VPN- és alkalmazásonkénti VPN-szabályzat használata Android Enterprise-eszközökön a Microsoft Intune-ban

A virtuális magánhálózatok (VPN) lehetővé teszik a felhasználók számára a szervezeti erőforrások távoli elérését, például otthonról, szállodákból, kávézókból és egyebekből. A Microsoft Intune-ban alkalmazáskonfigurációs szabályzattal konfigurálhat VPN-ügyfélalkalmazásokat Android Enterprise-eszközökön. Ezután telepítse ezt a szabályzatot a VPN-konfigurációjával a szervezet eszközeire.

Olyan VPN-szabályzatokat is létrehozhat, amelyeket adott alkalmazások használnak. Ezt a funkciót alkalmazásonkénti VPN-nek nevezzük. Ha az alkalmazás aktív, csatlakozhat a VPN-hez, és a VPN-en keresztül férhet hozzá az erőforrásokhoz. Ha az alkalmazás nem aktív, a RENDSZER nem használja a VPN-t.

Ez a funkció az alábbiakra vonatkozik:

• Vállalati Android

A VPN-ügyfélalkalmazáshoz kétféleképpen hozhat létre alkalmazáskonfigurációs szabályzatot:

• Konfigurációtervező
• JSON-adatok

Ez a cikk bemutatja, hogyan hozhat létre alkalmazásonkénti VPN- és VPN-alkalmazáskonfigurációs szabályzatot mindkét lehetőséggel.

Megjegyzés:

A VPN-ügyfél számos konfigurációs paramétere hasonló. Azonban minden alkalmazás egyedi kulcsokkal és beállításokkal rendelkezik. Ha kérdése van, forduljon VPN-szállítójához.

Az első lépések

• Az Android nem aktiválja automatikusan a VPN-ügyfélkapcsolatot egy alkalmazás megnyitásakor. A VPN-kapcsolatot manuálisan kell elindítani. Vagy használhatja az always-on VPN-t a kapcsolat elindításához.

• A következő VPN-ügyfelek támogatják az Intune alkalmazáskonfigurációs szabályzatát:

  • Cisco AnyConnect
  • Citrix SSO
  • F5 Access
  • Palo Alto Networks GlobalProtect
  • Pulse Secure
  • SonicWall Mobile Connect

• Amikor létrehozza a VPN-szabályzatot az Intune-ban, különböző konfigurálandó kulcsokat fog kiválasztani. Ezek a kulcsnevek a különböző VPN-ügyfélalkalmazásokkal eltérőek. A környezet kulcsnevei tehát eltérhetnek a cikkben szereplő példáktól.

• A konfigurációtervező és a JSON-adatok sikeresen használhatják a tanúsítványalapú hitelesítést. Ha a VPN-hitelesítéshez ügyféltanúsítványok szükségesek, a VPN-szabályzat létrehozása előtt hozza létre a tanúsítványprofilokat. A VPN-alkalmazás konfigurációs szabályzatai a tanúsítványprofilok értékeit használják.

  Az Android Enterprise személyes tulajdonú munkahelyi profilos eszközei támogatják az SCEP- és PKCS-tanúsítványokat. Az Android Enterprise teljes körűen felügyelt, dedikált és vállalati tulajdonú munkahelyi profilos eszközei csak az SCEP-tanúsítványokat támogatják. További információ: Tanúsítványok használata hitelesítéshez a Microsoft Intune-ban.

Alkalmazásonkénti VPN áttekintése

Az alkalmazásonkénti VPN létrehozása és tesztelése során az alapszintű folyamat a következő lépéseket tartalmazza:

1. Válassza ki a VPN-ügyfélalkalmazást. A kezdés előtt (ebben a cikkben) felsorolja a támogatott alkalmazásokat.
2. Szerezze be a VPN-kapcsolatot használó alkalmazások alkalmazáscsomag-azonosítóit. Az alkalmazáscsomag azonosítójának lekérése (ebben a cikkben) bemutatja, hogyan.
3. Ha tanúsítványokkal hitelesíti a VPN-kapcsolatot, a VPN-szabályzat telepítése előtt hozza létre és telepítse a tanúsítványprofilokat. Győződjön meg arról, hogy a tanúsítványprofilok telepítése sikerült. További információ: Tanúsítványok használata hitelesítéshez a Microsoft Intune-ban.
4. Adja hozzá a VPN-ügyfélalkalmazást az Intune-hoz, és helyezze üzembe az alkalmazást a felhasználók és az eszközök számára.
5. Hozza létre a VPN-alkalmazás konfigurációs szabályzatát. Használja az alkalmazáscsomag azonosítóit és tanúsítványadatait a szabályzatban.
6. Helyezze üzembe az új VPN-szabályzatot.
7. Ellenőrizze, hogy a VPN-ügyfélalkalmazás sikeresen csatlakozik-e a VPN-kiszolgálóhoz.
8. Ha az alkalmazás aktív, győződjön meg arról, hogy az alkalmazásból érkező forgalom sikeresen áthalad a VPN-en.

Az alkalmazáscsomag azonosítójának lekérése

Kérje le a csomagazonosítót minden olyan alkalmazáshoz, amely a VPN-t fogja használni. Nyilvánosan elérhető alkalmazások esetén az alkalmazáscsomag azonosítóját a Google Play Áruházban szerezheti be. Az egyes alkalmazások megjelenített URL-címe tartalmazza a csomagazonosítót.

Az alábbi példában a Microsoft Edge böngészőalkalmazás csomagazonosítója .com.microsoft.emmx A csomagazonosító az URL-cím része:

Üzletági (LOB) alkalmazások esetén kérje le a csomagazonosítót a szállítótól vagy az alkalmazás fejlesztőjétől.

Tanúsítványok

Ez a cikk feltételezi, hogy a VPN-kapcsolat tanúsítványalapú hitelesítést használ. Azt is feltételezi, hogy sikeresen üzembe helyezte az ügyfelek sikeres hitelesítéséhez szükséges összes tanúsítványt a láncban. Ez a tanúsítványlánc általában tartalmazza az ügyféltanúsítványt, a köztes tanúsítványokat és a főtanúsítványt.

További információ a tanúsítványokról: Tanúsítványok használata hitelesítéshez a Microsoft Intune-ban.

Az ügyfél-hitelesítési tanúsítványprofil üzembe helyezésekor létrehoz egy tanúsítványtokent a tanúsítványprofilban. Ez a jogkivonat a VPN-alkalmazás konfigurációs szabályzatának létrehozására szolgál.

Ha nem ismeri az alkalmazáskonfigurációs szabályzatok létrehozását, tekintse meg az Alkalmazáskonfigurációs szabályzatok hozzáadása felügyelt Android Enterprise-eszközökhöz című témakört.

A Configuration Designer használata

1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

2. Válassza az Alkalmazások>Alkalmazáskonfigurációs szabályzatok>Felügyelt eszközökhozzáadása> lehetőséget.

3. Az Alapadatok között adja meg a következő tulajdonságokat:

   • Név: Adja meg a házirend leíró nevét. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Egy jó szabályzatnév például az alkalmazáskonfigurálási szabályzat: Cisco AnyConnect VPN-szabályzat Android Enterprise munkahelyi profilos eszközökhöz.

   • Leírás: Adja meg a szabályzat leírását. A beállítás használata nem kötelező, de ajánlott.

   • Platform: Válassza az Android Enterprise lehetőséget.

   • Profil típusa: Az Ön beállításai:

     • Minden profiltípus: Ez a beállítás támogatja a felhasználónév- és jelszóhitelesítést. Ha tanúsítványalapú hitelesítést használ, ne használja ezt a lehetőséget.
     • Teljes mértékben felügyelt, dedikált és Corporate-Owned munkahelyi profil: Ez a beállítás támogatja a tanúsítványalapú hitelesítést, valamint a felhasználónevet és a jelszót.
     • Csak személyes tulajdonú munkahelyi profil: Ez a beállítás támogatja a tanúsítványalapú hitelesítést, valamint a felhasználónév- és jelszó-hitelesítést.

   • Célzott alkalmazás: Válassza ki a korábban hozzáadott VPN-ügyfélalkalmazást. A következő példában a Cisco AnyConnect VPN-ügyfélalkalmazást használjuk:

     

4. Válassza a Tovább gombot.

5. A Beállítások területen adja meg a következő tulajdonságokat:

   • Konfigurációs beállítások formátuma: Válassza a Konfigurációtervező használata lehetőséget:

     

   • Hozzáadás: A konfigurációs kulcsok listáját jeleníti meg. Válassza ki a konfigurációhoz > szükséges összes konfigurációs kulcsot OK.

     A következő példában egy minimális listát választottunk az AnyConnect VPN-hez, beleértve a tanúsítványalapú hitelesítést és az alkalmazásonkénti VPN-t:

     

   • Konfigurációs érték: Adja meg a kiválasztott konfigurációs kulcsok értékeit. Ne feledje, hogy a kulcsnevek a használt VPN-ügyfélalkalmazástól függően változnak. A példánkban kiválasztott kulcsokban:

     • Alkalmazásonkénti VPN-kompatibilis alkalmazások: Adja meg a korábban gyűjtött alkalmazáscsomag-azonosító(ka)t. Például:

       

     • KeyChain Certificate Alias (nem kötelező): Módosítsa az Érték típusátsztringrőltanúsítványra. Válassza ki a VPN-hitelesítéshez használni kívánt ügyféltanúsítvány-profilt. Például:

       

     • Protokoll: Válassza ki a VPN SSL- vagy IPsec-alagútprotokollját.

     • Kapcsolat neve: Adjon meg egy felhasználóbarát nevet a VPN-kapcsolatnak. A felhasználók ezt a kapcsolatnevet látják az eszközeiken. Írja be például a következőt: ContosoVPN.

     • Gazdagép: Adja meg az átjáró útválasztójának állomásnév URL-címét. Írja be például a következőt: vpn.contoso.com.

       

6. Válassza a Tovább gombot.

7. A Hozzárendelések területen válassza ki a csoportokat a VPN-alkalmazás konfigurációs szabályzatának hozzárendeléséhez.

   Válassza a Tovább gombot.

8. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Amikor a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és a szabályzatot a csoportokban helyezi üzembe. A szabályzat az alkalmazáskonfigurációs szabályzatok listájában is megjelenik.

   

JSON használata

Akkor használja ezt a lehetőséget, ha nem rendelkezik vagy nem ismeri a Konfigurációtervezőben használt összes szükséges VPN-beállítást. Ha segítségre van szüksége, forduljon VPN-szállítójához.

A tanúsítvány jogkivonatának lekérése

Ezekben a lépésekben hozzon létre egy ideiglenes szabályzatot. A szabályzat nem lesz mentve. A cél a tanúsítvány jogkivonatának másolása. Ezt a jogkivonatot fogja használni a VPN-szabályzat JSON használatával történő létrehozásakor (a következő szakasz).

1. A Microsoft Intune Felügyeleti központban válassza az Alkalmazások>Alkalmazáskonfigurációs házirendek>Felügyelt eszközök>hozzáadása lehetőséget.

2. Az Alapadatok között adja meg a következő tulajdonságokat:

   • Név: Adjon meg bármilyen nevet. Ez a szabályzat ideiglenes, és nem lesz mentve.
   • Platform: Válassza az Android Enterprise lehetőséget.
   • Profil típusa: Válassza a Csak személyes tulajdonú munkahelyi profil lehetőséget.
   • Célzott alkalmazás: Válassza ki a korábban hozzáadott VPN-ügyfélalkalmazást.

3. Válassza a Tovább gombot.

4. A Beállítások területen adja meg a következő tulajdonságokat:

   • Konfigurációs beállítások formátuma: Válassza a Konfigurációtervező használata lehetőséget.

   • Hozzáadás: A konfigurációs kulcsok listáját jeleníti meg. Válasszon ki egy érték típusúsztringet tartalmazó kulcsot. Kattintson az OK gombra.

     

5. Módosítsa az Érték típusátsztringrőltanúsítványra. Ez a lépés lehetővé teszi a VPN hitelesítéséhez megfelelő ügyféltanúsítvány-profil kiválasztását:

   

6. Azonnal módosítsa az Érték típustsztringre. A Konfiguráció értéke jogkivonatra {{cert:GUID}}változik:

   

7. Másolja és illessze be ezt a tanúsítványtokent egy másik fájlba, például egy szövegszerkesztőbe.

8. Elveti ezt a szabályzatot. Ne mentse. Az egyetlen cél a tanúsítvány jogkivonatának másolása és beillesztése.

A VPN-szabályzat létrehozása JSON használatával

1. A Microsoft Intune Felügyeleti központban válassza az Alkalmazások>Alkalmazáskonfigurációs házirendek>Felügyelt eszközök>hozzáadása lehetőséget.

2. Az Alapadatok között adja meg a következő tulajdonságokat:

   • Név: Adja meg a házirend leíró nevét. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Egy jó szabályzatnév például az alkalmazáskonfigurálási szabályzat: JSON Cisco AnyConnect VPN-szabályzat Android Enterprise munkahelyi profilos eszközökhöz a teljes vállalatban.
   • Leírás: Adja meg a szabályzat leírását. A beállítás használata nem kötelező, de ajánlott.
   • Platform: Válassza az Android Enterprise lehetőséget.
   • Profil típusa: Az Ön beállításai:
     • Minden profiltípus: Ez a beállítás támogatja a felhasználónév- és jelszóhitelesítést. Ha tanúsítványalapú hitelesítést használ, ne használja ezt a lehetőséget.
     • Csak a teljes mértékben felügyelt, dedikált és Corporate-Owned munkahelyi profil: Ez a beállítás támogatja a tanúsítványalapú hitelesítést, valamint a felhasználónév- és jelszó-hitelesítést.
     • Csak személyes tulajdonú munkahelyi profil: Ez a beállítás támogatja a tanúsítványalapú hitelesítést, valamint a felhasználónév- és jelszó-hitelesítést.
   • Célzott alkalmazás: Válassza ki a korábban hozzáadott VPN-ügyfélalkalmazást.

3. Válassza a Tovább gombot.

4. A Beállítások területen adja meg a következő tulajdonságokat:

   • Konfigurációs beállítások formátuma: Válassza a JSON-adatok megadása lehetőséget. A JSON-t közvetlenül szerkesztheti.
   • JSON-sablon letöltése: Ezzel a beállítással letöltheti és frissítheti a sablont bármely külső szerkesztőben. Ügyeljen az intelligens idézőjeleket használó szövegszerkesztőkre, mivel érvénytelen JSON-t hozhatnak létre.

   Miután megadta a konfigurációhoz szükséges értékeket, távolítsa el az összes olyan beállítást, amely vagy STRING_VALUEértékkel rendelkezik"STRING_VALUE".

   

5. Válassza a Tovább gombot.

6. A Hozzárendelések területen válassza ki a csoportokat a VPN-alkalmazás konfigurációs szabályzatának hozzárendeléséhez.

   Válassza a Tovább gombot.

7. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Amikor a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és a szabályzatot a csoportokban helyezi üzembe. A szabályzat az alkalmazáskonfigurációs szabályzatok listájában is megjelenik.

JSON-példa az F5 Access VPN-hez

{
    "kind": "androidenterprise#managedConfiguration",
    "productId": "app:com.f5.edge.client_ics",
    "managedProperty": [
        {
            "key": "disallowUserConfig",
            "valueBool": false
        },
        {
            "key": "vpnConfigurations",
            "valueBundleArray": [
                {
                    "managedProperty": [
                        {
                            "key": "name",
                            "valueString": "MyCorpVPN"
                        },
                        {
                            "key": "server",
                            "valueString": "vpn.contoso.com"
                        },
                        {
                            "key": "weblogonMode",
                            "valueBool": false
                        },
                        {
                            "key": "fipsMode",
                            "valueBool": false
                        },
                        {
                            "key": "clientCertKeychainAlias",
                            "valueString": "{{cert:77333880-14e9-0aa0-9b2c-a1bc6b913829}}"
                        },
                        {
                            "key": "allowedApps",
                            "valueString": "com.microsoft.emmx"
                        },
                        {
                            "key": "mdmAssignedId",
                            "valueString": ""
                        },
                        {
                            "key": "mdmInstanceId",
                            "valueString": ""
                        },
                        {
                            "key": "mdmDeviceUniqueId",
                            "valueString": ""
                        },
                        {
                            "key": "mdmDeviceWifiMacAddress",
                            "valueString": ""
                        },
                        {
                            "key": "mdmDeviceSerialNumber",
                            "valueString": ""
                        },
                        {
                            "key": "allowBypass",
                            "valueBool": false
                        }
                    ]
                }
            ]
        }
    ]
}

További információk

• Alkalmazáskonfigurációs házirendek hozzáadása felügyelt Android Enterprise-eszközökhöz
• Android Enterprise-eszközbeállítások VPN konfigurálásához az Intune-ban

Következő lépések

• VPN-profilok létrehozása VPN-kiszolgálókhoz való csatlakozáshoz az Intune-ban