Share via

A Microsoft Tunnel konfigurálása Intune

  • Cikk

A Microsoft Tunnel Gateway a helyszínen vagy a felhőben futó Linux-kiszolgálón található tárolóra telepíthető. A környezettől és az infrastruktúrától függően további konfigurációkra és szoftverekre lehet szükség, például az Azure ExpressRoute-ra.

A telepítés megkezdése előtt végezze el a következő feladatokat:

Miután az előfeltételek elkészültek, térjen vissza ehhez a cikkhez az alagút telepítésének és konfigurálásának megkezdéséhez.

Kiszolgálókonfiguráció Létrehozás

A kiszolgálókonfigurációk használatával egyetlen alkalommal hozhat létre konfigurációt, és több kiszolgáló is használhatja ezt a konfigurációt. A konfiguráció ip-címtartományokat, DNS-kiszolgálókat és osztott bújtatási szabályokat tartalmaz. Később kiszolgálókonfigurációt fog hozzárendelni egy helyhez, amely automatikusan alkalmazza ezt a kiszolgálókonfigurációt a helyhez csatlakozó összes kiszolgálóra.

Kiszolgálókonfiguráció létrehozása

  1. Jelentkezzen be Microsoft Intune Felügyeleti központ>Bérlőfelügyelet>Microsoft Tunnel Gateway>lapjára, válassza aKiszolgálókonfigurációklapot>Létrehozás új.

  2. Az Alapvető beállítások lapon adjon meg egy Nevet és egy Leírást(nem kötelező), majd válassza a Tovább gombot.

  3. A Beállítások lapon konfigurálja a következő elemeket:

    • IP-címtartomány: Az ezen a tartományon belüli IP-címek az alagútátjáróhoz való csatlakozáskor lesznek bérbe adva az eszközöknek. Az Alagútügyfél megadott IP-címtartománya nem ütközik egy helyszíni hálózati tartománnyal.

      • Fontolja meg a 169.254.0.0/16 APIPA-tartomány használatát, mivel ez a tartomány elkerüli a más vállalati hálózatokkal való ütközéseket.
      • Ha az ügyfél IP-címtartománya ütközik a célhellyel, a visszacsatolási címet használja, és nem tud kommunikálni a vállalati hálózattal.
      • Bármely olyan ügyfél IP-címtartományt kiválaszthat, amelyet használni szeretne, ha az nem ütközik a vállalati hálózati IP-címtartományokkal.

    • Kiszolgálóport: Adja meg azt a portot, amelyet a kiszolgáló figyel a kapcsolatokhoz.

    • DNS-kiszolgálók: Ezeket a kiszolgálókat akkor használja a rendszer, ha egy DNS-kérés olyan eszközről érkezik, amely csatlakozik az Alagútátjáróhoz.

    • DNS-utótag keresése(nem kötelező):Ez a tartomány lesz alapértelmezett tartományként megadva az ügyfeleknek, amikor csatlakoznak az Alagútátjáróhoz.

    • UDP-Connections letiltása(nem kötelező):: Ha kiválasztja, az ügyfelek csak TCP-kapcsolatokkal csatlakoznak a VPN-kiszolgálóhoz. Mivel az önálló alagútügyfél használatához UDP szükséges, jelölje be a jelölőnégyzetet az UDP-kapcsolatok letiltásához, csak azután, hogy konfigurálta az eszközöket az Végponthoz készült Microsoft Defender alagútügyfél-alkalmazásként való használatára.

  4. A Beállítások lapon is konfigurálja a felosztási bújtatási szabályokat, amelyek nem kötelezők.

    A címeket belefoglalhatja vagy kizárhatja. A belefoglalt címek az Alagútátjáróhoz lesznek irányítva. A kizárt címek nem lesznek átirányítva az Alagútátjáróhoz. Konfigurálhat például egy belefoglalási szabályt a 255.255.0.0 vagy a 192.168.0.0/16 verzióhoz.

    A címek belefoglalásához vagy kizárásához használja az alábbi lehetőségeket:

    • Belefoglalandó IP-tartományok
    • Kizárandó IP-tartományok

    Megjegyzés:

    Ne használjon olyan IP-tartományt, amely a 0.0.0.0-t adja meg egyik belefoglalási vagy kizárási címben sem, az Alagútátjáró nem tudja irányítani a forgalmat, ha ezt a tartományt használja.

  5. A Felülvizsgálat + létrehozás lapon tekintse át a konfigurációt, majd a mentéshez válassza a Létrehozás lehetőséget.

    Megjegyzés:

    Alapértelmezés szerint minden VPN-munkamenet csak 3600 másodpercig (egy órán át) aktív marad a kapcsolat bontása előtt (azonnal létrejön egy új munkamenet arra az esetre, ha az ügyfél Always On VPN-t használna). A munkamenet időtúllépési értékét azonban módosíthatja más kiszolgálókonfigurációs beállításokkal együtt gráfhívások (microsoftTunnelConfiguration) használatával.

Webhely Létrehozás

A helyek a Microsoft Tunnelt üzemeltető kiszolgálók logikai csoportjai. Minden létrehozott helyhez kiszolgálókonfigurációt rendelhet. A rendszer ezt a konfigurációt alkalmazza minden olyan kiszolgálóra, amely csatlakozik a helyhez.

Helykonfiguráció létrehozása

  1. Jelentkezzen be Microsoft Intune Felügyeleti központ>Bérlőfelügyelet>Microsoft Tunnel Gateway>lapjára, válassza aWebhelyeklapot>Létrehozás.

  2. A webhelypanel Létrehozás adja meg a következő tulajdonságokat:

    • Név: Adja meg a webhely nevét.

    • Leírás: Igény szerint megadhat egy rövid leírást a webhelyhez.

    • Nyilvános IP-cím vagy teljes tartománynév: Adjon meg egy nyilvános IP-címet vagy FQDN-t, amely az alagutat használó eszközök csatlakozási pontja. Ez az IP-cím vagy teljes tartománynév azonosíthat egy önálló kiszolgálót vagy egy terheléselosztási kiszolgálót. Az IP-címnek vagy az FQDN-nek feloldhatónak kell lennie a nyilvános DNS-ben, a feloldott IP-címnek pedig nyilvánosan irányíthatónak kell lennie.

    • Kiszolgálókonfiguráció: A helyhez társítandó kiszolgálókonfiguráció kiválasztásához használja a legördülő listát.

    • Belső hálózati hozzáférés-ellenőrzés URL-címe: Adjon meg egy HTTP- vagy HTTPS-URL-címet a belső hálózaton található helyhez. Öt percenként az ehhez a webhelyhez rendelt kiszolgálók megpróbálják elérni az URL-címet, hogy meggyőződjenek arról, hogy hozzáférnek a belső hálózathoz. A kiszolgálók az ellenőrzés állapotát belső hálózati akadálymentességként jelentik a kiszolgálók Állapotellenőrzés lapján.

    • Kiszolgálók automatikus frissítése ezen a helyen: Ha igen, a kiszolgálók automatikusan frissülnek, ha elérhető frissítés. Ha nem, a frissítés manuális, és a rendszergazdának jóvá kell hagynia a frissítést, mielőtt elkezdődhet.

      További információ: A Microsoft Tunnel frissítése.

    • Kiszolgálófrissítések korlátozása karbantartási időszakra: Ha igen, a hely kiszolgálófrissítései csak a megadott kezdési és befejezési időpont között kezdődhetnek. A kezdés és a befejezés időpontja között legalább egy órának kell lennie. Ha a Nem értékre van állítva, nincs karbantartási időszak, és a frissítések a lehető leghamarabb elindulnak attól függően, hogy a kiszolgálók automatikus frissítése ezen a helyen hogyan van konfigurálva.

      Ha az Igen értékre van állítva, konfigurálja a következő beállításokat:

      • Időzóna – A kiválasztott időzóna határozza meg, hogy a karbantartási időszak mikor kezdődik és ér véget a hely összes kiszolgálóján, függetlenül az egyes kiszolgálók időzónáitól.
      • Kezdés időpontja – Adja meg a frissítési ciklus indításának legkorábbi időpontját a kiválasztott időzóna alapján.
      • Befejezési idő – Adja meg a frissítési ciklus indításának legkésőbbi időpontját a kiválasztott időzóna alapján. Az ez előtt kezdődő frissítési ciklusok továbbra is futni fognak, és ez után befejeződhetnek.

      További információ: A Microsoft Tunnel frissítése.

  3. A webhely mentéséhez válassza a Létrehozás lehetőséget.

A Microsoft Tunnel Gateway telepítése

Mielőtt Linux-kiszolgálóra telepítené a Microsoft Tunnel Gatewayt, konfigurálja a bérlőt legalább egy kiszolgálókonfigurációval, majd hozzon létre egy helyet. Később meg kell adnia azt a helyet, amelyhez a kiszolgáló csatlakozik, amikor telepíti az alagutat a kiszolgálón.

A kiszolgálókonfiguráció és a hely használatával az alábbi eljárással telepítheti a Microsoft Tunnel Gatewayt.

Ha azonban egy gyökér nélküli Podman-tárolóra tervezi telepíteni a Microsoft Tunnel Gatewayt, a telepítés megkezdése előtt tekintse meg a Gyökér nélküli Podman-tároló használata című cikket. A csatolt szakasz részletesen ismerteti a telepítési szkript további előfeltétel-követelményeit és módosított parancssorát. A további előfeltételek konfigurálása után visszatérhet ide, hogy folytassa a következő telepítési eljárást.

A Szkript használata a Microsoft Tunnel telepítéséhez

  1. Töltse le a Microsoft Tunnel telepítési szkriptet az alábbi módszerek egyikével:

    • Töltse le az eszközt közvetlenül egy webböngésző használatával. Nyissa meg https://aka.ms/microsofttunneldownload az mstunnel-setup fájlt.

    • Jelentkezzen be Microsoft Intune Felügyeleti központBérlőfelügyelet>Microsoft Tunnel Gateway szolgáltatásba>, válassza a Kiszolgálók lapot, válassza a Létrehozás lehetőséget a kiszolgálópanel Létrehozás megnyitásához, majd válassza a Szkript letöltése lehetőséget.

      Képernyőfelvétel a telepítési szkript letöltéséhez

    • Az alagútszoftver közvetlen letöltéséhez használjon Linux-parancsot. Például azon a kiszolgálón, ahol az alagutat telepíti, a wget vagy a curl használatával megnyithatja a hivatkozást https://aka.ms/microsofttunneldownload.

      Ha például a letöltés során a wget és a napló adatait szeretné használni az mstunnel-setup beállításhoz , futtassa a következőt: wget --output-document=mstunnel-setup https://aka.ms/microsofttunneldownload

  2. A kiszolgáló telepítésének elindításához futtassa a szkriptet gyökérként. Használhatja például a következő parancssort: sudo chmod +x ./mstunnel-setup. A szkript mindig a Microsoft Tunnel legújabb verzióját telepíti.

    Fontos

    Ha az Alagút gyökér nélküli Podman-tárolóba van telepítve, a szkript elindításához használja a következő módosított parancssort: chmod mst_rootless_mode=1 ./mstunnel-setup

    A konzol kimenetének részletes megtekintése az alagút és a telepítési ügynök regisztrációs folyamata során:

    1. Futtassa a parancsot export mst_verbose_log="true" a ./mstunnel-setup szkript futtatása előtt. A részletes naplózás engedélyezésének ellenőrzéséhez futtassa a parancsot export.

    2. A telepítés befejezése után szerkessze az /etc/mstunnel/env.sh környezeti fájlt egy új sor hozzáadásához: mst_verbose_log="true". A sor hozzáadása után futtassa a parancsot mst-cli server restart a kiszolgáló újraindításához.

    Fontos

    Az egyesült államokbeli kormányzati felhőhöz a parancssornak a kormányzati felhőkörnyezetre kell hivatkoznia. Ehhez futtassa a következő parancsokat a intune_env=FXP parancssorhoz való hozzáadásához:

    1. Fuss sudo chmod +x ./mstunnel-setup
    2. Fuss sudo intune_env=FXP ./mstunnel-setup

    Tipp

    Ha leállítja a telepítést és a szkriptet, a parancssor ismételt futtatásával újraindíthatja. A telepítés onnan folytatódik, ahol abbahagyta.

    A szkript indításakor a rendszer letölti a tárolórendszerképeket a Microsoft Tunnel Gateway tárolórendszerképeiből a Intune szolgáltatásból, és létrehozza a szükséges mappákat és fájlokat a kiszolgálón.

    A telepítés során a szkript több rendszergazdai feladat elvégzését kéri.

  3. Amikor a szkript kéri, fogadja el a licencszerződést (EULA).

  4. Tekintse át és konfigurálja az alábbi fájlok változóit a környezet támogatásához.

    • Környezeti fájl: /etc/mstunnel/env.sh. További információ ezekről a változókról: Környezeti változók a Microsoft Tunnelre vonatkozó referenciacikkben.

  5. Amikor a rendszer kéri, másolja a Transport Layer Security -tanúsítványfájl teljes láncát a Linux-kiszolgálóra. A szkript megjeleníti a Linux-kiszolgálón használandó megfelelő helyet.

    A TLS-tanúsítvány biztosítja a kapcsolatot az alagutat használó eszközök és az Alagútátjáró végpontja között. A tanúsítványnak rendelkeznie kell az Alagútátjáró-kiszolgáló IP-címével vagy teljes tartománynevével a tárolóhálózatában.

    A titkos kulcs elérhető marad azon a gépen, amelyen létrehozza a TLS-tanúsítvány tanúsítvány-aláírási kérését. Ezt a fájlt site.key néven kell exportálni.

    Telepítse a TLS-tanúsítványt és a titkos kulcsot. Használja az alábbi, a fájlformátumnak megfelelő útmutatót:

    • PFX:

      • A tanúsítványfájl nevének site.pfx-nek kell lennie. Másolja a tanúsítványfájlt az /etc/mstunnel/private/site.pfx fájlba.

    • PEM:

      • A teljes láncnak (gyökér, köztes, végentitás) egyetlen site.crt nevű fájlban kell lennie. Ha egy nyilvános szolgáltató, például a Digicert által kiadott tanúsítványt használ, lehetősége van letölteni a teljes láncot egyetlen .pem fájlként.

      • A tanúsítványfájl nevének *site.crt értékűnek kell lennie. Másolja a teljes láncú tanúsítványt az /etc/mstunnel/certs/site.crt fájlba. Például: cp [full path to cert] /etc/mstunnel/certs/site.crt

        Másik lehetőségként hozzon létre egy hivatkozást a teljes láncú tanúsítványra az /etc/mstunnel/certs/site.crt fájlban. Például: ln -s [full path to cert] /etc/mstunnel/certs/site.crt

      • Másolja a titkos kulcsfájlt az /etc/mstunnel/private/site.key fájlba. Például: cp [full path to key] /etc/mstunnel/private/site.key

        Másik lehetőségként hozzon létre egy hivatkozást a titkos kulcs fájljára az /etc/mstunnel/private/site.key. Például: ln -s [full path to key file] /etc/mstunnel/private/site.key Ezt a kulcsot nem szabad jelszóval titkosítani. A titkos kulcs fájlnevének site.key kell lennie.

  6. Miután a telepítő telepítette a tanúsítványt, és létrehozta az Alagútátjáró-szolgáltatásokat, a rendszer kérni fogja, hogy jelentkezzen be, és hitelesítse magát Intune. A felhasználói fiókhoz Intune rendszergazdai vagy globális rendszergazdai szerepköröknek kell tartoznia. A hitelesítés végrehajtásához használt fióknak Intune licenccel kell rendelkeznie. A rendszer nem menti a fiók hitelesítő adatait, és csak a kezdeti bejelentkezéshez használja a Microsoft Entra ID. A sikeres hitelesítést követően az Azure-alkalmazásazonosítók/titkos kulcsok használhatók az alagútátjáró és a Microsoft Entra közötti hitelesítéshez.

    Ez a hitelesítés regisztrálja az Alagútátjárót a Microsoft Intune és a Intune bérlőjéhez.

    1. Nyisson meg egy webböngészőt, https://Microsoft.com/devicelogin és írja be a telepítési szkript által biztosított eszközkódot, majd jelentkezzen be a Intune rendszergazdai hitelesítő adataival.

    2. Miután a Microsoft Tunnel Gateway regisztrált a Intune, a szkript információkat kap a helyek és a kiszolgáló konfigurációiról Intune. A szkript ezután arra kéri, hogy adja meg annak az alagúthelynek a GUID-azonosítóját, amelyhez a kiszolgálót csatlakoztatni szeretné. A szkript megjeleníti az elérhető webhelyek listáját.

    3. Miután kiválasztott egy helyet, a telepítő lekéri az adott hely kiszolgálókonfigurációját a Intune, és alkalmazza azt az új kiszolgálóra a Microsoft Tunnel telepítésének befejezéséhez.

  7. A telepítési szkript befejeződése után Microsoft Intune Felügyeleti központban navigálhat a Microsoft Tunnel Gateway lapra az alagút magas szintű állapotának megtekintéséhez. Az Állapot lap megnyitásával ellenőrizheti, hogy a kiszolgáló online állapotú-e.

  8. Ha RHEL 8.4-et vagy újabb verziót használ, mindenképpen indítsa újra az Alagútátjáró-kiszolgálót a beírással mst-cli server restart , mielőtt megpróbál ügyfeleket csatlakoztatni hozzá.

Megbízható főtanúsítványok hozzáadása alagúttárolókhoz

A megbízható főtanúsítványokat a következő esetekben kell hozzáadni az Alagúttárolókhoz:

  • A kimenő kiszolgáló forgalmához SSL-proxyvizsgálat szükséges.
  • Az Alagúttárolók által elért végpontok nem mentesülnek a proxyvizsgálat alól.

Lépéseket:

  1. Másolja a .crt kiterjesztésű megbízható főtanúsítvány(ok)t az /etc/mstunnel/ca-trust fájlba
  2. Az alagúttárolók újraindítása az "mst-cli-kiszolgáló újraindítása" és az "mst-cli-ügynök újraindítása" használatával

A Microsoft Tunnel ügyfélalkalmazás üzembe helyezése

A Microsoft Tunnel használatához az eszközöknek hozzá kell férnie egy Microsoft Tunnel-ügyfélalkalmazáshoz. A Microsoft Tunnel Végponthoz készült Microsoft Defender használ alagútügyfél-alkalmazásként:

Az alkalmazások Intune való üzembe helyezésével kapcsolatos további információkért lásd: Alkalmazások hozzáadása Microsoft Intune.

VPN-profil Létrehozás

A Microsoft Tunnel telepítése és az eszközök telepítése után Végponthoz készült Microsoft Defender telepítheti a VPN-profilokat, hogy az eszközöket az alagút használatára irányítsa. Ehhez hozzon létre VPN-profilokat a Microsoft Tunnel kapcsolattípusával:

  • Android: Az Android platform támogatja a forgalom alkalmazásonkénti VPN-en keresztüli útválasztását és a felosztott bújtatási szabályokat egymástól függetlenül vagy egyidejűleg.

  • iOS/iPadOS Az iOS-platform támogatja a forgalom átirányítását alkalmazásonkénti VPN-sel vagy osztott bújtatási szabályokkal, de nem egyszerre. Ha alkalmazásonkénti VPN-t engedélyez iOS-hez, a rendszer figyelmen kívül hagyja a felosztott bújtatási szabályokat.

Android

  1. Jelentkezzen be Microsoft Intune Felügyeleti központ>Eszközök>konfigurálása>lapJának Házirendek lapján válassza a Létrehozás lehetőséget.

  2. A Platform beállításnál válassza az Android Enterprise lehetőséget. A Profil mezőben válassza a VPNlehetőséget a vállalati tulajdonú munkahelyi profil vagy a személyes tulajdonú munkahelyi profil esetében, majd válassza a Létrehozás lehetőséget.

    Megjegyzés:

    A Microsoft Tunnel nem támogatja az Android Enterprise dedikált eszközeit.

  3. Az Alapvető beállítások lapon adjon meg egy Nevet és egy Leírást(nem kötelező), majd válassza a Tovább gombot.

  4. A Kapcsolat típusa beállításnál válassza a Microsoft Tunnel lehetőséget, majd konfigurálja a következő adatokat:

    • AlapSZINTŰ VPN:

      • A Kapcsolat neve mezőben adjon meg egy nevet, amely megjelenik a felhasználók számára.
      • A Microsoft Tunnel Site (Microsoft Tunnel Site) beállításnál válassza ki a VPN-profil által használt alagútwebhelyet.

    • Alkalmazásonkénti VPN:

      • Az alkalmazásonkénti VPN-profilban hozzárendelt alkalmazások alkalmazásforgalmat küldenek az alagútba.
      • Androidon az alkalmazás indítása nem indítja el az alkalmazásonkénti VPN-t. Ha azonban a VPN Always-on VPN beállítása Engedélyezve, a VPN már csatlakoztatva van, és az alkalmazás forgalma az aktív VPN-t használja. Ha a VPN nincs always-on értékre állítva, a felhasználónak manuálisan kell elindítania a VPN-t a használat előtt.
      • Ha a Végponthoz készült Defender alkalmazással csatlakozik az Alagúthoz, engedélyezve van a webvédelem, és alkalmazásonkénti VPN-t használ, a webvédelem csak az alkalmazásonkénti VPN-listában szereplő alkalmazásokra vonatkozik. A munkahelyi profillal rendelkező eszközökön ebben a forgatókönyvben azt javasoljuk, hogy a munkahelyi profilban lévő összes webböngészőt hozzáadja az alkalmazásonkénti VPN-listához, hogy biztosítsa a munkahelyi profilok webes forgalmának védelmét.
      • Alkalmazásonkénti VPN engedélyezéséhez válassza a Hozzáadás lehetőséget, majd keresse meg a Intune importált egyéni vagy nyilvános alkalmazásokat.

    • Mindig bekapcsolt VPN:

      • A Mindig bekapcsolt VPN beállításnál válassza az Engedélyezés lehetőséget , ha azt szeretné, hogy a VPN-ügyfél automatikusan csatlakozzon a VPN-hez, és csatlakozzon újra. Az always-on VPN-kapcsolatok továbbra is kapcsolatban maradnak. Ha az Alkalmazásonkénti VPNengedélyezve van, csak a kiválasztott alkalmazásokból érkező forgalom halad át az alagúton.

    • Proxy:

      • Konfigurálja a proxykiszolgáló adatait a környezethez.

        Megjegyzés:

        A proxykiszolgáló konfigurációi nem támogatottak az Android 10-es verzió előtti verzióiban. További információ: VpnService.Builder az Android fejlesztői dokumentációjában.

    További információ a VPN-beállításokról: Android Enterprise-eszközbeállítások a VPN konfigurálásához

    Fontos

    A Végponthoz készült Microsoft Defender Microsoft Tunnel-ügyfélalkalmazásként és MTD-alkalmazásként használó Android Enterprise-eszközök esetén a Végponthoz készült Microsoft Defender konfigurálásához egyéni beállításokat kell használnia, nem pedig külön alkalmazáskonfigurációs profilt. Ha nem kíván végponthoz készült Defender-funkciót használni, beleértve a webes védelmet is, használjon egyéni beállításokat a VPN-profilban, és állítsa a defendertoggle beállítást 0-ra.

  5. A Hozzárendelések lapon konfigurálja azokat a csoportokat, amelyek megkapják ezt a profilt.

  6. A Felülvizsgálat + létrehozás lapon tekintse át a konfigurációt, majd a mentéshez válassza a Létrehozás lehetőséget.

iOS

  1. Jelentkezzen be Microsoft Intune Felügyeleti központ>Eszközök>konfigurálása>Létrehozás.

  2. A Platform területen válassza az iOS/iPadOS lehetőséget, majd a Profil területen válassza a VPN lehetőséget, majd Létrehozás.

  3. Az Alapvető beállítások lapon adjon meg egy Nevet és egy Leírást(nem kötelező), majd válassza a Tovább gombot.

  4. A Kapcsolat típusa beállításnál válassza a Microsoft Tunnel lehetőséget, majd konfigurálja a következő elemeket:

    • AlapSZINTŰ VPN:

      • A Kapcsolat neve mezőben adjon meg egy nevet, amely megjelenik a felhasználók számára.
      • A Microsoft Tunnel Site esetében válassza ki a VPN-profil által használt alagútwebhelyet.

      Megjegyzés:

      Ha a Microsoft Tunnel VPN-kapcsolatot és a Defender Web Protectiont is kombinált módban használja iOS-eszközökön, elengedhetetlen az igény szerinti szabályok konfigurálása a "Leválasztás alvó állapotban" beállítás hatékony aktiválásához. Ha ezt nem teszi meg, az alagút VPN-je és a Defender VPN kapcsolata is megszakad, amikor az iOS-eszköz alvó módba lép, miközben a VPN be van kapcsolva.

    • Alkalmazásonkénti VPN:
      Alkalmazásonkénti VPN engedélyezéséhez válassza az Engedélyezés lehetőséget. Az iOS alkalmazásonkénti VPN-jeihez további konfigurációs lépések szükségesek. Az alkalmazásonkénti VPN konfigurálásakor az iOS figyelmen kívül hagyja a felosztott bújtatási szabályokat.

      További információ: Alkalmazásonkénti VPN iOS/iPadOS rendszeren.

    • Igény szerinti VPN-szabályok:
      Igény szerinti szabályokat határozhat meg, amelyek lehetővé teszik a VPN használatát, ha bizonyos FQDN-ek vagy IP-címek feltételei teljesülnek.

      További információ: Automatikus VPN-beállítások.

    • Proxy:
      Konfigurálja a proxykiszolgáló adatait a környezethez.

Megjegyzés:

Ha a Microsoft Tunnel VPN-kapcsolatot és a Defender Web Protectiont is kombinált módban használja iOS-eszközökön, elengedhetetlen az igény szerinti szabályok konfigurálása a "Leválasztás alvó állapotban" beállítás hatékony aktiválásához. Az igény szerinti szabály konfigurálása az Alagút VPN-profil konfigurálásakor:

  1. A Konfigurációs beállítás lapon bontsa ki az Igény szerinti VPN-szabályok szakaszt.
  2. Az Igény szerinti szabályok beállításnál válassza a Hozzáadás lehetőséget a Sor hozzáadása panel megnyitásához.
  3. A Sor hozzáadása panelen állítsa be a Következőt szeretném tenni aVPN csatlakoztatása beállításra, majd a korlátozást (például Minden tartomány) beállításra.
  4. Igény szerint hozzáadhat egy URL-címet a De csak akkor, ha ez az URL-mintavétel sikeres .
  5. Válassza a Mentés elemet.

Képernyőkép a Sor hozzáadása panelről, amelyen konfigurálja az igény szerinti szabályt.

Proxykizárási lista használata Android Enterprise-hoz

Ha egyetlen közvetlen proxykiszolgálót használ a környezetében, használhat proxykizárási listát az Android Enterprise microsoft tunnel VPN-profiljaiban. A proxykizárási listák a Microsoft Tunnel és a Microsoft Tunnel mobilalkalmazás-kezeléshez esetében támogatottak.

Fontos

A proxyk kizárási listája csak akkor támogatott, ha egyetlen közvetlen proxykiszolgálót használ. Nem támogatottak olyan környezetekben, ahol több proxykiszolgáló van használatban.

A VPN-profil proxykizárási listája támogatja azoknak a tartományoknak a bejegyzését, amelyek a profilt fogadó és használó eszközök közvetlen proxykonfigurációjából ki vannak zárva.

A kizárási lista bejegyzéseinek támogatott formátumai a következők:

  • Teljes URL-címek pontos altartomány-egyezéssel. Például: sub.contoso.com
  • Egy kezdő helyettesítő karakter az URL-címekben. A teljes URL-példa használatával például lecserélhetjük a kezdő altartománynevet (sub) egy csillagra a támogatás kibontásához, hogy az contso.com összes altartományát tartalmazza: *.contoso.com
  • IPv4- és IPv6-címek

A nem támogatott formátumok a következők:

  • Belső helyettesítő karakterek. Például: con*oso.com, contos*.com, és contoso.*

A proxy kizárási listájának konfigurálása

A kizárási listát akkor konfigurálhatja, ha Microsoft Tunnel VPN-profilt szerkeszt vagy hoz létre az Android Enterprise platformhoz.

Miközben a Konfigurációs beállítások lapon a Kapcsolat típusa beállítást a Microsoft Tunnel értékre állította:

  1. Bontsa ki a Proxy elemet, majd a Proxykivételek listájában válassza a Proxykizárások kezelése lehetőséget.

  2. A Proxy kizárása lista panelen:

    • A szövegbeviteli mezőben adjon meg egyetlen URL-címet vagy IP-címet. Minden bejegyzés hozzáadásakor egy új szövegbeviteli mező áll rendelkezésre további bejegyzésekhez.
    • Válassza az Importálás lehetőséget a Proxykivételek importálása panel megnyitásához, ahol csv-fájlformátumú listát importálhat.
    • Válassza az Exportálás lehetőséget az aktuális kizárási lista exportálásához ebből a profilból CSV-fájlformátumban.

  3. Kattintson az OK gombra a proxykizárási lista konfigurációjának mentéséhez, és folytassa a VPN-profil szerkesztését.

    Képernyőkép a Intune Felügyeleti központ proxykizárási listájának paneljéről.

Egyéni beállítások használata Végponthoz készült Microsoft Defender

Intune támogatja Végponthoz készült Microsoft Defender MTD-alkalmazásként és Microsoft Tunnel-ügyfélalkalmazásként Android Enterprise-eszközökön. Ha a Végponthoz készült Defendert a Microsoft Tunnel ügyfélalkalmazáshoz és MTD-alkalmazásként is használja, a Konfigurációk egyszerűsítése érdekében egyéni beállításokat használhat a Microsoft Tunnel VPN-profiljában. Az egyéni beállítások használata a VPN-profilban felváltja a különálló alkalmazáskonfigurációs profil használatának szükségességét.

Az Android Enterprise személyes tulajdonú munkahelyi profilkéntregisztrált, végponthoz készült Defendert mindkét célra használó eszközök esetében az alkalmazáskonfigurációs profil helyett egyéni beállításokat kell használnia. Ezeken az eszközökön a Végponthoz készült Defender alkalmazáskonfigurációs profilja ütközik a Microsoft Tunnel szolgáltatással, és megakadályozhatja, hogy az eszköz csatlakozzon a Microsoft Tunnelhez.

Ha Végponthoz készült Microsoft Defender használ a Microsoft Tunnelhez, de az MTD-hez nem, akkor továbbra is az alkalmazásalagút konfigurációs profiljával konfigurálja Végponthoz készült Microsoft Defender alagútügyfélként.

Végponthoz készült Microsoft Defender alkalmazáskonfigurációs támogatásának hozzáadása a Microsoft Tunnel VPN-profiljához

Az alábbi információk segítségével konfigurálhatja a VPN-profil egyéni beállításait Végponthoz készült Microsoft Defender konfigurálásához egy külön alkalmazáskonfigurációs profil helyett. Az elérhető beállítások platformonként változnak.

Android Enterprise-eszközök esetén:

Konfigurációs kulcs Érték típusa Konfigurációs érték Leírás
Vpn Egész Beállítások:
1 – Engedélyezés (alapértelmezett)
0 – Letiltás		 Az Engedélyezés értékre állítva engedélyezheti, hogy az Végponthoz készült Microsoft Defender adathalászat elleni képesség helyi VPN-t használjon.
Antiphishing Egész Beállítások:
1 – Engedélyezés (alapértelmezett)
0 – Letiltás		 Állítsa az Engedélyezés értékre az adathalászat elleni Végponthoz készült Microsoft Defender bekapcsolásához. Ha le van tiltva, az adathalászat elleni funkció ki van kapcsolva.
defendertoggle Egész Beállítások:
1 – Engedélyezés (alapértelmezett)
0 – Letiltás		 Állítsa az Engedélyezés értékre a Végponthoz készült Microsoft Defender használatához. Ha le van tiltva, nem érhető el Végponthoz készült Microsoft Defender funkció.

Egyéni beállítások konfigurálása a VPN-profilban a Végponthoz készült Microsoft Defender

iOS-/iPad-eszközök esetén:

Konfigurációs kulcs Értékek Leírás
TunnelOnly Igaz – A Végponthoz készült Defender minden funkciója le van tiltva. Ezt a beállítást akkor kell használni, ha az alkalmazást csak alagútfunkciókhoz használja.

False(default) – A Végponthoz készült Defender funkció engedélyezve van.		 Meghatározza, hogy a Defender alkalmazás csak a Microsoft Tunnelre korlátozódik-e, vagy az alkalmazás támogatja-e a Végponthoz készült Defender összes funkcióját.
WebProtection True(default) – A Web Protection engedélyezve van, és a felhasználók láthatják a webvédelem lapot a Végponthoz készült Defender alkalmazásban.

Hamis – A webvédelem le van tiltva. Alagút VPN-profil üzembe helyezése esetén a felhasználók csak a Végponthoz készült Defender alkalmazásban láthatják az Irányítópult és alagút lapokat.		 Meghatározza, hogy a Defender for Endpoint Web Protection (adathalászat elleni funkció) engedélyezve van-e az alkalmazáshoz. Alapértelmezés szerint ez a funkció be van kapcsolva.
AutoOnboard Igaz – Ha a Web Protection engedélyezve van, a Végponthoz készült Defender alkalmazás automatikusan engedélyeket kap a VPN-kapcsolatok hozzáadásához a felhasználó kérése nélkül. Szükség van egy "Vpn csatlakoztatása" igény szerinti szabályra. További információ az igény szerinti szabályokról: Automatikus VPN-beállítások.

False(default) – Ha a Web Protection engedélyezve van, a rendszer arra kéri a felhasználót, hogy engedélyezze a Végponthoz készült Defender alkalmazásnak a VPN-konfigurációk hozzáadását.		 Meghatározza, hogy a Végponthoz készült Defender Web Protection engedélyezve van-e anélkül, hogy a felhasználót VPN-kapcsolat hozzáadására kellene kérnie (mivel a Web Protection működéséhez helyi VPN-re van szükség). Ez a beállítás csak akkor érvényes, ha a WebProtection értéke Igaz.

TunnelOnly mód konfigurálása az Európai Unió adathatárának való megfeleléshez

A 2022-es naptári év végéig minden személyes adatot, beleértve az ügyféltartalmat (CC), az EUII-t, az EUPI-t és a támogatási adatokat, az Európai Unióban (EU) kell tárolni és feldolgozni az eu-bérlők számára.

A Végponthoz készült DefenderBen a Microsoft Tunnel VPN-funkciója az Európai Unió adathatárának (EUDB) megfelelője. Bár a Végponthoz készült Defender veszélyforrások elleni védelem naplózással kapcsolatos összetevői még nem euDB-kompatibilisek, a Végponthoz készült Defender az adatvédelmi kiegészítés (DPA) része, és megfelel az általános adatvédelmi rendeletnek (GDPR).

Addig is az EU-bérlőkkel rendelkező Microsoft Tunnel-ügyfelek engedélyezhetik a TunnelOnly módot a Végponthoz készült Defender ügyfélalkalmazásban. Ennek konfigurálásához kövesse az alábbi lépéseket:

  1. Kövesse a Microsoft Tunnel VPN-megoldás telepítése és konfigurálása Microsoft Intune | A Microsoft Learn alkalmazáskonfigurációs szabályzatot hoz létre, amely letiltja a Végponthoz készült Defender funkcióit.

  2. Létrehozás egy TunnelOnly nevű kulcsot, és állítsa true (Igaz) értékre.

A TunnelOnly mód konfigurálásával a Végponthoz készült Defender minden funkciója le van tiltva, míg az alagútfunkciók továbbra is elérhetők maradnak az alkalmazásban.

A szervezet bérlőjéhez nem tartozó vendégfiókok és Microsoft-fiókok (MSA) nem támogatottak a bérlők közötti hozzáféréshez a Microsoft Tunnel VPN használatával. Ez azt jelenti, hogy az ilyen típusú fiókok nem használhatók a belső erőforrások biztonságos eléréséhez a VPN-en keresztül. Fontos szem előtt tartani ezt a korlátozást, ha a Belső erőforrásokhoz való biztonságos hozzáférést a Microsoft Tunnel VPN használatával állítja be.

További információ az EU adathatáráról: EU Data Boundary for the Microsoft Cloud | Gyakori kérdések a Microsoft biztonsági és megfelelőségi blogján.

A Microsoft Tunnel frissítése

Intune rendszeres időközönként frissítéseket ad ki a Microsoft Tunnel-kiszolgálóhoz. A támogatás megtartásához az alagútkiszolgálóknak a legújabb kiadást kell futtatniuk, vagy legfeljebb egy verzióval kell rendelkeznie.

Alapértelmezés szerint az új frissítés elérhetővé Intune automatikusan elindítja az alagútkiszolgálók frissítését a lehető leghamarabb az egyes alagúthelyeken. A frissítések kezeléséhez konfigurálhatja a frissítési folyamatot kezelő beállításokat:

  • Engedélyezheti a kiszolgálók automatikus frissítését egy helyen, vagy rendszergazdai jóváhagyást igényelhet a frissítések előtt.
  • Konfigurálhat egy karbantartási időszakot, amely korlátozza a helyek frissítéseinek indítását.

További információ a Microsoft Tunnel frissítéseiről, beleértve az alagút állapotának megtekintését és a frissítési beállítások konfigurálását: A Microsoft Tunnel frissítése.

A TLS-tanúsítvány frissítése a Linux-kiszolgálón

Az ./mst-cli parancssori eszközzel frissítheti a TLS-tanúsítványt a kiszolgálón:

PFX:

  1. Másolja a tanúsítványfájlt az /etc/mstunnel/private/site.pfx fájlba
  2. Fuss: mst-cli import_cert
  3. Fuss: mst-cli server restart

PEM:

  1. Az új tanúsítvány másolása a következő helyre: /etc/mstunnel/certs/site.crt
  2. Másolja a titkos kulcsot az /etc/mstunnel/private/site.key
  3. Fuss: mst-cli import_cert
  4. Fuss: mst-cli server restart

Megjegyzés:

Az "import-cert" parancs egy további, "delay" nevű paraméterrel. Ez a paraméter lehetővé teszi az importált tanúsítvány használatát megelőző percekben megadott késleltetés megadását. Példa: mst-cli import_cert delay 10080

További információ az mst-cli-ről: Referencia a Microsoft Tunnelhez.

Gyökér nélküli Podman-tároló használata

Ha a Red Hat Linuxot Podman-tárolókkal használja a Microsoft Tunnel üzemeltetéséhez, a tárolót gyökér nélküli tárolóként konfigurálhatja.

A gyökér nélküli tárolók használatával korlátozható a tárolók feloldása által gyakorolt hatás, mivel a kiszolgálón lévő /etc/mstunnel mappában és alatta lévő összes fájl egy nem emelt szintű felhasználói szolgáltatásfiók tulajdonában van. Az Alagút futtatását futtató Linux-kiszolgálón lévő fióknév nem változik a normál telepítéshez képest, de gyökérszintű felhasználói engedélyek nélkül jön létre.

Gyökér nélküli Podman-tároló sikeres használatához a következőkre van szükség:

Az előfeltételek teljesülése esetén a telepítési szkript eljárásával először letöltheti a telepítési szkriptet, majd futtathatja a telepítést a módosított szkript parancssorával.

További előfeltételek gyökér nélküli Podman-tárolókhoz

A gyökér nélküli Podman-tároló használatához a környezetnek meg kell felelnie az alábbi előfeltételeknek, amelyek a Microsoft Tunnel alapértelmezett előfeltételei mellett teljesülnek:

Támogatott platform:

  • A Linux-kiszolgálónak a Red Hat (RHEL) 8.8-es vagy újabb verzióját kell futtatnia.

  • A tárolónak a Podman 4.6.1 vagy újabb verzióját kell futtatnia. A Docker nem támogatja a gyökér nélküli tárolókat.

  • A gyökér nélküli tárolót a /home mappában kell telepíteni.

  • A /home mappának legalább 10 GB szabad területtel kell rendelkeznie.

Átmenő

  • A csúcsteljesítmény nem haladhatja meg a 230 Mbps-ot

Hálózat: A gyökér nélküli névtérben nem elérhető következő hálózati beállításokat az /etc/sysctl.conf fájlban kell megadni:

  • net.core.somaxconn=8192
  • net.netfilter.nf_conntrack_acct=1
  • net.netfilter.nf_conntrack_timestamp=1

Emellett ha a gyökér nélküli alagútátjárót egy 1024-nél kisebb porthoz köti, akkor az /etc/sysctl.conf fájlban is hozzá kell adnia a következő beállítást, és meg kell adnia a használt portnak megfelelőt:

  • net.ipv4.ip_unprivileged_port_start

A 443-at például a következő bejegyzéssel adhatja meg: net.ipv4.ip_unprivileged_port_start=443

A sysctl.conf szerkesztése után újra kell indítania a Linux-kiszolgálót, mielőtt az új konfigurációk érvénybe lépnek.

Kimenő proxy a gyökér nélküli felhasználóhoz: A gyökér nélküli felhasználó kimenő proxyjának támogatásához szerkessze az /etc/profile.d/http_proxy.sh fájlt, és adja hozzá a következő két sort. A következő sorokban a 10.10.10.1:3128 példa cím:port bejegyzés. A sorok hozzáadásakor cserélje le a 10.10.10.1:3128 értéket a proxy IP-címének és portjának értékeire:

  • export http_proxy=http://10.10.10.1:3128
  • export https_proxy=http://10.10.10.1:3128

A gyökér nélküli Podman-tárolók telepítési parancssorának módosítása

A Microsoft Tunnel gyökér nélküli Podman-tárolóba való telepítéséhez használja a következő parancssort a telepítési szkript elindításához. Ez a parancssor környezeti változóként állítja be mst_rootless_mode, és lecseréli az alapértelmezett telepítési parancssor használatát a telepítési eljárás2. lépésében:

  • mst_rootless_mode=1 ./mstunnel-setup

A Microsoft Tunnel eltávolítása

A termék eltávolításához futtassa az mst-cli eltávolítást a Linux-kiszolgálóról gyökérként.

A termék eltávolítása után törölje a megfelelő kiszolgálórekordot az Microsoft Intune Felügyeleti központban a Bérlői felügyelet>Microsoft TunnelGateway-kiszolgálók> területen.

Következő lépések

Feltételes hozzáférés használata a Microsoft Tunnel szolgáltatással
A Microsoft Tunnel megfigyelése