为 Intune 配置 Microsoft Tunnel
Microsoft Tunnel Gateway 安装到本地或云中运行的 Linux 服务器上的容器。 根据环境和基础结构,可能需要其他配置和软件,例如 Azure ExpressRoute。
在开始安装之前,请确保完成以下任务:
- 了解并配置 Microsoft Tunnel 的先决条件。
- 运行 Microsoft Tunnel 准备工具以确认环境已准备就绪,可支持使用隧道。
准备就绪后,返回到本文以开始安装和配置隧道。
创建服务器配置
使用服务器配置时,你只需设置一次配置,就可以让多个服务器使用该配置。 配置包括 IP 地址范围、DNS 服务器和拆分隧道规则。 稍后,你将将服务器配置分配给站点,该站点会自动将该服务器配置应用于加入该站点的每个服务器。
创建服务器配置
登录到Microsoft Intune管理中心>租户管理>Microsoft Tunnel Gateway>选择“服务器配置”选项卡“>新建”。
在“ 基本信息 ”选项卡上,输入 “名称” 和“ 说明 ” (可选) ,然后选择“ 下一步”。
在“设置”选项卡上,配置以下各项:
IP 地址范围:此范围内的 IP 地址在连接到 Tunnel 网关时租给设备。 指定的 Tunnel 客户端 IP 地址范围不得与本地网络范围冲突。
- 请考虑使用自动专用 IP 寻址 (APIPA) 范围 169.254.0.0/16,因为此范围可避免与其他企业网络发生冲突。
- 如果客户端 IP 地址范围与目标冲突,它将使用环回地址,并且无法与公司网络通信。
- 只要客户端 IP 地址范围与企业网络 IP 地址范围不冲突,就可以选择任何想要使用的范围。
服务器端口:输入服务器将用于侦听连接的端口。
DNS 服务器:当 DNS 请求来自连接到隧道网关的设备时,将使用这些服务器。
DNS 后缀搜索 (可选) :当客户端连接到 Tunnel Gateway 时,此域作为默认域提供给客户端。
禁用 UDP Connections (可选) :选中后,客户端仅使用 TCP 连接连接到 VPN 服务器。 由于独立隧道客户端需要使用 UDP,因此仅在将设备配置为使用Microsoft Defender for Endpoint作为隧道客户端应用后,才选中该复选框以禁用 UDP 连接。
此外,在“设置”选项卡上,配置可选的 拆分隧道规则 。
可以包括或排除地址。 包含的地址会路由到 Tunnel 网关。 排除的地址不会路由到隧道网关。 例如,可以为 255.255.0.0 或 192.168.0.0/16 配置包含规则。
使用以下选项包含或排除地址:
- 要包含的 IP 范围
- 要排除的 IP 范围
注意
不要在任何包含或排除地址中使用指定 0.0.0.0 的 IP 范围,当使用此范围时,隧道网关无法路由流量。
在“审阅 + 创建”选项卡上,检查配置,然后选择“创建”以保存它。
注意
默认情况下,每个 VPN 会话仅保持活动状态 3,600 秒 (一小时) 断开连接之前, (将立即建立新会话,以防客户端设置为使用Always On VPN) 。 但是,可以使用 图形调用 (microsoftTunnelConfiguration) 修改会话超时值和其他服务器配置设置。
创建站点
站点是托管 Microsoft Tunnel 的服务器的逻辑组。 将服务器配置分配给创建的每个站点。 该配置应用于加入站点的每个服务器。
创建站点配置
登录到 Microsoft Intune 管理中心>租户管理>Microsoft Tunnel Gateway>选择“站点”选项卡“>创建”。
在“创建站点”窗格上,指定以下属性:
名称:输入此站点的名称。
说明:(可选)可以为网站指定友好说明。
公共 IP 地址或 FQDN:指定公共 IP 地址或 FQDN,这是使用隧道的设备的连接点。 此 IP 地址或 FQDN 可识别单个服务器或负载均衡服务器。 IP 地址或 FQDN 必须可在公共 DNS 中解析,解析的 IP 地址必须可公开路由。
服务器配置:若要选择要与此站点关联的服务器配置,请使用下拉列表。
用于内部网络访问检查的 URL:为内部网络上的位置指定 HTTP 或 HTTPS URL。 每五分钟,分配给此站点的每个服务器都会尝试访问该 URL,以确认它可以访问你的内部网络。 在服务器“运行状况检查”选项卡上,服务器将此检查的状态报告为“内部网络可访问性”。
在此站点自动升级服务器:如果为“是”,则服务器会在升级可用时自动升级。 如果为“否”,则为手动升级,且必须获得管理员批准才能开始升级。
有关详细信息,请参阅升级 Microsoft Tunnel。
将服务器升级限制在维护时段:如果为“是”,则此站点的服务器只能在指定的开始和结束时间所划时间段内的某个时间点开始升级。 开始时间和结束时间之间必须间隔至少一小时。 如果设为“否”,则没有任何维护时段,且升级将尽快启动,具体时间取决于“在此站点上自动升级服务器”的配置情况。
如果设置为“是”,请配置以下选项:
- 时区 – 所选时区决定了维护时段在站点所有服务器上开始和结束的时间,与单台服务器的时区无关。
- 开始时间 – 根据所选时区指定升级周期最早可以开始的时间。
- 结束时间 - 根据所选时区指定升级周期最晚可以开始的时间。 此时间之前开始的升级周期将继续运行,并可在此时间后完成。
有关详细信息,请参阅升级 Microsoft Tunnel。
选择“创建”以保存站点。
安装 Microsoft Tunnel 网关
在 Linux 服务器上安装 Microsoft Tunnel 网关之前,请为你的租户配置至少一个 服务器配置,然后创建一个站点。 稍后,你将在该服务器上安装隧道时指定服务器加入的站点。
借助服务器配置和站点,可以使用 以下过程 安装 Microsoft Tunnel 网关。
但是,如果计划将 Microsoft Tunnel Gateway 安装到无根 Podman 容器,请参阅在开始安装之前 使用无根 Podman 容器 。 链接部分详细介绍了安装脚本的其他先决条件要求和修改后的命令行。 配置额外的先决条件后,可以返回此处继续执行以下安装过程。
使用脚本安装 Microsoft Tunnel
使用以下方法之一下载 Microsoft Tunnel 安装脚本:
使用 Web 浏览器直接下载工具。 访问 https://aka.ms/microsofttunneldownload 并下载 mstunnel-setup 文件。
登录到Microsoft Intune管理中心>租户管理>Microsoft Tunnel Gateway,选择“服务器”选项卡,选择“创建”以打开“创建服务器”窗格,然后选择“下载脚本”。
使用 Linux 命令直接下载 tunnel 软件。 例如,在要安装隧道的服务器上,可以使用 wget 或 curl 打开链接 https://aka.ms/microsofttunneldownload。
例如,若要在下载期间使用 wget 并将详细信息记录到 mstunnel-setup 中,请运行
wget --output-document=mstunnel-setup https://aka.ms/microsofttunneldownload
若要启动服务器安装,请以根身份运行该脚本。 例如,可以使用下面的命令行:
sudo ./mstunnel-setup。 脚本将始终安装 Microsoft Tunnel 的最新版本。重要
如果要将 Tunnel 安装到 无根 Podman 容器,请使用以下修改后的命令行启动脚本:
mst_rootless_mode=1 ./mstunnel-setup若要在隧道和安装代理注册过程中查看详细的控制台输出,请执行以下操作:
在运行
export mst_verbose_log="true"./mstunnel-setup 脚本之前运行。 若要确认已启用详细日志记录,请运行export。安装完成后,编辑环境文件 /etc/mstunnel/env.sh 以添加新行:
mst_verbose_log="true"。 添加 行后,运行mst-cli server restart以重启服务器。
重要
对于美国政府云,命令行必须引用政府云环境。 为此,请运行以下命令,将 intune_env=FXP 添加到命令行:
- 运行
sudo ./mstunnel-setup - 运行
sudo intune_env=FXP ./mstunnel-setup
提示
如果停止安装和运行脚本,可以再次运行命令行来重新启动。 安装将从中断的位置继续。
启动脚本时,它会从 Intune 服务的 Microsoft Tunnel 网关容器映像下载容器映像,并在服务器上创建必要的文件夹和文件。
在安装过程中,该脚本会提示你完成多个管理任务。
当脚本出现提示时,请接受许可协议 (EULA)。
在以下文件中查看和配置变量以支持你的环境。
- 环境文件:/etc/mstunnel/env.sh:有关这些变量的详细信息,请参阅“Microsoft Tunnel 参考”文章中的环境变量。
出现提示时,将传输层安全性 (TLS) 证书文件的完整链复制到 Linux 服务器。 此脚本显示要在 Linux 服务器上使用的正确位置。
TLS 证书可确保使用隧道的设备与 Tunnel 网关终结点之间的连接。 证书在其 SAN 中必须具有隧道网关服务器的 IP 地址或 FQDN。
私钥在为 TLS 证书创建证书签名请求的计算机上仍然可用。 此文件必须以 site.key 名称导出。
安装 TLS 证书和私钥。 使用与文件格式匹配的指南:
PFX:
- 证书文件名必须为 site.pfx。 将证书文件复制到 /etc/mstunnel/private/site.pfx。
PEM:
整个链(根、中间、最终实体)必须位于名为 site.crt 的单个文件中。 如果使用的是由公共提供商(如 Digicert)颁发的证书,则可以选择将整个链作为单个 pem 文件下载。
证书文件名必须为 *site.crt。 将整个链证书复制到 /etc/mstunnel/certs/site.crt。 例如:
cp [full path to cert] /etc/mstunnel/certs/site.crt或者,创建一个指向 /etc/mstunnel/certs/site.crt 中完整链证书的链接。 例如:
ln -s [full path to cert] /etc/mstunnel/certs/site.crt将私钥文件复制到 /etc/mstunnel/private/site.key 中。 例如:
cp [full path to key] /etc/mstunnel/private/site.key或者,在 /etc/mstunnel/private/site.key 中创建一个指向私钥文件的链接。 例如:
ln -s [full path to key file] /etc/mstunnel/private/site.key此密钥不应使用密码加密。 此私钥文件名必须为 site.key。
安装程序安装证书并创建 Tunnel 网关服务后,系统会提示使用 Intune 登录并进行身份验证。 必须为用户帐户分配相当于Intune管理员的权限。 用于完成身份验证的帐户必须具有 Intune 许可证。 此帐户的凭据不会保存,仅用于初始登录Microsoft Entra ID。 身份验证成功后,Azure 应用 ID/密钥用于隧道网关与Microsoft Entra之间的身份验证。
此身份验证向 Microsoft Intune 和 Intune 租户注册 Tunnel Gateway。
打开 Web 浏览器并https://Microsoft.com/devicelogin输入安装脚本提供的设备代码,然后使用Intune管理员凭据登录。
向 Intune 注册 Microsoft Tunnel 网关后,此脚本将从 Intune 获取有关站点和服务器配置的信息。 然后,脚本会提示你输入想要此服务器加入的隧道站点的 GUID。 此脚本将向你提供可用站点的列表。
选择站点后,安装程序会从Intune拉取该站点的服务器配置,并将其应用于新服务器以完成Microsoft Tunnel 安装。
安装脚本完成后,可以在管理中心Microsoft Intune导航到“Microsoft隧道网关”选项卡,以查看隧道的高级状态。 你还可以打开“运行状况状态”选项卡以确认服务器是否处于联机状态。
如果使用 RHEL 8.4 或更高版本,请确保在尝试将客户端连接到 Tunnel 网关服务器之前输入 来
mst-cli server restart重启该服务器。
将受信任的根证书添加到隧道容器
在以下情况下,必须将受信任的根证书添加到隧道容器:
- 传出服务器流量需要 SSL 代理检查。
- 隧道容器访问的终结点不能免除代理检查。
步骤:
- 将具有 .crt 扩展名的受信任的根证书 () 复制到 /etc/mstunnel/ca-trust
- 使用“mst-cli 服务器重启”和“mst-cli 代理重启”重启隧道容器
部署 Microsoft Tunnel 客户端应用
若要使用 Microsoft Tunnel,设备需要访问 Microsoft Tunnel 客户端应用。 Microsoft Tunnel 使用 Microsoft Defender for Endpoint 作为 Tunnel 客户端应用:
Android:从 Google Play 商店下载Microsoft Defender for Endpoint,用作 Microsoft Tunnel 客户端应用。 请参阅将 Android 应用商店中的应用添加到 Microsoft Intune。
将 Microsoft Defender for Endpoint 用作隧道客户端应用程序和移动威胁防御 (MTD) 应用程序时,请参阅对 MTD 使用 Microsoft Defender for Endpoint 并用作 Microsoft Tunnel 客户端应用,以了解重要的配置指南。
iOS/iPadOS:从 Apple 应用商店下载Microsoft Defender for Endpoint,用作 Microsoft Tunnel 客户端应用。 请参阅将 iOS 应用商店中的应用添加到 Microsoft Intune。
有关向 Intune 部署应用的详细信息,请参阅向 Microsoft Intune 添加应用。
创建 VPN 配置文件
Microsoft Tunnel 安装设备安装Microsoft Defender for Endpoint后,可以部署 VPN 配置文件以指示设备使用隧道。 为此,请创建连接类型为 Microsoft Tunnel 的 VPN 配置文件:
Android:Android 平台支持单独或同时通过每应用 VPN 和拆分隧道规则路由流量。
iOS/iPadOS iOS 平台支持按应用 VPN 或拆分隧道规则路由流量,但不能同时路由流量。 如果你为 iOS 启用每应用 VPN,拆分隧道规则就会被忽略。
Android
在“策略”选项卡上登录到Microsoft Intune管理中心>“设备>管理设备>配置>”,选择“创建”。
对于“平台”,请选择“Android Enterprise”。 对于“配置文件”,请为公司拥有的工作配置文件或个人拥有的工作配置文件选择 VPN,然后选择“创建”。
注意
Microsoft Tunnel 不支持 Android Enterprise 专用设备。
在“ 基本信息 ”选项卡上,输入 “名称” 和“ 说明 ” (可选) ,然后选择“ 下一步”。
对于“连接类型”,选择“Microsoft Tunnel”,然后配置以下详细信息:
基础 VPN:
- 对于“连接名称”,指定一个将向用户显示的名称。
- 对于 “Microsoft隧道站点”,请选择此 VPN 配置文件使用的隧道站点。
每应用 VPN:
- 在每应用 VPN 配置文件中分配的应用会将应用流量发送到隧道。
- 在 Android 上,启动应用不会启动每应用 VPN。 但是,当 VPN 将 Always-On VPN 设置为 “启用”时,VPN 已连接,并且应用流量使用活动 VPN。 如果未将 VPN 设置为“始终可用”,则用户必须手动启动 VPN 才能使用。
- 如果使用 Defender for Endpoint 应用连接到 Tunnel、已启用 Web 保护并使用每应用 VPN,则 Web 保护仅适用于每个应用 VPN 列表中的应用。 在具有工作配置文件的设备上,在此应用场景中我们建议将工作配置文件中的所有 Web 浏览器添加到每应用 VPN 列表,以确保所有工作配置文件 Web 流量都受到保护。
- 若要启用每应用 VPN,请选择“添加”,然后浏览到已导入到Intune的自定义或公共应用。
始终可用 VPN:
- 对于“始终可用 VPN”,选择“启用”,将 VPN 客户端设置为自动连接并重新连接到 VPN。 始终可用 VPN 连接保持连接。 如果“每应用 VPN”设置为“启用”,则只有来自你选择的应用的流量才会通过隧道。
代理:
为环境配置代理服务器详细信息。
注意
低于版本 10 的 Android 版本不支持代理服务器配置。 有关详细信息,请参阅 Android 开发人员文档中的 VpnService.Builder 。
有关 VPN 设置的详细信息,请参阅用于配置 VPN 的 Android Enterprise 设备设置
在“分配”选项卡上,配置将接收此配置文件的组。
在“审阅并创建”选项卡上,检查配置,然后选择“创建”以保存它。
iOS
登录到 Microsoft Intune管理中心>设备>管理设备>配置>创建。
对于“平台”,选择“iOS/iPadOS”,对于“配置文件”,选择“VPN”,然后选择“创建”。
在“ 基本信息 ”选项卡上,输入 “名称” 和“ 说明 ” (可选) ,然后选择“ 下一步”。
对于 “连接类型”,选择“ Microsoft隧道 ”,然后配置以下项:
基础 VPN:
- 对于“连接名称”,指定一个将向用户显示的名称。
- 对于 “Microsoft隧道站点”,请选择此 VPN 配置文件使用的隧道站点。
注意
在 iOS 设备上以组合模式同时使用 Microsoft Tunnel VPN 连接和 Defender Web 保护时,配置“按需”规则以有效激活“睡眠时断开连接”设置至关重要。 否则,当 iOS 设备进入睡眠模式时,当 VPN 处于打开状态时,将导致隧道 VPN 和 Defender VPN 断开连接。
每应用 VPN:
若要启用每应用 VPN,请选择“启用”。 iOS 每应用 VPN 还需要执行额外的配置步骤。 配置每应用 VPN 后,iOS 会忽略拆分隧道规则。有关详细信息,请参阅面向 iOS/iPadOS 的每应用 VPN。
按需 VPN 规则:
定义允许在满足特定 FQDN 或 IP 地址的条件时使用 VPN 的按需规则。有关详细信息,请参阅 自动 VPN 设置。
代理:
为环境配置代理服务器详细信息。
注意
在 iOS 设备上以组合模式同时使用 Microsoft Tunnel VPN 连接和 Defender Web 保护时,配置“按需”规则以有效激活“睡眠时断开连接”设置至关重要。 若要在配置 Tunnel VPN 配置文件时配置按需规则,请执行以下操作:
- 在“配置设置”页上,展开 “按需 VPN 规则 ”部分。
- 对于 “按需规则 ”,选择“ 添加” 以打开“ 添加行 ”窗格。
- 在“ 添加行 ”窗格中,将“ 我想执行以下操作 ”设置为 “连接 VPN”,然后为“ 我要限制 ”选择一个限制,例如 “所有域”。
- (可选)可以将 URL 添加到“ 但前提是此 URL 探测成功 ”字段。
- 选择“保存”。
为 Android Enterprise 使用代理排除列表
在环境中使用单个直接代理服务器时,可以在适用于 Android Enterprise 的 Microsoft Tunnel VPN 配置文件中使用代理排除列表。 Microsoft Tunnel 和 适用于 MAM 的 Microsoft Tunnel 支持代理排除列表。
重要
仅当使用单个代理直接代理服务器时,才支持代理排除列表。 在使用多个代理服务器的环境中不支持它们。
VPN 配置文件中的代理排除列表支持输入特定域,这些域随后从接收和使用配置文件的设备直接代理配置中排除。
以下是排除列表条目支持的格式:
- 子域完全匹配的完整 URL。 例如,
sub.contoso.com - URL 中的前导通配符。 例如,使用完整的 URL 示例,可以将前导子域名 (子) 替换为星号,以扩展支持以包括 contso.com 的所有子域:
*.contoso.com - IPv4 和 IPv6 地址
不支持的格式包括:
- 内部通配符。 例如:
con*oso.com、contos*.com和contoso.*
配置代理排除列表
编辑或为 Android Enterprise 平台创建 Microsoft Tunnel VPN 配置文件 时,可以配置排除列表。
在将“连接类型”设置为“Microsoft隧道”后,在“配置设置”页上:
展开 “代理”,然后对于“ 代理排除列表”,选择“ 管理代理排除项”。
在“ 代理排除列表 ”窗格中:
- 在文本输入框中,指定单个 URL 或 IP 地址。 每次添加条目时,都会为更多条目提供一个新的文本输入框。
- 选择“ 导入 ”打开“ 导入代理排除 项”窗格,然后可在其中导入 CSV 文件格式的列表。
- 选择“ 导出 ”,以 CSV 文件格式从此配置文件中导出当前排除列表。
选择“ 确定” 以保存代理排除列表配置,并继续编辑 VPN 配置文件。
使用 Microsoft Defender for Endpoint 的自定义设置
Intune 支持 Microsoft Defender for Endpoint 作为 Android Enterprise 设备上的 MTD 应用和 Microsoft Tunnel 客户端应用程序。 如果将 Defender for Endpoint 用作 Microsoft Tunnel 客户端应用程序和 MTD 应用,则可以在 Microsoft Tunnel 的 VPN 配置文件中使用 自定义设置 简化配置。 使用 VPN 配置文件中的自定义设置,而无需使用单独的应用配置文件。
对于 注册 为 Android Enterprise 个人拥有的工作配置文件 且使用 Defender for Endpoint 实现这两个目的的设备,必须使用自定义设置而不是应用配置文件。 在这些设备上,Defender for Endpoint 的应用配置文件与 Microsoft Tunnel 冲突,并且可能会阻止设备连接到 Microsoft Tunnel。
如果将 Microsoft Defender for Endpoint 用于 Microsoft Tunnel 而不是 MTD,则继续使用应用隧道配置文件将Microsoft Defender for Endpoint配置为 Tunnel 客户端。
将 Microsoft Defender for Endpoint 的应用配置支持添加到 Microsoft Tunnel 的 VPN 配置文件
使用以下信息在 VPN 配置文件中配置自定义设置,以配置 Microsoft Defender for Endpoint 取代单独的应用配置文件。 可用设置因平台而异。
Android Enterprise 设备:
| 配置密钥 | 值类型 | 配置值 | 说明 |
|---|---|---|---|
| VPN | 整数 | 选项: 1 - 启用 (默认) 0 - 禁用 |
设置为 启用,从而允许 Microsoft Defender for Endpoint 反网络钓鱼功能使用本地 VPN。 |
| 防钓鱼 | 整数 | 选项: 1 - 启用 (默认) 0 - 禁用 |
设置为 启用 以启用 Microsoft Defender for Endpoint 反钓鱼。 禁用后,防钓鱼功能将关闭。 |
| defendertoggle | 整数 | 选项: 1 - 启用 (默认) 0 - 禁用 |
设置为 启用 以使用 Microsoft Defender for Endpoint。 禁用后,Microsoft Defender for Endpoint 功能将不可用。 |
对于 iOS/iPad 设备:
| 配置密钥 | 值 | 说明 |
|---|---|---|
| TunnelOnly |
True – 禁用所有 Defender for Endpoint 功能。 如果将应用仅用于 Tunnel 功能,则应使用此设置。
错误 (默认) - 已启用 Defender for Endpoint 功能。 |
确定 Defender 应用是否仅限于 Microsoft Tunnel,或者应用是否也支持完整的 Defender for Endpoint 功能集。 |
| WebProtection |
True (默认) – 已启用 Web 保护,用户可以在 Defender for Endpoint 应用中看到“Web 保护”选项卡。
False – 已禁用 Web 保护。 如果部署了 Tunnel VPN 配置文件,则用户只能在 Defender for Endpoint 应用中看到“仪表板”和“隧道”选项卡。 |
确定是否为应用启用 Defender for Endpoint Web 保护(反钓鱼功能)。 默认情况下,此功能处于启用状态。 |
| AutoOnboard |
True – 如果启用了 Web 保护,则会自动向 Defender for Endpoint 应用授予添加 VPN 连接的权限,而无需提示用户。 需要“连接 VPN”按需规则。 有关按需规则的详细信息,请参阅自动 VPN 设置。
错误 (默认) – 如果启用了 Web 保护,系统会提示用户允许 Defender for Endpoint 应用添加 VPN 配置。 |
确定是否启用 Defender for Endpoint Web Protection 而不提示用户 (添加 VPN 连接,因为 Web 保护功能) 需要本地 VPN。 此设置仅适用于 WebProtection 设置为 是 的情况下。 |
配置 TunnelOnly 模式以符合欧盟数据边界
到 2022 日历年底,所有个人数据(包括客户内容 (CC) 、EUII、EUPI 和支持数据)都必须在欧盟 (欧盟租户的欧盟) 中存储和处理。
Defender for Endpoint 中的Microsoft隧道 VPN 功能是欧盟数据边界 (EUDB) 合规。 但是,虽然与日志记录相关的 Defender for Endpoint 威胁防护组件尚未符合 EUDB,但 Defender for Endpoint 是 DPA) (数据保护附录 的一部分,并且符合 GDPR) (通用数据保护条例。
同时,Microsoft具有欧盟租户的 Tunnel 客户可以在 Defender for Endpoint 客户端应用中启用 TunnelOnly 模式。 若要对此进行配置,请使用以下步骤:
按照为Microsoft Intune安装和配置 Microsoft Tunnel VPN 解决方案中的步骤操作Microsoft了解如何创建应用配置策略,以禁用 Defender for Endpoint 功能。
创建名为 TunnelOnly 的 密钥,并将值设置为 True。
通过配置 TunnelOnly 模式,将禁用所有 Defender for Endpoint 功能,而 Tunnel 功能仍可在应用中使用。
不支持使用 Microsoft Tunnel VPN 进行跨租户访问的来宾帐户和Microsoft帐户 (MSA) 。 这意味着这些类型的帐户不能用于通过 VPN 安全地访问内部资源。 在使用 Microsoft Tunnel VPN 设置对内部资源的安全访问时,请务必记住此限制。
有关欧盟数据边界的详细信息,请参阅 Microsoft 云的欧盟数据边界 | Microsoft安全性和合规性博客上的常见问题解答。
升级 Microsoft Tunnel
Intune 定期发布 Microsoft Tunnel 服务器的更新。 若要持续受到支持,隧道服务器必须运行最新版本,或至少运行上一个旧版本。
默认情况下,有可用的新升级后,Intune 会尽快在每个隧道站点上自动开始升级隧道服务器。 你可以配置用于管理升级过程的选项,以帮助管理更新:
- 你可以允许在站点上自动升级服务器,或要求在管理员审批后再进行升级。
- 你可以配置维护时段,以限制站点升级的开始时间。
有关 Microsoft Tunnel 升级的详细信息,包括如何查看隧道状态和配置升级选项,请参阅升级 Microsoft Tunnel。
在 Linux 服务器上更新 TLS 证书
可以使用 ./mst-cli 命令行工具更新服务器上的 TLS 证书:
PFX:
- 将证书文件复制到 /etc/mstunnel/private/site.pfx
- 运行:
mst-cli import_cert - 运行:
mst-cli server restart
PEM:
- 将新证书复制到 /etc/mstunnel/certs/site.crt
- 将私钥复制到 /etc/mstunnel/private/site.key
- 运行:
mst-cli import_cert - 运行:
mst-cli server restart
注意
带有名为“delay”的其他参数的“import-cert”命令。此参数允许指定使用导入的证书之前的延迟(以分钟为单位)。 示例:mst-cli import_cert延迟 10080
有关 mst-cli 的详细信息,请参阅 Microsoft Tunnel 参考。
使用无根 Podman 容器
将 Red Hat Linux 与 Podman 容器配合使用来托管 Microsoft Tunnel 时,可以将容器配置为无根容器。
使用无根容器有助于限制容器转义的影响,服务器上的 /etc/mstunnel 文件夹中和下方的所有文件都归非特权用户帐户所有。 运行 Tunnel 的 Linux 服务器上的帐户名称与标准安装相比没有变化,但创建时没有根用户权限。
若要成功使用无根 Podman 容器,必须:
满足先决条件后,可以使用 安装脚本过程 首先下载安装脚本,然后使用修改后的脚本命令行运行安装。
无根 Podman 容器的其他先决条件
使用无根 Podman 容器需要环境满足以下先决条件,这些先决条件是默认的 Microsoft Tunnel 先决条件:
支持的平台:
Linux 服务器必须运行 Red Hat (RHEL) 8.8 或更高版本。
容器必须运行 Podman 4.6.1 或更高版本。 Docker 不支持无根容器。
无根容器必须安装在 /home 文件夹下。
/home 文件夹必须至少有 10 GB 的可用空间。
吞吐量:
- 峰值吞吐量不应超过 230Mbps
网络:
必须在 /etc/sysctl.conf 中设置以下在无根命名空间中不可用的网络设置:
net.core.somaxconn=8192net.netfilter.nf_conntrack_acct=1net.netfilter.nf_conntrack_timestamp=1
此外,如果将无根隧道网关绑定到小于 1024 的端口,还必须在 /etc/sysctl.conf 中添加以下设置,并将其设置为等于使用的端口:
net.ipv4.ip_unprivileged_port_start
例如,若要指定端口 443,请使用以下条目: net.ipv4.ip_unprivileged_port_start=443
编辑 sysctl.conf 后,必须在新配置生效之前重新启动 Linux 服务器。
无根用户的出站代理:
若要支持无根用户的出站代理,请编辑 /etc/profile.d/http_proxy.sh 并添加以下两行。 在以下行中, 10.10.10.1:3128 是一个示例 address:port 条目。 添加这些行时,请将 10.10.10.1:3128 替换为代理 IP 地址和端口的值:
export http_proxy=http://10.10.10.1:3128export https_proxy=http://10.10.10.1:3128
修改了无根 Podman 容器的安装命令行
若要将 Microsoft Tunnel 安装到无根 Podman 容器,请使用以下命令行开始安装脚本。 此命令行将mst_rootless_mode设置为环境变量,并在安装过程的步骤 2 中替换默认安装命令行的使用:
mst_rootless_mode=1 ./mstunnel-setup
卸载 Microsoft Tunnel
若要卸载产品,请以 root 身份从 Linux 服务器运行 mst-cli 卸载 。 这还会从 Intune 管理中心中删除服务器。