Intune için Microsoft Tunnel'ı yapılandırma

Microsoft Tunnel Gateway, şirket içinde veya bulutta çalışan bir Linux sunucusundaki kapsayıcıya yüklenir. Ortamınıza ve altyapınıza bağlı olarak, Azure ExpressRoute gibi diğer yapılandırmalara ve yazılımlara ihtiyaç duyulabilir.

Yüklemeye başlamadan önce aşağıdaki görevleri tamamladığınızdan emin olun:

Önkoşullarınız hazır olduktan sonra tünelin yüklenmesine ve yapılandırılmasına başlamak için bu makaleye dönün.

Sunucu yapılandırması oluşturma

Sunucu yapılandırmasının kullanılması, bir yapılandırmayı tek bir kez oluşturmanıza ve bu yapılandırmanın birden çok sunucu tarafından kullanılmasını sağlar. Yapılandırma IP adresi aralıklarını, DNS sunucularını ve bölünmüş tünel kurallarını içerir. Daha sonra bir Siteye sunucu yapılandırması atayacaksınız. Bu yapılandırma, bu siteyi birleştiren her sunucuya otomatik olarak uygulanır.

Sunucu yapılandırması oluşturmak için

  1. Microsoft Intune yönetim merkezinde>oturum açın Kiracı yönetimi>Microsoft Tunnel Gateway>, Sunucu yapılandırmaları sekmesiniYeni oluştur'u>seçin.

  2. Temel Bilgiler sekmesinde bir Ad ve Açıklamagirin (isteğe bağlı) ve İleri'yi seçin.

  3. Ayarlar sekmesinde aşağıdaki öğeleri yapılandırın:

    • IP adresi aralığı: Bu aralıktaki IP adresleri, Tunnel Gateway'e bağlandığında cihazlara kiralanmıştır. Belirtilen Tünel İstemcisi IP adresi aralığı şirket içi ağ aralığıyla çakışmamalıdır.

      • Bu aralık diğer kurumsal ağlarla çakışmaları önleyebildiğinden 169.254.0.0/16 Otomatik Özel IP Adresleme (APIPA) aralığını kullanmayı göz önünde bulundurun.
      • İstemci IP adresi aralığı hedefle çakşırsa geri döngü adresini kullanır ve şirket ağıyla iletişim kuramıyordur.
      • Kurumsal ağ IP adresi aralıklarınızla çakışmazsa kullanmak istediğiniz herhangi bir istemci IP adresi aralığını seçebilirsiniz.

    • Sunucu bağlantı noktası: Sunucunun bağlantılar için dinlediğini bağlantı noktasını girin.

    • DNS sunucuları: Bu sunucular, Bir DNS isteği Tunnel Gateway'e bağlanan bir cihazdan geldiğinde kullanılır.

    • DNS soneki araması(isteğe bağlı):Bu etki alanı, Tunnel Gateway'e bağlandığında istemcilere varsayılan etki alanı olarak sağlanır.

    • UDP Bağlantılarını Devre Dışı Bırak(isteğe bağlı): İstemciler seçildiğinde yalnızca TCP bağlantılarını kullanarak VPN sunucusuna bağlanır. Tek başına tünel istemcisi UDP kullanımını gerektirdiğinden, yalnızca cihazlarınızı tünel istemcisi uygulaması olarak Uç Nokta için Microsoft Defender kullanacak şekilde yapılandırdıktan sonra UDP bağlantılarını devre dışı bırakmak için onay kutusunu seçin.

  4. Ayrıca Ayarlar sekmesinde isteğe bağlı olan Bölünmüş tünel kurallarını yapılandırın.

    Adresleri ekleyebilir veya hariç tutabilirsiniz. Eklenen adresler Tunnel Gateway'e yönlendirilir. Dışlanan adresler Tunnel Gateway'e yönlendirilmeyen adresler. Örneğin, 255.255.0.0 veya 192.168.0.0/16 için bir ekleme kuralı yapılandırabilirsiniz.

    Adresleri dahil etmek veya hariç tutmak için aşağıdaki seçenekleri kullanın:

    • Eklenecek IP aralıkları
    • Dışlanması gereken IP aralıkları

    Not

    Ekleme veya dışlama adreslerinin hiçbirinde 0.0.0.0 belirten bir IP aralığı kullanmayın. Bu aralık kullanıldığında Tunnel Gateway trafiği yönlendiremez. Sunucu yapılandırmanızda kurumsal DNS kullanılıyorsa, bu adres bölünmüş tünel için ekleme kurallarına eklenmelidir.

  5. Gözden Geçir + oluştur sekmesinde yapılandırmayı gözden geçirin ve ardından oluştur'u seçerek kaydedin.

    Not

    Varsayılan olarak, her VPN oturumu bağlantısı kesilmeden önce yalnızca 3.600 saniye (bir saat) boyunca etkin kalır (istemcinin Always On VPN kullanacak şekilde ayarlanması durumunda hemen yeni bir oturum oluşturulur).

    Ancak, graf çağrılarını (microsoftTunnelConfiguration) kullanarak oturum zaman aşımı değerini diğer sunucu yapılandırma ayarlarıyla birlikte değiştirebilirsiniz. Daha fazla bilgi için bu makalenin devamında Tünel Sunucuları VPN oturum zaman aşımını değiştirme konusuna bakın.

Site Oluşturma

Siteler, Microsoft Tunnel'ı barındıran mantıksal sunucu gruplarıdır. Oluşturduğunuz her Siteye bir Sunucu yapılandırması atarsınız. Bu yapılandırma, Siteye katılan her sunucuya uygulanır.

Site yapılandırması oluşturmak için

  1. Microsoft Intune yönetim merkezinde>oturum açın Kiracı yönetimi>Microsoft Tunnel Gateway>SitelersekmesiniOluştur'u>seçin.

  2. Site oluştur bölmesinde aşağıdaki özellikleri belirtin:

    • Ad: Bu Site için bir ad girin.

    • Açıklama: İsteğe bağlı olarak, Site için kolay bir açıklama belirtebilirsiniz.

    • Genel IP adresi veya FQDN: Tüneli kullanan cihazlar için bağlantı noktası olan bir genel IP adresi veya FQDN belirtin. Bu IP adresi veya FQDN tek bir sunucuyu veya yük dengeleme sunucusunu tanımlayabilir. IP adresi veya FQDN genel DNS'de çözümlenebilir olmalı ve çözümlenen IP adresi genel olarak yönlendirilebilir olmalıdır.

    • Sunucu yapılandırması: Bu Site ile ilişkilendirilecek bir sunucu yapılandırması seçmek için açılan listeyi kullanın.

    • İç ağ erişim denetimi URL'si: İç ağınızdaki bir konum için HTTP veya HTTPS URL'si belirtin. Beş dakikada bir, bu siteye atanan her sunucu, iç ağınıza erişebildiğini onaylamak için URL'ye erişmeye çalışır. Sunucular bu denetimin durumunu sunucular Sistem durumu denetimi sekmesinde İç ağ erişilebilirliği olarak bildirir.

    • Bu sitedeki sunucuları otomatik olarak yükselt: Evet ise, bir yükseltme kullanılabilir olduğunda sunucular otomatik olarak yükseltilir. Hayır ise, yükseltme el ile yapılır ve yöneticinin bir yükseltmeyi başlatabilmesi için önce onaylaması gerekir.

      Daha fazla bilgi için bkz . Microsoft Tunnel'ı yükseltme.

    • Sunucu yükseltmelerini bakım penceresiyle sınırla: Evet ise, bu site için sunucu yükseltmeleri yalnızca belirtilen başlangıç saati ile bitiş saati arasında başlatılabilir. Başlangıç saati ile bitiş saati arasında en az bir saat olmalıdır. Hayır olarak ayarlandığında bakım penceresi yoktur ve bu sitedeki sunucuları otomatik olarak yükseltmenin nasıl yapılandırıldığına bağlı olarak yükseltmeler en kısa sürede başlar.

      Evet olarak ayarlandığında aşağıdaki seçenekleri yapılandırın:

      • Saat dilimi – Seçtiğiniz saat dilimi, tek tek sunucuların saat diliminden bağımsız olarak bakım penceresinin sitedeki tüm sunucularda ne zaman başlatılıp sona ereceğini belirler.
      • Başlangıç saati – Seçtiğiniz saat dilimine göre yükseltme döngüsünün başlatabileceği en erken saati belirtin.
      • Bitiş saati - Seçtiğiniz saat dilimine göre yükseltme döngüsünün başlatabileceği en son saati belirtin. Bu saatten önce başlayan yükseltme döngüleri çalışmaya devam eder ve bu süreden sonra tamamlanabilir.

      Daha fazla bilgi için bkz . Microsoft Tunnel'ı yükseltme.

  3. Siteyi kaydetmek için Oluştur'u seçin.

Microsoft Tunnel Gateway'i yükleme

Microsoft Tunnel Gateway'i bir Linux sunucusuna yüklemeden önce kiracınızı en az bir Sunucu yapılandırmasıyla yapılandırın ve ardından bir Site oluşturun. Daha sonra, tüneli o sunucuya yüklediğinizde sunucunun katılacağını Siteyi belirteceksiniz.

Bir sunucu yapılandırması ve siteyle, Microsoft Tunnel Gateway'i yüklemek için aşağıdaki yordamı kullanabilirsiniz.

Ancak, Microsoft Tunnel Gateway'i köksüz podman kapsayıcısına yüklemeyi planlıyorsanız, yüklemenize başlamadan önce köksüz Podman kapsayıcısı kullanma bölümüne bakın. Bağlı bölümde ek önkoşul gereksinimleri ve yükleme betiği için değiştirilmiş bir komut satırı ayrıntılı olarak yer alır. Ek önkoşullar yapılandırıldıktan sonra, aşağıdaki yükleme yordamına devam etmek için buraya dönebilirsiniz.

Microsoft Tunnel'ı yüklemek için betiği kullanma

  1. Aşağıdaki yöntemlerden birini kullanarak Microsoft Tunnel yükleme betiğini indirin:

    • Aracı bir web tarayıcısı kullanarak doğrudan indirin. https://aka.ms/microsofttunneldownload mstunnel-setup dosyasını indirmek için adresine gidin.

    • Microsoft Intune yönetim merkezi>Kiracı yönetimi>Microsoft Tunnel Gateway'de oturum açın, Sunucular sekmesini seçin, Sunucu oluştur bölmesini açmak için Oluştur'u seçin ve ardından Betiği indir'i seçin.

      Yükleme betiğini indirmek için ekran görüntüsü

    • Tünel yazılımını doğrudan indirmek için bir Linux komutu kullanın. Örneğin, tüneli yükleyebileceğiniz sunucuda, bağlantısını https://aka.ms/microsofttunneldownloadaçmak için wget veya curl kullanabilirsiniz.

      Örneğin, indirme sırasında mstunnel-setup için wget ve log ayrıntılarını kullanmak için komutunu çalıştırınwget --output-document=mstunnel-setup https://aka.ms/microsofttunneldownload

  2. Sunucu yüklemesini başlatmak için betiği kök olarak çalıştırın. Örneğin, aşağıdaki komut satırını kullanabilirsiniz: sudo ./mstunnel-setup. Betik her zaman Microsoft Tunnel'ın en son sürümünü yükler.

    Önemli

    Tunnel'ı köksüz podman kapsayıcısına yüklüyorsanız, betiği başlatmak için aşağıdaki değiştirilmiş komut satırını kullanın:mst_rootless_mode=1 ./mstunnel-setup

    Tünel ve yükleme aracısı kayıt işlemi sırasında ayrıntılı konsol çıkışını görmek için:

    1. ./mstunnel-setup betiğini çalıştırmadan önce komutunu çalıştırınexport mst_log_verbose=1. Ayrıntılı günlük kaydının etkinleştirildiğini onaylamak için komutunu çalıştırın export.

    2. Kurulum tamamlandıktan sonra ortam dosyasını /etc/mstunnel/env.sh düzenleyerek yeni bir satır ekleyin: mst_log_verbose=1. Satırı ekledikten sonra sunucuyu yeniden başlatmak için komutunu çalıştırın mst-cli server restart .

    Önemli

    ABD kamu bulutu için komut satırının kamu bulut ortamına başvurması gerekir. Bunu yapmak için aşağıdaki komutları çalıştırarak komut satırına intune_env=FXP ekleyin:

    1. Çalıştırmak sudo ./mstunnel-setup
    2. Çalıştırmak sudo intune_env=FXP ./mstunnel-setup

    İpucu

    Yüklemeyi ve betiği durdurursanız, komut satırını yeniden çalıştırarak yeniden başlatabilirsiniz. Yükleme kaldığınız yerden devam eder.

    Betiği başlattığınızda, Intune hizmetinden Microsoft Tunnel Gateway kapsayıcı görüntülerinden kapsayıcı görüntülerini indirir ve sunucuda gerekli klasörleri ve dosyaları oluşturur.

    Kurulum sırasında betik sizden birkaç yönetici görevini tamamlamanızı ister.

  3. Betik tarafından istendiğinde lisans sözleşmesini (EULA) kabul edin.

  4. Ortamınızı desteklemek için aşağıdaki dosyalardaki değişkenleri gözden geçirin ve yapılandırın.

    • Ortam dosyası: /etc/mstunnel/env.sh. Bu değişkenler hakkında daha fazla bilgi için Microsoft Tunnel başvurusundaki Ortam değişkenleri makalesine bakın.

  5. İstendiğinde Aktarım Katmanı Güvenliği (TLS) sertifika dosyanızın tam zincirini Linux sunucusuna kopyalayın. Betik, Linux sunucusunda kullanılacak doğru konumu görüntüler.

    TLS sertifikası, tüneli kullanan cihazlar ile Tünel Ağ Geçidi uç noktası arasındaki bağlantının güvenliğini sağlar. Sertifika, SAN'sında Tünel Ağ Geçidi sunucusunun IP adresine veya FQDN'sine sahip olmalıdır.

    Özel anahtar, TLS sertifikası için sertifika imzalama isteğini oluşturduğunuz makinede kullanılabilir durumda kalır. Bu dosya site.key adıyla dışarı aktarılmalıdır.

    TLS sertifikasını ve özel anahtarı yükleyin. Dosya biçiminizle eşleşen aşağıdaki kılavuzu kullanın:

    • PFX:

      • Sertifika dosya adı site.pfx olmalıdır. Sertifika dosyasını /etc/mstunnel/private/site.pfx dosyasına kopyalayın.

    • PEM:

      • Tam zincir (kök, ara, son varlık) site.crt adlı tek bir dosyada olmalıdır. Digicert gibi bir genel sağlayıcı tarafından verilen bir sertifika kullanıyorsanız, tüm zinciri tek bir .pem dosyası olarak indirme seçeneğiniz vardır.

      • Sertifika dosya adı *site.crt olmalıdır. Tam zincir sertifikasını /etc/mstunnel/certs/site.crt içine kopyalayın. Örneğin: cp [full path to cert] /etc/mstunnel/certs/site.crt

        Alternatif olarak , /etc/mstunnel/certs/site.crt içinde tam zincir sertifikasına bir bağlantı oluşturun. Örneğin: ln -s [full path to cert] /etc/mstunnel/certs/site.crt

      • Özel anahtar dosyasını /etc/mstunnel/private/site.key içine kopyalayın. Örneğin: cp [full path to key] /etc/mstunnel/private/site.key

        Alternatif olarak , /etc/mstunnel/private/site.key içinde özel anahtar dosyasına bir bağlantı oluşturun. Örneğin: ln -s [full path to key file] /etc/mstunnel/private/site.key Bu anahtar parolayla şifrelenmemelidir. Özel anahtar dosya adı site.key olmalıdır.

  6. Kurulum sertifikayı yükledikten ve Tunnel Gateway hizmetlerini oluşturduktan sonra oturum açmanız ve Intune ile kimlik doğrulaması yapmanız istenir. Kullanıcı hesabına Intune Yöneticisine eşdeğer izinler atanmalıdır. Kimlik doğrulamasını tamamlamak için kullandığınız hesabın Intune lisansı olmalıdır. Bu hesabın kimlik bilgileri kaydedilmez ve yalnızca Microsoft Entra ID ilk oturum açma için kullanılır. Kimlik doğrulaması başarılı olduktan sonra, Tunnel Gateway ile Microsoft Entra arasında kimlik doğrulaması için Azure uygulama kimlikleri/gizli anahtarlar kullanılır.

    Bu kimlik doğrulaması Tunnel Gateway'i Microsoft Intune ve Intune kiracınıza kaydeder.

    1. için bir web tarayıcısı https://Microsoft.com/devicelogin açın, yükleme betiği tarafından sağlanan cihaz kodunu girin ve Intune yönetici kimlik bilgilerinizle oturum açın.

    2. Microsoft Tunnel Gateway Intune kaydettikten sonra betik, siteler ve sunucu yapılandırmalarınız hakkında Intune bilgi alır. Betik daha sonra bu sunucunun katılmasını istediğiniz tünel Sitesinin GUID'sini girmenizi ister. Betik, kullanılabilir sitelerinizin bir listesini sunar.

    3. Bir Site seçtikten sonra kurulum, bu Site için Sunucu yapılandırmasını Intune'den çeker ve Microsoft Tunnel yüklemesini tamamlamak için bu yapılandırmayı yeni sunucunuza uygular.

  7. Yükleme betiği tamamlandıktan sonra, tünelin üst düzey durumunu görüntülemek için Microsoft Intune yönetim merkezinde Microsoft Tunnel Gateway sekmesine gidebilirsiniz. Sunucunun çevrimiçi olduğunu onaylamak için Sistem Durumu sekmesini de açabilirsiniz.

  8. Red Hat Enterprise Linux (RHEL) 8.4 veya sonraki bir sürümünü kullanıyorsanız, istemcileri bağlamaya çalışmadan önce girerek mst-cli server restart Tunnel Gateway sunucusunu yeniden başlattığınızdan emin olun.

Podman'ı görüntü güncelleştirmelerini indirmek için ara sunucuyu kullanacak şekilde yapılandırma

Tunnel Gateway sunucusunu yükledikten sonra Podman'ı, Podman için güncelleştirilmiş görüntüleri indirmek (çekmek) için ara sunucuyu kullanacak şekilde yapılandırabilirsiniz. Bu yapılandırma, gelecekteki yükseltmeleri etkinleştirmek için önemlidir:

  1. Tünel sunucusunda bir komut istemi kullanarak aşağıdaki komutu çalıştırarak Microsoft Tunnel hizmetinin geçersiz kılma dosyasının düzenleyicisini açın:

    systemctl edit --force mstunnel_monitor

  2. Dosyaya aşağıdaki üç satırı ekleyin. Her adres örneğini proxy DN'nizle veya adresinizle değiştirin ve dosyayı kaydedin. Örneğin, ara 10.10.10.1 sunucunuzun adresi ve bağlantı noktasında 3128kullanılabiliyorsa, [Hizmet] sonrasındaki ilk satır olarak ve aşağıdaki satır olarak Environment="http_proxy=http//10.10.10.1:3128" görünebilirEnvironment="https_proxy=http//10.10.10.1:3128"

    [Service]
Environment="http_proxy=address"
Environment="https_proxy=address"

  3. Ardından komut isteminde aşağıdakileri çalıştırın:

    systemctl restart mstunnel_monitor

  4. Son olarak, yapılandırmanın başarılı olduğunu onaylamak için komut isteminde aşağıdakileri çalıştırın:

    systemctl show mstunnel_monitor | grep http_proxy

    Yapılandırma başarılı olursa sonuçlar aşağıdaki bilgilere benzer:

    Environment="http_proxy=address:port"
Environment="https_proxy=address:port"

Tünel sunucusu tarafından kullanılan proxy sunucusunu güncelleştirme

Tünel sunucusunun Linux ana bilgisayarı tarafından kullanılan proxy sunucusu yapılandırmasını değiştirmek için aşağıdaki yordamı kullanın:

  1. Tünel sunucusunda /etc/mstunnel/env.sh dosyasını düzenleyin ve yeni proxy sunucusunu belirtin.

  2. Çalıştır mst-cli install.

    Bu komut, kapsayıcıları yeni ara sunucu ayrıntılarıyla yeniden oluşturur. Bu işlem sırasında /etc/mstunnel/env.sh içeriğini doğrulamanız ve sertifikanın yüklü olduğundan emin olmanız istenir. Sertifika, önceki ara sunucu yapılandırmasından zaten mevcut olmalıdır.

    Her ikisini de onaylamak ve yapılandırmayı tamamlamak için evet yazın.

Tünel kapsayıcılarına güvenilen kök sertifikalar ekleme

Aşağıdaki durumlarda Tünel kapsayıcılarına güvenilen kök sertifikaların eklenmesi gerekir:

  • Giden sunucu trafiği SSL proxy denetimi gerektirir.
  • Tünel kapsayıcıları tarafından erişilen uç noktalar ara sunucu denetiminden muaf değildir.

Adım -ları:

  1. .crt uzantısına sahip güvenilen kök sertifikaları /etc/mstunnel/ca-trust
  2. "mst-cli sunucusu yeniden başlatma" ve "mst-cli aracısı yeniden başlatma" kullanarak Tünel kapsayıcılarını yeniden başlatın

Tünel Sunucuları VPN oturumu zaman aşımını değiştirme

Tünel Sunucusu VPN oturumu zaman aşımını değiştirmek için Microsoft Graph Beta ve PowerShell'i kullanabilirsiniz. Varsayılan olarak, Tunnel Server VPN oturumu bir saat boyunca kalıcı olur. Oturum zaman aşımını değiştirmek için Bir Windows makinesi ve PowerShell kullanarak daha kısa bir oturum zaman aşımı ayarlayabilirsiniz.

Varsayılan olarak, Tunnel Server VPN oturumu bir saat boyunca devam eder. Microsoft Graph Beta ve PowerShell'i kullanarak tercih ettiğiniz daha kısa bir oturum zaman aşımı ayarlayabilirsiniz( örneğin, beş veya 10 dakika).

Önkoşullar

Microsoft.Graph.Beta adlı Microsoft Graph Beta PowerShell modülünü bir Windows makinesine yükleyin. Bu önkoşul hakkında daha fazla bilgi için PowerShell belgelerindeki Microsoft Graph PowerShell SDK'sını yükleme konusuna bakın.

VPN oturumu zaman aşımını değiştirmek için PowerShell komutları

Graph modülünü içeri aktardığınız Windows makinesinde aşağıdaki PowerShell komutlarını çalıştırmak için bir yönetici hesabı kullanın.

Aşağıdaki PowerShell komutlarında, öğesine <id>benzeyen değişkenleri, çift tırnak içine alınarak hedeflenen değerle değiştirin. Örneğin, 2. adımdaki kimlik12345-abcde-67890-fghij değerine eşitse, 3. adımın komut satırı şöyle görünür: Get-MgBetaDeviceManagementMicrosoftTunnelConfiguration -MicrosoftTunnelConfigurationId "12345-abcde-67890-fghij" | Format-List

  1. Yönetici izinlerine sahip bir hesap kullanarak Graph'a bağlanın:

       Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

  2. Tünel yapılandırmalarını listeleyin ve değiştirmek istediğiniz yapılandırmanın kimliğini kopyalayın:

    Get-MgBetaDeviceManagementMicrosoftTunnelConfiguration

  3. Yapılandırmanın ayrıntılarını alın ( AdvancedSettings alanı boş olmalıdır):

    Get-MgBetaDeviceManagementMicrosoftTunnelConfiguration -MicrosoftTunnelConfigurationId <id> | Format-List

  4. yeni ayarı istenen değerle oluşturun:

    $setting = New-Object -TypeName Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphKeyValuePair;  $setting.Name = "session-timeout";  $setting.Value = <integer-in-seconds>

  5. Yapılandırmanın AdvancedSettings'ini güncelleştirin:

    Update-MgBetaDeviceManagementMicrosoftTunnelConfiguration -MicrosoftTunnelConfigurationId <id> -AdvancedSettings @($setting)

  6. AdvancedSettings'in güncelleştirildiğini doğrulayın:

    Get-MgBetaDeviceManagementMicrosoftTunnelConfiguration -MicrosoftTunnelConfigurationId <id> | Format-List

Değişikliği izleyen beş dakika içinde tüm sunucular yeni yapılandırmayı almalıdır. Sunucudaki ayarı doğrulamak için güncelleştirilmiş değeri inceleyin /etc/mstunnel/ocserv.conf .

Microsoft Tunnel istemci uygulamasını dağıtma

Microsoft Tunnel'ı kullanmak için cihazların bir Microsoft Tunnel istemci uygulamasına erişmesi gerekir. Microsoft Tunnel, Tunnel istemci uygulaması olarak Uç Nokta için Microsoft Defender kullanır:

Intune ile uygulama dağıtma hakkında daha fazla bilgi için bkz. Microsoft Intune uygulama ekleme.

VPN profili oluşturma

Microsoft Tunnel yüklendikten ve cihazlar Uç Nokta için Microsoft Defender yükledikten sonra, vpn profillerini kullanarak cihazları tüneli kullanmaya yönlendirebilirsiniz. Bunu yapmak için , bağlantı türü Microsoft Tunnel olan VPN profilleri oluşturun:

  • Android: Android platformu, uygulama başına VPN ve bölünmüş tünel kuralları aracılığıyla trafiğin bağımsız olarak veya aynı anda yönlendirilmesine destek olur.

  • iOS/iPadOS iOS platformu, trafiği uygulama başına VPN veya bölünmüş tünel kurallarıyla yönlendirmeyi destekler, ancak her ikisini aynı anda desteklemez. iOS için uygulama başına VPN'i etkinleştirirseniz bölünmüş tünel kurallarınız yoksayılır.

Android

  1. Microsoft Intune yönetim merkezinde>oturum açın Cihazlar Cihazları>>yönetİlkeler> sekmesinde Yapılandırma'yı seçin.

  2. Platform için Android Kurumsal'ı seçin. Profil için Şirkete Ait İş Profili veya Kişisel İş Profili için VPN'i seçin ve ardından Oluştur'u seçin.

    Not

    Microsoft Tunnel , Android Kurumsal ayrılmış cihazları desteklemez.

  3. Temel Bilgiler sekmesinde bir Ad ve Açıklamagirin (isteğe bağlı) ve İleri'yi seçin.

  4. Bağlantı türü içinMicrosoft Tunnel'ı seçin ve ardından aşağıdaki ayrıntıları yapılandırın:

    • Temel VPN:

      • Bağlantı adı için kullanıcılara görüntülenecek bir ad belirtin.
      • Microsoft Tunnel Sitesi için bu VPN profilinin kullandığı Tünel sitesini seçin.

    • Uygulama başına VPN:

      • Uygulama başına VPN profilinde atanan uygulamalar tünele uygulama trafiği gönderir.
      • Android'de bir uygulama başlatıldığında uygulama başına VPN başlatılmaz. Ancak VPN'de Her Zaman Açık VPNEtkinleştir olarak ayarlandığında VPN zaten bağlıdır ve uygulama trafiği etkin VPN'yi kullanır. VPN Her Zaman Açık olarak ayarlı değilse, kullanılabilmesi için önce kullanıcının VPN'i el ile başlatması gerekir.
      • Tünel'e bağlanmak için Uç Nokta için Defender uygulamasını kullanıyorsanız, web koruması etkinleştirilmişse ve uygulama başına VPN kullanıyorsanız, web koruması yalnızca uygulama başına VPN listesindeki uygulamalar için geçerlidir. İş profili olan cihazlarda, bu senaryoda tüm iş profili web trafiğinin korunduğundan emin olmak için iş profilindeki tüm web tarayıcılarını uygulama başına VPN listesine eklemenizi öneririz.
      • Uygulama başına VPN'yi etkinleştirmek için Ekle'yi seçin ve ardından Intune aktarılmış özel veya genel uygulamalara göz atın.

    • Her zaman açık VPN:

      • Always-on VPN içinEtkinleştir'i seçerek VPN istemcisini otomatik olarak bağlanacak ve VPN'ye yeniden bağlanacak şekilde ayarlayın. Her zaman açık VPN bağlantıları bağlı kalır. Uygulama başına VPNEtkinleştir olarak ayarlandıysa yalnızca seçtiğiniz uygulamalardan gelen trafik tünelden geçer.

    • Ara sunucu:

      • Ortamınız için ara sunucu ayrıntılarını yapılandırın.

        Not

        Ara sunucu yapılandırmaları, Android'in sürüm 10'undan önceki sürümlerinde desteklenmez. Daha fazla bilgi için bu Android geliştirici belgelerindeki VpnService.Builder'a bakın.

    VPN ayarları hakkında daha fazla bilgi için bkz. VPN'yi yapılandırmak için Android Kurumsal cihaz ayarları

    Önemli

    Microsoft Tunnel istemci uygulaması ve MTD uygulaması olarak Uç Nokta için Microsoft Defender kullanan Android Kurumsal cihazlarda, ayrı bir uygulama yapılandırma profili kullanmak yerine Uç Nokta için Microsoft Defender yapılandırmak için özel ayarlar kullanmanız gerekir. Web koruması da dahil olmak üzere Uç Nokta için Defender işlevlerini kullanmayı düşünmüyorsanız VPN profilindeki özel ayarları kullanın ve defendertoggle ayarını 0 olarak ayarlayın.

  5. Atamalar sekmesinde, bu profili alacak grupları yapılandırın.

  6. Gözden Geçir + oluştur sekmesinde yapılandırmayı gözden geçirin ve ardından oluştur'u seçerek kaydedin.

iOS

  1. Microsoft Intune yönetim merkezinde>oturum açın Cihazlar Cihazları>>yönetmeYapılandırma>Oluşturma.

  2. Platform için iOS/iPadOS'u seçin ve profil içinVPN'yi ve ardından Oluştur'u seçin.

  3. Temel Bilgiler sekmesinde bir Ad ve Açıklamagirin (isteğe bağlı) ve İleri'yi seçin.

  4. Bağlantı türü içinMicrosoft Tunnel'ı seçin ve ardından aşağıdaki öğeleri yapılandırın:

    • Temel VPN:

      • Bağlantı adı için kullanıcılara görüntülenecek bir ad belirtin.
      • Microsoft Tünel Sitesi için Site seçin'e tıklayın ve ardından bu VPN profilinin kullandığı tünel Sitesini seçin.

      Not

      iOS cihazlarda hem Microsoft Tunnel VPN bağlantısını hem de Defender Web Protection'ı birleşik modda kullanırken, 'Uykuda Bağlantıyı Kes' ayarını etkin bir şekilde etkinleştirmek için 'İsteğe Bağlı' kurallarını yapılandırmak çok önemlidir. Bunun yapılmaması, iOS cihazı uyku moduna girdiğinde vpn açıkken hem Tünel VPN'sinin hem de Defender VPN'in bağlantısının kesilmesine neden olur.

      Ancak, Tek Sign-On (SSO) uygulamalarının erişim belirteçlerini nasıl edindiği ve İsteğe Bağlı Vpn Tünel kurallarının nasıl çalıştığı arasındaki bir çakışma nedeniyle, SSO kullanılırken 'Uykuda Bağlantıyı Kaldır' kullanıldığında tüm etki alanlarına bağlanmak için isteğe bağlı bir kural ayarlama desteklenmez.

      Genel olarak, uygulama başına VPN'ler için İsteğe Bağlı kurallarının yapılandırılması önerilir, çünkü uygulamaların gerektiğinde VPN bağlantılarını başlatmasına izin verir ve 'Uykuda Bağlantıyı Kes' ayarının beklendiği gibi çalıştığından emin olur.

    • Uygulama başına VPN: Uygulama başına VPN'yi etkinleştirmek için Etkinleştir'i seçin. iOS uygulama başına VPN'ler için ek yapılandırma adımları gereklidir. Uygulama başına VPN yapılandırıldığında, iOS bölünmüş tünel kurallarınızı yoksayar.

      Daha fazla bilgi için bkz. iOS/iPadOS için Uygulama Başına VPN.

    • İsteğe Bağlı VPN Kuralları: Belirli FQDN'ler veya IP adresleri için koşullar karşılandığında VPN kullanımına izin veren isteğe bağlı kurallar tanımlayın.

      Daha fazla bilgi için bkz. Otomatik VPN ayarları.

    • Proxy: Ortamınız için ara sunucu ayrıntılarını yapılandırın.

Not

iOS cihazlarda hem Microsoft Tunnel VPN bağlantısını hem de Defender Web Protection'ı birleşik modda kullanırken , 'Uykuda Bağlantıyı Kes' ayarını etkin bir şekilde etkinleştirmek için 'İsteğe Bağlı' kuralları yapılandırmak çok önemlidir. Tünel VPN profilini yapılandırırken isteğe bağlı kuralı yapılandırmak için:

  1. Yapılandırma ayarı sayfasında İsteğe Bağlı VPN Kuralları bölümünü genişletin.
  2. İsteğe bağlı kurallar için Ekle'yi seçerek Satır Ekle bölmesini açın.
  3. Satır Ekle bölmesinde Aşağıdakileri yapmak istiyorum'uVPN'ye bağlan olarak ayarlayın ve ardından kısıtlamak istiyorum için Tüm etki alanları gibi bir kısıtlama seçin.
  4. İsteğe bağlı olarak, ancak bu URL yoklaması başarılı olursa alanına bir URL ekleyebilirsiniz.
  5. Kaydet'i seçin.

İsteğe bağlı kuralı yapılandırdığınız Satır Ekle bölmesinin ekran görüntüsü.

Android Kurumsal için ara sunucu dışlama listesi kullanma

Ortamınızda tek bir doğrudan proxy sunucusu kullandığınızda, Android Kurumsal için Microsoft Tunnel VPN profillerinizde bir proxy dışlama listesi kullanabilirsiniz. Ara sunucu dışlama listeleri Microsoft Tunnel ve MAM için Microsoft Tunnel için desteklenir.

Önemli

Proxy dışlama listesi yalnızca tek bir proxy doğrudan proxy sunucusu kullandığınızda desteklenir. Birden çok proxy sunucusunun kullanıldığı ortamlarda desteklenmezler.

VPN profilindeki proxy dışlama listesi, profili alan ve kullanan cihazlar için doğrudan proxy yapılandırmanızdan dışlamak üzere belirli etki alanlarının girişini destekler.

Dışlama listesi girdileri için desteklenen biçimler şunlardır:

  • Tam alt etki alanı eşleşmesine sahip tam URL'ler. Örneğin, sub.contoso.com
  • URL'lerde önde gelen joker karakter. Örneğin, tam URL örneğini kullanarak, desteği contso.com tüm alt etki alanlarını içerecek şekilde genişletmek için baştaki alt etki alanı adını (alt) yıldız işaretiyle değiştirebiliriz: *.contoso.com
  • IPv4 ve IPv6 adresleri

Desteklenmeyen biçimler şunlardır:

  • İç joker karakterler. Örneğin: con*oso.com, contos*.comve contoso.*

Proxy dışlama listesini yapılandırma

Android Enterprise platformu için bir Microsoft Tunnel VPN Profili düzenlerken veya oluştururken dışlama listesini yapılandırabilirsiniz.

Bağlantı türünü Microsoft Tunnel olarak ayarladıktan sonra Yapılandırma ayarları sayfasındayken:

  1. Proxy'yi genişletin ve ara sunucu dışlama listesi için Ara sunucu dışlamalarını yönet'i seçin.

  2. Ara sunucu dışlama listesi bölmesinde:

    • Metin girişi kutusunda, tek bir URL veya IP adresi belirtin. Her giriş eklediğinizde, daha fazla giriş için yeni bir metin girişi kutusu sağlanır.
    • İçeri Aktar'ı seçerek Ara sunucu dışlamalarını içeri aktar bölmesini açın. Burada CSV dosya biçimindeki bir listeyi içeri aktarabilirsiniz.
    • Geçerli dışlama listesini bu profilden CSV dosya biçiminde dışarı aktarmak için Dışarı Aktar'ı seçin.

  3. Proxy dışlama listesi yapılandırmanızı kaydetmek için Tamam'ı seçin ve VPN profilini düzenlemeye devam edin.

    Intune yönetim merkezinde ara sunucu dışlama listesi bölmesinin ekran görüntüsü.

Uç Nokta için Microsoft Defender için özel ayarları kullanma

Intune, android kurumsal cihazlarda hem MTD uygulaması hem de Microsoft Tunnel istemci uygulaması olarak Uç Nokta için Microsoft Defender destekler. Hem Microsoft Tunnel istemci uygulaması hem de MTD uygulaması olarak Uç Nokta için Defender kullanıyorsanız, yapılandırmalarınızı basitleştirmek için Microsoft Tunnel vpn profilinizde özel ayarları kullanabilirsiniz. VPN profilinde özel ayarların kullanılması, ayrı bir uygulama yapılandırma profili kullanma gereksiniminin yerini alır.

Her iki amaçla da Uç Nokta için Defender kullanan Android Kurumsal kişisel iş profili olarak kaydedilen cihazlarda, uygulama yapılandırma profili yerine özel ayarlar kullanmanız gerekir. Bu cihazlarda Uç Nokta için Defender uygulama yapılandırma profili Microsoft Tunnel ile çakıştırılarak cihazın Microsoft Tunnel'a bağlanmasını engelleyebilir.

Microsoft Tunnel için Uç Nokta için Microsoft Defender kullanıyorsanız ancak MTD kullanmıyorsanız, Uç Nokta için Microsoft Defender Tünel İstemcisi olarak yapılandırmak için uygulama tüneli yapılandırma profilini kullanmaya devam edebilirsiniz.

Microsoft Tunnel vpn profiline Uç Nokta için Microsoft Defender için uygulama yapılandırma desteği ekleme

Vpn profilindeki özel ayarları, ayrı bir uygulama yapılandırma profili yerine Uç Nokta için Microsoft Defender yapılandırmak üzere yapılandırmak için aşağıdaki bilgileri kullanın. Kullanılabilir ayarlar platforma göre değişiklik gösterir.

Android Kurumsal cihazlar için:

Yapılandırma anahtarı Değer türü Yapılandırma değeri Açıklama
Vpn Tamsayı Seçenekler:
1 - Etkinleştir (varsayılan)
0 - Devre dışı bırak		 Uç Nokta için Microsoft Defender kimlik avı önleme özelliğinin yerel vpn kullanmasına izin vermek için Etkinleştir olarak ayarlayın.
Antiphishing Tamsayı Seçenekler:
1 - Etkinleştir (varsayılan)
0 - Devre dışı bırak		 Kimlik avı önleme Uç Nokta için Microsoft Defender açmak için Etkinleştir olarak ayarlayın. Devre dışı bırakıldığında kimlik avı önleme özelliği kapatılır.
defendertoggle Tamsayı Seçenekler:
1 - Etkinleştir (varsayılan)
0 - Devre dışı bırak		 Uç Nokta için Microsoft Defender kullanmak için Etkinleştir olarak ayarlayın. Devre dışı bırakıldığında, Uç Nokta için Microsoft Defender işlevselliği kullanılamaz.

Uç Nokta için Microsoft Defender için VPN profilinde özel ayarları yapılandırma

iOS/iPad cihazları için:

Yapılandırma anahtarı Değerler Açıklama
TunnelOnly Doğru – Uç Nokta için Tüm Defender işlevleri devre dışı bırakıldı. Uygulamayı yalnızca Tünel özellikleri için kullanıyorsanız bu ayar kullanılmalıdır.

False(varsayılan) - Uç Nokta için Defender işlevi etkindir.		 Defender uygulamasının yalnızca Microsoft Tunnel ile sınırlı olup olmadığını veya uygulamanın uç nokta için Defender özelliklerinin tamamını da destekleyip desteklemediğini belirler.
WebProtection True(varsayılan) – Web Koruması etkindir ve kullanıcılar Uç Nokta için Defender uygulamasında web koruması sekmesini görebilir.

False – Web Koruması devre dışı bırakıldı. Bir Tünel VPN profili dağıtılırsa, kullanıcılar yalnızca Uç Nokta için Defender uygulamasında Pano ve Tünel sekmelerini görebilir.		 Endpoint Web Protection için Defender'ın (kimlik avı önleme işlevselliği) uygulama için etkinleştirilip etkinleştirilmediğini belirler. Varsayılan olarak, bu işlev açıktır.
AutoOnboard True – Web Koruması etkinleştirildiyse, Uç Nokta için Defender uygulamasına kullanıcıya sormadan VPN bağlantıları ekleme izinleri otomatik olarak verilir. "VPN'i Bağlama" İsteğe Bağlı kuralı gereklidir. İsteğe Bağlı kurallar hakkında daha fazla bilgi için bkz. Otomatik VPN ayarları.

False(varsayılan) – Web Koruması etkinse kullanıcıdan Uç Nokta için Defender uygulamasının VPN yapılandırmaları eklemesine izin vermesi istenir.		 Kullanıcıdan VPN bağlantısı eklemesini istemeden Endpoint Web Protection için Defender'ın etkinleştirilip etkinleştirilmediğini belirler (Çünkü Web Koruması işlevselliği yerel bir VPN gerektirir). Bu ayar yalnızca WebProtectionTrue olarak ayarlandığında geçerlidir.

TunnelOnly modunu Avrupa Birliği Veri Sınırı ile uyumlu olacak şekilde yapılandırma

2022 takvim yılının sonuna kadar müşteri İçeriği (CC), EUII, EUPI ve Destek Verileri dahil olmak üzere tüm kişisel veriler AB kiracıları için Avrupa Birliği'nde (AB) depolanmalı ve işlenmelidir.

Uç Nokta için Defender'daki Microsoft Tunnel VPN özelliği Avrupa Birliği Veri Sınırı (EUDB) ile uyumludur. Ancak, günlük kaydıyla ilgili Uç Nokta için Defender tehdit koruması bileşenleri henüz EUDB ile uyumlu olmasa da, Uç Nokta için Defender Veri Koruma Eki'nin (DPA) bir parçasıdır ve Genel Veri Koruma Yönetmeliği (GDPR) ile uyumludur.

Bu arada, AB kiracıları olan Microsoft Tunnel müşterileri, Uç Nokta İstemcisi için Defender uygulamasında TunnelOnly modunu etkinleştirebilir. Bunu yapılandırmak için aşağıdaki adımları kullanın:

  1. Microsoft Intune için Microsoft Tunnel VPN çözümünü yükleme ve yapılandırma bölümünde bulunan adımları izleyin | Microsoft Learn, Uç Nokta için Defender işlevselliğini devre dışı bırakmaya yönelik bir uygulama yapılandırma ilkesi oluşturmak için.

  2. TunnelOnly adlı bir anahtar oluşturun ve değeri True olarak ayarlayın.

TunnelOnly modunu yapılandırarak, Tüm Uç Nokta için Defender işlevleri devre dışı bırakılırken, Tünel işlevselliği uygulamada kullanılabilir durumda kalır.

Kuruluşunuzun kiracısına özgü olmayan konuk hesapları ve Microsoft Hesapları (MSA), Microsoft Tunnel VPN kullanılarak kiracılar arası erişim için desteklenmez. Bu, bu tür hesapların VPN üzerinden iç kaynaklara güvenli bir şekilde erişmek için kullanılamayacağı anlamına gelir. Microsoft Tunnel VPN kullanarak iç kaynaklara güvenli erişim ayarlarken bu sınırlamayı göz önünde bulundurmak önemlidir.

AB Veri Sınırı hakkında daha fazla bilgi için bkz. Microsoft Bulutu için AB Veri Sınırı | Microsoft güvenlik ve uyumluluk blogu hakkında Sık Sorulan Sorular.

Tünel sunucusunu yükledikten sonra Linux sistem denetimini yükleme

Linux sistem denetimi, Microsoft Tunnel'ı barındıran bir Linux sunucusunda güvenlikle ilgili bilgileri veya güvenlik ihlallerini tanımlamaya yardımcı olabilir. Linux sistem denetimi Microsoft Tunnel için önerilir, ancak gerekli değildir. Sistem denetimini kullanmak için, bir Linux sunucusuna denetlenecek isteğe bağlı paketin yüklü /etc/audit/auditd.confolması gerekir.

Linux üzerinde zaten bir Tünel Sunucusu yüklediyseniz ve denetim eksikse, yüklemek için aşağıdaki yordamdaki bilgileri kullanın. Microsoft Tunnel'ı yüklemeden önce denetlenen bir Linux sunucusuna yükleme hakkında bilgi için bkz. Microsoft Tunnel önkoşullarında Linux sistem denetimi için el ile yükleme denetimi.

Tünel sunucusuna denetimli yükleme

Microsoft Tunnel sunucusu bir Linux sunucusunda zaten yüklüyse, denetimli yüklemek için mst-cli komut satırı aracını ve aşağıdaki adımları kullanabilirsiniz.

Yükleme yordamını başlatmadan önce, mst.rules dosyasını Microsoft'tan indirmek için aşağıdaki bağlantıyı kullanın: https://aka.ms/TunnelAuditdRules. (Bağlantı, mst.rules adlı küçük bir metin dosyası indirir.)

  1. Denetlenen kitaplığı ve eklentileri yükleyin. Linux sunucusunda aşağıdaki komutu çalıştırın:

    • Ubuntu: sudo apt install auditd audispd-plugins
    • RHEL: sudo dnf install audit audit-libs audispd-plugins(Varsayılan olarak, RHEL'de denetim zaten yüklü olmalıdır.)

  2. Tunnel mst.rules denetim kurallarını Linux sunucusuna kopyalayın:

    • mst.rules dosyasını sunucunuza kopyalayın ve ardından aşağıdaki komutu çalıştırarak bunları doğru klasöre taşıyın: sudo cp /path/to/mst.rules /etc/audit/rules.d

  3. Yeni denetlenen kuralları yüklemek için aşağıdaki komutu çalıştırın: sudo augenrules --load

  4. Yeni kuralların uygulandığını doğrulayın. 'sudo auditctl -l' komutunu çalıştırın

Günlükler içinde /var/log/audit/audit.logkaydedilir. Bu günlüğü aramak için komutunu kullanabilirsiniz sudo ausearch . Örneğin, sudo ausearch -f TARGET_DIRECTORY.

Microsoft Tunnel'u yükseltme

Intune güncelleştirmeleri düzenli aralıklarla Microsoft Tunnel sunucusuna yayınlar. Destekte kalmak için tünel sunucularının en son sürümü çalıştırması veya en fazla bir sürümün arkasında olması gerekir.

Varsayılan olarak, yeni bir yükseltme kullanıma sunulduktan sonra Intune tünel sitelerinizin her birinde tünel sunucularının yükseltmesini en kısa sürede otomatik olarak başlatır. Yükseltmeleri yönetmenize yardımcı olmak için, yükseltme işlemini yöneten seçenekleri yapılandırabilirsiniz:

  • Bir sitedeki sunucuların otomatik yükseltmesine izin verebilir veya yükseltmeler başlamadan önce yönetici onayı gerektirebilirsiniz.

  • Bir sitedeki yükseltmelerin ne zaman başlayabileceğini sınırlayan bir bakım penceresi yapılandırabilirsiniz.

Tünel durumunu görüntüleme ve yükseltme seçeneklerini yapılandırma da dahil olmak üzere Microsoft Tunnel yükseltmeleri hakkında daha fazla bilgi için bkz. Microsoft Tunnel'ı yükseltme.

Linux sunucusunda TLS sertifikasını güncelleştirme

Sunucudaki TLS sertifikasını güncelleştirmek için ./mst-cli komut satırı aracını kullanabilirsiniz:

PFX:

  1. Sertifika dosyasını /etc/mstunnel/private/site.pfx dosyasına kopyalayın
  2. Çalıştırmak: mst-cli import_cert
  3. Çalıştırmak: mst-cli server restart

PEM:

  1. Yeni sertifikayı /etc/mstunnel/certs/site.crt konumuna kopyalayın
  2. Özel anahtarı /etc/mstunnel/private/site.key konumuna kopyalayın
  3. Çalıştırmak: mst-cli import_cert
  4. Çalıştırmak: mst-cli server restart

Not

"delay" adlı ek parametreye sahip "import-cert" komutu. Bu parametre, içeri aktarılan sertifika kullanılmadan önce dakika cinsinden gecikmeyi belirtmenize olanak tanır. Örnek: mst-cli import_cert gecikme 10080

mst-cli hakkında daha fazla bilgi için bkz. Microsoft Tunnel başvurusu.

Köksüz Podman kapsayıcısı kullanma

Microsoft Tunnel'ınızı barındırmak için Podman kapsayıcılarıyla Red Hat Linux kullandığınızda, kapsayıcıyı köksüz kapsayıcı olarak yapılandırabilirsiniz.

Köksüz kapsayıcı kullanımı, sunucudaki /etc/mstunnel klasörünün içindeki ve altındaki tüm dosyalar ayrıcalıksız bir kullanıcı hizmet hesabına aitken kapsayıcı çıkışının etkisini sınırlamaya yardımcı olabilir. Tunnel çalıştıran Linux sunucusundaki hesap adı standart yüklemeden değiştirilmez, ancak kök kullanıcı izinleri olmadan oluşturulur.

Köksüz Podman kapsayıcısını başarıyla kullanmak için şunları kullanmanız gerekir:

Önkoşullar sağlandıktan sonra yükleme betiği yordamını kullanarak önce yükleme betiğini indirebilir ve ardından değiştirilmiş betik komut satırını kullanarak yüklemeyi çalıştırabilirsiniz.

Köksüz Podman kapsayıcıları için ek önkoşullar

Köksüz Podman kapsayıcısı kullanımı, ortamınızın varsayılan Microsoft Tunnel önkoşullarına ek olarak aşağıdaki önkoşulları karşılamasını gerektirir:

Desteklenen platform:

  • Linux sunucusu Red Hat (RHEL) 8.8 veya üzerini çalıştırmalıdır.

  • KapsayıcıNın Podman 4.6.1 veya sonraki bir sürümü çalıştırması gerekir. Köksüz kapsayıcılar Docker ile desteklenmez.

  • Köksüz kapsayıcı /home klasörünün altına yüklenmelidir.

  • /home klasöründe en az 10 GB boş alan olmalıdır.

Aktarım hızı:

  • En yüksek aktarım hızı 230 Mb/sn'yi geçmemelidir

:

Köksüz bir ad alanında bulunmayan aşağıdaki ağ ayarlarının /etc/sysctl.conf içinde ayarlanması gerekir:

  • net.core.somaxconn=8192
  • net.netfilter.nf_conntrack_acct=1
  • net.netfilter.nf_conntrack_timestamp=1

Ayrıca, köksüz Tunnel Gateway'i 1024'ten küçük bir bağlantı noktasına bağlarsanız, /etc/sysctl.conf dosyasına aşağıdaki ayarı eklemeli ve bunu kullandığınız bağlantı noktasına eşit ayarlamalısınız:

  • net.ipv4.ip_unprivileged_port_start

Örneğin, 443 numaralı bağlantı noktasını belirtmek için aşağıdaki girdiyi kullanın: net.ipv4.ip_unprivileged_port_start=443

sysctl.conf dosyasını düzenledikten sonra, yeni yapılandırmalar etkili olmadan önce Linux sunucusunu yeniden başlatmanız gerekir.

Köksüz kullanıcı için giden ara sunucu:

Köksüz kullanıcının giden ara sunucusunu desteklemek için /etc/profile.d/http_proxy.sh düzenleyin ve aşağıdaki iki satırı ekleyin. Aşağıdaki satırlarda 10.10.10.1:3128 örnek bir adres:bağlantı noktası girişidir. Bu satırları eklediğinizde , 10.10.10.1:3128 değerini proxy IP adresiniz ve bağlantı noktanızın değerleriyle değiştirin:

  • export http_proxy=http://10.10.10.1:3128
  • export https_proxy=http://10.10.10.1:3128

Köksüz Podman kapsayıcıları için değiştirilen yükleme komut satırı

Microsoft Tunnel'ı köksüz podman kapsayıcısına yüklemek için aşağıdaki komut satırını kullanarak yükleme betiğini başlatın. Bu komut satırı mst_rootless_mode ortam değişkeni olarak ayarlar ve yükleme yordamının2. adımı sırasında varsayılan yükleme komut satırının kullanımını değiştirir:

  • mst_rootless_mode=1 ./mstunnel-setup

Microsoft Tunnel'ı kaldırma

Ürünü kaldırmak için Linux sunucusundan kök olarak mst-cli uninstall komutunu çalıştırın. Bu işlem, sunucuyu Intune yönetim merkezinden de kaldırır.

İlgili içerik

Microsoft Tunnel Monitor Microsoft Tunnelile Koşullu Erişim Kullanma

  • Last updated on