VPN-Geräterichtlinie

Die VPN-Geräterichtlinie konfiguriert VPN-Einstellungen (Virtual Private Network), die es Benutzergeräten ermöglichen, sich sicher mit Unternehmensressourcen zu verbinden. Sie können die VPN-Geräterichtlinie für die folgenden Plattformen konfigurieren. Jede Plattform erfordert einen anderen Satz von Werten, die in diesem Artikel detailliert beschrieben werden.

Um diese Richtlinie hinzuzufügen oder zu konfigurieren, gehen Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

Anforderungen für Per-App-VPNs

Sie konfigurieren die Per-App-VPN-Funktion für die folgenden Plattformen über VPN-Richtlinien:

• iOS
• macOS
• Android (Legacy DA)
• Samsung SAFE
• Samsung Knox

Um VPNs für Android Enterprise-Geräte zu konfigurieren, erstellen Sie eine Geräterichtlinie für verwaltete Konfigurationen für die Citrix SSO-App. Siehe VPN-Profile für Android Enterprise konfigurieren.

Per-App-VPN-Optionen sind für bestimmte Verbindungstypen verfügbar. Die folgende Tabelle zeigt an, wann Per-App-VPN-Optionen verfügbar sind.

Um ein Per-App-VPN für iOS- und Android-Geräte (Legacy DA) mit der Citrix SSO-App zu erstellen, sind zusätzlich zur VPN-Richtlinienkonfiguration weitere Schritte erforderlich. Außerdem müssen Sie überprüfen, ob die folgenden Voraussetzungen erfüllt sind:

• On-Premises Citrix Gateway
• Die folgenden Anwendungen sind auf dem Gerät installiert:
  • Citrix SSO
  • Citrix Secure Hub™

Ein allgemeiner Workflow zur Konfiguration eines Per-App-VPNs für iOS- und Android-Geräte mit der Citrix SSO-App ist wie folgt:

1. Konfigurieren Sie eine VPN-Geräterichtlinie, wie in diesem Artikel beschrieben.

   • Für iOS siehe Citrix SSO-Protokoll für iOS konfigurieren. Nachdem Sie das Citrix SSO-Protokoll für iOS über eine VPN-Geräterichtlinie konfiguriert haben, müssen Sie auch eine App-Attribute-Richtlinie erstellen, um eine App mit der Per-App-VPN-Richtlinie zu verknüpfen. Weitere Informationen finden Sie unter Ein Per-App-VPN konfigurieren.

     • Wenn Sie für das Feld Authentifizierungstyp für die Verbindung die Option Zertifikat auswählen, müssen Sie zuerst die zertifikatbasierte Authentifizierung für Endpoint Management konfigurieren. Siehe Clientzertifikat oder Zertifikat plus Domänenauthentifizierung.

   • Für Android (Legacy DA) siehe Citrix SSO-Protokoll für Android konfigurieren.

     • Wenn Sie für das Feld Authentifizierungstyp für die Verbindung die Option Zertifikat oder Kennwort und Zertifikat auswählen, müssen Sie zuerst die zertifikatbasierte Authentifizierung für Endpoint Management konfigurieren. Siehe Clientzertifikat oder Zertifikat plus Domänenauthentifizierung.

2. Konfigurieren Sie Citrix ADC so, dass es Datenverkehr vom Per-App-VPN akzeptiert. Details finden Sie unter Vollständige VPN-Einrichtung auf Citrix Gateway.

iOS-Einstellungen

Zur Vorbereitung auf Geräte-Upgrades auf iOS 12:

Der Citrix VPN-Verbindungstyp in der VPN-Geräterichtlinie für iOS unterstützt iOS 12 nicht. Führen Sie die folgenden Schritte aus, um Ihre vorhandene VPN-Geräterichtlinie zu löschen und eine VPN-Geräterichtlinie mit dem Citrix SSO-Verbindungstyp zu erstellen:

1. Löschen Sie Ihre VPN-Geräterichtlinie für iOS.
2. Fügen Sie eine VPN-Geräterichtlinie für iOS hinzu. Wichtige Einstellungen:
   • Verbindungstyp = Citrix SSO
   • Per-App-VPN aktivieren = Ein
   • Anbietertyp = Pakettunnel
3. Fügen Sie eine App-Attribute-Geräterichtlinie für iOS hinzu. Wählen Sie für Per-App-VPN-Bezeichner die Option iOS_VPN.

• Verbindungsname: Geben Sie einen Namen für die Verbindung ein.
• Verbindungstyp: Wählen Sie in der Liste das für diese Verbindung zu verwendende Protokoll aus. Der Standardwert ist L2TP.
  • L2TP: Layer 2 Tunneling Protocol mit Pre-Shared Key-Authentifizierung.
  • PPTP: Point-to-Point Tunneling.
  • IPSec: Ihre Unternehmens-VPN-Verbindung.

  • Cisco Legacy AnyConnect: Dieser Verbindungstyp erfordert, dass der Cisco Legacy AnyConnect VPN-Client auf dem Benutzergerät installiert ist. Cisco stellt den Cisco Legacy AnyConnect-Client, der auf einem inzwischen veralteten VPN-Framework basierte, schrittweise ein. Weitere Informationen finden Sie im Support-Artikel https://support.citrix.com/article/CTX227708.

    Um den aktuellen Cisco AnyConnect-Client zu verwenden, wählen Sie als Verbindungstyp die Option Custom SSL. Die erforderlichen Einstellungen finden Sie unter „Custom SSL-Protokoll konfigurieren“ in diesem Abschnitt.

  • Juniper SSL: Juniper Networks SSL VPN-Client.
  • F5 SSL: F5 Networks SSL VPN-Client.
  • SonicWALL Mobile Connect: Dell Unified VPN-Client für iOS.
  • Ariba VIA: Ariba Networks Virtual Internet Access-Client.
  • IKEv2 (nur iOS): Internet Key Exchange Version 2 nur für iOS.
  • AlwaysOn IKEv2: Always-On-Zugriff mit IKEv2.
  • AlwaysOn IKEv2 Dual Configuration: Always-On-Zugriff mit IKEv2-Dual-Konfiguration.
  • Citrix SSO: Citrix SSO-Client für iOS 12 und höher.
  • Custom SSL: Custom Secure Socket Layer. Dieser Verbindungstyp ist für den Cisco AnyConnect-Client erforderlich, der eine Bundle-ID von com.cisco.anyconnect hat. Geben Sie als Verbindungsname die Option Cisco AnyConnect an. Sie können auch die VPN-Richtlinie bereitstellen und einen Network Access Control (NAC)-Filter für iOS-Geräte aktivieren. Der Filter blockiert eine VPN-Verbindung für Geräte, auf denen nicht konforme Apps installiert sind. Die Konfiguration erfordert spezifische Einstellungen für die iOS-VPN-Richtlinie, wie im folgenden iOS-Abschnitt beschrieben. Weitere Informationen zu anderen Einstellungen, die zum Aktivieren des NAC-Filters erforderlich sind, finden Sie unter Network Access Control.

Die folgenden Abschnitte listen die Konfigurationsoptionen für jeden der vorangehenden Verbindungstypen auf.

L2TP-Protokoll für iOS konfigurieren

• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Wählen Sie entweder die Passwortauthentifizierung oder die RSA SecurID-Authentifizierung.
• Gemeinsamer Schlüssel: Geben Sie den gemeinsamen IPsec-Schlüssel ein.
• Gesamten Datenverkehr senden: Wählen Sie aus, ob der gesamte Datenverkehr über das VPN gesendet werden soll. Die Standardeinstellung ist Aus.

PPTP-Protokoll für iOS konfigurieren

• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Wählen Sie entweder die Passwortauthentifizierung oder die RSA SecurID-Authentifizierung.
• Verschlüsselungsstufe: Wählen Sie in der Liste eine Verschlüsselungsstufe aus. Die Standardeinstellung ist Keine.
  • Keine: Keine Verschlüsselung verwenden.
  • Automatisch: Die stärkste vom Server unterstützte Verschlüsselungsstufe verwenden.
  • Maximum (128-Bit): Immer 128-Bit-Verschlüsselung verwenden.
• Gesamten Datenverkehr senden: Wählen Sie aus, ob der gesamte Datenverkehr über das VPN gesendet werden soll. Die Standardeinstellung ist Aus.

IPsec-Protokoll für iOS konfigurieren

• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Gemeinsamer Schlüssel oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Gemeinsamer Schlüssel.
• Wenn Sie Gemeinsamer Schlüssel aktivieren, konfigurieren Sie diese Einstellungen:
  • Gruppenname: Geben Sie einen optionalen Gruppennamen ein.
  • Gemeinsamer Schlüssel: Geben Sie einen optionalen gemeinsamen Schlüssel ein.
  • Hybride Authentifizierung verwenden: Wählen Sie aus, ob die hybride Authentifizierung verwendet werden soll. Bei der hybriden Authentifizierung authentifiziert sich der Server zuerst beim Client und dann der Client beim Server. Die Standardeinstellung ist Aus.
  • Zur Passworteingabe auffordern: Wählen Sie aus, ob Benutzer zur Eingabe ihres Passworts aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
• Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
  • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
  • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
  • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Einstellungen für VPN bei Bedarf für iOS konfigurieren.
• Pro-App-VPN aktivieren: Wählen Sie aus, ob Pro-App-VPN aktiviert werden soll. Die Standardeinstellung ist Aus.
• App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob Pro-App-VPN-Verbindungen automatisch ausgelöst werden sollen, wenn Apps, die mit dem Pro-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation starten. Die Standardeinstellung ist Aus.
• Safari-Domänen: Klicken Sie auf Hinzufügen, um einen Safari-Domänennamen hinzuzufügen.

Cisco Legacy AnyConnect-Protokoll für iOS konfigurieren

Um vom Cisco Legacy AnyConnect-Client zum neuen Cisco AnyConnect-Client zu wechseln, verwenden Sie das benutzerdefinierte SSL-Protokoll.

• Provider-Bundle-ID: Für den Legacy AnyConnect-Client lautet die Bundle-ID com.cisco.anyconnect.gui.
• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Gruppe: Geben Sie einen optionalen Gruppennamen ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
    • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Einstellungen für VPN bei Bedarf für iOS konfigurieren.
• Pro-App-VPN aktivieren: Wählen Sie aus, ob Pro-App-VPN aktiviert werden soll. Die Standardeinstellung ist Aus. Wenn Sie diese Option aktivieren, konfigurieren Sie diese Einstellungen:
  • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob Pro-App-VPN-Verbindungen automatisch ausgelöst werden sollen, wenn Apps, die mit dem Pro-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation starten. Die Standardeinstellung ist Aus.
  • Anbietertyp: Wählen Sie aus, ob das Pro-App-VPN als App-Proxy oder als Pakettunnel bereitgestellt wird. Standard ist App-Proxy.
  • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.

Juniper SSL-Protokoll für iOS konfigurieren

• Provider-Bundle-ID: Wenn Ihr Pro-App-VPN-Profil die Bundle-ID einer App mit mehreren VPN-Anbietern desselben Typs enthält, geben Sie hier den zu verwendenden Anbieter an.
• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Realm: Geben Sie einen optionalen Realm-Namen ein.
• Rolle: Geben Sie einen optionalen Rollennamen ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
    • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Einstellungen für VPN bei Bedarf für iOS konfigurieren.
• Pro-App-VPN aktivieren: Wählen Sie aus, ob Pro-App-VPN aktiviert werden soll. Die Standardeinstellung ist Aus. Wenn Sie diese Option aktivieren, konfigurieren Sie diese Einstellungen:
  • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob Pro-App-VPN-Verbindungen automatisch ausgelöst werden sollen, wenn Apps, die mit dem Pro-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation initiieren. Die Standardeinstellung ist Aus.
  • Anbietertyp: Wählen Sie aus, ob das Pro-App-VPN als App-Proxy oder als Pakettunnel bereitgestellt wird. Standard ist App-Proxy.
  • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.

F5 SSL-Protokoll für iOS konfigurieren

• Provider-Bundle-ID: Wenn Ihr Pro-App-VPN-Profil die Bundle-ID einer App mit mehreren VPN-Anbietern desselben Typs enthält, geben Sie hier den zu verwendenden Anbieter an.
• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
    • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Einstellungen für VPN bei Bedarf für iOS konfigurieren.
• Pro-App-VPN aktivieren: Wählen Sie aus, ob Pro-App-VPN aktiviert werden soll. Die Standardeinstellung ist Aus. Wenn Sie diese Option aktivieren, konfigurieren Sie diese Einstellungen:
  • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob Pro-App-VPN-Verbindungen automatisch ausgelöst werden sollen, wenn Apps, die mit dem Pro-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation initiieren.
  • Anbietertyp: Wählen Sie aus, ob das Pro-App-VPN als App-Proxy oder als Pakettunnel bereitgestellt wird. Standard ist App-Proxy.
  • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.

SonicWALL-Protokoll für iOS konfigurieren

• Provider-Bundle-ID: Wenn Ihr Pro-App-VPN-Profil die Bundle-ID einer App mit mehreren VPN-Anbietern desselben Typs enthält, geben Sie hier den zu verwendenden Anbieter an.
• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Anmeldegruppe oder -domäne: Geben Sie eine optionale Anmeldegruppe oder -domäne ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
    • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Einstellungen für VPN bei Bedarf für iOS konfigurieren.
• Pro-App-VPN aktivieren: Wählen Sie aus, ob Pro-App-VPN aktiviert werden soll. Die Standardeinstellung ist Aus. Wenn Sie diese Option auf EIN stellen, konfigurieren Sie diese Einstellungen:
  • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob Pro-App-VPN-Verbindungen automatisch ausgelöst werden sollen, wenn Apps, die mit dem Pro-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation initiieren.
  • Anbietertyp: Wählen Sie aus, ob das Pro-App-VPN als App-Proxy oder als Pakettunnel bereitgestellt wird. Standard ist App-Proxy.
  • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.

Ariba VIA-Protokoll für iOS konfigurieren

• Provider-Bundle-ID: Wenn Ihr Pro-App-VPN-Profil die Bundle-ID einer App mit mehreren VPN-Anbietern desselben Typs enthält, geben Sie hier den zu verwendenden Anbieter an.
• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
    • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Einstellungen für VPN bei Bedarf für iOS konfigurieren.
• Pro-App-VPN aktivieren: Wählen Sie aus, ob Pro-App-VPN aktiviert werden soll. Die Standardeinstellung ist Aus. Wenn Sie diese Option aktivieren, konfigurieren Sie diese Einstellungen:
  • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob Pro-App-VPN-Verbindungen automatisch ausgelöst werden sollen, wenn Apps, die mit dem Pro-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation initiieren.
  • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.

IKEv2-Protokolle für iOS konfigurieren

Dieser Abschnitt enthält Einstellungen, die für die Protokolle IKEv2, AlwaysOn IKEv2 und AlwaysOn IKEv2 Dual Configuration verwendet werden. Für das AlwaysOn IKEv2 Dual Configuration-Protokoll konfigurieren Sie alle diese Einstellungen sowohl für Mobilfunk- als auch für Wi-Fi-Netzwerke.

• Benutzer darf automatische Verbindung deaktivieren: Für die AlwaysOn-Protokolle. Wählen Sie aus, ob Benutzer die automatische Verbindung zum Netzwerk auf ihren Geräten deaktivieren dürfen. Die Standardeinstellung ist Aus.

• Hostname oder IP-Adresse des Servers: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.

• Lokaler Bezeichner: Der FQDN oder die IP-Adresse für den IKEv2-Client. Dieses Feld ist erforderlich.

• Remote-Identifikator: Der FQDN oder die IP-Adresse für den VPN-Server. Dieses Feld ist erforderlich.

• Geräteauthentifizierung: Wählen Sie Gemeinsamer Schlüssel, Zertifikat oder Gerätezertifikat basierend auf Geräte-ID für den Authentifizierungstyp dieser Verbindung. Die Standardeinstellung ist Gemeinsamer Schlüssel.

  • Wenn Sie Gemeinsamer Schlüssel wählen, geben Sie einen optionalen gemeinsamen geheimen Schlüssel ein.

  • Wenn Sie Zertifikat wählen, wählen Sie ein zu verwendendes Identitätszertifikat aus. Die Standardeinstellung ist Keine.

  • Wenn Sie Gerätezertifikat basierend auf Geräte-ID wählen, wählen Sie den zu verwendenden Geräteidentitätstyp aus. Die Standardeinstellung ist IMEI. Um diese Option zu verwenden, importieren Sie Zertifikate per Massenimport über die REST-API. Siehe Zertifikate per Massenimport über die REST-API auf iOS-Geräte hochladen. Nur verfügbar, wenn Sie Always On IKEv2 auswählen.

• Erweiterte Authentifizierung aktiviert: Wählen Sie, ob das Extended Authentication Protocol (EAP) aktiviert werden soll. Wenn Sie Ein wählen, geben Sie das Benutzerkonto und das Authentifizierungskennwort ein.

• Intervall für Dead Peer Detection: Wählen Sie, wie oft ein Peer-Gerät kontaktiert wird, um sicherzustellen, dass das Peer-Gerät erreichbar bleibt. Die Standardeinstellung ist Keine. Optionen sind:

  • Keine: Deaktiviert die Dead Peer Detection.

  • Niedrig: Kontaktiert den Peer alle 30 Minuten.

  • Mittel: Kontaktiert den Peer alle 10 Minuten.

  • Hoch: Kontaktiert den Peer jede Minute.

• Mobilität und Multihoming deaktivieren: Wählen Sie, ob diese Funktion deaktiviert werden soll.

• Interne IPv4/IPv6-Subnetzattribute verwenden: Wählen Sie, ob diese Funktion aktiviert werden soll.

• Weiterleitungen deaktivieren: Wählen Sie, ob Weiterleitungen deaktiviert werden sollen.

• NAT-Keepalive aktivieren, während das Gerät im Ruhezustand ist: Für die AlwaysOn-Protokolle. Keepalive-Pakete erhalten NAT-Mappings für IKEv2-Verbindungen aufrecht. Der Chip sendet diese Pakete in regelmäßigen Abständen, wenn das Gerät aktiv ist. Wenn diese Einstellung aktiviert ist, sendet der Chip Keepalive-Pakete auch dann, wenn das Gerät im Ruhezustand ist. Das Standardintervall beträgt 20 Sekunden über Wi-Fi und 110 Sekunden über Mobilfunk. Sie können das Intervall über den Parameter für das NAT-Keepalive-Intervall ändern.

• NAT-Keepalive-Intervall (Sekunden): Standardmäßig 20 Sekunden.

• Perfect Forward Secrecy aktivieren: Wählen Sie, ob diese Funktion aktiviert werden soll.

• IP-Adressen des DNS-Servers: Optional. Eine Liste von IP-Adresszeichenfolgen des DNS-Servers. Diese IP-Adressen können eine Mischung aus IPv4- und IPv6-Adressen enthalten. Klicken Sie auf Hinzufügen, um eine Adresse einzugeben.

• Domänenname: Optional. Die primäre Domäne des Tunnels.

• Suchdomänen: Optional. Eine Liste von Domänenzeichenfolgen, die verwendet werden, um Hostnamen mit einem einzelnen Label vollständig zu qualifizieren.

• Zusätzliche Übereinstimmungsdomänen zur Resolver-Liste hinzufügen: Optional. Legt fest, ob die Liste der zusätzlichen Übereinstimmungsdomänen zur Liste der Suchdomänen des Resolvers hinzugefügt werden soll. Standard ist Ein.

• Zusätzliche Übereinstimmungsdomänen: Optional. Eine Liste von Domänenzeichenfolgen, die verwendet werden, um zu bestimmen, welche DNS-Abfragen die DNS-Resolver-Einstellungen in den DNS-Serveradressen verwenden sollen. Dieser Schlüssel erstellt eine Split-DNS-Konfiguration, bei der nur Hosts in bestimmten Domänen über den DNS-Resolver des Tunnels aufgelöst werden. Hosts, die nicht in einer der Domänen dieser Liste enthalten sind, werden über den Standard-Resolver des Systems aufgelöst.

Wenn dieser Parameter eine leere Zeichenfolge enthält, ist diese Zeichenfolge die Standarddomäne. Auf diese Weise kann eine Split-Tunnel-Konfiguration alle DNS-Abfragen an die VPN-DNS-Server leiten, bevor die primären DNS-Server verwendet werden. Wenn der VPN-Tunnel die Standardroute des Netzwerks ist, werden die aufgelisteten DNS-Server zum Standard-Resolver. In diesem Fall wird die Liste der zusätzlichen Übereinstimmungsdomänen ignoriert.

• IKE-SA-Parameter und Child-SA-Parameter. Konfigurieren Sie diese Einstellungen für jede Option der Security Association (SA)-Parameter:

  • Verschlüsselungsalgorithmus: Wählen Sie in der Liste den zu verwendenden IKE-Verschlüsselungsalgorithmus aus. Der Standardwert ist 3DES.

  • Integritätsalgorithmus: Wählen Sie in der Liste den zu verwendenden Integritätsalgorithmus aus. Der Standardwert ist SHA1-96.

  • Diffie-Hellman-Gruppe: Wählen Sie in der Liste die Diffie-Hellman-Gruppennummer aus. Der Standardwert ist 2.

  • IKE-Lebensdauer in Minuten: Geben Sie eine Ganzzahl zwischen 10 und 1440 ein, die die SA-Lebensdauer (Neuverschlüsselungsintervall) darstellt. Der Standardwert ist 1440 Minuten.

• Dienstausnahmen: Für die AlwaysOn-Protokolle. Dienstausnahmen sind Systemdienste, die von AlwaysOn VPN ausgenommen sind. Konfigurieren Sie diese Einstellungen für Dienstausnahmen:

  • Voicemail: Wählen Sie in der Liste aus, wie die Voicemail-Ausnahme behandelt werden soll. Der Standardwert ist Datenverkehr über Tunnel zulassen.

  • AirPrint: Wählen Sie in der Liste aus, wie die AirPrint-Ausnahme behandelt werden soll. Der Standardwert ist Datenverkehr über Tunnel zulassen.

  • Datenverkehr von Captive Web Sheet außerhalb des VPN-Tunnels zulassen: Wählen Sie aus, ob Benutzer sich mit öffentlichen Hotspots außerhalb des VPN-Tunnels verbinden dürfen. Der Standardwert ist Aus.

  • Datenverkehr von allen Captive-Netzwerk-Apps außerhalb des VPN-Tunnels zulassen: Wählen Sie aus, ob alle Hotspot-Netzwerk-Apps außerhalb des VPN-Tunnels zugelassen werden sollen. Der Standardwert ist Aus.

  • Bundle-IDs für Captive-Netzwerk-Apps: Klicken Sie für jede Bundle-ID einer Hotspot-Netzwerk-App, auf die Benutzer zugreifen dürfen, auf Hinzufügen und geben Sie die Bundle-ID der Hotspot-Netzwerk-App ein. Klicken Sie auf Speichern, um die Bundle-ID der App zu speichern.

• Pro-App-VPN. Konfigurieren Sie diese Einstellungen für IKEv2-Verbindungstypen.

  • Pro-App-VPN aktivieren: Wählen Sie aus, ob Pro-App-VPN aktiviert werden soll. Der Standardwert ist Aus.
  • On-Demand-App-Übereinstimmung aktiviert: Wählen Sie aus, ob Pro-App-VPN-Verbindungen automatisch ausgelöst werden, wenn Apps, die mit dem Pro-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation initiieren. Der Standardwert ist Aus.
  • Safari-Domänen: Klicken Sie auf Hinzufügen, um einen Safari-Domänennamen hinzuzufügen.

• Proxy-Konfiguration: Wählen Sie aus, wie die VPN-Verbindung über einen Proxyserver geleitet wird. Der Standardwert ist Keine.

Citrix SSO-Protokoll für iOS konfigurieren

Der Citrix SSO-Client ist im Apple Store unter https://apps.apple.com/us/app/citrix-sso/id1333396910 verfügbar.

• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Der Standardwert ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Der Standardwert ist Keine.
    • PIN-Abfrage bei Verbindung: Wählen Sie aus, ob Benutzer bei der Verbindung mit dem Netzwerk zur Eingabe ihrer PIN aufgefordert werden sollen. Der Standardwert ist AUS.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn Benutzer eine Verbindung mit dem Netzwerk herstellen. Der Standardwert ist AUS. Informationen zum Konfigurieren von Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Einstellungen für VPN bei Bedarf für iOS konfigurieren.
• Pro-App-VPN aktivieren: Wählen Sie aus, ob Pro-App-VPN aktiviert werden soll. Der Standardwert ist Aus. Wenn Sie diese Option auf EIN stellen, konfigurieren Sie die folgenden Einstellungen:
  • On-Demand-App-Übereinstimmung aktiviert: Wählen Sie aus, ob Pro-App-VPN-Verbindungen automatisch ausgelöst werden, wenn Apps, die mit dem Pro-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation initiieren.
  • Anbietertyp: Wählen Sie aus, ob das Pro-App-VPN als App-Proxy oder als Pakettunnel bereitgestellt wird. Der Standardwert ist App-Proxy.
  • Anbietertyp: Auf Pakettunnel setzen.
  • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Pro-App-VPN-Verbindung auslösen kann, die Sie einschließen möchten, auf Hinzufügen und gehen Sie wie folgt vor:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.
• Benutzerdefiniertes XML: Klicken Sie für jeden benutzerdefinierten XML-Parameter, den Sie hinzufügen möchten, auf Hinzufügen und geben Sie die Schlüssel/Wert-Paare an. Verfügbare Parameter sind:
  • disableL3: Deaktiviert VPN auf Systemebene. Ermöglicht nur Pro-App-VPN. Es wird kein Wert benötigt.
  • useragent: Ordnet dieser Geräte-Richtlinie alle Citrix Gateway-Richtlinien zu, die auf VPN-Plug-in-Clients abzielen. Für vom Plug-in gestartete Anfragen wird der Wert für diesen Schlüssel automatisch zum VPN-Plug-in hinzugefügt.

Benutzerdefiniertes SSL-Protokoll für iOS konfigurieren

So wechseln Sie vom Cisco Legacy AnyConnect-Client zum Cisco AnyConnect-Client:

1. Konfigurieren Sie die VPN-Geräterichtlinie mit dem benutzerdefinierten SSL-Protokoll. Stellen Sie die Richtlinie auf iOS-Geräten bereit.
2. Laden Sie den Cisco AnyConnect-Client von https://apps.apple.com/us/app/cisco-anyconnect/id1135064690 hoch, fügen Sie die App zu XenMobile hinzu und stellen Sie die App dann auf iOS-Geräten bereit.
3. Entfernen Sie die alte VPN-Geräterichtlinie von iOS-Geräten.

Einstellungen:

• Benutzerdefinierte SSL-ID (Reverse-DNS-Format): Auf die Bundle-ID setzen. Für den Cisco AnyConnect-Client verwenden Sie com.cisco.anyconnect.
• Provider-Bundle-ID: Wenn die in Benutzerdefinierte SSL-ID angegebene App mehrere VPN-Anbieter desselben Typs (App-Proxy oder Pakettunnel) hat, geben Sie diese Bundle-ID an. Für den Cisco AnyConnect-Client verwenden Sie com.cisco.anyconnect.
• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Der Standardwert ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Der Standardwert ist Keine.
    • PIN-Abfrage bei Verbindung: Wählen Sie aus, ob Benutzer bei der Verbindung mit dem Netzwerk zur Eingabe ihrer PIN aufgefordert werden sollen. Der Standardwert ist AUS.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn Benutzer eine Verbindung mit dem Netzwerk herstellen. Der Standardwert ist AUS. Informationen zum Konfigurieren von Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Einstellungen für VPN bei Bedarf für iOS konfigurieren.
• Pro-App-VPN aktivieren: Wählen Sie aus, ob Pro-App-VPN aktiviert werden soll. Der Standardwert ist Aus. Wenn Sie diese Option auf EIN stellen, konfigurieren Sie die folgenden Einstellungen:
  • On-Demand-App-Übereinstimmung aktiviert: Wählen Sie aus, ob Pro-App-VPN-Verbindungen automatisch ausgelöst werden, wenn Apps, die mit dem Pro-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation initiieren.
  • Anbietertyp: Ein Anbietertyp gibt an, ob der Anbieter ein VPN-Dienst oder ein Proxy-Dienst ist. Für VPN-Dienste wählen Sie Pakettunnel. Für Proxy-Dienste wählen Sie App-Proxy. Für den Cisco AnyConnect-Client wählen Sie Pakettunnel.
  • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Pro-App-VPN-Verbindung auslösen kann, die Sie einschließen möchten, auf Hinzufügen und gehen Sie wie folgt vor:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.
• Benutzerdefiniertes XML: Klicken Sie für jeden benutzerdefinierten XML-Parameter, den Sie hinzufügen möchten, auf Hinzufügen und gehen Sie wie folgt vor:
  • Parametername: Geben Sie den Namen des hinzuzufügenden Parameters ein.
  • Wert: Geben Sie den Wert ein, der mit dem Parameternamen verknüpft ist.
  • Klicken Sie auf Speichern, um den Parameter zu speichern, oder auf Abbrechen, um den Parameter nicht zu speichern.

VPN-Geräterichtlinie zur Unterstützung von NAC konfigurieren

1. Der Verbindungstyp Benutzerdefiniertes SSL ist für die Konfiguration des NAC-Filters erforderlich.
2. Geben Sie als Verbindungsname VPN an.
3. Geben Sie für Benutzerdefinierte SSL-ID den Wert com.citrix.NetScalerGateway.ios.app ein.
4. Geben Sie für Provider-Bundle-ID den Wert com.citrix.NetScalerGateway.ios.app.vpnplugin ein.

Die Werte in den Schritten 3 und 4 stammen aus der erforderlichen Citrix SSO-Installation für die NAC-Filterung. Sie konfigurieren kein Authentifizierungskennwort. Weitere Informationen zur Verwendung der NAC-Funktion finden Sie unter Network Access Control.

VPN-On-Demand-Optionen für iOS konfigurieren

• On-Demand-Domäne: Klicken Sie für jede Domäne und die zugehörige Aktion, die beim Verbinden von Benutzern ausgeführt werden soll, auf Hinzufügen und gehen Sie wie folgt vor:
• Domäne: Geben Sie die hinzuzufügende Domäne ein.
• Aktion: Wählen Sie in der Liste eine der möglichen Aktionen aus:
  • Immer herstellen: Die Domäne löst immer eine VPN-Verbindung aus.
  • Nie herstellen: Die Domäne löst nie eine VPN-Verbindung aus.
  • Bei Bedarf herstellen: Die Domäne löst einen VPN-Verbindungsversuch aus, wenn die Domänennamenauflösung fehlschlägt. Ein Fehler tritt auf, wenn der DNS-Server die Domäne nicht auflösen kann, auf einen anderen Server umleitet oder eine Zeitüberschreitung auftritt.
  • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.
• On-Demand-Regeln
  • Aktion: Wählen Sie in der Liste die auszuführende Aktion aus. Der Standardwert ist EvaluateConnection. Mögliche Aktionen sind:
    • Zulassen: VPN On-Demand darf bei Auslösung eine Verbindung herstellen.
    • Verbinden: Startet bedingungslos eine VPN-Verbindung.
    • Trennen: Entfernt die VPN-Verbindung und stellt keine On-Demand-Verbindung wieder her, solange die Regel übereinstimmt.
    • EvaluateConnection: Bewertet das ActionParameters-Array für jede Verbindung.
    • Ignorieren: Belässt jede bestehende VPN-Verbindung aktiv, stellt aber keine On-Demand-Verbindung wieder her, solange die Regel übereinstimmt.
  • DNSDomainMatch: Klicken Sie für jede Domäne, mit der die Suchdomänenliste eines Geräts übereinstimmen kann und die Sie hinzufügen möchten, auf Hinzufügen und gehen Sie wie folgt vor:
    • DNS-Domäne: Geben Sie den Domänennamen ein. Sie können das Platzhalterpräfix “*” verwenden, um mehrere Domänen abzugleichen. Zum Beispiel stimmt *.example.com mit mydomain.example.com, yourdomain.example.com und herdomain.example.com überein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.
  • DNSServerAddressMatch: Klicken Sie für jede IP-Adresse, mit der einer der angegebenen DNS-Server des Netzwerks übereinstimmen kann und die Sie hinzufügen möchten, auf Hinzufügen und gehen Sie wie folgt vor:
    • DNS-Serveradresse: Geben Sie die DNS-Serveradresse ein, die Sie hinzufügen möchten. Sie können das Platzhaltersuffix “*” verwenden, um DNS-Server abzugleichen. Zum Beispiel stimmt 17.* mit jedem DNS-Server im Subnetz der Klasse A überein.
    • Klicken Sie auf Speichern, um die DNS-Serveradresse zu speichern, oder auf Abbrechen, um die DNS-Serveradresse nicht zu speichern.
  • InterfaceTypeMatch: Wählen Sie in der Liste den Typ der verwendeten primären Netzwerkschnittstellenhardware aus. Der Standardwert ist Nicht spezifiziert. Mögliche Werte sind:
    • Nicht spezifiziert: Stimmt mit jeder Netzwerkschnittstellenhardware überein. Diese Option ist die Standardeinstellung.
    • Ethernet: Stimmt nur mit Ethernet-Netzwerkschnittstellenhardware überein.
    • WLAN: Stimmt nur mit WLAN-Netzwerkschnittstellenhardware überein.
    • Mobilfunk: Stimmt nur mit Mobilfunk-Netzwerkschnittstellenhardware überein.
  • SSIDMatch: Klicken Sie für jede SSID, die mit dem aktuellen Netzwerk übereinstimmen soll und die Sie hinzufügen möchten, auf Hinzufügen und gehen Sie wie folgt vor.
    • SSID: Geben Sie die hinzuzufügende SSID ein. Wenn das Netzwerk kein WLAN-Netzwerk ist oder die SSID nicht angezeigt wird, schlägt die Übereinstimmung fehl. Lassen Sie diese Liste leer, um mit jeder SSID übereinzustimmen.
    • Klicken Sie auf Speichern, um die SSID zu speichern, oder auf Abbrechen, um die SSID nicht zu speichern.
  • URLStringProbe: Geben Sie eine abzurufende URL ein. Wenn diese URL erfolgreich und ohne Umleitung abgerufen wird, stimmt diese Regel überein.
  • ActionParameters : Domänen: Klicken Sie für jede Domäne, die EvaluateConnection überprüft und die Sie hinzufügen möchten, auf Hinzufügen und gehen Sie wie folgt vor:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.
  • ActionParameters : DomainAction: Wählen Sie in der Liste das VPN-Verhalten für die angegebenen ActionParameters : Domänen aus. Der Standardwert ist ConnectIfNeeded. Mögliche Aktionen sind:
    • ConnectIfNeeded: Die Domäne löst einen VPN-Verbindungsversuch aus, wenn die Domänennamenauflösung fehlschlägt. Ein Fehler tritt auf, wenn der DNS-Server die Domäne nicht auflösen kann, auf einen anderen Server umleitet oder eine Zeitüberschreitung auftritt.
    • NeverConnect: Die Domäne löst nie eine VPN-Verbindung aus.
  • Aktionsparameter: Erforderliche DNS-Server: Klicken Sie für jede DNS-Server-IP-Adresse, die zur Auflösung der angegebenen Domänen verwendet werden soll und die Sie hinzufügen möchten, auf Hinzufügen und gehen Sie wie folgt vor:
    • DNS-Server: Nur gültig, wenn ActionParameters : DomainAction = ConnectIfNeeded. Geben Sie den hinzuzufügenden DNS-Server ein. Dieser Server muss nicht Teil der aktuellen Netzwerkkonfiguration des Geräts sein. Wenn der DNS-Server nicht erreichbar ist, wird als Reaktion eine VPN-Verbindung hergestellt. Dieser DNS-Server muss entweder ein interner DNS-Server oder ein vertrauenswürdiger externer DNS-Server sein.
    • Klicken Sie auf Speichern, um den DNS-Server zu speichern, oder auf Abbrechen, um den DNS-Server nicht zu speichern.
  • ActionParameters : RequiredURLStringProbe: Geben Sie optional eine HTTP- oder HTTPS-URL (bevorzugt) ein, die mit einer GET-Anfrage abgefragt werden soll. Wenn der Hostname der URL nicht aufgelöst werden kann, der Server nicht erreichbar ist oder der Server nicht antwortet, wird eine VPN-Verbindung hergestellt. Nur gültig, wenn ActionParameters : DomainAction = ConnectIfNeeded.
  • OnDemandRules : XML-Inhalt: Geben Sie die XML-Konfiguration der On-Demand-Regeln ein oder kopieren Sie sie.
    • Klicken Sie auf Wörterbuch prüfen, um den XML-Code zu validieren. Wenn der XML-Code gültig ist, sehen Sie “Gültiges XML” in grünem Text unter dem Textfeld XML-Inhalt. Wenn er nicht gültig ist, sehen Sie eine Fehlermeldung in orangefarbenem Text, die den Fehler beschreibt.
• Proxy
  • Proxy-Konfiguration: Wählen Sie in der Liste aus, wie die VPN-Verbindung über einen Proxyserver geleitet wird. Der Standardwert ist Keine.
    • Wenn Sie Manuell aktivieren, konfigurieren Sie diese Einstellungen:
      • Hostname oder IP-Adresse für den Proxyserver: Geben Sie den Hostnamen oder die IP-Adresse für den Proxyserver ein. Dieses Feld ist erforderlich.
      • Port für den Proxyserver: Geben Sie die Portnummer des Proxyservers ein. Dieses Feld ist erforderlich.
      • Benutzername: Geben Sie einen optionalen Benutzernamen für den Proxyserver ein.
      • Kennwort: Geben Sie ein optionales Kennwort für den Proxyserver ein.
    • Wenn Sie Automatisch konfigurieren, konfigurieren Sie diese Einstellung:
      • Proxyserver-URL: Geben Sie die URL für den Proxyserver ein. Dieses Feld ist erforderlich.
• Richtlinieneinstellungen
  • Wählen Sie unter Richtlinieneinstellungen neben Richtlinie entfernen entweder Datum auswählen oder Dauer bis zur Entfernung (in Stunden) aus.
  • Wenn Sie Datum auswählen wählen, klicken Sie auf den Kalender, um das spezifische Datum für die Entfernung auszuwählen.
  • Wählen Sie in der Liste Benutzer darf Richtlinie entfernen die Option Immer, Kennwort erforderlich oder Nie aus.
  • Wenn Sie Kennwort erforderlich wählen, geben Sie neben Entfernungskennwort das erforderliche Kennwort ein.

Per-App-VPN konfigurieren

Per-App-VPN-Optionen für iOS sind für folgende Verbindungstypen verfügbar: Cisco Legacy AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA, Citrix VPN, Citrix SSO und Benutzerdefiniertes SSL.

So konfigurieren Sie ein Per-App-VPN:

1. Erstellen Sie unter Konfigurieren > Geräterichtlinien eine VPN-Richtlinie. Beispiel:

   

   

2. Erstellen Sie unter Konfigurieren > Geräterichtlinien eine App-Attribute-Richtlinie, um eine App der Per-App-VPN-Richtlinie zuzuordnen. Wählen Sie für Per-App-VPN-ID den Namen der in Schritt 1 erstellten VPN-Richtlinie aus. Wählen Sie für Verwaltete App-Bundle-ID aus der App-Liste aus oder geben Sie die App-Bundle-ID ein. (Wenn Sie eine iOS-App-Inventarrichtlinie bereitstellen, enthält die App-Liste Apps.)

   

• Richtlinieneinstellungen
  • Richtlinie entfernen: Wählen Sie eine Methode zur Planung der Richtlinienentfernung. Verfügbare Optionen sind Datum auswählen und Dauer bis zur Entfernung (in Stunden)
    • Datum auswählen: Klicken Sie auf den Kalender, um das spezifische Datum für die Entfernung auszuwählen.
    • Dauer bis zur Entfernung (in Stunden): Geben Sie eine Zahl in Stunden ein, bis die Richtlinienentfernung erfolgt. Nur verfügbar für iOS 6.0 und höher.

macOS-Einstellungen

• Verbindungsname: Geben Sie einen Namen für die Verbindung ein.
• Verbindungstyp: Wählen Sie in der Liste das für diese Verbindung zu verwendende Protokoll aus. Der Standardwert ist L2TP.
  • L2TP: Layer 2 Tunneling Protocol mit Pre-Shared Key-Authentifizierung.
  • PPTP: Point-to-Point Tunneling.
  • IPSec: Ihre Unternehmens-VPN-Verbindung.
  • Cisco AnyConnect: Cisco AnyConnect VPN-Client.
  • Juniper SSL: Juniper Networks SSL VPN-Client.
  • F5 SSL: F5 Networks SSL VPN-Client.
  • SonicWALL Mobile Connect: Dell Unified VPN-Client für iOS.
  • Ariba VIA: Ariba Networks Virtual Internet Access-Client.
  • Citrix VPN: Citrix VPN-Client.
  • Benutzerdefiniertes SSL: Benutzerdefiniertes Secure Socket Layer.

Die folgenden Abschnitte listen die Konfigurationsoptionen für jeden der oben genannten Verbindungstypen auf.

L2TP-Protokoll für macOS konfigurieren

• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Wählen Sie Kennwortauthentifizierung, RSA SecurID-Authentifizierung, Kerberos-Authentifizierung oder CryptoCard-Authentifizierung aus. Der Standardwert ist Kennwortauthentifizierung.
• Gemeinsames Geheimnis: Geben Sie den IPsec-Pre-Shared Key ein.
• Gesamten Datenverkehr senden: Wählen Sie aus, ob der gesamte Datenverkehr über das VPN gesendet werden soll. Der Standardwert ist Aus.

PPTP-Protokoll für macOS konfigurieren

• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Wählen Sie Kennwortauthentifizierung, RSA SecurID-Authentifizierung, Kerberos-Authentifizierung oder CryptoCard-Authentifizierung aus. Der Standardwert ist Kennwortauthentifizierung.
• Verschlüsselungsstufe: Wählen Sie die gewünschte Verschlüsselungsstufe aus. Der Standardwert ist Keine.
  • Keine: Keine Verschlüsselung verwenden.
  • Automatisch: Verwendet die stärkste vom Server unterstützte Verschlüsselungsstufe.
  • Maximum (128-Bit): Verwendet immer 128-Bit-Verschlüsselung.
• Gesamten Datenverkehr senden: Wählen Sie aus, ob der gesamte Datenverkehr über das VPN gesendet werden soll. Der Standardwert ist Aus.

IPsec-Protokoll für macOS konfigurieren

• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Shared Secret oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Shared Secret.
  • Wenn Sie die Shared Secret-Authentifizierung aktivieren, konfigurieren Sie diese Einstellungen:
    • Gruppenname: Geben Sie einen optionalen Gruppennamen ein.
    • Shared Secret: Geben Sie einen optionalen Shared Secret-Schlüssel ein.
    • Hybride Authentifizierung verwenden: Wählen Sie aus, ob die hybride Authentifizierung verwendet werden soll. Bei der hybriden Authentifizierung authentifiziert sich der Server zuerst beim Client und dann der Client beim Server. Die Standardeinstellung ist Aus.
    • Zur Passworteingabe auffordern: Wählen Sie aus, ob Benutzer zur Eingabe ihres Passworts aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
  • Wenn Sie die Zertifikat-Authentifizierung aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
    • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer bei der Verbindung mit dem Netzwerk zur Eingabe ihrer PIN aufgefordert werden sollen. Die Standardeinstellung ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob das Auslösen einer VPN-Verbindung aktiviert werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Optionen für VPN bei Bedarf konfigurieren.

Cisco AnyConnect-Protokoll für macOS konfigurieren

• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Gruppe: Geben Sie einen optionalen Gruppennamen ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
    • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob das Auslösen einer VPN-Verbindung aktiviert werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Optionen für VPN bei Bedarf konfigurieren.
  • Per-App-VPN aktivieren: Wählen Sie aus, ob Per-App-VPN aktiviert werden soll. Die Standardeinstellung ist Aus. Wenn Sie diese Option aktivieren, konfigurieren Sie diese Einstellungen:
    • On-Demand-App-Abgleich aktiviert: Wählen Sie aus, ob eine Per-App-VPN-Verbindung automatisch ausgelöst wird, wenn Apps, die mit dem Per-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation starten. Die Standardeinstellung ist Aus.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Per-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
      • Domäne: Geben Sie die hinzuzufügende Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.

Juniper SSL-Protokoll für macOS konfigurieren

• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Realm: Geben Sie einen optionalen Realm-Namen ein.
• Rolle: Geben Sie einen optionalen Rollennamen ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
    • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob das Auslösen einer VPN-Verbindung aktiviert werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Optionen für VPN bei Bedarf konfigurieren.
• Per-App-VPN aktivieren: Wählen Sie aus, ob Per-App-VPN aktiviert werden soll. Die Standardeinstellung ist Aus. Wenn Sie diese Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
  • On-Demand-App-Abgleich aktiviert: Wählen Sie aus, ob eine Per-App-VPN-Verbindung automatisch ausgelöst wird, wenn Apps, die mit dem Per-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation initiieren. Die Standardeinstellung ist Aus.
  • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Per-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.

F5 SSL-Protokoll für macOS konfigurieren

• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
    • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob das Auslösen einer VPN-Verbindung aktiviert werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Optionen für VPN bei Bedarf konfigurieren.
• Per-App-VPN aktivieren: Wählen Sie aus, ob Per-App-VPN aktiviert werden soll. Die Standardeinstellung ist Aus. Wenn Sie diese Option aktivieren, konfigurieren Sie diese Einstellungen:
  • On-Demand-App-Abgleich aktiviert: Wählen Sie aus, ob eine Per-App-VPN-Verbindung automatisch ausgelöst wird, wenn Apps, die mit dem Per-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation starten. Die Standardeinstellung ist Aus.
  • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Per-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.

SonicWALL Mobile Connect-Protokoll für macOS konfigurieren

• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Anmeldegruppe oder Domäne: Geben Sie eine optionale Anmeldegruppe oder Domäne ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
    • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob das Auslösen einer VPN-Verbindung aktiviert werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Optionen für VPN bei Bedarf konfigurieren.
• Per-App-VPN aktivieren: Wählen Sie aus, ob Per-App-VPN aktiviert werden soll. Die Standardeinstellung ist Aus. Wenn Sie diese Option aktivieren, konfigurieren Sie diese Einstellungen:
  • On-Demand-App-Abgleich aktiviert: Wählen Sie aus, ob eine Per-App-VPN-Verbindung automatisch ausgelöst wird, wenn Apps, die mit dem Per-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation initiieren. Die Standardeinstellung ist Aus.
  • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Per-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.

Ariba VIA-Protokoll für macOS konfigurieren

• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
• Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
    • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob das Auslösen einer VPN-Verbindung aktiviert werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist Aus. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Optionen für VPN bei Bedarf konfigurieren.
• Per-App-VPN aktivieren: Wählen Sie aus, ob Per-App-VPN aktiviert werden soll. Die Standardeinstellung ist Aus. Wenn Sie diese Option aktivieren, konfigurieren Sie diese Einstellungen:
  • On-Demand-App-Abgleich aktiviert: Wählen Sie aus, ob eine Per-App-VPN-Verbindung automatisch ausgelöst wird, wenn Apps, die mit dem Per-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation initiieren. Die Standardeinstellung ist Aus.
  • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Per-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.

Benutzerdefiniertes SSL-Protokoll für macOS konfigurieren

• Benutzerdefinierter SSL-Bezeichner (Reverse-DNS-Format): Geben Sie den SSL-Bezeichner im Reverse-DNS-Format ein. Dieses Feld ist erforderlich.
• Servername oder IP-Adresse: Geben Sie den Servernamen oder die IP-Adresse für den VPN-Server ein. Dieses Feld ist erforderlich.
• Benutzerkonto: Geben Sie ein optionales Benutzerkonto ein.
  • Authentifizierungstyp für die Verbindung: Wählen Sie in der Liste entweder Passwort oder Zertifikat als Authentifizierungstyp für diese Verbindung aus. Die Standardeinstellung ist Passwort.
  • Wenn Sie Passwort aktivieren, geben Sie ein optionales Authentifizierungspasswort in das Feld Authentifizierungspasswort ein.
  • Wenn Sie Zertifikat aktivieren, konfigurieren Sie diese Einstellungen:
    • Identitätsnachweis: Wählen Sie in der Liste den zu verwendenden Identitätsnachweis aus. Die Standardeinstellung ist Keine.
    • PIN-Eingabe bei Verbindung anfordern: Wählen Sie aus, ob Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie sich mit dem Netzwerk verbinden. Die Standardeinstellung ist AUS.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob das Auslösen einer VPN-Verbindung aktiviert werden soll, wenn Benutzer sich mit dem Netzwerk verbinden. Die Standardeinstellung ist AUS. Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein steht, finden Sie unter Optionen für VPN bei Bedarf konfigurieren.
  • Per-App-VPN: Wählen Sie aus, ob Per-App-VPN aktiviert werden soll. Die Standardeinstellung ist Aus. Wenn Sie diese Option aktivieren, konfigurieren Sie diese Einstellungen:
    • On-Demand-App-Abgleich aktiviert: Wählen Sie aus, ob Per-App-VPN-Verbindungen automatisch ausgelöst werden, wenn Apps, die mit dem Per-App-VPN-Dienst verknüpft sind, die Netzwerkkommunikation initiieren.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine Per-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
      • Domäne: Geben Sie die hinzuzufügende Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.
• Benutzerdefiniertes XML: Klicken Sie für jeden benutzerdefinierten XML-Parameter, den Sie hinzufügen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
  • Parametername: Geben Sie den Namen des hinzuzufügenden Parameters ein.
  • Wert: Geben Sie den Wert ein, der mit Parametername verknüpft ist.
  • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.

Optionen für VPN bei Bedarf konfigurieren

• On-Demand-Domäne: Klicken Sie für jede Domäne und die zugehörige Aktion, die ausgeführt werden soll, wenn Benutzer sich mit ihr verbinden, die Sie hinzufügen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
  • Domäne: Geben Sie die hinzuzufügende Domäne ein.
  • Aktion: Wählen Sie in der Liste eine der möglichen Aktionen aus:
    • Immer herstellen: Die Domäne löst immer eine VPN-Verbindung aus.
    • Nie herstellen: Die Domäne löst niemals eine VPN-Verbindung aus.
    • Bei Bedarf herstellen: Die Domäne löst einen VPN-Verbindungsversuch aus, wenn die Domänennamenauflösung fehlschlägt. Ein Fehler tritt auf, wenn der DNS-Server die Domäne nicht auflösen kann, zu einem anderen Server umleitet oder eine Zeitüberschreitung auftritt.
  • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.
• On-Demand-Regeln
  • Aktion: Wählen Sie in der Liste die auszuführende Aktion aus. Die Standardeinstellung ist EvaluateConnection. Mögliche Aktionen sind:
    • Zulassen: VPN bei Bedarf zulassen, sich bei Auslösung zu verbinden.
    • Verbinden: Eine VPN-Verbindung bedingungslos initiieren.
    • Trennen: Die VPN-Verbindung entfernen und bei Bedarf nicht wiederherstellen, solange die Regel übereinstimmt.
    • EvaluateConnection: Das ActionParameters-Array für jede Verbindung auswerten.
    • Ignorieren: Eine bestehende VPN-Verbindung aufrechterhalten, aber bei Bedarf nicht wiederherstellen, solange die Regel übereinstimmt.
  • DNSDomainMatch: Klicken Sie für jede Domäne, mit der die Suchdomänenliste eines Benutzergeräts übereinstimmen kann und die Sie hinzufügen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • DNS-Domäne: Geben Sie den Domänennamen ein. Sie können das Platzhalterpräfix “*” verwenden, um mehrere Domänen abzugleichen. Zum Beispiel stimmt *.example.com mit mydomain.example.com, yourdomain.example.com und herdomain.example.com überein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.
  • DNSServerAddressMatch: Klicken Sie für jede IP-Adresse, mit der einer der angegebenen DNS-Server des Netzwerks übereinstimmen kann und die Sie hinzufügen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • DNS-Serveradresse: Geben Sie die DNS-Serveradresse ein, die Sie hinzufügen möchten. Sie können das Platzhaltersuffix “*” verwenden, um DNS-Server abzugleichen. Zum Beispiel stimmt 17.* mit jedem DNS-Server im Class-A-Subnetz überein.
    • Klicken Sie auf Speichern, um die DNS-Serveradresse zu speichern, oder auf Abbrechen, um die DNS-Serveradresse nicht zu speichern.
  • InterfaceTypeMatch: Klicken Sie in der Liste auf den Typ der verwendeten primären Netzwerkschnittstellenhardware. Die Standardeinstellung ist Nicht spezifiziert. Mögliche Werte sind:
    • Nicht spezifiziert: Stimmt mit jeder Netzwerkschnittstellenhardware überein. Diese Option ist die Standardeinstellung.
    • Ethernet: Stimmt nur mit Ethernet-Netzwerkschnittstellenhardware überein.
    • WLAN: Stimmt nur mit WLAN-Netzwerkschnittstellenhardware überein.
    • Mobilfunk: Stimmt nur mit Mobilfunk-Netzwerkschnittstellenhardware überein.
  • SSIDMatch: Klicken Sie für jede SSID, die mit dem aktuellen Netzwerk abgeglichen werden soll und die Sie hinzufügen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus.
    • SSID: Geben Sie die hinzuzufügende SSID ein. Wenn das Netzwerk kein WLAN-Netzwerk ist oder die SSID nicht angezeigt wird, schlägt der Abgleich fehl. Lassen Sie diese Liste leer, um jede SSID abzugleichen.
    • Klicken Sie auf Speichern, um die SSID zu speichern, oder auf Abbrechen, um die SSID nicht zu speichern.
  • URLStringProbe: Geben Sie eine abzurufende URL ein. Wenn diese URL erfolgreich und ohne Umleitung abgerufen wird, stimmt diese Regel überein.
  • ActionParameters : Domänen: Klicken Sie für jede Domäne, die EvaluateConnection überprüft und die Sie hinzufügen möchten, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.
  • ActionParameters : Domänenaktion: Wählen Sie in der Liste das VPN-Verhalten für die angegebenen ActionParameters : Domänen aus. Die Standardeinstellung ist ConnectIfNeeded. Mögliche Aktionen sind:
    • ConnectIfNeeded: Die Domäne löst einen VPN-Verbindungsversuch aus, wenn die Domänennamenauflösung fehlschlägt. Ein Fehler tritt auf, wenn der DNS-Server die Domäne nicht auflösen kann, zu einem anderen Server umleitet oder eine Zeitüberschreitung auftritt.
    • NeverConnect: Die Domäne löst niemals eine VPN-Verbindung aus.
  • Aktionsparameter: Erforderliche DNS-Server: Klicken Sie für jede DNS-Server-IP-Adresse, die zur Auflösung der angegebenen Domänen verwendet werden soll, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • DNS-Server: Nur gültig, wenn ActionParameters : Domänenaktion = ConnectIfNeeded. Geben Sie den hinzuzufügenden DNS-Server ein. Dieser Server muss nicht Teil der aktuellen Netzwerkkonfiguration des Geräts sein. Wenn der DNS-Server nicht erreichbar ist, wird als Reaktion eine VPN-Verbindung hergestellt. Dieser DNS-Server muss entweder ein interner DNS-Server oder ein vertrauenswürdiger externer DNS-Server sein.
    • Klicken Sie auf Speichern, um den DNS-Server zu speichern, oder auf Abbrechen, um den DNS-Server nicht zu speichern.
  • ActionParameters : Erforderliche URLStringProbe: Geben Sie optional eine HTTP- oder HTTPS-URL (bevorzugt) ein, die mit einer GET-Anfrage abgefragt werden soll. Wenn der Hostname der URL nicht aufgelöst werden kann, der Server unerreichbar ist oder der Server nicht antwortet, wird eine VPN-Verbindung hergestellt. Nur gültig, wenn ActionParameters : Domänenaktion = ConnectIfNeeded.
  • OnDemandRules : XML-Inhalt: Geben Sie XML-Regeln für die On-Demand-Konfiguration ein oder kopieren Sie sie.
    • Klicken Sie auf Wörterbuch prüfen, um den XML-Code zu validieren. Wenn das XML gültig ist, sehen Sie “Gültiges XML” in grünem Text unter dem Textfeld XML-Inhalt. Wenn es nicht gültig ist, sehen Sie eine Fehlermeldung in orangefarbenem Text, die den Fehler beschreibt.
• Proxy
  • Proxykonfiguration: Wählen Sie in der Liste aus, wie die VPN-Verbindung über einen Proxyserver geleitet wird. Die Standardeinstellung ist Keine.
    • Wenn Sie Manuell aktivieren, konfigurieren Sie diese Einstellungen:
      • Hostname oder IP-Adresse für den Proxyserver: Geben Sie den Hostnamen oder die IP-Adresse für den Proxyserver ein. Dieses Feld ist erforderlich.
      • Port für den Proxyserver: Geben Sie die Portnummer des Proxyservers ein. Dieses Feld ist erforderlich.
      • Benutzername: Geben Sie einen optionalen Proxyserver-Benutzernamen ein.
      • Passwort: Geben Sie ein optionales Proxyserver-Passwort ein.
    • Wenn Sie Automatisch konfigurieren, konfigurieren Sie diese Einstellung:
      • Proxyserver-URL: Geben Sie die URL für den Proxyserver ein. Dieses Feld ist erforderlich.

Android-Einstellungen

Cisco AnyConnect VPN-Protokoll für Android konfigurieren

• Verbindungsname: Geben Sie einen Namen für die Cisco AnyConnect VPN-Verbindung ein. Dieses Feld ist erforderlich.
• Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein. Dieses Feld ist erforderlich.
• Identitätsnachweis: Wählen Sie in der Liste einen Identitätsnachweis aus.
• Backup-VPN-Server: Geben Sie die Informationen zum Backup-VPN-Server ein.
• Benutzergruppe: Geben Sie die Informationen zur Benutzergruppe ein.
• Vertrauenswürdige Netzwerke
  • Automatische VPN-Richtlinie: Aktivieren oder deaktivieren Sie diese Option, um festzulegen, wie das VPN auf vertrauenswürdige und nicht vertrauenswürdige Netzwerke reagiert. Wenn aktiviert, konfigurieren Sie diese Einstellungen:
    • Richtlinie für vertrauenswürdige Netzwerke: Wählen Sie in der Liste die gewünschte Richtlinie aus. Die Standardeinstellung ist Trennen. Mögliche Optionen sind:
      • Trennen: Der Client beendet die VPN-Verbindung im vertrauenswürdigen Netzwerk. Diese Einstellung ist die Standardeinstellung.
      • Verbinden: Der Client startet eine VPN-Verbindung im vertrauenswürdigen Netzwerk.
      • Nichts tun: Der Client unternimmt keine Aktion.
      • Pause: Wenn ein Benutzer eine VPN-Sitzung außerhalb des vertrauenswürdigen Netzwerks aufbaut und dann ein als vertrauenswürdig konfiguriertes Netzwerk betritt, wird die VPN-Sitzung unterbrochen. Wenn der Benutzer das vertrauenswürdige Netzwerk wieder verlässt, wird die Sitzung fortgesetzt. Diese Einstellung eliminiert die Notwendigkeit, nach dem Verlassen eines vertrauenswürdigen Netzwerks eine neue VPN-Sitzung aufzubauen.
    • Richtlinie für nicht vertrauenswürdige Netzwerke: Wählen Sie in der Liste die gewünschte Richtlinie aus. Die Standardeinstellung ist Verbinden. Mögliche Optionen sind:
      • Verbinden: Der Client startet eine VPN-Verbindung im nicht vertrauenswürdigen Netzwerk.
      • Nichts tun: Der Client startet eine VPN-Verbindung im nicht vertrauenswürdigen Netzwerk. Diese Option deaktiviert das Always-On-VPN.
  • Vertrauenswürdige Domänen: Klicken Sie für jedes Domänensuffix, das die Netzwerkschnittstelle hat, wenn sich der Client im vertrauenswürdigen Netzwerk befindet, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • Domäne: Geben Sie die hinzuzufügende Domäne ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern, oder auf Abbrechen, um die Domäne nicht zu speichern.
  • Vertrauenswürdige Server: Klicken Sie für jede Serveradresse, die eine Netzwerkschnittstelle hat, wenn sich der Client im vertrauenswürdigen Netzwerk befindet, auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • Server: Geben Sie den hinzuzufügenden Server ein.
    • Klicken Sie auf Speichern, um den Server zu speichern, oder auf Abbrechen, um den Server nicht zu speichern.

Citrix SSO-Protokoll für Android konfigurieren

• Verbindungsname: Geben Sie einen Namen für die VPN-Verbindung ein. Dieses Feld ist erforderlich.

• Servername oder IP-Adresse: Geben Sie den FQDN oder die IP-Adresse des Citrix Gateways ein.

• Authentifizierungstyp für die Verbindung: Wählen Sie einen Authentifizierungstyp aus und füllen Sie alle Felder aus, die für diesen Typ angezeigt werden:

  • Benutzername und Kennwort: Geben Sie Ihre VPN-Anmeldeinformationen für die Authentifizierungstypen Kennwort oder Kennwort und Zertifikat ein. Optional. Wenn Sie die VPN-Anmeldeinformationen nicht angeben, fordert die Citrix VPN-App zur Eingabe eines Benutzernamens und Kennworts auf.

  • Identitätsnachweis: Wird für die Authentifizierungstypen Zertifikat oder Kennwort und Zertifikat angezeigt. Wählen Sie in der Liste einen Identitätsnachweis aus.

• Per-App-VPN aktivieren: Wählen Sie aus, ob das Per-App-VPN aktiviert werden soll. Wenn Sie kein Per-App-VPN aktivieren, wird der gesamte Datenverkehr über den Citrix VPN-Tunnel geleitet. Wenn Sie ein Per-App-VPN aktivieren, geben Sie die folgenden Einstellungen an. Die Standardeinstellung ist Aus.

  • Positivliste oder Sperrliste: Wenn Positivliste, tunneln alle zugelassenen Apps über dieses VPN. Wenn Sperrliste, tunneln alle Apps außer den Apps auf der Sperrliste über dieses VPN.

    Hinweis:

    Die XenMobile® Server-Konsole enthält die Begriffe „Blacklist“ und „Whitelist“. Wir werden diese Begriffe in einer kommenden Version in „Sperrliste“ und „Zulassungsliste“ ändern.

  • Anwendungsliste: Geben Sie die zugelassenen oder blockierten Apps an. Klicken Sie auf Hinzufügen und geben Sie dann eine durch Kommas getrennte Liste von App-Paketnamen ein.

• Benutzerdefiniertes XML: Klicken Sie auf Hinzufügen und geben Sie dann die benutzerdefinierten Parameter ein. XenMobile unterstützt diese Parameter für Citrix VPN:

  • DisableUserProfiles: Optional. Um diesen Parameter zu aktivieren, geben Sie Yes für den Wert ein. Wenn aktiviert, zeigt XenMobile keine vom Benutzer hinzugefügten VPN-Verbindungen an, und der Benutzer kann keine Verbindung hinzufügen. Diese Einstellung ist eine globale Einschränkung und gilt für alle VPN-Profile.
  • userAgent: Ein Zeichenfolgenwert. Sie können eine benutzerdefinierte User-Agent-Zeichenfolge angeben, die in jeder HTTP-Anforderung gesendet werden soll. Die angegebene User-Agent-Zeichenfolge wird an den vorhandenen Citrix VPN-User-Agent angehängt.

VPNs zur Unterstützung von NAC konfigurieren

1. Verwenden Sie den Verbindungstyp Benutzerdefiniertes SSL, um den NAC-Filter zu konfigurieren.
2. Geben Sie einen Verbindungsnamen von VPN an.
3. Klicken Sie für Benutzerdefiniertes XML auf Hinzufügen und führen Sie Folgendes aus:
   • Parametername: Geben Sie XenMobileDeviceId ein. Dieses Feld ist die Geräte-ID, die für die NAC-Prüfung basierend auf der Geräteregistrierung in XenMobile verwendet werden soll. Wenn XenMobile das Gerät registriert und verwaltet, ist die VPN-Verbindung zulässig. Andernfalls wird die Authentifizierung zum Zeitpunkt des VPN-Aufbaus verweigert.
   • Wert: Geben Sie DeviceID_${device.id} ein, was der Wert für den Parameter XenMobileDeviceId ist.
   • Klicken Sie auf Speichern, um den Parameter zu speichern.

VPNs für Android Enterprise konfigurieren

Um VPNs für Android Enterprise-Geräte zu konfigurieren, erstellen Sie eine Richtlinie für verwaltete Konfigurationen für die Citrix SSO-App. Siehe VPN-Profile für Android Enterprise konfigurieren.

Android Enterprise-Einstellungen

• Always-On-VPN aktivieren: Wählen Sie aus, ob das VPN immer aktiv sein soll. Die Standardeinstellung ist Aus. Wenn aktiviert, bleibt die VPN-Verbindung bestehen, bis der Benutzer sie manuell trennt.
• VPN-Paket: Geben Sie den Paketnamen für die VPN-App ein, die Geräte verwenden.
• Sperre aktivieren: Wenn deaktiviert, kann keine App auf das Netzwerk zugreifen, wenn keine VPN-Verbindung besteht. Wenn aktiviert, können die Apps, die Sie in der folgenden Einstellung konfigurieren, auf das Netzwerk zugreifen, auch wenn keine VPN-Verbindung besteht. Verfügbar für Android 10 und neuere Geräte.
• Von der Sperre ausgeschlossene Anwendungen: Klicken Sie auf Hinzufügen, um die Paketnamen der Apps einzugeben, die die Sperreinstellung umgehen sollen.

Windows Desktop-/Tablet-Einstellungen

• Verbindungsname: Geben Sie einen Namen für die Verbindung ein. Dieses Feld ist erforderlich.
• Profiltyp: Wählen Sie in der Liste entweder Nativ oder Plug-in aus. Die Standardeinstellung ist Nativ.
• Nativen Profiltyp konfigurieren: Diese Einstellungen gelten für das in die Windows-Geräte der Benutzer integrierte VPN.
  • Serveradresse: Geben Sie den FQDN oder die IP-Adresse für den VPN-Server ein. Dieses Feld ist erforderlich.
  • Anmeldeinformationen speichern: Wählen Sie aus, ob die Anmeldeinformationen zwischengespeichert werden sollen. Die Standardeinstellung ist Aus. Wenn aktiviert, werden Anmeldeinformationen nach Möglichkeit zwischengespeichert.
  • DNS-Suffix: Geben Sie das DNS-Suffix ein.
  • Tunneltyp: Wählen Sie in der Liste den zu verwendenden VPN-Tunneltyp aus. Die Standardeinstellung ist L2TP. Mögliche Optionen sind:
    • L2TP: Layer 2 Tunneling Protocol mit Pre-Shared-Key-Authentifizierung.
    • PPTP: Point-to-Point Tunneling.
    • IKEv2: Internet Key Exchange Version 2.
  • Authentifizierungsmethode: Wählen Sie in der Liste die zu verwendende Authentifizierungsmethode aus. Die Standardeinstellung ist EAP. Mögliche Optionen sind:
    • EAP: Extended Authentication Protocol.
    • MSChapV2: Verwenden Sie die Challenge-Handshake-Authentifizierung von Microsoft für die gegenseitige Authentifizierung. Diese Option ist nicht verfügbar, wenn Sie IKEv2 als Tunneltyp auswählen.
  • EAP-Methode: Wählen Sie in der Liste die zu verwendende EAP-Methode aus. Die Standardeinstellung ist TLS. Dieses Feld ist nicht verfügbar, wenn die MSChapV2-Authentifizierung aktiviert ist. Mögliche Optionen sind:
    • TLS: Transport Layer Security
    • PEAP: Protected Extensible Authentication Protocol
  • Vertrauenswürdige Netzwerke: Geben Sie eine durch Kommas getrennte Liste von Netzwerken ein, die keine VPN-Verbindung für den Zugriff erfordern. Wenn Benutzer beispielsweise in Ihrem Unternehmens-WLAN sind, können sie direkt auf geschützte Ressourcen zugreifen.
  • Smartcard-Zertifikat erforderlich: Wählen Sie aus, ob ein Smartcard-Zertifikat erforderlich sein soll. Die Standardeinstellung ist Aus.
  • Clientzertifikat automatisch auswählen: Wählen Sie aus, ob das für die Authentifizierung zu verwendende Clientzertifikat automatisch ausgewählt werden soll. Die Standardeinstellung ist Aus. Diese Option ist nicht verfügbar, wenn Sie Smartcard-Zertifikat erforderlich aktivieren.
  • Always-On-VPN: Wählen Sie aus, ob das VPN immer aktiv sein soll. Die Standardeinstellung ist Aus. Wenn aktiviert, bleibt die VPN-Verbindung bestehen, bis der Benutzer sie manuell trennt.
  • Bypass für Lokal: Geben Sie die Adresse und Portnummer ein, um lokalen Ressourcen das Umgehen des Proxyservers zu ermöglichen.
• Plug-in-Profiltyp konfigurieren: Diese Einstellungen gelten für VPN-Plug-ins, die aus dem Windows Store bezogen und auf den Geräten der Benutzer installiert wurden.
  • Serveradresse: Geben Sie den FQDN oder die IP-Adresse für den VPN-Server ein. Dieses Feld ist erforderlich.
  • Anmeldeinformationen speichern: Wählen Sie aus, ob die Anmeldeinformationen zwischengespeichert werden sollen. Die Standardeinstellung ist Aus. Wenn aktiviert, werden Anmeldeinformationen nach Möglichkeit zwischengespeichert.
  • DNS-Suffix: Geben Sie das DNS-Suffix ein.
  • Client-App-ID: Geben Sie den Paketfamiliennamen für das VPN-Plug-in ein.
  • Plug-in-Profil-XML: Wählen Sie das benutzerdefinierte VPN-Plug-in-Profil aus, indem Sie auf Durchsuchen klicken und zum Speicherort der Datei navigieren. Wenden Sie sich an den Plug-in-Anbieter, um Informationen zu Format und Details zu erhalten.
  • Vertrauenswürdige Netzwerke: Geben Sie eine durch Kommas getrennte Liste von Netzwerken ein, die keine VPN-Verbindung für den Zugriff erfordern. Wenn Benutzer beispielsweise in Ihrem Unternehmens-WLAN sind, können sie direkt auf geschützte Ressourcen zugreifen.
  • Always-On-VPN: Wählen Sie aus, ob das VPN immer aktiv sein soll. Die Standardeinstellung ist Aus. Wenn aktiviert, bleibt die VPN-Verbindung bestehen, bis der Benutzer sie manuell trennt.
  • Bypass für Lokal: Geben Sie die Adresse und Portnummer ein, um lokalen Ressourcen das Umgehen des Proxyservers zu ermöglichen.