Verbindungen beibehalten, bei Zutreffen der Regel jedoch keine Wiederverbindung herstellen.
    • DNSDomainMatch: Klicken Sie für jede Domäne, die bei der Suche anhand der Domänenliste von Geräten als Treffer in Betracht gezogen werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • DNS-Domäne: Geben Sie den Domänennamen ein. Sie können den Asteriskus (*) als Platzhalter für das Präfix für mehrere Domänen verwenden. Beispiel: *.beispiel.com steht für meinedomäne.beispiel.com, seinedomäne.beispiel.com und ihredomäne.beispiel.com.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • DNSServerAddressMatch: Klicken Sie für jede DNS-Server-IP-Adresse im Netzwerk, die als Treffer in Betracht gezogen werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Adresse des DNS-Servers: Geben Sie die gewünschte DNS-Serveradresse ein. Sie können den Asteriskus (*) als Platzhalter für das Suffix für mehrere DNS-Server verwenden. “17.*” entspricht beispielsweise allen DNS-Servern im Subnetz der Klasse A.
      • Klicken Sie auf Speichern, um die DNS-Serveradresse zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.
    • InterfaceTypeMatch: Klicken Sie in der Liste auf den Hardwaretyp der verwendeten primären Netzwerkschnittstelle. Der Standardwert ist Keine Angabe. Zulässige Werte:
      • Keine Angabe: entspricht Netzwerkschnittstellenhardware aller Typen. Dies ist die Standardeinstellung.
      • Ethernet: entspricht Ethernet-Netzwerkschnittstellen.
      • WiFi: entspricht WiFi-Netzwerkschnittstellen.
      • Mobilnetz: entspricht Mobilnetzschnittstellen.
    • SSIDMatch: Klicken Sie für jede SSID, die als Treffer für das aktuelle Netzwerk in Betracht gezogen werden soll, auf Hinzufügen und führen Sie die folgenden Schritte aus:
      • SSID: Geben Sie die gewünschte SSID ein. Ist das Netzwerk kein WiFi-Netzwerk oder erscheint die SSID nicht, gibt es keinen Treffer. Zur Einbeziehung aller SSIDs lassen Sie die Liste leer.
      • Klicken Sie auf Speichern, um die SSID zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.
    • URLStringProbe: Geben Sie eine URL für den Abruf ein. Kann die URL ohne Umleitung abgerufen werden, trifft die Regel zu.
    • ActionParameters : Domains: Klicken Sie für jede Domäne, die durch EvaluateConnection geprüft werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • ActionParameters : DomainAction: Klicken Sie in dieser Liste auf die VPN-Aktionen für die unter ActionParameters : Domains angegebenen Domänen. Die Standardeinstellung ist ConnectIfNeeded. Zulässige Aktionen:
      • ConnectIfNeeded: Die Domäne löst eine VPN-Verbindung aus, wenn die Auflösung des Domänennamens fehlschlägt, z. B. wenn der DNS-Server die Domäne nicht auflösen kann oder die Verbindung an einen anderen Server umleitet oder wenn beim DNS-Server ein Timeout auftritt.
      • NeverConnect: Die Domäne löst nie eine VPN-Verbindung aus.
    • ActionParameters : RequiredDNSServers: Klicken Sie für jede DNS-Server-IP-Adresse, die zum Auflösen der angegebenen Domänen verwendet werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • DNS-Server: nur gültig, wenn ActionParameters : DomainAction = ConnectIfNeeded. Geben Sie den DNS-Server an, der hinzugefügt werden soll. Dieser Server muss nicht Teil der aktuellen Netzwerkkonfiguration des Geräts sein. Ist der DNS-Server nicht erreichbar, wird eine VPN-Verbindung hergestellt. Bei diesem DNS-Server muss es sich entweder um einen internen DNS-Server oder einen vertrauenswürdigen externen DNS-Server handeln.
      • Klicken Sie auf Speichern, um den DNS-Server zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.
    • ActionParameters : RequiredURLStringProbe: Geben Sie optional eine HTTP- oder HTTPS-URL (bevorzugt letztere) zur Prüfung mit einer GET-Anforderung ein. Kann der Hostname der URL nicht aufgelöst werden oder ist der Server nicht erreichbar oder gibt der Server nicht den HTTP-Statuscode 200 zurück, wird eine VPN-Verbindung hergestellt. Nur gültig, wenn ActionParameters : DomainAction = ConnectIfNeeded.
    • OnDemandRules : XML content: Geben Sie eine XML-Konfiguration für On-Demand-Regeln ein bzw. kopieren Sie sie und fügen Sie sie ein.
      • Klicken Sie auf Wörterbuch prüfen, um den XML-Code zu prüfen. Wenn die XML-Datei gültig ist, wird “Gültige XML” in grün unterhalb des XML-Texts angezeigt, ansonsten wird eine orange Fehlermeldung mit einer Beschreibung des Fehlers angezeigt.
  • Proxy
    • Proxykonfiguration: Wählen Sie in der Liste nach Bedarf das Routing der VPN-Verbindung über einen Proxyserver aus. Der Standardwert ist Ohne.
      • Bei Auswahl von Manuell konfigurieren Sie die folgenden Einstellungen:
        • Hostname oder IP-Adresse des Proxyservers: Geben Sie den Hostnamen oder die IP-Adresse des Proxyservers ein. Diese Angabe ist erforderlich.
        • Port für den Proxyserver: Geben Sie die Portnummer des Proxyservers ein. Diese Angabe ist erforderlich.
        • Benutzername: Geben Sie einen optionalen Benutzernamen für den Proxyserver ein.
        • Kennwort: Geben Sie ein optionales Kennwort für den Proxyserver ein.
      • Bei Auswahl von Automatisch konfigurieren Sie die folgende Einstellung:
        • Proxyserver-URL: Geben Sie die URL des Proxyservers ein. Diese Angabe ist erforderlich.
  • Richtlinieneinstellungen
    • Klicken Sie unter Richtlinieneinstellungen für Richtlinie entfernen auf Datum auswählen oder Zeit bis zum Entfernen (in Stunden).
    • Bei Auswahl von Datum auswählen klicken Sie auf den Kalender, um das Datum für das Entfernen anzugeben.
    • Klicken Sie in der Liste Benutzer darf Richtlinie entfernen auf Immer, Kennwort erforderlich oder Nie.
    • Bei Auswahl von Passcode erforderlich geben Sie für Passcode zum Entfernen den Passcode ein.

Konfigurieren des Pro-App-VPN-Zugriffs

Die Pro-App-VPN-Optionen für iOS sind für folgende Verbindungstypen verfügbar: Cisco AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA, Citrix VPN, Citrix SSO und Benutzerdefiniertes SSL.

Konfigurieren des Pro-App-VPN-Zugriffs:

  1. Erstellen Sie unter Konfigurieren > Geräterichtlinien eine VPN-Richtlinie. For example:

    Bild des Konfigurationsbildschirms für Geräterichtlinien

    Bild des Konfigurationsbildschirms für Geräterichtlinien

    Eine Pro-App-VPN-Richtlinie für Secure Hub erfordert folgende Einstellungen:

    • Verbindungsname: Legen Sie diesen auf Endpoint Management fest. Endpoint Management verwendet den Verbindungsnamen als lokalisierte Beschreibung des VPN-Anbieter. Secure Hub verwendet die lokalisierte VPN-Beschreibung zur Unterscheidung zwischen dem geräteübergreifenden Anbieter und dem Pro-App-Anbieter.

    • Verbindungstyp: Legen Sie Benutzerdefiniertes SSL fest.

    • Benutzerdefinierte SSL-ID: Legen Sie dies auf die Paket-ID von Secure Hub fest.

    • Anbieter-Paket-ID: Legen Sie dies auf die Paket-ID der Secure Hub-Netzwerkerweiterung fest. Die Paket-ID ist die unter Benutzerdefinierte SSL-ID angegebene Secure Hub-Paket-ID mit dem Suffix .NE.

    • Anbietertyp: Legen Sie dies auf Pakettunnel fest.

  2. Erstellen Sie unter Konfigurieren > Geräterichtlinien eine Geräterichtlinie für App-Attribute, um der Pro-VNP-Richtlinie eine App zuzuordnen. Wählen Sie für ID für VPN-Zugriff pro App den Namen der in Schritt 1 erstellten VPN-Richtlinie. Wählen Sie für Paket-ID für verwaltete App eine Option aus der App-Liste oder geben Sie die Paket-ID ein. (Wenn Sie eine iOS-App-Bestandsrichtlinie bereitstellen, enthält die Liste Apps.)

    Bild des Konfigurationsbildschirms für Geräterichtlinien

macOS-Einstellungen

Bild des Konfigurationsbildschirms für Geräterichtlinien

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein.
  • Verbindungstyp: Klicken Sie in der Liste auf das Protokoll, das für die Verbindung verwendet werden soll. Der Standardwert ist “L2TP”.
    • L2TP: Layer-2-Tunnelingprotokoll mit Authentifizierung mit vorinstalliertem Schlüssel
    • PPTP: Point-to-Point Tunneling
    • IPSec: Ihre Unternehmens-VPN-Verbindung.
    • Cisco AnyConnect: Cisco AnyConnect VPN-Client.
    • Juniper SSL: Juniper Networks SSL VPN-Client.
    • F5 SSL: F5 Networks SSL VPN-Client.
    • SonicWALL Mobile Connect: einheitlicher Dell VPN-Client für iOS.
    • Ariba VIA: Ariba Networks Virtual Internet Access-Client.
    • Citrix VPN: Citrix VPN-Client.
    • Benutzerdefiniertes SSL: benutzerdefiniertes Secure Socket Layer.

In den folgenden Abschnitten werden die Konfigurationsoptionen für die einzelnen Verbindungsmethoden aufgeführt.

Konfigurieren von L2TP für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Wählen Sie eine der folgenden Optionen aus: Kennwortauthentifizierung, RSA SecurID-Authentifizierung, Kerberos-Authentifizierung, CryptoCard-Authentifizierung. Der Standardwert ist Kennwortauthentifizierung.
  • Gemeinsamer geheimer Schlüssel: Geben Sie den gemeinsamen geheimen Schlüssel für IPsec ein.
  • Gesamten Datenverkehr senden: Wählen Sie aus, ob der gesamte Datenverkehr über das VPN geleitet werden soll. Der Standardwert ist Aus.

Konfigurieren von PPTP für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Wählen Sie eine der folgenden Optionen aus: Kennwortauthentifizierung, RSA SecurID-Authentifizierung, Kerberos-Authentifizierung, CryptoCard-Authentifizierung. Der Standardwert ist Kennwortauthentifizierung.
  • Verschlüsselungsgrad: Wählen Sie den gewünschten Verschlüsselungsgrad aus. Der Standardwert ist Ohne.
    • Ohne: keine Verschlüsselung verwenden.
    • Automatisch: den höchsten vom Server unterstützten Verschlüsselungsgrad verwenden.
    • Maximum (128 Bit): immer 128-Bit-Verschlüsselung verwenden.
  • Gesamten Datenverkehr senden: Wählen Sie aus, ob der gesamte Datenverkehr über das VPN geleitet werden soll. Der Standardwert ist Aus.

Konfigurieren von IPsec für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Gemeinsamer geheimer Schlüssel oder Zertifikat für den Authentifizierungstyp dieser Verbindung aus. Die Standardeinstellung ist Gemeinsamer geheimer Schlüssel.
    • Bei Auswahl von Gemeinsamer geheimer Schlüssel konfigurieren Sie die folgenden Einstellungen:
      • Gruppenname: Geben Sie optional einen Gruppennamen ein.
      • Gemeinsamer geheimer Schlüssel: Geben Sie optional einen gemeinsamen geheimen Schlüssel ein.
      • Hybride Authentifizierung: Wählen Sie aus, ob die Hybridauthentifizierung verwendet werden soll. Bei der hybriden Authentifizierung authentifiziert sich der Server zuerst beim Client und der Client authentifiziert sich dann beim Server. Der Standardwert ist Aus.
      • Zur Kennworteingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihres Kennworts aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer ihre PIN eingeben müssen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf.

Konfigurieren von Cisco AnyConnect für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Gruppe: Geben Sie optional einen Gruppennamen ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf.
    • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
      • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
      • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
        • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
        • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von Juniper SSL für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Bereich: Geben Sie optional einen Bereichsnamen ein.
  • Rolle: Geben Sie optional einen Rollennamen ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf.
  • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von F5 SSL für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf.
  • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von SonicWALL für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Anmeldegruppe oder -domäne: Geben Sie optional eine Anmeldegruppe oder -domäne ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf.
  • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von Ariba VIA für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf.
  • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von Citrix VPN für macOS

Der Citrix VPN-Client steht hier im Apple-Store zur Verfügung.

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf.
  • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Nur für iOS 7.0 und höher verfügbar. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • Benutzerdefiniertes XML: Für jeden benutzerdefinierten XML-Parameter, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und geben Sie das Schlüssel/Wert-Paar an. Folgende Parameter sind verfügbar:
    • disableL3: deaktiviert VPN auf Systemebene. Nur VPN-Zugriff pro App ist zulässig. Es ist kein Wert erforderlich.
    • useragent: ordnet dieser Geräterichtlinie alle NetScaler-Richtlinien zu, die auf VPN-Plug-In-Clients abzielen. Der Wert für diesen Schlüssel wird für die vom Plug-In initiierten Anfragen automatisch an das VPN-Plug-In angehängt.

Konfigurieren des benutzerdefinierten SSL-Protokolls für macOS

  • Benutzerdefinierte SSL-ID (Reverse DNS-Format): Geben Sie den SSL-Bezeichner im Reverse DNS-Format ein. Diese Angabe ist erforderlich.
  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein. Diese Angabe ist erforderlich.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
    • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für VPN bei Bedarf.
    • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
      • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
      • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
        • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
        • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • Benutzerdefiniertes XML: Für jeden benutzerdefinierten XML-Parameter, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
    • Parametername: Geben Sie den Namen des gewünschten Parameters ein.
    • Wert: Geben Sie den mit Parametername verknüpften Wert ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der Optionen für “VPN bei Bedarf aktivieren”

  • On-Demand-Domäne: Klicken Sie für jede gewünschte Domäne und Aktion, die beim Herstellen einer Verbindung mit der Domäne erfolgen soll, auf Hinzufügen und führen Sie folgende Schritte aus:
    • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
    • Aktion: Klicken Sie in der Liste auf eine mögliche Aktion:
      • Immer herstellen: Die Domäne löst immer eine VPN-Verbindung aus.
      • Nie herstellen: Die Domäne löst nie eine VPN-Verbindung aus.
      • Wenn erforderlich herstellen: Die Domäne löst eine VPN-Verbindung aus, wenn die Auflösung des Domänennamens fehlschlägt, z. B. wenn der DNS-Server die Domäne nicht auflösen kann oder die Verbindung an einen anderen Server umleitet oder wenn beim DNS-Server ein Timeout auftritt.
    • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • On-Demand-Regeln
    • Aktion: Klicken Sie in der Liste auf die gewünschte Aktion. Der Standardwert ist EvaluateConnection. Zulässige Aktionen:
      • Zulassen: On-Demand-VPN-Verbindung bei einer entsprechenden Auslösung zulassen.
      • Verbinden: Auf jeden Fall eine VPN-Verbindung herstellen.
      • Trennen: VPN-Verbindung trennen und bei Zutreffen der Regel keine Wiederverbindung herstellen.
      • EvaluateConnection: ActionParameters-Array für jede Verbindung auswerten.
      • Ignorieren: Bestehende VPN-Verbindungen beibehalten, bei Zutreffen der Regel jedoch keine Wiederverbindung herstellen.
    • DNSDomainMatch: Klicken Sie für jede Domäne, die bei der Suche anhand der Domänenliste von Geräten als Treffer in Betracht gezogen werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • DNS-Domäne: Geben Sie den Domänennamen ein. Sie können den Asteriskus (*) als Platzhalter für das Präfix für mehrere Domänen verwenden. Beispiel: *.beispiel.com steht für meinedomäne.beispiel.com, seinedomäne.beispiel.com und ihredomäne.beispiel.com.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • DNSServerAddressMatch: Klicken Sie für jede DNS-Server-IP-Adresse im Netzwerk, die als Treffer in Betracht gezogen werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Adresse des DNS-Servers: Geben Sie die gewünschte DNS-Serveradresse ein. Sie können den Asteriskus (*) als Platzhalter für das Suffix für mehrere DNS-Server verwenden. “17.*” entspricht beispielsweise allen DNS-Servern im Subnetz der Klasse A.
      • Klicken Sie auf Speichern, um die DNS-Serveradresse zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.
    • InterfaceTypeMatch: Klicken Sie in der Liste auf den Hardwaretyp der verwendeten primären Netzwerkschnittstelle. Der Standardwert ist Keine Angabe. Zulässige Werte:
      • Keine Angabe: entspricht Netzwerkschnittstellenhardware aller Typen. Dies ist die Standardeinstellung.
      • Ethernet: entspricht Ethernet-Netzwerkschnittstellen.
      • WiFi: entspricht WiFi-Netzwerkschnittstellen.
      • Mobilnetz: entspricht Mobilnetzschnittstellen.
    • SSIDMatch: Klicken Sie für jede SSID, die als Treffer für das aktuelle Netzwerk in Betracht gezogen werden soll, auf Hinzufügen und führen Sie die folgenden Schritte aus:
      • SSID: Geben Sie die gewünschte SSID ein. Ist das Netzwerk kein WiFi-Netzwerk oder erscheint die SSID nicht, gibt es keinen Treffer. Zur Einbeziehung aller SSIDs lassen Sie die Liste leer.
      • Klicken Sie auf Speichern, um die SSID zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.
    • URLStringProbe: Geben Sie eine URL für den Abruf ein. Kann die URL ohne Umleitung abgerufen werden, trifft die Regel zu.
    • ActionParameters : Domains: Klicken Sie für jede Domäne, die durch EvaluateConnection geprüft werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • ActionParameters : DomainAction: Klicken Sie in dieser Liste auf die VPN-Aktionen für die unter ActionParameters : Domains angegebenen Domänen. Die Standardeinstellung ist ConnectIfNeeded. Zulässige Aktionen:
      • ConnectIfNeeded: Die Domäne löst eine VPN-Verbindung aus, wenn die Auflösung des Domänennamens fehlschlägt, z. B. wenn der DNS-Server die Domäne nicht auflösen kann oder die Verbindung an einen anderen Server umleitet oder wenn beim DNS-Server ein Timeout auftritt.
      • NeverConnect: Die Domäne löst nie eine VPN-Verbindung aus.
    • ActionParameters : RequiredDNSServers: Klicken Sie für jede DNS-Server-IP-Adresse, die zum Auflösen der angegebenen Domänen verwendet werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • DNS-Server: nur gültig, wenn ActionParameters : DomainAction = ConnectIfNeeded. Geben Sie den DNS-Server an, der hinzugefügt werden soll. Dieser Server muss nicht Teil der aktuellen Netzwerkkonfiguration des Geräts sein. Ist der DNS-Server nicht erreichbar, wird eine VPN-Verbindung hergestellt. Bei diesem DNS-Server muss es sich entweder um einen internen DNS-Server oder einen vertrauenswürdigen externen DNS-Server handeln.
      • Klicken Sie auf Speichern, um den DNS-Server zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.
    • ActionParameters : RequiredURLStringProbe: Geben Sie optional eine HTTP- oder HTTPS-URL (bevorzugt letztere) zur Prüfung mit einer GET-Anforderung ein. Kann der Hostname der URL nicht aufgelöst werden oder ist der Server nicht erreichbar oder gibt der Server nicht den HTTP-Statuscode 200 zurück, wird eine VPN-Verbindung hergestellt. Nur gültig, wenn ActionParameters : DomainAction = ConnectIfNeeded.
    • OnDemandRules : XML content: Geben Sie eine XML-Konfiguration für On-Demand-Regeln ein bzw. kopieren Sie sie und fügen Sie sie ein.
      • Klicken Sie auf Wörterbuch prüfen, um den XML-Code zu prüfen. Wenn die XML-Datei gültig ist, wird “Gültige XML” in grün unterhalb des XML-Texts angezeigt, ansonsten wird eine orange Fehlermeldung mit einer Beschreibung des Fehlers angezeigt.
  • Proxy
    • Proxykonfiguration: Wählen Sie in der Liste nach Bedarf das Routing der VPN-Verbindung über einen Proxyserver aus. Der Standardwert ist Ohne.
      • Bei Auswahl von Manuell konfigurieren Sie die folgenden Einstellungen:
        • Hostname oder IP-Adresse des Proxyservers: Geben Sie den Hostnamen oder die IP-Adresse des Proxyservers ein. Diese Angabe ist erforderlich.
        • Port für den Proxyserver: Geben Sie die Portnummer des Proxyservers ein. Diese Angabe ist erforderlich.
        • Benutzername: Geben Sie einen optionalen Benutzernamen für den Proxyserver ein.
        • Kennwort: Geben Sie ein optionales Kennwort für den Proxyserver ein.
      • Bei Auswahl von Automatisch konfigurieren Sie die folgende Einstellung:
        • Proxyserver-URL: Geben Sie die URL des Proxyservers ein. Diese Angabe ist erforderlich.

Android-Einstellungen

Bild des Konfigurationsbildschirms für Geräterichtlinien

Konfigurieren von Citrix VPN für Android

  • Verbindungsname: Geben Sie einen Namen für die VPN-Verbindung ein. Diese Angabe ist erforderlich.

  • Servername oder IP-Adresse: Geben Sie den FQDN oder die IP-Adresse des NetScaler Gateway ein.

  • Authentifizierungstyp für Verbindung: Wählen Sie einen Authentifizierungstyp aus und füllen Sie diejenigen der folgenden Felder aus, die je nach Typ angezeigt werden:

    • Benutzername und Kennwort: Geben Sie die VPN-Anmeldeinformationen für die Authentifizierungstypen Kennwort bzw. Kennwort und Zertifikat ein. Optional. Wenn Sie keine VPN-Anmeldeinformationen angeben, fordert die Citrix VPN-App zur Eingabe von Benutzernamen und Kennwort auf.

    • Identitätsanmeldeinformationen: Diese Option wird für die Authentifizierungstypen Zertifikat und Kennwort und Zertifikat angezeigt.

  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Wenn Sie die Option nicht aktivieren, wird der gesamte Datenverkehr durch den Citrix VPN-Tunnel geleitet. Wenn Sie die Option aktivieren, legen Sie die nachfolgend aufgeführten Einstellungen fest. Der Standardwert ist Aus.

    • Positivliste oder Sperrliste: Wählen Sie eine Einstellung. Wenn Sie Positivliste wählen, wird der Datenverkehr aller Apps auf der Positivliste durch den VPN-Tunnel geleitet. Wenn Sie Sperrliste wählen, wird der Datenverkehr aller Apps mit Ausnahme derer, die auf der Sperrliste stehen, durch den VPN-Tunnel geleitet.

    • Anwendungsliste: Geben Sie die Apps für die Positiv- oder Sperrliste an. Klicken Sie auf Hinzufügen und geben Sie die App-Paketnamen getrennt durch Kommas ein.

  • Benutzerdefiniertes XML: Klicken Sie auf Hinzufügen und geben Sie benutzerdefinierte Parameter ein. Endpoint Management unterstützt folgende Parameter für Citrix VPN:

    • disableL3Mode: optional. Geben Sie zum Aktivieren des Parameters für Wert Yes ein. Wird die Option aktiviert, werden von Endpoint Management keine von Benutzern hinzugefügte VPN-Verbindungen angezeigt und die Benutzer können keine neuen Verbindungen hinzufügen. Diese globale Einschränkung gilt für alle VPN-Profile.

    • userAgent: Zeichenfolge. Sie können eine eigene Benutzeragent-Zeichenfolge für die Übermittlung mit jeder HTTP-Anforderung definieren. Die Benutzeragent-Zeichenfolge wird an den bestehenden Citrix VPN-Benutzeragent angehängt.

Konfigurieren von Cisco AnyConnect für Android

  • Verbindungsname: Geben Sie einen Namen für die Cisco AnyConnect VPN-Verbindung ein. Diese Angabe ist erforderlich.
  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein. Diese Angabe ist erforderlich.
  • Backup-VPN-Server: Geben Sie die Informationen des sekundären VPN-Servers ein.
  • Benutzergruppe: Geben Sie die Informationen zur Benutzergruppe ein.
  • Identitätsanmeldeinformationen: Wählen Sie Identitätsanmeldeinformationen in der Liste aus.
  • Vertrauenswürdige Netzwerke
    • Richtlinie für automatisches VPN: Aktivieren oder deaktivieren Sie diese Option, um festzulegen, wie das VPN auf vertrauenswürdige und nicht vertrauenswürdige Netzwerke reagiert. Wenn Sie diese Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
      • Richtlinie für vertrauenswürdiges Netzwerk: Klicken Sie in der Liste auf die gewünschte Richtlinie. Der Standardwert ist Trennen. Mögliche Optionen:
        • Trennen: Der Client trennt die VPN-Verbindung im vertrauenswürdigen Netzwerk. Dies ist die Standardeinstellung.
        • Verbinden: Der Client initiiert die VPN-Verbindung im vertrauenswürdigen Netzwerk.
        • Nichts tun: Der Client unternimmt keine Aktion.
        • Anhalten: Setzt die VPN-Sitzung aus (anstatt sie zu trennen), wenn ein Benutzer nach dem Herstellen einer VPN-Sitzung außerhalb eines vertrauenswürdigen Netzwerks ein als vertrauenswürdig konfiguriertes Netzwerk betritt. Verlässt der Benutzer das vertrauenswürdige Netzwerk wieder, wird die Sitzung fortgesetzt. Auf diese Weise muss beim Verlassen eines vertrauenswürdigen Netzwerks keine neue VPN-Sitzung erstellt werden.
      • Richtlinie für nicht vertrauenswürdiges Netzwerk: Klicken Sie in der Liste auf die gewünschte Richtlinie. Der Standardwert ist Verbinden. Mögliche Optionen:
        • Verbinden: Der Client initiiert die VPN-Verbindung im nicht vertrauenswürdigen Netzwerk.
        • Nichts tun: Der Client initiiert die VPN-Verbindung im nicht vertrauenswürdigen Netzwerk. Mit dieser Option wird Always-On-VPN deaktiviert.
    • Vertrauenswürdige Domänen: Klicken Sie für jedes Domänensuffix, das die Netzwerkschnittstelle haben darf, wenn der Client sich im vertrauenswürdigen Netzwerk befindet, auf Hinzufügen, und führen Sie die folgenden Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • Vertrauenswürdige Server: Klicken Sie für jede Serveradresse, die die Netzwerkschnittstelle haben darf, wenn der Client sich im vertrauenswürdigen Netzwerk befindet, auf Hinzufügen, und führen Sie die folgenden Schritte aus:
      • Server: Geben Sie den Namen des gewünschten Servers ein.
      • Klicken Sie auf Speichern, um den Server zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.

Samsung SAFE-Einstellungen

Bild des Konfigurationsbildschirms für Geräterichtlinien

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein.
  • VPN-Typ: Wählen Sie in der Liste das Protokoll aus, das für die Verbindung verwendet werden soll. Der Standardwert ist L2TP mit vorinstalliertem Schlüssel. Mögliche Optionen:
    • L2TP mit vorinstalliertem Schlüssel: Layer-2-Tunnelingprotokoll mit Authentifizierung mit vorinstalliertem Schlüssel. Dies ist die Standardeinstellung.
    • L2TP mit Zertifikat: Layer-2-Tunnelingprotokoll mit Zertifikat.
    • PPTP: Point-to-Point Tunneling
    • Unternehmen: Ihre Unternehmens-VPN-Verbindung. Gilt für SAFE-Versionen vor 2.0.
    • Generisch: generische VPN-Verbindung. Gilt für SAFE-Versionen ab 2.0.

Konfigurieren von L2TP mit vorinstalliertem Schlüssel für Samsung SAFE

  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • Vorinstallierter Schlüssel: Geben Sie den vorinstallierten Schlüssel ein. Diese Angabe ist erforderlich.

Konfigurieren von L2TP mit Zertifikatsprotokoll für Samsung SAFE

  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.

Konfigurieren von PPTP für Samsung SAFE

  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • Verschlüsselung aktivieren: Wählen Sie aus, ob Verschlüsselung für die VPN-Verbindung aktiviert werden soll.

Konfigurieren des Enterprise-Protokolls für Samsung SAFE

  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Backupserver aktivieren: Wählen Sie aus, ob ein Backup-VPN-Server aktiviert werden soll. Wenn Sie die Option aktivieren, geben Sie im Feld Backup-VPN-Server den FQDN oder die IP-Adresse des sekundären VPN-Servers ein.
  • Benutzerauthentifizierung aktivieren: Wählen Sie aus, ob die Benutzerauthentifizierung erforderlich sein soll. Wenn Sie diese Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • Benutzername: Geben Sie einen Benutzernamen ein.
    • Kennwort: Geben Sie das Benutzerkennwort ein.
  • Gruppenname: Geben Sie optional einen Gruppennamen ein.
  • Authentifizierungsmethode: Klicken Sie in der Liste auf die gewünschte Authentifizierungsmethode. Mögliche Optionen:
    • Zertifikat: Verwenden Sie Zertifikatauthentifizierung. Dies ist die Standardeinstellung. Klicken Sie bei Verwendung der Option in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
    • Vorinstallierter Schlüssel: Verwenden Sie einen vorinstallierten Schlüssel. Wenn Sie diese Option aktivieren, geben Sie im Feld “Vorinstallierter Schlüssel” den gemeinsamen geheimen Schlüssel ein.
    • Hybrid RSA: Hybridauthentifizierung mit RSA-Zertifikaten
    • EAP MD5: EAP-Peer wird beim EAP-Server authentifiziert, es erfolgt jedoch keine gegenseitige Authentifizierung.
    • EAP MSCHAPv2: Verwenden Sie Challenge Handshake Authentication von Microsoft für die gegenseitige Authentifizierung.
  • ZS-Zertifikat: Klicken Sie in der Liste auf das Zertifikat, das verwendet werden soll. Der Standardwert ist Ohne.
  • Standardroute aktivieren: Wählen Sie aus, ob eine Standardroute zum VPN-Server aktiviert werden soll. Der Standardwert ist Aus.
  • Smartcardauthentifizierung aktivieren: Wählen Sie aus, ob eine Authentifizierung per Smartcard zugelassen werden soll. Der Standardwert ist Aus.
  • Mobiloptionen aktivieren: Wählen Sie aus, ob die Mobiloptionen aktiviert werden sollen. Der Standardwert ist Aus.
  • Diffie-Hellman-Gruppenwert (Schlüsselstärke): Klicken Sie in der Liste auf die Schlüsselstärke, die verwendet werden soll. Der Standardwert ist 0.
  • Split-Tunneltyp: Klicken Sie in der Liste auf den gewünschten Split-Tunneltyp. Der Standardwert ist Auto. Mögliche Optionen:
    • Auto: Split-Tunneling wird automatisch verwendet.
    • Manuell: Split-Tunneling erfolgt über die IP-Adresse und den Port, die auf dem VPN-Server angegeben wurden.
    • Deaktiviert: Split-Tunneling wird nicht verwendet.
  • SuiteB-Typ: Klicken Sie in der Liste auf den gewünschten Grad der NSA Suite B-Verschlüsselung. Der Standardwert ist GCM-128. Mögliche Optionen:
    • GCM-128: AES-GCM-Verschlüsselung (128 Bit) verwenden.
    • GMAC-128: Verwenden Sie AES-GMAC-Verschlüsselung (128 Bit).
    • GMAC-256: AES-GMAC-Verschlüsselung (256 Bit) verwenden.
    • Ohne: keine Verschlüsselung verwenden.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren des generischen Protokolls für Samsung SAFE

  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Benutzerauthentifizierung aktivieren: Wählen Sie aus, ob die Benutzerauthentifizierung erforderlich sein soll. Wenn Sie die Option aktivieren, geben Sie im Feld Kennwort das Benutzerkennwort ein.
  • Benutzername: Geben Sie einen Benutzernamen ein.
  • Paketname für Agent-VPN: Der Paketname oder die ID der auf dem Gerät installierten VPN, z. B. Mocana oder Pulse Secure.
  • VPN-Verbindungstyp:Klicken Sie in der Liste auf IPSEC oder SSL, um den Verbindungstyp auszuwählen. Die Standardeinstellung ist IPSEC. In den folgenden Abschnitten werden die Konfigurationsoptionen für die einzelnen Verbindungstypen erläutert.

Konfigurieren der Einstellungen für IPsec-Verbindungen für Samsung SAFE

  • Identität: Geben Sie optional einen Bezeichner für diese Konfiguration ein.
  • ID-Typ für IPsec-Gruppe: Klicken Sie in der Liste auf den IPsec-Gruppen-ID-Typ. Der Standardwert ist Standard. Mögliche Optionen:
    • Standard
    • IPv4-Adresse
    • Vollqualifizierter Domänenname (FQDN)
    • Benutzer-FQDN
    • IKE-Schlüssel-ID
  • IKE-Version: Klicken Sie in der Liste auf die gewünschte Internet Key Exchange-Version. Der Standardwert ist IKEv1.
  • Authentifizierungsmethode: Klicken Sie in der Liste auf die gewünschte Authentifizierungsmethode. Der Standardwert ist Zertifikat. Mögliche Optionen:
    • Zertifikat: Verwenden Sie Zertifikatauthentifizierung. Klicken Sie bei Verwendung der Option in der Liste Identitätsanmeldeinformationen auf die Anmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
    • Vorinstallierter Schlüssel: Verwenden Sie einen vorinstallierten Schlüssel. Wenn Sie diese Option aktivieren, geben Sie im Feld Vorinstallierter Schlüssel den gemeinsamen geheimen Schlüssel ein.
    • Hybrid RSA: Hybridauthentifizierung mit RSA-Zertifikaten
    • EAP MD5: EAP-Peer wird beim EAP-Server authentifiziert, es erfolgt jedoch keine gegenseitige Authentifizierung.
    • EAP MSCHAPv2: Verwenden Sie Challenge Handshake Authentication von Microsoft für die gegenseitige Authentifizierung.
    • CAC-basierte Authentifizierung: Common Access Card (CAC) für die Authentifizierung verwenden.
  • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
  • ZS-Zertifikat: Klicken Sie in der Liste auf das Zertifikat, das verwendet werden soll.
  • Dead Peer Detection aktivieren: Wählen Sie aus, ob eine Verbindung mit Peers hergestellt werden soll, um sicherzustellen, dass diese erreichbar bleiben. Der Standardwert ist Aus.
  • Standardroute aktivieren: Wählen Sie aus, ob eine Standardroute zum VPN-Server aktiviert werden soll.
  • Mobiloptionen aktivieren: Wählen Sie aus, ob die Mobiloptionen aktiviert werden sollen.
  • IKE-Lebensdauer in Minuten: Geben Sie die Zeitdauer in Minuten an, nach der die VPN-Verbindung erneuert werden muss. Die Standardeinstellung ist 1440 Minuten (24 Stunden).
  • Diffie-Hellman-Gruppenwert (Schlüsselstärke): Klicken Sie in der Liste auf die Schlüsselstärke, die verwendet werden soll. Der Standardwert ist 0.
  • IKE Phase 1-Schlüsselaustauschmodus: Wählen Sie als IDE Phase 1-Aushandlungsmodus entweder Primär oder Aggressiv aus. Der Standardwert ist Primär.
    • Primär: Bei der Aushandlung werden keine Informationen für mögliche Angreifer offengelegt. Der Modus ist jedoch langsamer als Aggressiv.
    • Aggressiv: Bei der Aushandlung werden einige Informationen (z. B. die IDs der aushandelnden Peers) für mögliche Angreifer offengelegt. Der Modus ist jedoch schneller als Primär.
  • PFS-Wert (Perfect Forward Secrecy): Wählen Sie aus, ob durch die Verwendung von PFS bei der Neuaushandlung von Verbindungen ein erneuter Schlüsselaustausch erforderlich sein soll.
  • Split-Tunneltyp: Klicken Sie in der Liste auf den gewünschten Split-Tunneltyp. Mögliche Optionen:
    • Auto: Split-Tunneling wird automatisch verwendet.
    • Manuell: Split-Tunneling erfolgt über die IP-Adresse und den Port, die auf dem VPN-Server angegeben wurden.
    • Deaktiviert: Split-Tunneling wird nicht verwendet.
  • IPsec-Verschlüsselungsalgorithmus: eine vom IPSec-Protokoll verwendete VPN-Konfiguration.
  • IKE-Verschlüsselungsalgorithmus: eine vom IPSec-Protokoll verwendete VPN-Konfiguration.
  • IKE-Integritätsalgorithmus: eine vom IPSec-Protokoll verwendete VPN-Konfiguration.
  • Hersteller: ein persönliches Profil für generische Agents, die mit der KNOX-API kommunizieren.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • VPN-Zugriff pro App: Für jeden VPN-Zugriff pro App, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
    • VPN-Zugriff pro App: VPN-Konfiguration, die die App für die Kommunikation verwendet.
    • Klicken Sie auf Speichern, um den VPN-Zugriff pro App zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der Einstellungen für SSL-Verbindungen für Samsung SAFE

  • Authentifizierungsmethode: Klicken Sie in der Liste auf die gewünschte Authentifizierungsmethode. Die Standardeinstellung ist Nicht zutreffend. Mögliche Optionen:
    • Nicht zutreffend
    • Zertifikat: Verwenden Sie Zertifikatauthentifizierung. Klicken Sie bei Verwendung der Option in der Liste Identitätsanmeldeinformationen auf die Anmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
    • CAC-basierte Authentifizierung: Common Access Card (CAC) für die Authentifizierung verwenden.
  • ZS-Zertifikat: Klicken Sie in der Liste auf das Zertifikat, das verwendet werden soll.
  • Standardroute aktivieren: Wählen Sie aus, ob eine Standardroute zum VPN-Server aktiviert werden soll.
  • Mobiloptionen aktivieren: Wählen Sie aus, ob die Mobiloptionen aktiviert werden sollen.
  • Split-Tunneltyp: Klicken Sie in der Liste auf den gewünschten Split-Tunneltyp. Mögliche Optionen:
    • Auto: Split-Tunneling wird automatisch verwendet.
    • Manuell: Split-Tunneling erfolgt über die IP-Adresse und den Port, die auf dem VPN-Server angegeben wurden.
    • Deaktiviert: Split-Tunneling wird nicht verwendet.
  • SSL-Algorithmus: Geben Sie den SSL-Algorithmus für die Client/Server-Aushandlung ein.
  • Hersteller: ein persönliches Profil für generische Agents, die mit der KNOX-API kommunizieren.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • VPN-Zugriff pro App: Für jeden VPN-Zugriff pro App, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
    • VPN-Zugriff pro App: VPN-Konfiguration, die die App für die Kommunikation verwendet.
    • Klicken Sie auf Speichern, um den VPN-Zugriff pro App zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Samsung KNOX-Einstellungen

Bild des Konfigurationsbildschirms für Geräterichtlinien

Alle Samsung KNOX-Richtlinien gelten ausschließlich innerhalb des Samsung KNOX-Containers.

  • VPN-Typ: Klicken Sie in der Liste auf den Typ der zu konfigurierenden VPN-Verbindung. Zur Auswahl stehen Unternehmen (für KNOX-Versionen vor 2.0) und Generisch (für KNOX-Versionen ab 2.0). Der Standardwert ist Unternehmen.

In den folgenden Abschnitten werden die Konfigurationsoptionen für die einzelnen Verbindungsmethoden aufgeführt.

Konfigurieren des Enterprise-Protokolls für Samsung KNOX

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein. Diese Angabe ist erforderlich.
  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Backupserver aktivieren: Wählen Sie aus, ob ein Backup-VPN-Server aktiviert werden soll. Wenn Sie die Option aktivieren, geben Sie im Feld Backup-VPN-Server den FQDN oder die IP-Adresse des sekundären VPN-Servers ein.
  • Benutzerauthentifizierung aktivieren: Wählen Sie aus, ob die Benutzerauthentifizierung erforderlich sein soll. Wenn Sie diese Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • Benutzername: Geben Sie einen Benutzernamen ein.
    • Kennwort: Geben Sie das Benutzerkennwort ein.
  • Gruppenname: Geben Sie optional einen Gruppennamen ein.
  • Authentifizierungsmethode: Klicken Sie in der Liste auf die gewünschte Authentifizierungsmethode. Mögliche Optionen:
    • Zertifikat: Verwenden Sie Zertifikatauthentifizierung. Wählen Sie für die Zertifikatauthentifizierung außerdem in der Liste Identitätsanmeldeinformationen die zu verwendenden Anmeldeinformationen aus.
    • Vorinstallierter Schlüssel: Verwenden Sie einen vorinstallierten Schlüssel. Wenn Sie diese Option aktivieren, geben Sie im Feld “Vorinstallierter Schlüssel” den gemeinsamen geheimen Schlüssel ein.
    • Hybrid RSA: Hybridauthentifizierung mit RSA-Zertifikaten
    • EAP MD5: EAP-Peer wird beim EAP-Server authentifiziert, es erfolgt jedoch keine gegenseitige Authentifizierung.
    • EAP MSCHAPv2: Verwenden Sie Challenge Handshake Authentication von Microsoft für die gegenseitige Authentifizierung.
  • ZS-Zertifikat: Klicken Sie in der Liste auf das Zertifikat, das verwendet werden soll.
  • Standardroute aktivieren: Wählen Sie aus, ob eine Standardroute zum VPN-Server aktiviert werden soll.
  • Smartcardauthentifizierung aktivieren: Wählen Sie aus, ob eine Authentifizierung per Smartcard zugelassen werden soll. Der Standardwert ist Aus.
  • Mobiloptionen aktivieren: Wählen Sie aus, ob die Mobiloptionen aktiviert werden sollen.
  • Diffie-Hellman-Gruppenwert (Schlüsselstärke): Klicken Sie in der Liste auf die Schlüsselstärke, die verwendet werden soll. Der Standardwert ist 0.
  • Split-Tunneltyp: Klicken Sie in der Liste auf den gewünschten Split-Tunneltyp. Mögliche Optionen:
    • Auto: Split-Tunneling wird automatisch verwendet.
    • Manuell: Split-Tunneling erfolgt über die IP-Adresse und den Port, die auf dem VPN-Server angegeben wurden.
    • Deaktiviert: Split-Tunneling wird nicht verwendet.
  • SuiteB-Typ: Klicken Sie in der Liste auf den gewünschten Grad der NSA Suite B-Verschlüsselung. Mögliche Optionen:
    • GCM-128: AES-GCM-Verschlüsselung (128 Bit) verwenden. Dies ist der Standardwert.
    • GCM-256: AES-GCM-Verschlüsselung (256 Bit) verwenden.
    • GMAC-128: Verwenden Sie AES-GMAC-Verschlüsselung (128 Bit).
    • GMAC-256: AES-GMAC-Verschlüsselung (256 Bit) verwenden.
    • Ohne: keine Verschlüsselung verwenden.
  • Weiterleitungsrouten: Klicken Sie auf Hinzufügen, um optional Weiterleitungsrouten hinzuzufügen, sofern Ihr VPN-Server mehrere Routentabellen unterstützt.

Konfigurieren des generischen Protokolls für Samsung KNOX

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein. Diese Angabe ist erforderlich.
  • Paketname für Agent-VPN: Der Paketname oder die ID der auf dem Gerät installierten VPN, z. B. Mocana oder Pulse Secure.
  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Benutzerauthentifizierung aktivieren: Wählen Sie aus, ob die Benutzerauthentifizierung erforderlich sein soll. Wenn Sie diese Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • Benutzername: Geben Sie einen Benutzernamen ein.
    • Kennwort: Geben Sie das Benutzerkennwort ein.
  • Identität: Geben Sie optional einen Bezeichner für diese Konfiguration ein. Gilt nur, wenn VPN-Verbindungstyp = IPSEC.
  • VPN-Verbindungstyp: Klicken Sie in der Liste auf IPSEC oder SSL, um den Verbindungstyp auszuwählen. Die Standardeinstellung ist IPSEC. In den folgenden Abschnitten werden die Konfigurationsoptionen für die einzelnen Verbindungstypen erläutert.
  • Konfigurieren der Einstellungen für IPsec-Verbindungen
    • Identität: Geben Sie optional einen Bezeichner für diese Konfiguration ein.
    • ID-Typ für IPsec-Gruppe: Klicken Sie in der Liste auf den IPsec-Gruppen-ID-Typ. Der Standardwert ist Standard. Mögliche Optionen:
      • Standard
      • IPv4-Adresse
      • Vollqualifizierter Domänenname (FQDN)
      • Benutzer-FQDN
      • IKE-Schlüssel-ID
    • IKE-Version: Klicken Sie in der Liste auf die gewünschte Internet Key Exchange-Version. Der Standardwert ist IKEv1.
    • Authentifizierungsmethode: Klicken Sie in der Liste auf die gewünschte Authentifizierungsmethode. Der Standardwert ist Zertifikat. Mögliche Optionen:
      • Zertifikat: Wenn Sie die Zertifikatauthentifizierung aktivieren, klicken Sie in der Liste Identitätsanmeldeinformationen auf die zu verwendenden Anmeldeinformationen. Der Standardwert ist Ohne.
      • Vorinstallierter Schlüssel: Verwenden Sie einen vorinstallierten Schlüssel. Wenn Sie diese Option aktivieren, geben Sie im Feld Vorinstallierter Schlüssel den gemeinsamen geheimen Schlüssel ein.
      • Hybrid RSA: Hybridauthentifizierung mit RSA-Zertifikaten
      • EAP MD5: EAP-Peer wird beim EAP-Server authentifiziert, es erfolgt jedoch keine gegenseitige Authentifizierung.
      • EAP MSCHAPv2: Verwenden Sie Challenge Handshake Authentication von Microsoft für die gegenseitige Authentifizierung.
      • CAC-basierte Authentifizierung: Common Access Card (CAC) für die Authentifizierung verwenden.
    • ZS-Zertifikat: Klicken Sie in der Liste auf das Zertifikat, das verwendet werden soll.
    • Dead Peer Detection aktivieren: Wählen Sie aus, ob eine Verbindung mit Peers hergestellt werden soll, um sicherzustellen, dass diese erreichbar bleiben. Der Standardwert ist Aus.
    • Standardroute aktivieren: Wählen Sie aus, ob eine Standardroute zum VPN-Server aktiviert werden soll.
    • Mobiloptionen aktivieren: Wählen Sie aus, ob die Mobiloptionen aktiviert werden sollen.
    • IKE-Lebensdauer in Minuten: Geben Sie die Zeitdauer in Minuten an, nach der die VPN-Verbindung erneuert werden muss. Die Standardeinstellung ist 1440 Minuten (24 Stunden).
    • IPsec-Lebensdauer in Minuten: Geben Sie die Zeitdauer in Minuten an, nach der die VPN-Verbindung erneuert werden muss. Die Standardeinstellung ist 1440 Minuten (24 Stunden).
    • Diffie-Hellman-Gruppenwert (Schlüsselstärke): Klicken Sie in der Liste auf die Schlüsselstärke, die verwendet werden soll. Der Standardwert ist 0.
    • IKE Phase 1-Schlüsselaustauschmodus: Wählen Sie als IDE Phase 1-Aushandlungsmodus entweder Primär oder Aggressiv aus. Der Standardwert ist Primär.
      • Primär: Bei der Aushandlung werden keine Informationen für mögliche Angreifer offengelegt. Der Modus ist jedoch langsamer als Aggressiv.
      • Aggressiv: Bei der Aushandlung werden einige Informationen (z. B. die IDs der aushandelnden Peers) für mögliche Angreifer offengelegt. Der Modus ist jedoch schneller als Primär.
    • PFS-Wert (Perfect Forward Secrecy): Wählen Sie aus, ob durch die Verwendung von PFS bei der Neuaushandlung von Verbindungen ein erneuter Schlüsselaustausch erforderlich sein soll.
    • Split-Tunneltyp: Klicken Sie in der Liste auf den gewünschten Split-Tunneltyp. Mögliche Optionen:
      • Auto: Split-Tunneling wird automatisch verwendet.
      • Manuell: Split-Tunneling erfolgt über die IP-Adresse und den Port, die auf dem VPN-Server angegeben wurden.
      • Deaktiviert: Split-Tunneling wird nicht verwendet.
    • SuiteB-Typ: Klicken Sie in der Liste auf den gewünschten Grad der NSA Suite B-Verschlüsselung. Der Standardwert ist GCM-128. Mögliche Optionen:
      • GCM-128: AES-GCM-Verschlüsselung (128 Bit) verwenden.
      • GCM-256: AES-GCM-Verschlüsselung (256 Bit) verwenden.
      • GMAC-128: Verwenden Sie AES-GMAC-Verschlüsselung (128 Bit).
      • GMAC-256: AES-GMAC-Verschlüsselung (256 Bit) verwenden.
      • Ohne: keine Verschlüsselung verwenden.
    • IPsec-Verschlüsselungsalgorithmus: eine vom IPSec-Protokoll verwendete VPN-Konfiguration.
    • IKE-Verschlüsselungsalgorithmus: eine vom IPSec-Protokoll verwendete VPN-Konfiguration.
    • IKE-Integritätsalgorithmus: eine vom IPSec-Protokoll verwendete VPN-Konfiguration.
    • Knox: Konfigurationen nur für Samsung KNOX-Geräte.
    • Hersteller: ein persönliches Profil für generische Agents, die mit der KNOX-API kommunizieren.
    • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
      • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
      • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • VPN-Zugriff pro App: Für jeden VPN-Zugriff pro App, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
      • VPN-Zugriff pro App: Die VPN-Konfiguration, die die App für die Kommunikation verwendet.
      • Klicken Sie auf Speichern, um den VPN-Zugriff pro App zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • Konfigurieren der Einstellungen für SSL-Verbindungen
    • Authentifizierungsmethode: Klicken Sie in der Liste auf die gewünschte Authentifizierungsmethode. Mögliche Optionen:
      • Not Applicable: No authentication method applies. Dies ist die Standardeinstellung.
      • Zertifikat: Verwenden Sie Zertifikatauthentifizierung. Dies ist die Standardeinstellung. Klicken Sie bei Verwendung der Option in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen. Der Standardwert ist Ohne.
      • CAC-basierte Authentifizierung: Common Access Card (CAC) für die Authentifizierung verwenden.
    • ZS-Zertifikat: Klicken Sie in der Liste auf das Zertifikat, das verwendet werden soll.
    • Standardroute aktivieren: Wählen Sie aus, ob eine Standardroute zum VPN-Server aktiviert werden soll.
    • Mobiloptionen aktivieren: Wählen Sie aus, ob die Mobiloptionen aktiviert werden sollen.
    • Split-Tunneltyp: Klicken Sie in der Liste auf den gewünschten Split-Tunneltyp. Mögliche Optionen:
      • Auto: Split-Tunneling wird automatisch verwendet.
      • Manuell: Split-Tunneling erfolgt über die angegebene IP-Adresse und den angegebenen Port.
      • Deaktiviert: Split-Tunneling wird nicht verwendet.
    • SuiteB-Typ: Klicken Sie in der Liste auf den gewünschten Grad der NSA Suite B-Verschlüsselung. Der Standardwert ist GCM-128. Mögliche Optionen:
      • GCM-128: AES-GCM-Verschlüsselung (128 Bit) verwenden.
      • GCM-256: AES-GCM-Verschlüsselung (256 Bit) verwenden.
      • GMAC-128: Verwenden Sie AES-GMAC-Verschlüsselung (128 Bit).
      • GMAC-256: Verwenden Sie AES-GMAC-Verschlüsselung (256 Bit).
      • Ohne: Keine Verschlüsselung verwenden: Geben Sie den SSL-Algorithmus für die Client/Server-Aushandlung ein.
    • SSL-Algorithmus: Geben Sie den SSL-Algorithmus für die Client/Server-Aushandlung ein.
    • Knox: Konfigurationen nur für Samsung KNOX-Geräte.
    • Hersteller: ein persönliches Profil für generische Agents, die mit der KNOX-API kommunizieren.
    • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
      • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
      • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • VPN-Zugriff pro App: Für jeden VPN-Zugriff pro App, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
      • VPN-Zugriff pro App: Die VPN-Konfiguration, die die App für die Kommunikation verwendet.
      • Klicken Sie auf Speichern, um den VPN-Zugriff pro App zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Windows Phone-Einstellungen

Bild des Konfigurationsbildschirms für Geräterichtlinien

Die Einstellungen werden nur für betreute Geräte unter Windows 10 und höher unterstützt.

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein. Diese Angabe ist erforderlich.
  • Profiltyp: Klicken Sie in der Liste auf Nativ oder Plug-In. Der Standardwert ist Nativ. In den folgenden Abschnitten werden die Einstellungen der Optionen erläutert.
  • Einstellungen für Profiltyp “Nativ”: Diese Einstellungen gelten für in Windows Phone-Geräte integrierte VPNs.
    • VPN-Servername: Geben Sie den FQDN oder die IP-Adresse des VPN-Servers ein. Diese Angabe ist erforderlich.
    • Tunnelingprotokoll: Klicken Sie in der Liste auf den gewünschten VPN-Tunneltyp. Der Standardwert ist L2TP. Mögliche Optionen:
      • L2TP: Layer-2-Tunnelingprotokoll mit Authentifizierung mit vorinstalliertem Schlüssel
      • PPTP: Point-to-Point Tunneling
      • IKEv2: Internet Key Exchange Version 2
    • Authentifizierungsmethode: Klicken Sie in der Liste auf die gewünschte Authentifizierungsmethode. Die Standardeinstellung ist EAP. Mögliche Optionen:
      • EAP: Protokoll der erweiterten Authentifizierung
      • MSChapV2: Challenge Handshake Authentication von Microsoft für die gegenseitige Authentifizierung. Diese Option ist nicht verfügbar, wenn Sie “IKEv2” als Tunnel auswählen. Bei Auswahl von MSChapV2 wird die Option Automatisch Windows-Anmeldeinformationen verwenden angezeigt. Der Standardwert ist Aus.
    • EAP-Methode: Klicken Sie in der Liste auf die gewünschte EAP-Methode. Der Standardwert ist TLS. Dieses Feld ist nicht verfügbar, wenn Sie MSChapV2 aktiviert haben. Mögliche Optionen:
      • TLS: (Transport Layer Security)
      • PEAP: Protected Extensible Authentication Protocol
    • DNS Suffix: Geben Sie das DNS-Suffix ein.
    • Vertrauenswürdige Netzwerke: Geben Sie die Netzwerke durch Kommas getrennt ein, für die keine VPN-Verbindung erforderlich ist. Benutzer im Drahtlosnetzwerk des Unternehmens haben beispielsweise direkten Zugriff auf geschützte Ressourcen.
    • Smartcardzertifikat erforderlich: Wählen Sie aus, ob ein Smartcardzertifikat erforderlich sein soll. Der Standardwert ist AUS.
    • Automatisch Clientzertifikat auswählen: Wählen Sie aus, ob das Clientzertifikat für die Authentifizierung automatisch gewählt werden soll. Der Standardwert ist AUS. Diese Option ist nicht verfügbar, wenn “Smartcardzertifikat erforderlich” aktiviert ist.
    • Anmeldeinformationen speichern: Wählen Sie aus, ob die Anmeldeinformationen im Cache gespeichert werden sollen. Der Standardwert ist AUS. Wenn diese Option aktiviert ist, werden die Anmeldeinformationen, sofern möglich, gespeichert.
    • Always-on VPN: Wählen Sie aus, ob die VPN-Verbindung immer aktiv sein soll. Der Standardwert ist AUS. Wenn diese Option aktiviert ist, bleibt die VPN-Verbindung bestehen, bis der Benutzer sie manuell trennt.
    • Bei lokalen Adressen umgehen: Geben Sie die Adresse und die Portnummer ein, damit lokale Ressourcen den Proxyserver umgehen können.
  • Konfigurieren des Plug-In-Protokolls: Die nachfolgenden Einstellungen gelten für VPN-Plug-Ins aus dem Windows-Store, die auf Geräten installiert sind.
    • Serveradresse: Geben Sie die URL, den Hostnamen oder die IP-Adresse des VPN-Servers ein.
    • Client-App-ID: Geben Sie den Paketfamiliennamen des VPN-Plug-Ins ein.
    • XML für Plug-In-Profil: Klicken Sie auf Durchsuchen, navigieren Sie zum Speicherort der Datei des gewünschten benutzerdefinierten VPN-Plug-In-Profils und wählen Sie die Profildatei aus. Informationen zu Format und anderen Details erhalten Sie bei dem Anbieter des Plug-Ins.
    • DNS Suffix: Geben Sie das DNS-Suffix ein.
    • Vertrauenswürdige Netzwerke: Geben Sie die Netzwerke durch Kommas getrennt ein, für die keine VPN-Verbindung erforderlich ist. Benutzer im Drahtlosnetzwerk des Unternehmens haben beispielsweise direkten Zugriff auf geschützte Ressourcen.
    • Anmeldeinformationen speichern: Wählen Sie aus, ob die Anmeldeinformationen im Cache gespeichert werden sollen. Der Standardwert ist AUS. Wenn diese Option aktiviert ist, werden die Anmeldeinformationen, sofern möglich, gespeichert.
    • Always-on VPN: Wählen Sie aus, ob die VPN-Verbindung immer aktiv sein soll. Der Standardwert ist AUS. Wenn diese Option aktiviert ist, bleibt die VPN-Verbindung bestehen, bis der Benutzer sie manuell trennt.
    • Bei lokalen Adressen umgehen: Geben Sie die Adresse und die Portnummer ein, damit lokale Ressourcen den Proxyserver umgehen können.

Windows Desktop/Tablet-Einstellungen

Bild des Konfigurationsbildschirms für Geräterichtlinien

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein. Diese Angabe ist erforderlich.
  • Profiltyp: Klicken Sie in der Liste auf Nativ oder Plug-In. Der Standardwert ist Nativ.
  • Einstellungen für Profiltyp “Nativ”: Diese Einstellungen gelten für in Windows-Geräte integrierte VPNs.
    • Serveradresse: Geben Sie den FQDN oder die IP-Adresse des VPN-Servers ein. Diese Angabe ist erforderlich.
    • Anmeldeinformationen speichern: Wählen Sie aus, ob die Anmeldeinformationen im Cache gespeichert werden sollen. Der Standardwert ist Aus. Wenn diese Option aktiviert ist, werden die Anmeldeinformationen, sofern möglich, gespeichert.
    • DNS Suffix: Geben Sie das DNS-Suffix ein.
    • Tunneltyp: Klicken Sie in der Liste auf den gewünschten Tunneltyp. Der Standardwert ist L2TP. Mögliche Optionen:
      • L2TP: Layer-2-Tunnelingprotokoll mit Authentifizierung mit vorinstalliertem Schlüssel
      • PPTP: Point-to-Point Tunneling
      • IKEv2: Internet Key Exchange Version 2
    • Authentifizierungsmethode: Klicken Sie in der Liste auf die gewünschte Authentifizierungsmethode. Die Standardeinstellung ist EAP. Mögliche Optionen:
      • EAP: Protokoll der erweiterten Authentifizierung
      • MSChapV2: Challenge Handshake Authentication von Microsoft für die gegenseitige Authentifizierung. Diese Option ist nicht verfügbar, wenn Sie IKEv2 als Tunnel auswählen.
    • EAP-Methode: Klicken Sie in der Liste auf die gewünschte EAP-Methode. Der Standardwert ist TLS. Dieses Feld ist nicht verfügbar, wenn Sie MSChapV2 aktiviert haben. Mögliche Optionen:
      • TLS: (Transport Layer Security)
      • PEAP: Protected Extensible Authentication Protocol
    • Vertrauenswürdige Netzwerke: Geben Sie die Netzwerke durch Kommas getrennt ein, für die keine VPN-Verbindung erforderlich ist. Benutzer im Drahtlosnetzwerk des Unternehmens haben beispielsweise direkten Zugriff auf geschützte Ressourcen.
    • Smartcardzertifikat erforderlich: Wählen Sie aus, ob ein Smartcardzertifikat erforderlich sein soll. Der Standardwert ist Aus.
    • Automatisch Clientzertifikat auswählen: Wählen Sie aus, ob das Clientzertifikat für die Authentifizierung automatisch gewählt werden soll. Der Standardwert ist Aus. Diese Option ist nicht verfügbar, wenn Smartcardzertifikat erforderlich aktiviert ist.
    • Always-on VPN: Wählen Sie aus, ob die VPN-Verbindung immer aktiv sein soll. Der Standardwert ist Aus. Wenn diese Option aktiviert ist, bleibt die VPN-Verbindung bestehen, bis der Benutzer sie manuell trennt.
    • Bei lokalen Adressen umgehen: Geben Sie die Adresse und die Portnummer ein, damit lokale Ressourcen den Proxyserver umgehen können.
  • Konfigurieren des Plug-In-Profils: Die nachfolgenden Einstellungen gelten für VPN-Plug-Ins aus dem Windows-Store, die auf Geräten installiert sind.
    • Serveradresse: Geben Sie den FQDN oder die IP-Adresse des VPN-Servers ein. Diese Angabe ist erforderlich.
    • Anmeldeinformationen speichern: Wählen Sie aus, ob die Anmeldeinformationen im Cache gespeichert werden sollen. Der Standardwert ist Aus. Wenn diese Option aktiviert ist, werden die Anmeldeinformationen, sofern möglich, gespeichert.
    • DNS Suffix: Geben Sie das DNS-Suffix ein.
    • Client-App-ID: Geben Sie den Paketfamiliennamen des VPN-Plug-Ins ein.
    • XML für Plug-In-Profil: Klicken Sie auf Durchsuchen, navigieren Sie zum Speicherort der Datei des gewünschten benutzerdefinierten VPN-Plug-In-Profils und wählen Sie die Profildatei aus. Informationen zu Format und anderen Details erhalten Sie bei dem Anbieter des Plug-Ins.
    • Vertrauenswürdige Netzwerke: Geben Sie die Netzwerke durch Kommas getrennt ein, für die keine VPN-Verbindung erforderlich ist. Benutzer im Drahtlosnetzwerk des Unternehmens haben beispielsweise direkten Zugriff auf geschützte Ressourcen.
    • Always-on VPN: Wählen Sie aus, ob die VPN-Verbindung immer aktiv sein soll. Der Standardwert ist Aus. Wenn diese Option aktiviert ist, bleibt die VPN-Verbindung bestehen, bis der Benutzer sie manuell trennt.
    • Bei lokalen Adressen umgehen: Geben Sie die Adresse und die Portnummer ein, damit lokale Ressourcen den Proxyserver umgehen können.

Amazon-Einstellungen

Bild des Konfigurationsbildschirms für Geräterichtlinien

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein.
  • VPN-Typ: Klicken Sie auf den Verbindungstyp. Mögliche Optionen:
    • L2TP PSK: Layer-2-Tunnelingprotokoll mit Authentifizierung mit vorinstalliertem Schlüssel. Dies ist die Standardeinstellung.
    • L2TP RSA: Layer-2-Tunnelingprotokoll mit RSA-Authentifizierung.
    • IPSEC XAUTH PSK: Internet Protocol Security mit vorinstalliertem Schlüssel und erweiterter Authentifizierung.
    • IPSEC HYBRID RSA: Internet Protocol Security mit Hybrid-RSA-Authentifizierung.
    • PPTP: Point-to-Point Tunneling

In den folgenden Abschnitten werden die Konfigurationsoptionen für die einzelnen Verbindungsmethoden aufgeführt.

Konfigurieren der L2TP PSK-Einstellungen für Amazon

  • Serveradresse: Geben Sie die IP-Adresse des VPN-Servers ein.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • L2TP-Geheimnis: Geben Sie den gemeinsamen geheimen Schlüssel ein.
  • IPSec-ID: Geben Sie den Namen der VPN-Verbindung ein, der auf Geräten beim Herstellen einer Verbindung angezeigt wird.
  • Vorinstallierter IPSec-Schlüssel: Geben Sie den geheimen Schlüssel ein.
  • DNS-Suchdomänen: Geben Sie die Domänen ein, die in der Trefferliste bei der Domänensuche auf Geräten angezeigt werden können.
  • DNS-Server: Geben Sie die IP-Adressen der DNS-Server für die Auflösung der angegebenen Domänen ein.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der L2TP RSA-Einstellungen für Amazon

  • Serveradresse: Geben Sie die IP-Adresse des VPN-Servers ein.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • L2TP-Geheimnis: Geben Sie den gemeinsamen geheimen Schlüssel ein.
  • DNS-Suchdomänen: Geben Sie die Domänen ein, die in der Trefferliste bei der Domänensuche auf Geräten angezeigt werden können.
  • DNS-Server: Geben Sie die IP-Adressen der DNS-Server für die Auflösung der angegebenen Domänen ein.
  • Serverzertifikat: Klicken Sie in der Liste auf das Zertifikat, das verwendet werden soll.
  • ZS-Zertifikat: Klicken Sie in der Liste auf das Zertifikat, das verwendet werden soll.
  • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der IPSEC XAUTH PSK-Einstellungen für Amazon

  • Serveradresse: Geben Sie die IP-Adresse des VPN-Servers ein.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • IPSec-ID: Geben Sie den Namen der VPN-Verbindung ein, der auf Geräten beim Herstellen einer Verbindung angezeigt wird.
  • Vorinstallierter IPSec-Schlüssel: Geben Sie den gemeinsamen geheimen Schlüssel ein.
  • DNS-Suchdomänen: Geben Sie die Domänen ein, die in der Trefferliste bei der Domänensuche auf Geräten angezeigt werden können.
  • DNS-Server: Geben Sie die IP-Adressen der DNS-Server für die Auflösung der angegebenen Domänen ein.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der IPSEC XAUTH RSA-Einstellungen für Amazon

  • Serveradresse: Geben Sie die IP-Adresse des VPN-Servers ein.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • DNS-Suchdomänen: Geben Sie die Domänen ein, die in der Trefferliste bei der Domänensuche auf Geräten angezeigt werden können.
  • DNS-Server: Geben Sie die IP-Adressen der DNS-Server für die Auflösung der angegebenen Domänen ein.
  • Serverzertifikat: Klicken Sie in der Liste auf das Zertifikat, das verwendet werden soll.
  • ZS-Zertifikat: Klicken Sie in der Liste auf das Zertifikat, das verwendet werden soll.
  • Identitätsanmeldeinformationen: Klicken Sie in der Liste auf die Identitätsanmeldeinformationen, die verwendet werden sollen.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der IPSEC HYBRID RSA-Einstellungen für Amazon

  • Serveradresse: Geben Sie die IP-Adresse des VPN-Servers ein.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • DNS-Suchdomänen: Geben Sie die Domänen ein, die in der Trefferliste bei der Domänensuche auf Geräten angezeigt werden können.
  • DNS-Server: Geben Sie die IP-Adressen der DNS-Server für die Auflösung der angegebenen Domänen ein.
  • Serverzertifikat: Klicken Sie in der Liste auf das Zertifikat, das verwendet werden soll.
  • ZS-Zertifikat: Klicken Sie in der Liste auf das Zertifikat, das verwendet werden soll.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der PPTP-Einstellungen für Amazon

  • Serveradresse: Geben Sie die IP-Adresse des VPN-Servers ein.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • DNS-Suchdomänen: Geben Sie die Domänen ein, die in der Trefferliste bei der Domänensuche auf Geräten angezeigt werden können.
  • DNS-Server: Geben Sie die IP-Adressen der DNS-Server für die Auflösung der angegebenen Domänen ein.
  • PPP-Verschlüsselung (MPPE): Wählen Sie aus, ob Daten mit Microsoft-Punkt-zu-Punkt-Verschlüsselung (MPPE) verschlüsselt werden sollen. Der Standardwert ist Aus.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Einstellungen für Chrome OS

Bild des Konfigurationsbildschirms für Geräterichtlinien

  • VPN-Verbindungsname: Geben Sie eine benutzerfreundliche Beschreibung dieser Verbindung ein. Diese Einstellung ist erforderlich.
  • Priorität dieses Netzwerks: Geben Sie einen vorgeschlagenen Prioritätswert für dieses Netzwerk ein. Verwenden Sie einen ganzzahligen Wert.
  • Verbindungstyp: Wählen Sie in der Liste VPN öffnen als Verbindungstyp.

Wenn Sie VPN öffnen auswählen, werden weitere, OpenVPN-spezifische Einstellungen angezeigt. Scrollen Sie, um alle Einstellungen zu sehen.

Bild des Konfigurationsbildschirms für Geräterichtlinien

  • Host: Geben Sie den Hostnamen oder die IP-Adresse des Servers für die VPN-Verbindung ein. Dies ist für OpenVPN erforderlich. Der Wert, den Sie hier eingeben, ist der primäre Host. Optional können Sie zusätzliche Hosts konfigurieren, mit denen eine Verbindung hergestellt werden kann, wenn der primäre Host keine Verbindung herstellen kann.
  • Autom. verbinden: Wählen Sie, ob das VPN automatisch eine Verbindung zum Host herstellen soll. Wenn diese Einstellung auf Ein festgelegt wird, stellt das VPN automatisch eine Verbindung zum Host her. Der Standardwert ist AUS.
  • Port: Geben Sie die Nummer des Hostserverports ein. Der Standardwert ist 1194.
  • Protokoll: Geben Sie das Protokoll an, das bei der Kommunikation mit dem Hostserver verwendet werden soll. Der Standardwert ist UPD.
  • Benutzerauthentifizierungstyp: Wählen Sie in der Liste die Art der Benutzerauthentifizierung:
    • Ohne: Es ist kein Kennwort bzw. keine Einmal-PIN erforderlich.
    • Kennwort: nur Kennwort. Sie können diesen Wert konfigurieren oder zulassen, dass der Benutzer ihn zum Zeitpunkt der Verbindung angibt.
    • Kennwort und OTP: Kennwort und Einmal-PIN. Sie können diese Werte konfigurieren oder zulassen, dass der Benutzer sie zum Zeitpunkt der Verbindung angibt.
    • OTP: Einmal-PIN. Sie können diesen Wert konfigurieren oder zulassen, dass der Benutzer ihn zum Zeitpunkt der Verbindung angibt.
  • Benutzername: Geben Sie den Benutzernamen ein, der für die Verbindung mit dem VPN verwendet werden soll. Wird der Name hier nicht angegeben, dann muss der Benutzer ihn beim Herstellen der Verbindung eingeben. Dieser Wert unterliegt Zeichenfolgeerweiterungen.
    • ${LOGIN_ID} wird auf die E-Mail-Adresse des Benutzers vor dem @-Symbol erweitert.
    • ${LOGIN_EMAIL} wird auf die E-Mail-Adresse des Benutzers erweitert.
  • Kennwort: Geben Sie die Kennwort-Textzeichenfolge ein, die bei der Herstellung der Verbindung zum VPN verwendet werden soll. Wird das Kennwort hier nicht angegeben, dann muss der Benutzer es beim Herstellen der Verbindung eingeben.
  • OTP: Geben Sie die Einmal-PIN ein, die für die Verbindung mit dem VPN verwendet werden soll. Kennwort-Textzeichenfolge. Wird die PIN hier nicht angegeben, dann muss der Benutzer sie beim Herstellen der Verbindung eingeben.
  • Anmeldeinformationen speichern: Wählen Sie aus, ob die Anmeldeinformationen nach der Verbindung gespeichert werden sollen. Wenn diese Einstellung auf Aus festgelegt wird, müssen die Benutzer ihre Anmeldeinformationen bei jeder Verbindung eingeben.
  • Anmeldeinformationen im Speicher zwischenspeichern: Wählen Sie aus, ob die von den Benutzern eingegebenen Kennwörter und Einmal-PINs im Speicher des Geräts zwischengespeichert werden sollen. Wenn diese Einstellung auf Ein festgelegt wird, ist die Zwischenspeicherung aktiviert. Der Standardwert ist AUS.
  • Auth: Geben Sie den Authentifizierungsalgorithmus ein, der zum Schützen der Verbindung verwendet werden soll. Der Standardwert ist SHA-1.
  • Wiederholungsart für die Authentifizierung: Wählen Sie in der Liste aus, wie das VPN reagieren soll, wenn Anmeldeinformationen nicht verifiziert werden können. Die Optionen sind Fehler beim erneuten Versuch, Erneut versuchen, ohne nach Authentifizierung zu fragen und Jedes Mal nach Authentifizierung fragen. Der Standardwert ist Fehler beim erneuten Versuch.
  • Verschlüsselungsverfahren: Geben Sie den Verschlüsselungsalgorithmus zum Schützen der Verbindung ein. Der Standardwert ist BF-CBC.
  • LZO-Komprimierung: Geben Sie an, ob die LZO-Komprimierung für das VPN verwendet werden soll. Wenn diese Einstellung auf Ein festgelegt wird, wird die LZO-Komprimierung verwendet. Der Standardwert ist AUS.
  • Adaptive-Komprimierung: Wählen Sie, ob die adaptive Komprimierung für das VPN verwendet werden soll. Wenn diese Einstellung auf Ein festgelegt wird, wird die adaptive Komprimierung verwendet. Der Standardwert ist AUS.

Bild des Konfigurationsbildschirms für Geräterichtlinien

  • Zusätzliche Hosts: Konfigurieren Sie eine Liste der Hosts, die in der angegebenen Reihenfolge versucht werden sollen, wenn das Gerät keine Verbindung mit dem primären Host herstellen kann. Die Konfiguration zusätzlicher Hosts ist optional.
    1. Klicken Sie auf Hinzufügen rechts neben Hostname.
    2. Geben Sie den Hostnamen oder die IP-Adresse ein.
    3. Klicken Sie auf Speichern.

    Wiederholen Sie diese Schritte, um weitere zusätzliche Hosts hinzuzufügen.

  • Serverpollingtimeout in Sekunden: Geben Sie die maximale Anzahl von Sekunden ein, die eine Verbindungsaufnahme mit dem Server versucht werden soll, bevor zum nächsten Server in der Liste gewechselt wird.
  • Standardroute ignorieren: Wählen Sie aus, ob der Host das VPN-Gateway ignorieren soll. Standardmäßig erstellen Geräte eine Standardroute zu der vom VPN-Server angekündigten Gatewayadresse. Wenn diese Einstellung auf “Ein” festgelegt wird, ist Split-Tunneling zulässig. Der Standardwert ist AUS. Wenn der Server ein Weiterleitungskonfigurations-Flag an den Client sendet, wird diese Einstellung ignoriert.
  • Schlüsselrichtung: Geben Sie die Textzeichenfolge für die Schlüsselrichtung ein. Die Schlüsselrichtung wird in Form von “–key-direction” übergeben.
  • Peerzertifikatstyp: Geben Sie “server” ein, um den Peerzertifikatstyp zu prüfen. Wenn diese Einstellung nicht festgelegt wird, wird der Peerzertifikatstyp nicht überprüft.
  • Peerinformationen per Push bereitstellen: Wählen Sie aus, ob Peerzertifkatsinformationen an den Host gesendet werden sollen. Wenn diese Einstellung auf Ein festgelegt wird, werden Peerzertifkatsinformationen gesendet. Der Standardwert ist AUS.
  • Erweiterte Schlüsselverwendung für Peerzertifikat: Geben Sie die explizite Zeichenfolge für die erweiterte Schlüsselverwendung in der OID-Notation ein, mit der das Peerzertifikat signiert sein muss. Optional.