Informationen zur Verwendung der VPN-Lösung Microsoft Tunnel für Microsoft Intune (2024)

Table of Contents
In diesem Artikel Übersicht über Microsoft Tunnel Architektur Nächste Schritte FAQs References
  • Artikel

Microsoft Tunnel ist eine VPN-Gatewaylösung für Microsoft Intune, die unter Linux in einem Container ausgeführt wird und den Zugriff auf lokale Ressourcen über iOS-/iPadOS- und Android Enterprise-Geräte mit moderner Authentifizierung und bedingtem Zugriff ermöglicht.

In diesem Artikel werden die Kerne von Microsoft Tunnel, seine Funktionsweise und seine Architektur vorgestellt.

Wenn Sie bereit sind, Microsoft Tunnel bereitzustellen, lesen Sie sich die Voraussetzungen für Microsoft Tunnel durch, und konfigurieren Sie diese Lösung anschließend.

Nachdem Sie Microsoft Tunnel bereitgestellt haben, können Sie Microsoft Tunnel für mobile Anwendungsverwaltung (Tunnel für MAM) hinzufügen. Tunnel for MAM erweitert das Microsoft Tunnel-VPN-Gateway, um Geräte zu unterstützen, auf denen Android oder iOS ausgeführt wird und die nicht bei Microsoft Intune registriert sind. Tunnel for MAM ist verfügbar, wenn Sie Ihrem Mandanten Microsoft Intune Plan 2 oder Microsoft Intune Suite als Add-On-Lizenz hinzufügen.

Tipp

Laden Sie das Microsoft Tunnel Bereitstellungshandbuch v2 aus dem Microsoft Download Center herunter.

Übersicht über Microsoft Tunnel

Microsoft Tunnel Gateway wird auf einem Container installiert, der auf einem Linux-Server ausgeführt wird. Der Linux-Server kann ein physischer Computer in Ihrer lokalen Umgebung oder ein virtueller Computer sein, der lokal oder in der Cloud ausgeführt wird. Zum Konfigurieren von Tunnel stellen Sie eine Microsoft Defender for Endpoint als Microsoft Tunnel-Client-App und Intune-VPN-Profile auf Ihren iOS- und Android-Geräten bereit. Die Client-App und das VPN-Profil ermöglichen es Geräten, den Tunnel zu verwenden, um eine Verbindung mit Unternehmensressourcen herzustellen. Wenn der Tunnel in der Cloud gehostet wird, müssen Sie eine Lösung wie Azure ExpressRoute verwenden, um Ihr lokales Netzwerk auf die Cloud zu erweitern.

Das Microsoft Intune Admin Center ermöglicht Folgendes:

  • Laden Sie das Microsoft Tunnel-Installationsskript herunter, das Sie auf den Linux-Servern ausführen.
  • Konfigurieren einzelner Aspekte von Microsoft Tunnel Gateway, etwa IP-Adressen, DNS-Server und Ports.
  • Bereitstellen von VPN-Profilen für Geräte, um sie zur Verwendung des Tunnels anzuweisen.
  • Stellen Sie die Microsoft Defender for Endpoint (die Tunnel-Client-App) auf Ihren Geräten bereit.

Über die Defender für Endpoint-App wird für iOS/iPadOS- und Android Enterprise-Geräte Folgendes erledigt:

  • Verwenden Sie Microsoft Entra-ID, um sich beim Tunnel zu authentifizieren.
  • Verwenden von Active Directory-Verbunddiensten (ADFS) zum Authentifizieren beim Tunnel.
  • Auswerten der Geräte anhand Ihrer Richtlinien für bedingten Zugriff. Wenn das Gerät nicht konform ist, kann es nicht auf Ihren VPN-Server oder Ihr lokales Netzwerk zugreifen.

Sie können mehrere Linux-Server zur Unterstützung von Microsoft Tunnel installieren und Server in logischen Gruppen kombinieren, die als Sites bezeichnet werden. Jeder Server kann einer einzelnen Site beitreten. Wenn Sie eine Site konfigurieren, definieren Sie einen Verbindungspunkt für Geräte, der verwendet werden soll, wenn sie auf den Tunnel zugreifen. Standorte erfordern eine Serverkonfiguration , die Sie definieren und dem Standort zuweisen. Die Serverkonfiguration wird auf jeden Server angewendet, den Sie diesem Standort hinzufügen, wodurch die Konfiguration weiterer Server erleichtert wird.

Sie erstellen eine VPN-Richtlinie für Microsoft Tunnel und stellen diese bereit, um Geräte anzuweisen, den Tunnel zu verwenden. Diese Richtlinie ist ein Gerätekonfigurations-VPN-Profil, das Microsoft Tunnel als Verbindungstyp verwendet.

Zu den Features der VPN-Profile für den Tunnel gehören:

See Also
Install the Microsoft Tunnel VPN for Microsoft Intune

  • Ein Anzeigename für die VPN-Verbindung, der für Ihre Endbenutzer sichtbar ist.
  • Der Standort, mit dem der VPN-Client eine Verbindung herstellt.
  • VPN-Konfigurationen pro App, die definieren, für welche Apps das VPN-Profil verwendet wird, und ob dieses „always-on“ ist. Bei Always-On stellt das VPN automatisch eine Verbindung her und wird nur für die von Ihnen definierten Apps verwendet. Wenn keine Apps definiert sind, bietet die Always-on-Verbindung Tunnelzugriff für den gesamten Netzwerkdatenverkehr des Geräts.
  • Bei iOS-Geräten, auf denen die Microsoft Defender for Endpoint für die Unterstützung von Pro-App-VPNs konfiguriert ist und der TunnelOnly-Modus auf True festgelegt ist, müssen Benutzer auf ihrem Gerät keine Microsoft Defender öffnen oder anmelden, damit der Tunnel verwendet werden kann. Wenn sich der Benutzer stattdessen bei der Unternehmensportal auf dem Gerät oder bei einer anderen App angemeldet hat, die die mehrstufige Authentifizierung verwendet, die über ein gültiges Token für den Zugriff verfügt, wird das Tunnel-VPN pro App automatisch verwendet. Der TunnelOnly-Modus wird für iOS/iPadOS unterstützt und deaktiviert die Defender-Funktionalität, sodass nur die Tunnelfunktionen verbleiben.
  • Manuelle Verbindungen mit dem Tunnel, wenn ein Benutzer das VPN startet und Verbinden auswählt.
  • Bedarfsgesteuerte VPN-Regeln, die die Verwendung des VPN zulassen, wenn Bedingungen für spezifische FQDNs (vollqualifizierte Domänennamen) oder IP-Adressen erfüllt sind (iOS/iPadOS)
  • Proxyunterstützung (iOS/iPadOS, Android 10 und höher)

Zu den Serverkonfigurationen gehört Folgendes:

  • IP-Adressbereich: Die IP-Adressen, die Geräten zugewiesen werden, die eine Verbindung mit einer Microsoft Tunnel-Instanz herstellen.
  • DNS-Server: Der DNS-Server, den Geräte verwenden sollten, wenn sie eine Verbindung mit dem Server herstellen.
  • DNS-Suffixsuche.
  • Regeln für Split Tunneling: Insgesamt bis zu 500 Regeln, die für Einschluss- und Ausschlussrouten verwendet werden. Wenn Sie z. B. 300 Einschlussregeln erstellen, können Sie bis zu 200 Ausschlussregeln nutzen.
  • Port: Der Port, an dem Microsoft Tunnel Gateway lauscht.

Die Sitekonfiguration umfasst Folgendes:

  • Eine öffentliche IP-Adresse oder einen FQDN als Verbindungspunkt für Geräte, die den Tunnel verwenden. Diese Adresse kann für einen einzelnen Server gelten oder die IP-Adresse oder der FQDN eines Lastenausgleichsservers sein.
  • Die Serverkonfiguration, die auf jeden Server in der Site angewendet wird.

Sie weisen einer Site einen Server zu, wenn Sie die Tunnelsoftware auf dem Linux-Server installieren. Bei der Installation wird ein Skript verwendet, das Sie aus Admin Center herunterladen können. Nach dem Starten des Skripts werden Sie aufgefordert, die Vorgänge für Ihre Umgebung zu konfigurieren. Dazu gehört auch die Angabe der Site, der der Server beitreten soll.

Um Microsoft Tunnel verwenden zu können, müssen Geräte die Microsoft Defender for Endpoint-App installieren. Sie rufen die anwendbare App aus den iOS/iPadOS- oder Android-App-Stores ab und stellen sie für Benutzer bereit.

Architektur

Microsoft Tunnel Gateway wird in Containern ausgeführt, die auf Linux-Servern ausgeführt werden.

Informationen zur Verwendung der VPN-Lösung Microsoft Tunnel für Microsoft Intune (1)

Komponenten:

  • A: Microsoft Intune.
  • B: Microsoft Entra ID.
  • C: Linux-Server mit Podman oder Docker CE (Weitere Informationen dazu, welche Versionen Podman oder Docker erfordern, finden Sie in den Anforderungen für Linux-Server).
    • C.1: Microsoft Tunnel-Gateway
    • C.2: Verwaltungs-Agent
    • C.3 – Authentifizierungs-Plug-In – Autorisierungs-Plug-In, das sich mit Microsoft Entra authentifiziert.
  • D: öffentliche IP-Adresse oder der vollqualifizierte Domänenname der Microsoft Tunnel-Instanz, die einen Lastenausgleich darstellen kann
  • E – Mobile Geräteverwaltung (MDM)-registriertes Gerät oder ein nicht registriertes mobiles Gerät, das Tunnel for Mobile Application Management verwendet.
  • F: Firewall
  • G: Interner Proxyserver (optional).
  • H: Unternehmensnetzwerk.
  • I: Öffentliches Internet.

Aktionen:

  • 1: Intune-Administrator konfiguriert Serverkonfigurationen und Sites, Serverkonfigurationen werden Sites zugeordnet.
  • 2 – Der Intune-Administrator installiert Microsoft Tunnel Gateway, und das Authentifizierungs-Plug-In authentifiziert Microsoft Tunnel Gateway mit Microsoft Entra. Der Microsoft Tunnel Gateway-Server wird einer Site zugewiesen.
  • 3: Verwaltungs-Agent kommuniziert mit Intune, um Ihre Serverkonfigurationsrichtlinien abzurufen und Telemetrieprotokolle an Intune zu senden.
  • 4 – Der Intune-Administrator erstellt und stellt VPN-Profile und die Defender-App auf Geräten bereit.
  • 5 : Das Gerät authentifiziert sich bei Microsoft Entra. Richtlinien für bedingten Zugriff werden ausgewertet.
  • 6: Mit Split Tunnel:
    • 6.a: Ein Teil des Datenverkehrs wird direkt an das öffentliche Internet weitergeleitet.
    • 6.b: Ein Teil des Datenverkehrs wird an Ihre öffentliche IP-Adresse für den Tunnel weitergeleitet. Der VPN-Kanal verwendet TCP, TLS, UDP und DTLS über Port 443. Für diesen Datenverkehr müssen eingehende und ausgehende Firewallports geöffnet sein.
  • 7 – Der Tunnel leitet Datenverkehr an Ihren internen Proxy (optional) und/oder Ihr Unternehmensnetzwerk weiter. IT-Administratoren müssen sicherstellen, dass der Datenverkehr von der internen Schnittstelle des Tunnel Gateway-Servers erfolgreich an die interne Unternehmensressource (IP-Adressbereiche und Ports) weitergeleitet werden kann.

Hinweis

  • Tunnel Gateway verwaltet zwei Kanäle mit dem Client. Ein Steuerkanal wird über TCP und TLS eingerichtet. Dieser dient auch als Backup-Datenkanal. Anschließend wird versucht, einen UDP-Kanal mit DTLS (Datagram TLS, einer Implementierung von TLS über UDP) einzurichten, der als Hauptdatenkanal dient. Wenn der UDP-Kanal nicht aufgebaut werden kann oder vorübergehend nicht verfügbar ist, wird der Backup-Kanal über TCP/TLS verwendet. Standardmäßig wird Port 443 sowohl für TCP als auch für UDP verwendet, dies kann jedoch über die Intune Serverkonfiguration – Serverport-Einstellungangepasst werden. Wenn Sie den Standardport (443) ändern, stellen Sie sicher, dass Ihre Firewallregeln für eingehenden Datenverkehr an den benutzerdefinierten Port angepasst werden.

  • Die zugewiesenen Client-IP-Adressen (die Einstellung des IP-Adressbereich in einer Serverkonfiguration für Tunnel) sind für andere Geräte im Netzwerk nicht sichtbar. Microsoft Tunnel Gateway verwendet Port-Addressübersetzung (PAT). PAT ist eine Art der Netzwerkadressübersetzung (Network Address Translation, NAT), bei der mehrere private IP-Adressen aus der Serverkonfiguration mithilfe von Ports einer einzelnen IP (n:1) zugeordnet werden. Der Clientdatenverkehr hat die Quellen-IP-Adresse des Linux-Serverhosts.

Unterbrechung und Inspektion:

Viele Unternehmensnetzwerke erzwingen Netzwerksicherheit für Internetdatenverkehr mithilfe von Technologien wie Proxyservern, Firewalls, SSL-Unterbrechung und -Inspektion, umfassender Paketüberprüfung (Deep Packet Inspection, DPI) und Systemen zur Verhinderung von Datenverlust. Diese Technologien mindern die Risiken für allgemeine Internetanforderungen, können aber die Leistung, Skalierbarkeit und die Qualität der Endbenutzererfahrung erheblich verringern, wenn sie auf Microsoft Tunnel Gateway- und Intune-Dienstendpunkte angewendet werden.

In den folgenden Informationen wird beschrieben, wo Unterbrechungen und Überprüfungen nicht unterstützt werden. Verweise beziehen sich auf das Architekturdiagramm aus dem vorherigen Abschnitt.

  • „Unterbrechung und Inspektion“ wird in den folgenden Bereichen nicht unterstützt:

    • Das Tunnelgateway unterstützt keine SSL-Unterbrechungen und -Überprüfungen, TLS-Unterbrechungen und -Überprüfungen oder umfassende Paketüberprüfungen für Clientverbindungen.
    • Die Verwendung von Firewalls, Proxys, Lastenausgleichsmodulen oder einer technologie, die die Clientsitzungen beendet und überprüft, die in das Tunnelgateway eingehen, wird nicht unterstützt und führt zu Fehlern bei Clientverbindungen. (Siehe F, D und C im Architekturdiagramm).
    • Wenn Tunnel Gateway einen ausgehenden Proxy für den Internetzugriff verwendet, kann der Proxyserver keine Unterbrechungen und Überprüfungen durchführen. Dies liegt daran, dass der Tunnelgateway-Verwaltungs-Agent beim Herstellen einer Verbindung mit Intune die gegenseitige TLS-Authentifizierung verwendet (siehe 3 im Architekturdiagramm). Wenn „Unterbrechung und Inspektion“ auf dem Proxyserver aktiviert ist, müssen Netzwerkadministratoren, die den Proxyserver verwalten, diesen Intune-Endpunkten die IP-Adresse des Tunnel Gateway-Servers sowie den vollqualifizierten Domänennamen (FQDN) hinzufügen.

Weitere Details:

  • Bedingter Zugriff erfolgt im VPN-Client und basiert auf der Cloud-App Microsoft Tunnel Gateway. Nicht konforme Geräte erhalten kein Zugriffstoken von Microsoft Entra-ID und können nicht auf den VPN-Server zugreifen. Weitere Informationen zum Verwenden von bedingtem Zugriff mit Microsoft Tunnel finden Sie unter Verwenden von bedingtem Zugriff mit Microsoft Tunnel.

  • Der Verwaltungs-Agent wird für Microsoft Entra-ID mithilfe von Azure-App-ID/geheimen Schlüsseln autorisiert.

Nächste Schritte

  • Voraussetzungen für Microsoft Tunnel in Intune
  • Informationen zur Verwaltung mobiler Anwendungen in Microsoft Tunnel
Informationen zur Verwendung der VPN-Lösung Microsoft Tunnel für Microsoft Intune (2024)

FAQs

Is Microsoft Intune a VPN? ›

Microsoft Tunnel is a VPN gateway solution for Microsoft Intune that runs in a container on Linux and allows access to on-premises resources from iOS/iPadOS and Android Enterprise devices using modern authentication and Conditional Access.

Continue Reading
What is the difference between Microsoft tunnel and always on VPN? ›

Always On VPN connections include two types of tunnels: Device tunnel connects to specified VPN servers before users log on to the device. Pre-login connectivity scenarios and device management purposes use device tunnel. User tunnel connects only after a user logs on to the device.

Read More
Which subscription is required for the Microsoft tunnel in Microsoft Intune? ›

At a high level, the Microsoft Tunnel requires: An Azure subscription. A Microsoft Intune Plan 1 subscription. A Linux server that runs containers.

Discover More
What platforms does Microsoft Intune support? ›

Microsoft Intune currently supports management for Android, iOS and iPadOS, Linux, macOS, Windows and ChromeOS devices. Manage the lifecycle of apps on managed devices, including the deployment, update and removal of apps. Manage apps on mobile devices and securely provide access to company data via those apps.

Read On
Is Microsoft Intune safe to use? ›

With Microsoft Intune, the management of devices within an organization becomes streamlined and secure. Device management encompasses various aspects from enrollment, policy configuration, to application management, ensuring both efficiency and security.

Know More
Can Microsoft Intune track location? ›

Intune collects information about the last known location of a device every eight hours or when the device checks in with Intune.

Find Out More
Is it safe to use VPN tunnel? ›

VPNs are very secure when it comes to protecting your data from criminal hackers because they encrypt your entire internet stream and device IP address.

Read The Full Story
Should Windows VPN be on or off? ›

Yes, you should leave your VPN on all the time. VPNs offer the best online security, so keeping it on will protect you against data leaks and cyberattacks, especially while you're using public Wi-Fi. It can also safeguard against intrusive snoopers such as ISPs or advertisers. Always use a VPN when you go online.

Find Out More
What are the benefits of Microsoft always on VPN? ›

Unlike most VPNs, Always On VPN supports multifactor authentication when used with RADIUS services and Network Policy Server extensions. It also works with Windows Hello for Business, meaning that users can connect seamlessly without needing to enter a password.

Discover More
What is Intune license used for? ›

Microsoft Intune offers a device-only subscription service that helps organizations manage devices that aren't affiliated with specific users. You can purchase device licenses based on your estimated usage.

Learn More Now

Why use Microsoft Tunnel? ›

Tunnel for MAM iOS is a powerful tool that allows organizations to securely manage and protect their mobile applications. The VPN connection for this solution is provided through the Microsoft Tunnel for MAM iOS SDK. In addition to using MAM Tunnel with unenrolled devices, you can also use it with enrolled devices.

Show Me More
Do I need an Intune license for every device? ›

Each user using a primary device managed by Windows Intune requires a USL. Windows Intune delivers a unified PC and mobile device management solution. In all other cases an organization can switch plans but must do it manually by purchasing a new plan, reassigning licenses, and then cancelling the old plan.

Know More
Can Microsoft Intune see browsing history? ›

Intune doesn't collect nor allow an Admin to see the following data: An end users' calling or web browsing history.

Read The Full Story
What types of devices can you enroll with Microsoft Intune? ›

Next steps
  • Enroll your Windows 10/11 device.
  • Enroll your Android device.
  • Enroll with Android work profile.
  • Enroll Android or AOSP device with Microsoft Intune app.
  • Enroll your iOS device.
  • Enroll your organization-provided iOS device.
  • Enroll Linux device with Microsoft Intune app.
  • Enroll your macOS device.
Apr 8, 2024

Learn More Now
What all types of apps can be deployed using Intune? ›

Specific app type details
App-specific typeGeneral type
Cross platform web appsWeb app
Android Enterprise system appsStore app
Windows app (Win32)LOB app
Enterprise App Catalog app (Win32)LOB app
22 more rows
Jan 10, 2024

Continue Reading
Does Microsoft have a built in VPN? ›

Edge Secure Network uses VPN technology to stop third parties and bad actors from accessing your sensitive information, so you can make purchases online, fill out forms, and keep your browsing activity away from prying eyes. And best of all, it's built in and free in Microsoft Edge.

Know More
Does Microsoft have VPN software? ›

In Windows, the built-in plug-in and the Universal Windows Platform (UWP) VPN plug-in platform are built on top of the Windows VPN platform. This article focuses on the Windows VPN platform clients and the features that can be configured.

Find Out More
Is MDM a VPN? ›

MDM VPN | Virtual Private Network & Device Management.

Discover More Details
Does Azure have its own VPN? ›

Azure VPN Gateway connects your on-premises networks to Azure through Site-to-Site VPNs in a similar way that you set up and connect to a remote branch office. The connectivity is secure and uses the industry-standard protocols Internet Protocol Security (IPsec) and Internet Key Exchange (IKE).

Discover More

References

Top Articles
Job Postings | Early Learning Coalition of Broward County, Inc.
83 Plastic Surgery Nurse jobs in San Diego, CA
Jet's Pizza - View Menu & Order Online - 1350 Main St, Dunedin, FL 34698 - Slice
Abingdon Primary Care Center
Pickup Trucks for Sale on Craigslist Under $3000, $5000 and Alternative Website
Craigslist Used Pickup Trucks For Sale By Owner Near Me (Selling Tips)
Jury Duty Laws in South Dakota
San Diego County settles jail death lawsuit for $15M; judge to monitor federal oversight compliance
H2O Esim Qr Code
Brain Metrix
Friday, July 5, 2024 |
Newport News City Police Department, VA, Arrests, Criminal Records Search
Latest Posts
How to Become a Community Health Nurse
10,000+ Rn Plastic Surgery jobs in United States
Article information

Author: Greg Kuvalis

Last Updated:

Views: 6051

Rating: 4.4 / 5 (75 voted)

Reviews: 90% of readers found this page helpful

Author information

Name: Greg Kuvalis

Birthday: 1996-12-20

Address: 53157 Trantow Inlet, Townemouth, FL 92564-0267

Phone: +68218650356656

Job: IT Representative

Hobby: Knitting, Amateur radio, Skiing, Running, Mountain biking, Slacklining, Electronics

Introduction: My name is Greg Kuvalis, I am a witty, spotless, beautiful, charming, delightful, thankful, beautiful person who loves writing and wants to share my knowledge and understanding with you.