Поделиться через

Настройка виртуальной частной сети (VPN) на уровне приложений на устройствах iOS/iPadOS в Intune

  • Статья

В Microsoft Intune можно создавать и использовать виртуальные частные сети (VPN), назначенные приложению. Эта функция называется VPN для каждого приложения. Вы выбираете управляемые приложения, которые могут использовать VPN на устройствах, управляемых Intune. При использовании VPN для каждого приложения конечные пользователи автоматически подключаются через VPN и получают доступ к ресурсам организации, таким как документы.

Эта функция применяется к:

  • iOS 9 и более поздние версии
  • iPadOS 13.0 и более поздние версии

Чтобы узнать, поддерживает ли ваша сеть VPN реализацию на уровне приложений, обратитесь к документации поставщика VPN.

В этой статье показано, как создать профиль VPN на уровне приложений и назначить его приложениям. С помощью этих инструкций можно обеспечить удобную работу пользователей с VPN на уровне приложений. При использовании большинства сетей VPN, поддерживающих реализацию на уровне приложений, пользователь автоматически подключается к VPN при открытии приложения.

Некоторые сети VPN на уровне приложений позволяют выполнять проверку подлинности пользователей по имени пользователя и паролю. Это означает, что для подключения к VPN пользователю необходимо ввести имя пользователя и пароль.

Важно!

  • В системах iOS/iPadOS сеть VPN на уровне приложения не поддерживается для профилей VPN IKEv2.

VPN для каждого приложения с использованием Microsoft Tunnel или Zscaler

Microsoft Tunnel и Zscaler Private Access (ZPA) интегрируются с Microsoft Entra ID для проверки подлинности. При использовании Tunnel или ZPA не требуются профили доверенного сертификата либо сертификата SCEP или PKCS (описываемые в этой статье).

Кроме того, при наличии профиля VPN на уровне приложений, настроенного для Zscaler, открытие одного из соответствующих приложений не приводит к автоматическому подключению к ZPA. Вместо этого пользователь должен сначала войти в приложение Zscaler. После этого удаленный доступ ограничивается связанными приложениями.

Предварительные требования

  • У поставщика VPN могут быть другие требования к VPN для каждого приложения, например определенное оборудование или лицензирование. Ознакомьтесь с документацией поставщика и выполните эти требования, прежде чем настраивать VPN для каждого приложения в Intune.

  • Экспортируйте файл доверенного корневого сертификата .cer с VPN-сервера. Этот файл добавляется в профиль доверенного сертификата, который вы создаете в Intune, как описано в этой статье.

    Чтобы экспортировать файл, выполните следующие действия:

    1. Откройте консоль администрирования на VPN-сервере.

    2. Убедитесь в том, что VPN-сервер использует проверку подлинности на основе сертификатов.

    3. Экспортируйте файл доверенного корневого сертификата. У него есть .cer расширение.

    4. Добавьте имя центра сертификации (ЦС), который выдал сертификат для проверки подлинности НА VPN-сервере.

      Если ЦС, представленный устройством, совпадает с одним из ЦС в списке доверенных ЦС на VPN-сервере, VPN-сервер успешно проверяет подлинность устройства.

    Чтобы доказать свою подлинность, VPN-сервер предоставляет сертификат, который должен быть принят устройством без запроса. Чтобы подтвердить автоматическое утверждение сертификата, создайте профиль доверенного сертификата в Intune (в этой статье). Профиль доверенного сертификата Intune должен содержать корневой сертификат (файл) VPN-сервера,.cer выданный центром сертификации (ЦС).

  • Чтобы создать политику, как минимум, войдите в Центр администрирования Microsoft Intune с учетной записью со встроенной ролью Диспетчер политик и профилей. Дополнительные сведения о встроенных ролях см. в статье Управление доступом на основе ролей для Microsoft Intune.

Шаг 1. Создание группы для пользователей VPN

Создайте или выберите существующую группу в Microsoft Entra ID. Эта группа:

  • Должен включать пользователей или устройства, которые будут использовать VPN для каждого приложения.
  • Получат все создаваемые политики Intune.

Инструкции по созданию новой группы см. в разделе Добавление групп для организации пользователей и устройств.

Шаг 2. Создание профиля доверенного сертификата

Импортируйте корневой сертификат VPN-сервера, выданный ЦС, в профиль Intune. Этот корневой сертификат является файлом, .cer экспортированным в разделе Предварительные требования (в этой статье). Профиль доверенного сертификата указывает устройству iOS/iPadOS автоматически доверять центру сертификации, который представляет VPN-сервер.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. ВыберитеКонфигурация>устройств>Создать.

  3. Укажите следующие свойства.

    • Платформа. Выберите iOS/iPadOS.
    • Тип профиля: выберите Доверенный сертификат.

  4. Нажмите Создать.

  5. В разделе Основные укажите следующие свойства.

    • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля — Профиль VPN для доверенного сертификата iOS/iPadOS компании.
    • Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

  6. Нажмите кнопку Далее.

  7. В разделе Параметры конфигурации щелкните значок с изображением папки и перейдите к сертификату VPN (файлу .cer), экспортированному из консоли администрирования VPN.

  8. Нажмите Далее и продолжите создание профиля. Дополнительные сведения см. в статье Создание профиля VPN.

    Создайте профиль доверенного сертификата для устройств iOS/iPadOS в центре администрирования Microsoft Intune и Intune.

Шаг 3. Создание профиля сертификата SCEP или PKCS

Профиль доверенного корневого сертификата, созданный на шаге 2 , позволяет устройству автоматически доверять VPN-серверу.

На этом шаге создайте профиль сертификата SCEP или PKCS в Intune. Сертификат SCEP или PKCS предоставляет учетные данные из VPN-клиента iOS/iPadOS на VPN-сервер. Сертификат разрешает устройству автоматически проходить проверку подлинности, не запрашивая имя пользователя и пароль.

Чтобы настроить и назначить сертификат проверки подлинности клиента в Intune, перейдите к одной из следующих статей:

Обязательно настройте сертификат для проверки подлинности клиента. Вы можете настроить проверку подлинности клиента непосредственно в профилях сертификатов SCEP (расширенный список> использования ключей Проверка подлинности клиента). В случае с сертификатами PKCS проверка подлинности клиента настраивается в шаблоне сертификата в центре сертификации (ЦС).

Создайте профиль сертификата SCEP в Microsoft Intune и Центре администрирования Intune. Включите формат имени субъекта, использование ключа, расширенное использование ключа и многое другое.

Шаг 4. Создание профиля VPN для каждого приложения

Профиль VPN включает в себя сертификат SCEP или PKCS с учетными данными клиента, сведения о подключении к VPN и флаг VPN на уровне приложения для активации сети VPN на уровне приложения, которая используется в приложении iOS/iPadOS.

  1. В Центре администрирования Microsoft Intune выберитеКонфигурация>устройств>Создать.

  2. Введите следующие свойства и нажмите кнопку Создать:

    • Платформа. Выберите iOS/iPadOS.
    • Тип профиля: выберите VPN.

  3. В разделе Основные укажите следующие свойства.

    • Имя: введите понятное имя для настраиваемого профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля — профиль VPN на уровне приложения iOS/iPadOS для myApp.
    • Описание: введите описание профиля. Этот параметр является необязательным, но мы рекомендуем его использовать.

  4. В разделе Параметры конфигурации настройте следующие параметры.

    • Тип подключения. Выберите клиентское приложение VPN.

    • Базовая VPN. Настройте свои параметры. Описание всех параметров VPN для iOS/iPadOS см. здесь. При использовании VPN на уровне приложения необходимо определить указанные ниже свойства.

      • Способ проверки подлинности. Выберите Сертификаты.
      • Сертификат проверки подлинности. Выберите существующий сертификат > SCEP или PKCS ОК.
      • Раздельное туннелирование. Выберите Отключить, чтобы весь трафик шел только через туннель VPN, когда подключение VPN активно.

      Снимок экрана: профиль VPN для каждого приложения, IP-адрес или полное доменное имя, метод проверки подлинности и раздельное туннелирование в Microsoft Intune и Центре администрирования Intune.

      Дополнительные сведения о других параметрах см. в разделе Параметры VPN iOS/iPadOS.

    • Автоподключение VPN>Тип автоматической VPN>VPN для каждого приложения.

      Снимок экрана, на котором показан параметр

  5. Нажмите Далее и продолжите создание профиля. Дополнительные сведения см. в статье Создание профиля VPN.

Шаг 5. Связывание приложения с профилем VPN

После добавления профиля VPN свяжите приложение и группу Microsoft Entra с профилем.

  1. В Центре администрирования Microsoft Intune выберите Приложения>Все приложения.

  2. Выберите приложение из списка >Свойства>Назначения>Изменить.

  3. Перейдите к разделу Требуемые или Доступные для зарегистрированных устройств.

  4. Выберите Добавить группу> Выберите созданную группу (в этой статье) >Выберите.

  5. В списке VPN выберите профиль VPN на уровне приложений, созданный в этой статье.

    Два снимка экрана: назначение приложения для профиля VPN для каждого приложения в Microsoft Intune и Центре администрирования Intune.

  6. Выберите ОК>Сохранить.

Связь между приложением и профилем сохраняется до тех пор, пока конечный пользователь не запросит повторную установку с корпоративного портала, при выполнении всех следующих условий:

  • Приложение было выбрано в качестве целевого для доступной установки.
  • Профиль и приложение назначаются одной группе.
  • Конечный пользователь запросил установку приложения в приложении корпоративного портала. Этот запрос позволяет установить приложение и профиль на устройстве.
  • Вы удалили или изменили конфигурацию VPN на уровне приложения из назначения приложений.

Связь между приложением и профилем будет прервана во время следующей синхронизации устройства при выполнении всех следующих условий:

  • Приложение было выбрано в качестве целевого для обязательнойустановки.
  • Профиль и приложение назначаются одной группе.
  • Вы удалили конфигурацию VPN на уровне приложения из назначения приложений.

Проверка подключения с устройства iOS/iPadOS

Настроив VPN для каждого приложения и связав его с приложением, убедитесь, что подключение работает с устройства.

Перед подключением

  • Убедитесь, что все политики, описанные в этой статье, развернуты в той же группе. В противном случае функция VPN на уровне приложений работать не будет.

  • Если вы используете VPN-приложение Pulse Secure или пользовательское приложение VPN-клиента, вы можете использовать туннелирование на уровне приложений или пакетов:

    • Для туннелирования на уровне приложения задайте для параметра ProviderType значение app-proxy.
    • Для туннелирования на уровне пакетов задайте для параметра ProviderType значение packet-tunnel.

    Проверьте правильность установленного значения по документации поставщика VPN.

Подключение с использованием VPN на уровне приложения

Проверьте возможность работы без вмешательства, выполнив подключения без выбора VPN или ввода учетных данных. Работа без вмешательства означает, что:

  • устройство не требует доверия к VPN-серверу; то есть пользователь не видит диалоговое окно Динамическое доверие;
  • вводить учетные данные пользователю не нужно;
  • устройство пользователя подключается к VPN, когда пользователь открывает одно из связанных приложений.

Ресурсы