VPN-Profil für iOS-Geräte erstellen

Hinweis! Für private Geräte, die via Benutzerregistrierung eingebunden worden sind, stehen nur VPN-Profile zur Verfügung, bei denen die Checkbox Als Per-App-VPN verwenden aktiviert wurde. 

VPN-Profil einrichten

Permanentes VPN (Always-on VPN)

VPN on demand

Profil verteilen

VPN-Profil einrichten

Legen Sie ein VPN-Profil an, um Ihren Nutzer/-innen einen sicheren Zugang zum Firmen­netz zu ermöglichen, ohne dass die Nutzer/-innen eigene Einstellungen vornehmen müssen.

• Gehen Sie zuerst vor, wie hier beschrieben.
• Wählen Sie VPN als Profil aus, das Sie hinzufügen möchten. Es wird folgender Dialog geöffnet:

Nehmen Sie nun folgende Einstellungen vor:

•  Profilname: Geben Sie hier einen beliebigen Namen für das Profil ein.
•  Name der Verbindung: Geben Sie hier den Namen der Verbindung an.
•  VPN-Server: Geben Sie die Adresse eines VPN-Servers an.
•  Verbindungstyp: Hier können Sie das VPN-Protokoll auswählen. Abhängig vom VPN-Protokoll stehen verschiedene, weitere Optionen zur Verfügung. Nut­zen Sie hier ggf. die Dokumentation Ihres VPN-Servers.
•  Als Per-App-VPN verwenden: Diese Checkbox steht Apple-seitig nur für einige (add-on) VPN-Protokolle zur Verfügung (z. B. Cisco oder Juniper). Aktivieren Sie Als Per-App-VPN verwenden, wenn Sie dieses Profil später für iOS-Nutzer/-innen in einer verwalteten App nutzen möchten. Sobald Ihre Nut­zer/-innen die entsprechende App öffnen, werden sie automatisch mit Ihrem VPN verbunden. Beachten Sie, dass nur die konfigurierte App auf das VPN zugreifen kann, der/die Nutzer/-in selber aber nicht.
•  Für Safari-Domänen verwenden: Wenn Sie diese Option aktivieren, wird beim Öffnen einer hinterlegten Webseite automatisch die VPN-Verbindung aufgebaut. Dieses VPN-Profil kann für Verwaltete Domänen verwendet werden. Diese Option ist abhängig vom Verbindungstyp.
• Konto: Geben Sie hier das Konto an oder aktivieren Sie Autom. (UPN), um die Daten automatisch einzulesen.
• Passwort: Hier können Sie das Passwort des/der Nutzers/Nutzerin eintragen.
• Shared secret: Geben Sie den Verbindungsschlüssel ein, der zum ausgewähl­ten Protokoll gehört.
• Gesamten Datenverkehr senden: Aktivieren Sie diese Checkbox, wenn Sie möchten, dass der gesamte Datenverkehr über das VPN gesendet wird.
• Proxy: Hier können Sie die Einstellungen eines Proxy-Servers für iOS-Geräte vornehmen. Wählen Sie None, wenn Sie die Konfiguration ohne Proxy-Server vornehmen möchten. Andernfalls wählen Sie Manuell oder Automatisch.
• Proxy-Server-URL: Sollte Ihr VPN-Server nur über einen Proxy-Server erreichbar sein, geben Sie hier die URL Ihres Proxy-Servers ein.

Jetzt können Sie das neue Profil verteilen.

Hinweis! Bei der Verwendung von Open VPN muss der Verbindungstyp Benutzerdefiniertes SSL ausgewählt werden. Weitere Details zur Konfiguration dieses Pro­files finden Sie unter https://docs.openvpn.net/connecting/connecting-to-access-server-with-apple-ios/faq-regarding-openvpn-connect-ios/ im Abschnitt: Can I import an OpenVPN profile via an iOS .mobileconfig file?

VPN immer EIN (Always-on VPN)

Mit VPN immer EIN werden die iOS-Geräte der Nutzer/-innen durchgängig sicher mit dem Unternehmensnetz verbunden. VPN immer EIN bietet die volle Kontrolle über den Gerätedatenverkehr, da der gesamte IP-Datenverkehr hin und zurück zur Organisation über Tunnel erfolgt.

Die Verschlüsselung erfolgt dabei durch das Standardtunnelungsprotokoll IKEv2. Dadurch können Sie den Datenverkehr von und zu den Geräten beobachten und fil­tern, Daten innerhalb ihres Netzwerks schützen und den Zugriff der Geräte auf das Internet beschränken.

Voraussetzung für die Verwendung von VPN immer EIN ist die Nutzung von betreuten iOS-Geräten. Sobald das Profil VPN immer EIN auf die Geräte der Nutzer/-innen verteilt wurde, wird das VPN automatisch (ohne Benutzerin­teraktion) aktiviert.

Für iOS-Geräte wird ein separater Tunnel für jede aktive IP-Schnittstelle verwendet (d. h. ein Tunnel für die Mobilfunkschnittstelle und ein Tunnel für die WLAN-Schnittstelle. Alternativ kann auch ein Tunnel für beide Verbindungsarten konfiguriert werden. Weitere Informationen zu Implementie­rungsszenarien finden Sie auf der Apple-Webseite.

Konfigurieren Sie das Profil VPN immer EIN wie folgt:

• Profilname: Geben Sie hier einen beliebigen Namen für das Profil ein.
• Name der Verbindung: Geben Sie hier den Namen der Verbindung an.
• Verbindungstyp: Wählen Sie hier den Typ IKEv2/Always-on aus (oberer Pfeil im Bild).
• VPN immer EIN (nur betreute Geräte): Aktivieren Sie diese Checkbox (unterer Pfeil im Bild).
• Gleiche Konfiguration für WLAN und Mobilfunk verwenden: Aktivieren Sie diese Check­box nur, wenn Sie die gleiche Konfiguration für beide VPN-Tunnel verwenden wollen (siehe oben). Konfigurieren Sie anderenfalls einen Tunnel für WLAN und einen für Mobilfunk.

• Hostname: Tragen Sie hier die IP-Adresse oder den Hostnamen des VPN-Servers ein (Bsp.: vpn.example.org).
• Entfernte ID: Verwenden Sie den FQDN, den UserFQDN oder eine IP-Adresse (Bsp.: vpn.example.org).
• Lokale ID: Tragen Sie hier den local identifier für den IKEv2-Client ein. Verwenden Sie ebenfalls entweder den FQDN, den UserFQDN oder eine IP-Adresse.
• Maschinen-Authentifizierung: Wählen Sie Zertifikat, wenn Sie die SSL-Verschlüs­selung verwenden. Wählen Sie Shared Secret für die Passworteingabe. Tragen Sie in diesem Fall das Passwort im Feld Shared Secret ein.
• Allgemeiner Name des Server-Zertifikatausstellers: Tragen Sie hier den allgemeinen Namen (CN) vom Stammzertifikat (Root CA) ein.
• Allgemeiner Name des Server-Zertifikats: Tragen Sie hier den allgemeinen Namen (CN) vom Server-Zertifikat ein. Bleibt das Feld leer wird der Remote identifier verwendet.
• Identitätszertifikat: Wählen Sie hier ein SCEP- oder Zertifikat-Profil aus, das Sie zuvor angelegt haben.
• EAP einschalten: Aktivieren Sie diese Checkbox, wenn Sie das Extended Authenti­cation Protocol verwenden möchten.
• Dead-Peer-Erkennungsrate: Hier können Sie festlegen, wie oft geprüft wird, ob eine Verbindung vorhanden ist.
• Perfect Forward Secrecy (PFS) aktivieren: Wenn Sie auf Ihrem VPN-Server weitere Sicherheits­optionen definiert haben, wählen Sie diese hier aus.
• Deaktivieren von Verbindungen erlauben: Aktivieren Sie diese Checkbox, wenn Sie den Nut­zer/-innen das Abschalten des VPN-Tunnels ermöglichen möchten.
• Netzwerkverkehr aus Captive Websheet erlauben: Aktivieren Sie diese Checkbox, um den Datenverkehr von Captive Web Sheet außerhalb des VPN-Tunnels zu erlauben.
• Netzwerkverkehr aus allen Captive Network-Apps erlauben: Aktivieren Sie diese Checkbox, um den Datenverkehr von Captive Networking apps außerhalb des VPN-Tunnels zur Bedienung von Captive network auszuführen.
• VoiceMail: Wählen Sie eine der vorgegebenen Optionen aus dem Drop-down-Menü aus.
• Paket-ID: Tragen Sie hier Verbindungen (z. Bsp. Apps) ein, die außer­halb des VPN-Tunnels genutzt werden dürfen.

Weitere Informationen zu VPN immer EIN finden Sie auf der Apple-Webseite.

Jetzt können Sie das neue Profil verteilen.

VPN On-Demand

Sofern Sie eine zertifikat-basierte Authentifizierung festgelegt haben (z.B. Cisco Any­Connect oder F5 SSL), können Sie VPN On-Demand nutzen. Mit dieser Option können Sie eine Liste von URLs hinterlegen, bei deren Aufruf die Nutzer/-innen sofort mit dem VPN verbunden werden. VPN On-Demand steht nur für iOS-Geräte zur Verfügung.

• Erstellen Sie dazu ein VPN-Profil und wählen Sie den Verbindungstyp IPSec (Cisco) aus.
• Wählen Sie unter Maschinen-Authentifizierung die Option Zertifikat.
• Aktivieren Sie die Checkbox VPN On-Demand aktivieren und geben Sie die ent­sprechende URL ein.

Jetzt können Sie das neue Profil verteilen.

Profil verteilen

• Wählen Sie dazu das entsprechende Profil in der linken Spalte des Verwaltungsportals aus und klicken Sie auf Zuweisung hinzufügen.
• Wählen Sie nun die Nutzer/-innen, Gruppen oder Geräte aus, denen Sie dieses Profil zuweisen möchten.

Hinweis! Sie können Profile auch unter Verwaltung→ Benutzer bzw. Gruppen zuweisen.