In der heutigen zunehmend mobilen Arbeitswelt ist der sichere Zugriff auf Unternehmensressourcen von unterwegs entscheidend. Virtuelle Private Netzwerke (VPN) spielen dabei eine zentrale Rolle. Wenn Ihr Unternehmen auf Microsoft Azure für seine Infrastruktur und auf Microsoft Intune für das Mobile Device Management (MDM) setzt, möchten Sie sicherlich auch die nahtlose und sichere Anbindung von iOS-Geräten an Ihr Unternehmensnetzwerk gewährleisten. Dieser umfassende Artikel führt Sie Schritt für Schritt durch den Prozess der Verteilung eines Azure VPN-Profils auf iOS-Geräte mithilfe von Intune.
Wir werden detailliert beleuchten, wie Sie ein natives IKEv2 VPN-Profil konfigurieren, das mit einem Azure VPN Gateway kompatibel ist, und es effizient an Ihre Benutzer ausrollen. Ziel ist es, Administratoren eine klare, praktikable Anleitung zu bieten, die sowohl technische Details als auch bewährte Methoden berücksichtigt.
Warum Azure VPN und Intune auf iOS?
Die Kombination von Azure VPN und Intune bietet eine leistungsstarke Lösung für die mobile Sicherheit:
- Sicherer Zugriff: Ein VPN verschlüsselt den gesamten Datenverkehr zwischen dem iOS-Gerät und Ihrem Unternehmensnetzwerk, schützt sensible Daten vor Abhören und gewährleistet die Integrität der Kommunikation.
- Zentralisierte Verwaltung: Intune ermöglicht es Ihnen, VPN-Profile zentral zu erstellen, zu verteilen, zu aktualisieren und bei Bedarf auch wieder zu entfernen. Dies spart Zeit und reduziert den Verwaltungsaufwand erheblich.
- Skalierbarkeit und Flexibilität: Das Azure VPN Gateway skaliert mit Ihren Anforderungen und Intune unterstützt eine breite Palette von Geräten und Betriebssystemen.
- Benutzerfreundlichkeit: Sobald das Profil über Intune bereitgestellt wurde, müssen Benutzer auf ihren iOS-Geräten in der Regel nur noch einmalig eine Verbindung herstellen oder das VPN wird bei Bedarf automatisch aktiviert.
Voraussetzungen: Was Sie benötigen
Bevor wir mit der Konfiguration beginnen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:
- Microsoft Intune Abonnement: Ihr Unternehmen muss über ein aktives Abonnement für Microsoft Intune verfügen und die grundlegende Einrichtung muss abgeschlossen sein.
- Azure VPN Gateway: Ein vollständig konfiguriertes Azure VPN Gateway muss vorhanden sein. Für die native iOS-Verbindung konzentrieren wir uns auf die Unterstützung von IKEv2 (Internet Key Exchange Version 2). Stellen Sie sicher, dass Ihr Gateway für IKEv2-Verbindungen eingerichtet ist und die notwendigen Authentifizierungsmethoden (z.B. Pre-shared Key oder Zertifikatauthentifizierung) konfiguriert sind.
- Registrierte iOS-Geräte: Die Ziel-iOS-Geräte (iPhones, iPads) müssen in Intune registriert sein und von Intune verwaltet werden.
- Administratorrechte: Sie benötigen entsprechende Berechtigungen im Azure-Portal und im Microsoft Intune Admin Center, um Profile zu erstellen und zuzuweisen.
- Netzwerkinformationen: Halten Sie die öffentliche IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) Ihres Azure VPN Gateways bereit, sowie alle relevanten Authentifizierungsdetails (z.B. Pre-shared Key, Details zur Zertifikatquelle).
- DNS-Server: Die IP-Adressen der DNS-Server, die von den VPN-Clients genutzt werden sollen, um interne Ressourcen aufzulösen.
Schritt 1: Das Azure VPN Gateway für native iOS-Verbindungen vorbereiten
Das Azure VPN Gateway muss so konfiguriert sein, dass es native IKEv2-Verbindungen akzeptiert. Im Gegensatz zur Azure VPN Client App, die oft mit Azure AD-Authentifizierung arbeitet, erfordert ein natives iOS VPN-Profil typischerweise eine andere Authentifizierungsmethode, die Intune bereitstellen kann. Die gängigsten Szenarien sind:
Szenario A: IKEv2 mit Pre-shared Key (PSK)
Dies ist oft die einfachste Methode für die schnelle Einrichtung, aber weniger sicher als Zertifikate. Ihr Azure VPN Gateway muss eine benutzerdefinierte IPsec/IKE-Richtlinie unterstützen und entsprechend konfiguriert sein, um einen PSK für IKEv2 zu verwenden.
- Gateway-Konfiguration: Navigieren Sie im Azure-Portal zu Ihrem VPN Gateway. Unter „Einstellungen” finden Sie „Point-to-site-Konfiguration” oder „Verbindungen”. Wenn Sie bereits ein Gateway haben, das Site-to-Site-VPNs nutzt, können Sie unter „Richtlinie” eine benutzerdefinierte IPsec/IKE-Richtlinie definieren, die einen PSK verwendet.
- PSK generieren: Erzeugen Sie einen sicheren, komplexen Pre-shared Key, den Sie später in Intune eintragen werden.
Szenario B: IKEv2 mit Zertifikatauthentifizierung
Dies ist die empfohlene Methode für Unternehmenseinsätze aufgrund ihrer höheren Sicherheit.
- Stammzertifikat: Ihr Azure VPN Gateway muss ein Stammzertifikat kennen, das zur Ausstellung der Client-Zertifikate verwendet wird. Dieses wird normalerweise in den Point-to-Site-Konfigurationen hochgeladen.
- Client-Zertifikate: Jedes iOS-Gerät benötigt ein eindeutiges Client-Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wurde, deren Stammzertifikat das VPN Gateway kennt. Intune kann diese Client-Zertifikate über SCEP (Simple Certificate Enrollment Protocol) oder PKCS (Public Key Cryptography Standards) Profile automatisch an die iOS-Geräte verteilen. Dies erfordert zusätzliche Konfigurationen in Intune (z.B. einen NDES-Server für SCEP oder einen PKCS-Zertifikatskonnektor).
Wichtiger Hinweis: Für diesen Artikel konzentrieren wir uns auf die Konfiguration des VPN-Profils in Intune. Wenn Sie Zertifikatauthentifizierung verwenden möchten, müssen Sie zuerst die entsprechenden SCEP- oder PKCS-Zertifikatprofile in Intune erstellen und zuweisen, bevor Sie das VPN-Profil konfigurieren. Für die Einfachheit der Demonstration werden wir uns in der Intune-Konfiguration auf eine Authentifizierung mittels Benutzername und Kennwort oder Pre-shared Key stützen, da diese direkt im VPN-Profil konfiguriert werden können.
Schritt 2: Das VPN-Profil in Microsoft Intune erstellen
Nun erstellen wir das tatsächliche VPN-Profil in Intune, das auf die iOS-Geräte ausgerollt werden soll.
- Intune Admin Center öffnen: Melden Sie sich im Microsoft Intune Admin Center an.
- Navigieren zu Gerätekonfigurationsprofilen: Gehen Sie zu
Geräte>Konfigurationsprofile. - Neues Profil erstellen: Klicken Sie auf
+ Profil erstellen.- Plattform: Wählen Sie
iOS/iPadOS. - Profiltyp: Wählen Sie
VPNunter „Vorlagen”. - Klicken Sie auf
Erstellen.
- Plattform: Wählen Sie
- Grundlagen konfigurieren:
- Name: Geben Sie einen aussagekräftigen Namen für Ihr Profil ein, z.B. „Azure VPN IKEv2 für iOS”.
- Beschreibung: Fügen Sie eine optionale Beschreibung hinzu, z.B. „VPN-Profil für den Zugriff auf interne Azure-Ressourcen über IKEv2 auf iOS-Geräten”.
- Klicken Sie auf
Weiter.
- Konfigurationseinstellungen: Dies ist der wichtigste Schritt.
- Verbindungstyp: Wählen Sie
IKEv2. - Basis-VPN-Einstellungen:
- Verbindungsname: Dies ist der Name, der dem Benutzer auf dem iOS-Gerät unter den VPN-Einstellungen angezeigt wird (z.B. „Unternehmens-VPN”).
- VPN-Serveradresse: Geben Sie hier die öffentliche IP-Adresse oder den FQDN Ihres Azure VPN Gateways ein. Dies ist der Endpunkt, zu dem die iOS-Geräte eine Verbindung herstellen sollen.
- Authentifizierungsmethode:
- Benutzername und Kennwort: Wenn Ihr Azure VPN Gateway (oder ein dahinterliegender RADIUS-Server) diese Authentifizierungsmethode unterstützt. Der Benutzer wird zur Eingabe seiner Anmeldeinformationen aufgefordert.
- Zertifikate: Wenn Sie sich für die sicherere Zertifikatauthentifizierung entschieden haben, wählen Sie hier ein zuvor in Intune bereitgestelltes Client-Zertifikatsprofil aus (z.B. SCEP- oder PKCS-Zertifikat).
- Pre-shared Key (PSK): Wählen Sie diese Option, wenn Ihr Azure VPN Gateway mit einem PSK konfiguriert ist. Nach Auswahl dieser Methode erscheint ein Feld, in das Sie den Pre-shared Key eingeben müssen, den Sie aus Ihrem Azure VPN Gateway erhalten haben. (Hinweis: PSK-Authentifizierung ist in Azure VPN Gateways typischerweise Teil einer benutzerdefinierten IPsec/IKE-Richtlinie).
- Split Tunneling:
- Aktivieren: Wenn nur der Traffic für bestimmte interne Netzwerke über das VPN geleitet werden soll, während der restliche Internetverkehr direkt über die Geräteverbindung läuft. Dies ist oft wünschenswert, um Bandbreite zu sparen und die Leistung zu verbessern.
- Deaktivieren: Wenn der gesamte Netzwerkverkehr des Geräts über das VPN geleitet werden soll (Full Tunneling). Dies bietet maximale Sicherheit, kann aber die Leistung beeinträchtigen.
- VPN pro App: Standardmäßig auf „Deaktivieren” lassen, es sei denn, Sie haben spezifische Anwendungen, die das VPN automatisch nutzen sollen. Dies ist eine erweiterte Funktion.
- Always-On-VPN:
- Aktivieren: Das VPN versucht immer, eine Verbindung herzustellen und aufrechtzuerhalten. Dies ist ideal für Geräte, die ständig mit dem Unternehmensnetzwerk verbunden sein müssen. Beachten Sie, dass dies den Akkuverbrauch beeinflussen und bei Verbindungsproblemen zu einer Isolation des Geräts führen kann.
- Deaktivieren: Der Benutzer muss das VPN manuell aktivieren.
- IKEv2-spezifische Einstellungen:
- Shared Secret verwenden: Wenn Sie unter „Authentifizierungsmethode” „Pre-shared Key” gewählt haben, wird hier automatisch das Feld für den Shared Secret angezeigt. Geben Sie den PSK ein, den Sie von Ihrem Azure VPN Gateway erhalten haben.
- Soft-Auth erlauben: Normalerweise auf „Deaktivieren”.
- Dead Peer Detection (DPD): Häufigkeit, mit der das Gerät die Verfügbarkeit des VPN-Gateways überprüft. Standardwerte sind oft ausreichend.
- Traffic Selector-Option: Hier müssen Sie die „Traffic Selector”-Einstellungen Ihres Azure VPN Gateways widerspiegeln. Typischerweise wird hier „Verwenden der auf dem VPN-Server konfigurierten Traffic Selector-Option” oder „Definieren benutzerdefinierter Traffic Selector-Optionen” ausgewählt. Wenn Sie benutzerdefinierte Optionen verwenden, müssen Sie die lokalen und Remote-IP-Adressen und Ports definieren, die für den VPN-Tunnel zulässig sind (z.B. das Subnetz Ihres Azure VNet).
- Enable EAP: Normalerweise „Deaktivieren”, es sei denn, Ihre spezifische IKEv2-Konfiguration erfordert Extensible Authentication Protocol.
- DNS-Einstellungen:
- DNS-Server: Geben Sie die IP-Adressen Ihrer internen DNS-Server ein, damit die Geräte interne Hostnamen (z.B. Intranet-Websites, Dateiserver) auflösen können.
- Suchdomänen: Fügen Sie die Domänennamen hinzu (z.B.
ihr.unternehmen.local), die der VPN-Client zur automatischen Namensauflösung verwenden soll.
- Proxy-Einstellungen: Normalerweise auf „Kein Proxy” belassen, es sei denn, Ihr Unternehmen verwendet einen expliziten Proxy-Server für VPN-Verbindungen.
Nachdem Sie alle Einstellungen vorgenommen haben, klicken Sie auf
Weiter. - Verbindungstyp: Wählen Sie
- Zuweisungen:
- Wählen Sie die Azure AD-Benutzergruppen oder Gerätegruppen aus, denen dieses VPN-Profil zugewiesen werden soll. Es wird dringend empfohlen, zunächst eine kleine Testgruppe zu verwenden, um die Funktionalität zu validieren.
- Klicken Sie auf
Weiter.
- Anwendbarkeitsregeln (optional):
- Sie können Regeln definieren, wann dieses Profil angewendet werden soll, z.B. nur für bestimmte iOS-Versionen. Für die meisten Anwendungsfälle ist dies nicht erforderlich.
- Klicken Sie auf
Weiter.
- Überprüfen + Erstellen:
- Überprüfen Sie alle Einstellungen. Wenn alles korrekt ist, klicken Sie auf
Erstellen.
- Überprüfen Sie alle Einstellungen. Wenn alles korrekt ist, klicken Sie auf
Das VPN-Profil ist nun in Intune erstellt und wird an die zugewiesenen Gruppen verteilt.
Schritt 3: Überwachung und Fehlerbehebung
Nach der Zuweisung des Profils ist es wichtig, den Bereitstellungsstatus zu überwachen und bei Bedarf Fehler zu beheben.
Überwachung in Intune:
- Gehen Sie zu
Geräte>Konfigurationsprofileund wählen Sie Ihr soeben erstelltes VPN-Profil aus. - Unter
GerätestatusundBenutzerstatuskönnen Sie den Bereitstellungsstatus einsehen. Achten Sie auf Geräte mit dem Status „Fehler” oder „Ausstehend”. - Klicken Sie auf die Status, um detaillierte Informationen zu erhalten, welche Geräte oder Benutzer möglicherweise Probleme haben.
Auf dem iOS-Gerät:
- Auf dem registrierten iOS-Gerät sollte das Profil automatisch installiert werden. Der Benutzer kann dies unter
Einstellungen>Allgemein>VPN & Gerätemanagementüberprüfen. Dort sollte das neue VPN-Profil unter „VPN” aufgeführt sein. - Um eine Verbindung herzustellen, kann der Benutzer unter
Einstellungen>VPNden Schalter neben dem VPN-Namen aktivieren. Bei der ersten Verbindung oder bei Verwendung von Benutzername/Kennwort wird der Benutzer zur Eingabe seiner Anmeldeinformationen aufgefordert.
Häufige Fehlerquellen und Lösungsansätze:
- Profil wird nicht installiert:
- Stellen Sie sicher, dass das Gerät in Intune registriert und synchronisiert ist.
- Überprüfen Sie die Zuweisungen des Profils – ist das Gerät oder der Benutzer in der korrekten Gruppe?
- Überprüfen Sie Anwendbarkeitsregeln, falls vorhanden.
- VPN-Verbindung schlägt fehl:
- Falsche Serveradresse: Überprüfen Sie die IP-Adresse oder den FQDN Ihres Azure VPN Gateways.
- Authentifizierungsfehler:
- Pre-shared Key: Stellen Sie sicher, dass der PSK in Intune und auf dem Azure VPN Gateway exakt übereinstimmt.
- Benutzername/Kennwort: Überprüfen Sie die Anmeldeinformationen des Benutzers und die Konfiguration des Authentifizierungsservers (z.B. Azure AD, RADIUS).
- Zertifikate: Stellen Sie sicher, dass das Client-Zertifikat erfolgreich auf dem Gerät installiert wurde und vom Azure VPN Gateway akzeptiert wird. Überprüfen Sie die Kette der Zertifizierungsstellen.
- IKEv2-Parameter-Mismatch: Überprüfen Sie, ob die IKEv2-Einstellungen (z.B. Traffic Selectors, DPD-Intervalle) im Intune-Profil mit den Einstellungen auf dem Azure VPN Gateway übereinstimmen, insbesondere wenn Sie eine benutzerdefinierte IPsec/IKE-Richtlinie verwenden.
- Netzwerk- oder Firewallprobleme: Stellen Sie sicher, dass keine Firewalls den IKEv2-Port (UDP 500 und 4500) blockieren.
- DNS-Probleme: Wenn die VPN-Verbindung steht, aber interne Ressourcen nicht erreichbar sind, überprüfen Sie die konfigurierten DNS-Server im VPN-Profil.
- Azure VPN Gateway-Protokolle: Konsultieren Sie die Protokolle Ihres Azure VPN Gateways im Azure-Portal. Diese können wertvolle Hinweise zu fehlgeschlagenen Verbindungsversuchen und deren Ursachen liefern.
Best Practices und Tipps
- Schrittweise Einführung: Beginnen Sie immer mit einer kleinen Pilotgruppe, bevor Sie das Profil an die gesamte Organisation ausrollen.
- Dokumentation: Halten Sie eine detaillierte Dokumentation Ihrer Azure VPN Gateway-Konfiguration und des Intune VPN-Profils bereit.
- Regelmäßige Überprüfung: Überprüfen Sie regelmäßig den Status Ihrer VPN-Profile in Intune und passen Sie diese bei Bedarf an.
- Sicherheit: Erwägen Sie die Kombination von VPN-Profilen mit Conditional Access-Richtlinien in Azure AD, um den Zugriff weiter abzusichern und nur von konformen Geräten zu erlauben.
- Benutzerschulung: Informieren Sie Ihre Benutzer über die Vorteile des VPN und wie sie es auf ihren Geräten nutzen können. Erstellen Sie eine einfache Anleitung für die Verbindung.
- Zertifikatauthentifizierung bevorzugen: Für eine hohe Sicherheit im Unternehmen sollte die Zertifikatauthentifizierung gegenüber einem Pre-shared Key bevorzugt werden. Investieren Sie in die Einrichtung einer SCEP- oder PKCS-Infrastruktur mit Intune.
Fazit
Die erfolgreiche Verteilung von Azure VPN-Profilen auf iOS-Geräte mittels Microsoft Intune ist ein fundamentaler Schritt, um Ihren mobilen Mitarbeitern einen sicheren und effizienten Zugriff auf Unternehmensressourcen zu ermöglichen. Durch die detaillierte Konfiguration eines nativen IKEv2-Profils und die Nutzung der leistungsstarken Funktionen von Intune können Sie den Rollout automatisieren und den Verwaltungsaufwand erheblich reduzieren.
Obwohl die Einrichtung einige technische Details erfordert, führt die genaue Befolgung dieser Anleitung zu einem robusten und sicheren VPN-Setup. Mit einer sorgfältigen Planung, Implementierung und regelmäßiger Überprüfung stellen Sie sicher, dass Ihre MDM-Strategie den Anforderungen einer modernen, mobilen Arbeitswelt gerecht wird. Die Investition in eine gut konfigurierte VPN-Lösung zahlt sich durch erhöhte Sicherheit, Produktivität und Mitarbeiterzufriedenheit aus.
Sollten Sie auf Herausforderungen stoßen, erinnern Sie sich an die Überwachungs- und Fehlerbehebungstipps. Die Integration von Azure und Intune bietet eine starke Grundlage für Ihre IT-Infrastruktur – nutzen Sie sie voll aus!