Hinweis! Für private Geräte, die via Benutzerregistrierung eingebunden worden sind, stehen nur VPN-Profile zur Verfügung, bei denen die Checkbox Als Per-App-VPN verwenden aktiviert wurde.
Permanentes VPN (Always-on VPN)
VPN-Profil einrichten
Legen Sie ein VPN-Profil an, um Ihren Nutzer/-innen einen sicheren Zugang zum Firmennetz zu ermöglichen, ohne dass die Nutzer/-innen eigene Einstellungen vornehmen müssen.
- Gehen Sie zuerst vor, wie hier beschrieben.
- Wählen Sie VPN als Profil aus, das Sie hinzufügen möchten. Es wird folgender Dialog geöffnet:
Nehmen Sie nun folgende Einstellungen vor:
- Profilname: Geben Sie hier einen beliebigen Namen für das Profil ein.
- Name der Verbindung: Geben Sie hier den Namen der Verbindung an.
- VPN-Server: Geben Sie die Adresse eines VPN-Servers an.
- Verbindungstyp: Hier können Sie das VPN-Protokoll auswählen. Abhängig vom VPN-Protokoll stehen verschiedene, weitere Optionen zur Verfügung. Nutzen Sie hier ggf. die Dokumentation Ihres VPN-Servers.
- Als Per-App-VPN verwenden: Diese Checkbox steht Apple-seitig nur für einige (add-on) VPN-Protokolle zur Verfügung (z. B. Cisco oder Juniper). Aktivieren Sie Als Per-App-VPN verwenden, wenn Sie dieses Profil später für iOS-Nutzer/-innen in einer verwalteten App nutzen möchten. Sobald Ihre Nutzer/-innen die entsprechende App öffnen, werden sie automatisch mit Ihrem VPN verbunden. Beachten Sie, dass nur die konfigurierte App auf das VPN zugreifen kann, der/die Nutzer/-in selber aber nicht.
- Für Safari-Domänen verwenden: Wenn Sie diese Option aktivieren, wird beim Öffnen einer hinterlegten Webseite automatisch die VPN-Verbindung aufgebaut. Dieses VPN-Profil kann für Verwaltete Domänen verwendet werden. Diese Option ist abhängig vom Verbindungstyp.
- Konto: Geben Sie hier das Konto an oder aktivieren Sie Autom. (UPN), um die Daten automatisch einzulesen.
- Passwort: Hier können Sie das Passwort des/der Nutzers/Nutzerin eintragen.
- Shared secret: Geben Sie den Verbindungsschlüssel ein, der zum ausgewählten Protokoll gehört.
- Gesamten Datenverkehr senden: Aktivieren Sie diese Checkbox, wenn Sie möchten, dass der gesamte Datenverkehr über das VPN gesendet wird.
- Proxy: Hier können Sie die Einstellungen eines Proxy-Servers für iOS-Geräte vornehmen. Wählen Sie None, wenn Sie die Konfiguration ohne Proxy-Server vornehmen möchten. Andernfalls wählen Sie Manuell oder Automatisch.
- Proxy-Server-URL: Sollte Ihr VPN-Server nur über einen Proxy-Server erreichbar sein, geben Sie hier die URL Ihres Proxy-Servers ein.
Jetzt können Sie das neue Profil verteilen.
Hinweis! Bei der Verwendung von Open VPN muss der Verbindungstyp Benutzerdefiniertes SSL ausgewählt werden. Weitere Details zur Konfiguration dieses Profiles finden Sie unter https://docs.openvpn.net/connecting/connecting-to-access-server-with-apple-ios/faq-regarding-openvpn-connect-ios/ im Abschnitt: Can I import an OpenVPN profile via an iOS .mobileconfig file?
VPN immer EIN (Always-on VPN)
Mit VPN immer EIN werden die iOS-Geräte der Nutzer/-innen durchgängig sicher mit dem Unternehmensnetz verbunden. VPN immer EIN bietet die volle Kontrolle über den Gerätedatenverkehr, da der gesamte IP-Datenverkehr hin und zurück zur Organisation über Tunnel erfolgt.
Die Verschlüsselung erfolgt dabei durch das Standardtunnelungsprotokoll IKEv2. Dadurch können Sie den Datenverkehr von und zu den Geräten beobachten und filtern, Daten innerhalb ihres Netzwerks schützen und den Zugriff der Geräte auf das Internet beschränken.
Voraussetzung für die Verwendung von VPN immer EIN ist die Nutzung von betreuten iOS-Geräten. Sobald das Profil VPN immer EIN auf die Geräte der Nutzer/-innen verteilt wurde, wird das VPN automatisch (ohne Benutzerinteraktion) aktiviert.
Für iOS-Geräte wird ein separater Tunnel für jede aktive IP-Schnittstelle verwendet (d. h. ein Tunnel für die Mobilfunkschnittstelle und ein Tunnel für die WLAN-Schnittstelle. Alternativ kann auch ein Tunnel für beide Verbindungsarten konfiguriert werden. Weitere Informationen zu Implementierungsszenarien finden Sie auf der Apple-Webseite.
Konfigurieren Sie das Profil VPN immer EIN wie folgt:
- Profilname: Geben Sie hier einen beliebigen Namen für das Profil ein.
- Name der Verbindung: Geben Sie hier den Namen der Verbindung an.
- Verbindungstyp: Wählen Sie hier den Typ IKEv2/Always-on aus (oberer Pfeil im Bild).
- VPN immer EIN (nur betreute Geräte): Aktivieren Sie diese Checkbox (unterer Pfeil im Bild).
- Gleiche Konfiguration für WLAN und Mobilfunk verwenden: Aktivieren Sie diese Checkbox nur, wenn Sie die gleiche Konfiguration für beide VPN-Tunnel verwenden wollen (siehe oben). Konfigurieren Sie anderenfalls einen Tunnel für WLAN und einen für Mobilfunk.
- Hostname: Tragen Sie hier die IP-Adresse oder den Hostnamen des VPN-Servers ein (Bsp.: vpn.example.org).
- Entfernte ID: Verwenden Sie den FQDN, den UserFQDN oder eine IP-Adresse (Bsp.: vpn.example.org).
- Lokale ID: Tragen Sie hier den local identifier für den IKEv2-Client ein. Verwenden Sie ebenfalls entweder den FQDN, den UserFQDN oder eine IP-Adresse.
- Maschinen-Authentifizierung: Wählen Sie Zertifikat, wenn Sie die SSL-Verschlüsselung verwenden. Wählen Sie Shared Secret für die Passworteingabe. Tragen Sie in diesem Fall das Passwort im Feld Shared Secret ein.
- Allgemeiner Name des Server-Zertifikatausstellers: Tragen Sie hier den allgemeinen Namen (CN) vom Stammzertifikat (Root CA) ein.
- Allgemeiner Name des Server-Zertifikats: Tragen Sie hier den allgemeinen Namen (CN) vom Server-Zertifikat ein. Bleibt das Feld leer wird der Remote identifier verwendet.
- Identitätszertifikat: Wählen Sie hier ein SCEP- oder Zertifikat-Profil aus, das Sie zuvor angelegt haben.
- EAP einschalten: Aktivieren Sie diese Checkbox, wenn Sie das Extended Authentication Protocol verwenden möchten.
- Dead-Peer-Erkennungsrate: Hier können Sie festlegen, wie oft geprüft wird, ob eine Verbindung vorhanden ist.
- Perfect Forward Secrecy (PFS) aktivieren: Wenn Sie auf Ihrem VPN-Server weitere Sicherheitsoptionen definiert haben, wählen Sie diese hier aus.
- Deaktivieren von Verbindungen erlauben: Aktivieren Sie diese Checkbox, wenn Sie den Nutzer/-innen das Abschalten des VPN-Tunnels ermöglichen möchten.
- Netzwerkverkehr aus Captive Websheet erlauben: Aktivieren Sie diese Checkbox, um den Datenverkehr von Captive Web Sheet außerhalb des VPN-Tunnels zu erlauben.
- Netzwerkverkehr aus allen Captive Network-Apps erlauben: Aktivieren Sie diese Checkbox, um den Datenverkehr von Captive Networking apps außerhalb des VPN-Tunnels zur Bedienung von Captive network auszuführen.
- VoiceMail: Wählen Sie eine der vorgegebenen Optionen aus dem Drop-down-Menü aus.
- Paket-ID: Tragen Sie hier Verbindungen (z. Bsp. Apps) ein, die außerhalb des VPN-Tunnels genutzt werden dürfen.
Weitere Informationen zu VPN immer EIN finden Sie auf der Apple-Webseite.
Jetzt können Sie das neue Profil verteilen.
VPN On-Demand
Sofern Sie eine zertifikat-basierte Authentifizierung festgelegt haben (z.B. Cisco AnyConnect oder F5 SSL), können Sie VPN On-Demand nutzen. Mit dieser Option können Sie eine Liste von URLs hinterlegen, bei deren Aufruf die Nutzer/-innen sofort mit dem VPN verbunden werden. VPN On-Demand steht nur für iOS-Geräte zur Verfügung.
- Erstellen Sie dazu ein VPN-Profil und wählen Sie den Verbindungstyp IPSec (Cisco) aus.
- Wählen Sie unter Maschinen-Authentifizierung die Option Zertifikat.
- Aktivieren Sie die Checkbox VPN On-Demand aktivieren und geben Sie die entsprechende URL ein.
Jetzt können Sie das neue Profil verteilen.
Profil verteilen
- Wählen Sie dazu das entsprechende Profil in der linken Spalte des Verwaltungsportals aus und klicken Sie auf Zuweisung hinzufügen.
- Wählen Sie nun die Nutzer/-innen, Gruppen oder Geräte aus, denen Sie dieses Profil zuweisen möchten.
Hinweis! Unter Verwaltung→ Benutzer/-innen bzw. Gruppen können Sie ebenfalls das Profil zuweisen.