分享方式:


Microsoft Intune 的Microsoft通道

Microsoft通道是適用於 Microsoft Intune 的 VPN 閘道解決方案,可在 Linux 上的容器中執行,並允許使用新式驗證和條件式存取從 iOS/iPadOS 和 Android Enterprise 裝置存取內部部署資源。

本文介紹通道的核心Microsoft、運作方式及其架構。

如果您已準備好部署Microsoft通道,請參閱Microsoft通道 必要條件,然後設定 Microsoft通道

部署 Microsoft Tunnel 之後,您可以選擇新增適用於 MAM) 的行動應用程式 管理 (通道Microsoft通道。 MAM 的通道會擴充 Microsoft Tunnel VPN 閘道,以支援執行 Android 或 iOS 且未向 Microsoft Intune 註冊的裝置。 當您將 Microsoft Intune 方案 2Microsoft Intune Suite 新增為租使用者 的附加元件授權 時,即可使用 MAM 的通道。

注意事項

Microsoft通道不使用美國聯邦資訊處理標準 (FIPS) 兼容演算法。

提示

從 Microsoft 下載中心下載Microsoft通道部署指南 v2。

Microsoft通道概觀

Microsoft通道閘道閘道閘道安裝到在 Linux 伺服器上執行的容器上。 Linux 伺服器可以是內部部署環境中的實體方塊,或是在內部部署或雲端中執行的虛擬機。 若要設定 Tunnel,您可以將適用於端點的 Microsoft Defender 部署為 Microsoft Tunnel 用戶端應用程式,並將 Intune VPN 配置檔部署到您的 iOS 和 Android 裝置。 用戶端應用程式和 VPN 設定檔可讓裝置使用通道來連線到公司資源。 當通道裝載於雲端時,您必須使用 Azure ExpressRoute 之類的解決方案,將內部部署網路延伸至雲端。

透過 Microsoft Intune 系統管理中心,您將:

  • 下載您在 Linux 伺服器上執行的 Microsoft Tunnel 安裝文稿。
  • 設定 Microsoft 通道閘道閘道關的層面,例如 IP 位址、DNS 伺服器和埠。
  • 將 VPN 配置檔部署到裝置,以引導它們使用通道。
  • 將適用於端點的 Microsoft Defender (Tunnel 用戶端應用程式) 部署到您的裝置。

透過適用於端點的 Defender 應用程式、iOS/iPadOS 和 Android Enterprise 裝置:

  • 使用 Microsoft Entra ID 向通道進行驗證。
  • 使用 Active Directory Federation Services (AD FS) 向通道進行驗證。
  • 會根據您的條件式存取原則進行評估。 如果裝置不符合規範,則無法存取您的 VPN 伺服器或內部部署網路。

您可以安裝多部 Linux 伺服器來支援Microsoft通道,並將伺服器合併成稱為 Sites 的邏輯群組。 每部伺服器都可以加入單一網站。 當您設定月臺時,您要定義裝置在存取通道時要使用的連接點。 月臺需要您定義並指派給月臺的 伺服器 組態。 伺服器組態會套用至您新增至該月臺的每部伺服器,以簡化更多伺服器的設定。

若要指示裝置使用通道,您可以建立和部署適用於 Microsoft Tunnel 的 VPN 原則。 此原則是裝置設定 VPN 配置檔,其連線類型使用 Microsoft Tunnel。

信道的 VPN 設定檔功能包括:

  • 用戶可以看見的 VPN 連線易記名稱。
  • VPN 用戶端所連線的月臺。
  • 每個應用程式 VPN 組態,定義 VPN 設定檔用於哪些應用程式,以及是否一律開啟。 一律開啟時,VPN 會自動連線,且僅用於您定義的應用程式。 如果未定義任何應用程式,永遠開啟聯機會提供來自裝置之所有網路流量的通道存取。
  • 針對已將適用於端點的 Microsoft Defender 設定為支援個別應用程式 VPN 和 TunnelOnly 模式設定為 True 的 iOS 裝置,使用者不需要在其裝置上開啟或登入 Microsoft Defender,即可使用 Tunnel。 相反地,當使用者登入裝置上的公司入口網站,或使用具有有效令牌進行存取之多重要素驗證的任何其他應用程式時,會自動使用通道個別應用程式 VPN。 iOS/iPadOS 支援 TunnelOnly 模式,並停用 Defender 功能,只保留 Tunnel 功能。
  • 當用戶啟動 VPN 並選取 [連線] 時,手動連線到通道。
  • 在符合特定 FQDN 或 IP 位址的條件時,允許使用 VPN 的隨選 VPN 規則。 (iOS/iPadOS)
  • iOS/iPadOS、Android 10+) (Proxy 支援

伺服器組態包括:

  • IP 位址範圍 – 指派給連線到Microsoft通道之裝置的 IP 位址。
  • DNS 伺服器 – DNS 伺服器裝置應該在連線到伺服器時使用。
  • DNS 後綴搜尋。
  • 分割通道規則 – 在包含和排除路由之間共用最多 500 個規則。 例如,如果您建立 300 個包含規則,則最多可以有 200 個排除規則。
  • 埠 – Microsoft通道閘道閘聽的埠。

月臺設定包括:

  • 公用IP位址或 FQDN,這是使用通道之裝置的連接點。 此位址可以是針對個別伺服器或負載平衡伺服器的IP或FQDN。
  • 套用至站台中每部伺服器的伺服器組態。

當您在 Linux 伺服器上安裝通道軟體時,您會將伺服器指派給月臺。 安裝會使用您可以從系統管理中心下載的腳本。 啟動文本之後,系統會提示您為您的環境設定其作業,包括指定伺服器將加入的月臺。

若要使用 Microsoft 通道,裝置必須安裝適用於端點的 Microsoft Defender 應用程式。 您可以從 iOS/iPadOS 或 Android 應用程式商店取得適用的應用程式,並將其部署給使用者。

架構

Microsoft通道閘道閘道會在 Linux 伺服器上執行的容器中執行。

繪製Microsoft通道閘道閘道關架構

元件

  • A – Microsoft Intune。
  • B- Microsoft Entra ID。
  • C – 具有 Podman 或 Docker CE 的 Linux 伺服器 (如需哪些版本需要 Podman 或 Docker) 的詳細資訊,請參閱 Linux 伺服器 需求
    • C.1 - Microsoft通道閘道閘道。
    • C.2 – 管理代理程式。
    • C.3 – 驗證外掛程式 – 使用 Microsoft Entra 進行驗證的授權外掛程式。
  • D – Microsoft 通道的公開 IP 或 FQDN,這可以代表負載平衡器。
  • E – 行動裝置管理 (MDM) 註冊的裝置,或使用行動應用程式管理通道的未註冊行動裝置。
  • F – 防火牆
  • G – 內部 Proxy 伺服器 (選擇性) 。
  • H – 公司網路。
  • I – 公用因特網。

動作

  • 1 - Intune 系統管理員設定 伺服器組 態和 月臺,伺服器組態會與月台相關聯。
  • 2 - Intune 系統管理員會安裝 Microsoft Tunnel 閘道閘道,而驗證外掛程式會使用 Microsoft Entra 驗證Microsoft通道閘道閘道。 Microsoft通道閘道閘道閘道指派給月臺。
  • 3 - 管理代理程式會與 Intune 通訊以擷取您的伺服器設定原則,以及將遙測記錄傳送至 Intune。
  • 4 - Intune 系統管理員會建立 VPN 配置檔,並將 Defender 應用程式部署到裝置。
  • 5 - 裝置向 Microsoft Entra 進行驗證。 系統會評估條件式存取原則。
  • 6 - 使用分割通道:
    • 6.a - 部分流量會直接流向公用因特網。
    • 6.b - 某些流量會流向您針對通道的公用IP位址。 VPN 信道會透過埠 443 使用 TCP、TLS、UDP 和 DTLS。 此流量需要開啟輸入和輸出 防火牆埠
  • 7 - 通道會將流量路由傳送至內部 Proxy (選擇性) 和/或公司網路。 IT 系統管理員必須確保來自通道閘道閘道內部介面的流量可以成功路由傳送至內部公司資源, (IP 位址範圍和埠) 。

注意事項

  • 通道閘道閘道關會與客戶端維護兩個通道。 控制通道是透過 TCP 和 TLS 建立。 這也可作為備份數據通道。 然後,它會尋找使用 DTLS (Datagram TLS 建立 UDP 通道,這是透過 UDP 實作的 TLS) ,可作為主要數據通道。 如果UDP信道無法建立或暫時無法使用,則會使用透過TCP/TLS的備份通道。 根據預設,埠 443 同時用於 TCP 和 UDP,但可透過 Intune 伺服器組態 - 伺服器埠 設定來自定義。 如果將預設埠變更 (443) 請確定您的輸入防火牆規則會調整為自定義埠。

  • 指派的用戶端 IP 位址 (網路上其他裝置看不到 Tunnel) 伺服器組態中的 IP 位址範圍設定。 Microsoft通道閘道閘道閘道使用埠地址轉換 (PAT) 。 PAT 是一種網路位址轉換 (NAT) ,其中來自伺服器組態的多個私人IP位址會透過埠對應到單一IP (多對一) 。 用戶端流量會有Linux伺服器主機的來源IP位址。

中斷並檢查

許多企業網路會使用 Proxy 伺服器、防火牆、SSL 中斷和檢查、深層封包檢查和數據外泄防護系統等技術,針對因特網流量強制執行網路安全性。 這些技術可為一般因特網要求提供重要的風險降低措施,但在套用至Microsoft通道網關和 Intune 服務端點時,可大幅降低效能、延展性和用戶體驗品質。

下列資訊概述不支援中斷和檢查的位置。 參考是上一節中的架構圖表。

  • 下列區域不支援中斷和檢查

    • 通道閘道閘道關不支援 SSL 中斷和檢查、TLS 中斷和檢查,或客戶端連線的深層封包檢查。
    • 不支援使用防火牆、Proxy、負載平衡器或任何終止和檢查進入通道閘道閘道閘道之客戶端會話的技術,並導致客戶端連線失敗。 (參閱架構圖表) 中的 FDC
    • 如果 Tunnel 閘道使用輸出 Proxy 進行因特網存取,則 Proxy 伺服器無法執行中斷和檢查。 這是因為通道閘道閘道管理代理程式在連線到 Intune 時會使用 TLS 相互驗證 (請參閱架構圖表) 中的 3 。 如果在 Proxy 伺服器上啟用中斷和檢查,管理 Proxy 伺服器的網路管理員必須將通道閘道閘道閘道 IP 位址和完整功能變數名稱 (FQDN) 新增至這些 Intune 端點的核准清單。

其他詳細資料

  • 條件式存取是在 VPN 用戶端中,並根據雲端應用程式 Microsoft通道閘道閘道來完成。 不符合規範的裝置不會從 Microsoft Entra ID 接收存取令牌,也無法存取 VPN 伺服器。 如需搭配使用條件式存取與Microsoft通道的詳細資訊,請參閱 搭配使用條件式存取與Microsoft通道

  • 管理代理程式已使用 Azure 應用程式識別碼/秘密金鑰,針對 Microsoft Entra ID 授權。

後續步驟