Microsoft Tunnel Gateway 安裝在 Linux 伺服器上的容器中,該容器可運行於本地或雲端。 根據你的環境和基礎架構,可能需要其他設定和軟體,例如 Azure ExpressRoute。
在開始安裝前,務必完成以下任務:
- 檢視並 設定 Microsoft 隧道的前置條件。
- 執行 Microsoft 隧道 準備工具 ,確認你的環境是否準備好支援隧道的使用。
當您的前置條件準備好後,請返回本文開始隧道的安裝與配置。
建立伺服器配置
使用 伺服器設定 可以讓你建立一次設定,並讓該設定被多個伺服器使用。 配置包含 IP 位址範圍、DNS 伺服器及分割隧道規則。 之後,你會為一個站點指派一個伺服器設定,該設定會自動套用到每個加入該站點的伺服器。
建立伺服器設定
登入 Microsoft Intune 管理中心>租戶管理>Microsoft 隧道閘道>選擇伺服器設定標籤>建立新建。
在 基礎 標籤中,輸入 名稱 和 描述 (可選) ,然後選擇 「下一步」。
在 設定 標籤中,設定以下項目:
IP 位址範圍:此範圍內的 IP 位址會租借給連接隧道閘道器的裝置。 隧道用戶端的 IP 位址範圍不得與本地網路範圍衝突。
- 建議使用 APIPA) (自動私有 IP 位址,範圍為 169.254.0.0/16,以避免與其他企業網路發生衝突。
- 如果用戶端的 IP 位址範圍與目的地衝突,它會使用迴圈位址,無法與企業網路通訊。
- 只要客戶端 IP 範圍不與企業網路 IP 範圍衝突,你可以選擇任何想要的範圍。
伺服器埠:輸入伺服器監聽用於連線的埠口。
DNS 伺服器:當連接至 Tunnel Gateway 的裝置發出 DNS 請求時,這些伺服器會被使用。
DNS 後綴搜尋 (可選) :此網域作為用戶端連接隧道閘道時的預設網域提供。
選擇性) (停用 UDP 連線:選擇後,用戶端僅透過 TCP 連線連接 VPN 伺服器。 由於獨立隧道用戶端需要使用 UDP,請在設定裝置使用 適用於端點的 Microsoft Defender 作為隧道用戶端應用程式後,選擇勾選停用 UDP 連線的勾選框。
另外,在 設定 分頁中,設定分割 隧道規則,這是可選的。
你可以包含或排除地址。 所包含的位址會路由到隧道閘道器。 排除的位址不會被路由到 Tunnel Gateway。 例如,你可以為 255.255.0.0 或 192.168.0.0/16 設定包含規則。
請使用以下選項來包含或排除地址:
- 應納入的IP範圍
- 要排除的 IP 範圍
注意事項
在任何包含或排除的地址中,請勿使用指定 0.0.0.0 的 IP 範圍。 當使用這個範圍時,隧道閘道器無法路由流量。 如果你的伺服器設定中使用企業 DNS,這些位址應該被加入分割隧道的包含規則中。
在 「檢視+建立 」標籤中,檢視設定,然後選擇 「建立 」來儲存。
注意事項
預設情況下,每個 VPN 會話持續 3,600 秒 (一小時) 後會斷線 (立即建立新會話,以防用戶端設定使用 VPN) Always On。
不過,你可以透過 microsoftTunnelConfiguration (圖調來 修改會話逾時值及其他伺服器設定) 欲了解更多資訊,請參見本文後面的 「變更隧道伺服器 VPN 會話逾時 」。
建立網站
站點是承載 Microsoft 隧道的邏輯伺服器群組。 你會為每個建立的網站指派一個伺服器設定。 該配置會套用到每台加入該站點的伺服器。
建立站點設定
登入 Microsoft Intune 管理中心>租戶管理>Microsoft 隧道閘道>,選擇「網站」標籤>「建立」。
在 「建立網站 」面板中,請指定以下屬性:
名稱:請輸入本網站名稱。
說明:你可以選擇性地指定網站的友善描述。
公共 IP 位址(FQDN):指定一個公共 IP 位址(FQDN),即使用隧道裝置的連接點。 此 IP 位址或 FQDN 可識別單一伺服器或負載平衡伺服器。 IP 位址或 FQDN 必須在公共 DNS 中可解析,且解析後的 IP 位址必須是公開路由的。
伺服器設定:要選擇與此站點關聯的伺服器設定,請使用下拉選單。
內部網路存取檢查用的 URL:為你內部網路上的某個位置指定 HTTP 或 HTTPS URL。 每五分鐘,分配給該網站的每台伺服器都會嘗試存取該網址,以確認能存取你的內部網路。 伺服器會在伺服器健康檢查標籤中回報此檢查狀態為「內部網路無障礙」。
自動升級本站伺服器:若 是,伺服器在有升級時自動升級。 如果 不是,升級是手動進行,必須先由管理員核准才能開始。
欲了解更多資訊,請參閱 升級 Microsoft 隧道。
限制伺服器升級時間為維護時段:若 是,該站點的伺服器升級只能在指定的開始時間與結束時間之間開始。 從開始到結束時間之間,必須至少有一小時。 設定為 「否」時,沒有維護視窗,升級會盡快開始,視 該站點自動升級伺服器 的設定而定。
設定 為「是」時,請設定以下選項:
- 時區 – 您選擇的時區決定了網站內所有伺服器維護時段的開始與結束時間,無論個別伺服器的時區為何。
- 開始時間 – 根據您選擇的時區,指定升級週期最早可開始的時間。
- 結束時間 - 根據你選擇的時區,指定升級週期最晚開始的時間。 在此時間前開始的升級週期將繼續運行,並可在此時間後完成。
欲了解更多資訊,請參閱 升級 Microsoft 隧道。
選擇 建立 以儲存網站。
安裝 Microsoft 隧道閘道
在 Linux 伺服器安裝 Microsoft Tunnel Gateway 之前,先設定至少一個伺服器設定,然後建立一個站點。 之後,安裝隧道時,你會指定伺服器加入的站點。
有了伺服器設定和站點後,你可以使用 以下步驟 安裝 Microsoft 隧道閘道。
不過,如果你打算將 Microsoft 隧道閘道器安裝到無根 Podman 容器,請在開始安裝前參考 「使用無根 Podman 容器 」。 連結的章節詳述了額外的前置條件需求以及安裝腳本的修改過的指令列。 設定完成額外前提後,您可以回到這裡繼續下一步的安裝程序。
使用腳本安裝 Microsoft Tunnel
請使用以下方法之一下載 Microsoft 隧道安裝腳本:
可直接使用網頁瀏覽器下載此工具。 前往 https://aka.ms/microsofttunneldownload 下載 mstunnel-setup 檔案。
登入 Microsoft Intune 管理中心>租戶管理>Microsoft 隧道閘道,選擇伺服器標籤,選擇建立以開啟建立伺服器面板,然後選擇下載腳本。
用 Linux 指令直接下載 tunnel 軟體。 例如,在你安裝隧道的伺服器上,你可以使用 wget 或 curl 來開啟連結 https://aka.ms/microsofttunneldownload。
例如,要在下載時使用 wget 並記錄 mstunnel-setup 的詳細資料,執行
wget --output-document=mstunnel-setup https://aka.ms/microsofttunneldownload
要啟動伺服器安裝,請以 root 身份執行腳本。 例如,你可以使用以下命令列:
sudo ./mstunnel-setup。 腳本總是安裝 最新版本 的 Microsoft Tunnel。重要事項
如果你是將 Tunnel 安裝到 無根 Podman 容器,請使用以下修改過的命令列來啟動腳本:
mst_rootless_mode=1 ./mstunnel-setup在隧道與安裝代理程式註冊過程中查看詳細主控台輸出:
先執行
export mst_log_verbose=1./mstunnel-setup 腳本。 要確認 verbose logging 是否啟用,請執行export。設定完成後,編輯環境檔案 /etc/mstunnel/env.sh 新增一行:
mst_log_verbose=1。 新增線路後,執行mst-cli server restart以重新啟動伺服器。
重要事項
對於美國政府雲端,命令列必須參考政府雲端環境。 為此,執行以下指令,將 intune_env=FXP 加入命令列:
- 執行
sudo ./mstunnel-setup - 執行
sudo intune_env=FXP ./mstunnel-setup
提示
如果你停止安裝和腳本,可以重新執行命令列重新啟動。 安裝工作從你上次停下的地方繼續進行。
當你啟動腳本時,它會從 Intune 服務的 Microsoft Tunnel Gateway 容器映像檔下載容器映像檔,並在伺服器上建立必要的資料夾和檔案。
設定過程中,腳本會提示你完成多項管理任務。
當腳本提示時,接受授權協議 (EULA) 。
檢視並設定以下檔案中的變數以支援您的環境。
- 環境檔案: /etc/mstunnel/env.sh。欲了解更多相關資訊,請參閱 Microsoft 隧道參考文獻中的 環境變數 。
當被要求時,將你的傳輸層安全 (TLS) 憑證檔案的完整鏈複製到Linux伺服器。 腳本會顯示 Linux 伺服器上正確的位置。
TLS 憑證保護使用隧道的裝置與隧道閘道端點之間的連線。 憑證必須包含隧道閘道器伺服器在其 SAN 中的 IP 位址或 FQDN。
私鑰仍保留在你建立TLS憑證簽署請求的機器上。 此檔案必須以 site.key 的名稱匯出。
安裝 TLS 憑證和私鑰。 請使用以下符合你檔案格式的指引:
PFX:
- 憑證檔案名稱必須是 site.pfx。 將憑證檔案複製到 /etc/mstunnel/private/site.pfx。
PEM:
完整的鏈 (根、中介、終端實體) 必須集中在一個名為 site.ct 的單一檔案中。 如果你使用的是由像 Digicert 這類公共供應商發出的憑證,你可以選擇下載完整鏈,作為單一的 .pem 檔案。
憑證檔案名稱必須是 *site.crt。 將完整鏈條憑證複製到 /etc/mstunnel/certs/site.crt。 例如:
cp [full path to cert] /etc/mstunnel/certs/site.crt或者,你可以在 /etc/mstunnel/certs/site.ctt 建立連結到完整鏈狀憑證。 例如:
ln -s [full path to cert] /etc/mstunnel/certs/site.crt將私鑰檔案複製到 /etc/mstunnel/private/site.key。 例如:
cp [full path to key] /etc/mstunnel/private/site.key或者,也可以在 /etc/mstunnel/private/site.key 建立連結到私鑰檔案。 例如:
ln -s [full path to key file] /etc/mstunnel/private/site.key這把金鑰不應該用密碼加密。 私鑰檔案名稱必須是 site.key。
安裝憑證並建立隧道閘道服務後,系統會提示你登入並使用 Intune 進行認證。 使用者帳號必須被賦予與 Intune 管理員相當的權限。 你用來完成驗證的帳號必須擁有 Intune 授權。 這個帳號的憑證不會被儲存,只用於初次登入 Microsoft Entra ID。 成功認證後,Azure 應用程式 ID 或秘密金鑰會用於隧道閘道器與 Microsoft Entra 之間的認證。
此認證會將隧道閘道器註冊給 Microsoft Intune 及你的 Intune 租戶。
打開網頁瀏覽器,https://Microsoft.com/devicelogin輸入安裝腳本提供的裝置代碼,然後用你的 Intune 管理員憑證登入。
當 Microsoft Tunnel Gateway 向 Intune 註冊後,腳本會從 Intune 獲取你的網站和伺服器配置資訊。 腳本接著會提示你輸入你想讓該伺服器加入的隧道站點的 GUID。 腳本會呈現你可用地點的清單。
選擇站點後,設定會從 Intune 拉取該站點的伺服器設定,並套用到新伺服器完成 Microsoft 隧道安裝。
安裝腳本完成後,你可以在 Microsoft Intune 管理中心的 Microsoft Tunnel Gateway 分頁中查看隧道的高階狀態。 你也可以打開 健康狀態 標籤來確認伺服器是否在線。
如果你使用的是 Red Hat Enterprise Linux (RHEL) 8.4 或更新版本,請務必在嘗試連接用戶端前,先
mst-cli server restart進入隧道閘道伺服器重新啟動。
設定 Podman 使用代理伺服器下載映像更新
安裝 Tunnel Gateway 伺服器後,你可以設定 Podman 使用代理伺服器下載 (拉取更新) Podman 映像檔。 此配置對於未來升級非常重要:
在隧道伺服器上,使用命令提示字元執行以下指令,開啟 Microsoft 隧道服務覆寫檔案的編輯器:
systemctl edit --force mstunnel_monitor在檔案中新增以下三行。 將每個 位址 替換為你的代理DN或位址,然後儲存檔案。 例如,若代理地址在埠
3128上可用10.10.10.1,第一行在[Service]後可能為Environment="http_proxy=http//10.10.10.1:3128",後行為Environment="https_proxy=http//10.10.10.1:3128"[Service] Environment="http_proxy=address" Environment="https_proxy=address"接著,在命令提示字元執行以下操作:
systemctl restart mstunnel_monitor最後,請在命令提示字元執行以下操作以確認設定成功:
systemctl show mstunnel_monitor | grep http_proxy若配置成功,結果如下:
Environment="http_proxy=address:port" Environment="https_proxy=address:port"
更新隧道伺服器正在使用的代理伺服器
要更改隧道伺服器 Linux 主機所使用的代理伺服器設定,請使用以下程序:
在隧道伺服器上,編輯 /etc/mstunnel/env.sh 並指定新的代理伺服器。
執行
mst-cli install。此指令會用新的代理伺服器細節重建容器。 在這個過程中,你會被要求驗證 /etc/mstunnel/env.sh 的內容,並確保憑證已安裝。 憑證應該已經是從之前的代理伺服器設定中存在的。
要確認兩者並完成設定,請輸入 「是」。
將受信任的根憑證加入隧道容器
當以下情況,必須將受信任根憑證加入隧道容器:
- 外部伺服器流量需要 SSL 代理檢查。
- 隧道容器存取的端點並未免於代理檢查。
步驟:
- 將受信任的根憑證以 .crt 副檔名複製到
/etc/mstunnel/ca-trust - 使用「mst-cli server restart」和「mst-cli agent restart」來重啟隧道容器
更改隧道伺服器的 VPN 會話逾時
你可以使用 Microsoft Graph Beta 和 PowerShell 來更改隧道伺服器 VPN 會話逾時。 預設情況下,隧道伺服器 VPN 會持續一小時。 你可以用 Windows 機器和 PowerShell 來設定較短的會話逾時。
預設情況下,隧道伺服器 VPN 會持續一小時。 你可以使用 Microsoft Graph Beta 和 PowerShell,設定較短的會話逾時,例如五分鐘或十分鐘。
必要條件
在 Windows 機器上安裝名為 Microsoft.Graph.Beta 的 Microsoft Graph Beta PowerShell 模組。 欲了解更多此前置條件,請參閱 PowerShell 文件中的 「安裝 Microsoft Graph PowerShell SDK 」。
PowerShell 指令用來更改 VPN 會話逾時
在你匯入 Graph 模組的 Windows 電腦上,使用管理員帳號執行以下 PowerShell 指令。
在以下 PowerShell 指令中,將看起來類似 <id>的變數替換為用雙引號包圍的預期值。 例如,若第 2 步的 ID 為 12345-abcde-67890-fghij,第 3 步的指令列會顯示為 Get-MgBetaDeviceManagementMicrosoftTunnelConfiguration -MicrosoftTunnelConfigurationId "12345-abcde-67890-fghij" | Format-List
使用擁有管理員權限的帳號連接 Graph:
Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"列出隧道設定,然後複製你想更改的設定 ID:
Get-MgBetaDeviceManagementMicrosoftTunnelConfiguration(AdvancedSettings 欄位應該是空的,) 取得設定細節:
Get-MgBetaDeviceManagementMicrosoftTunnelConfiguration -MicrosoftTunnelConfigurationId <id> | Format-List建立一個設定,設定設定為所需值:
$setting = New-Object -TypeName Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphKeyValuePair; $setting.Name = "session-timeout"; $setting.Value = <integer-in-seconds>更新設定的進階設定:
Update-MgBetaDeviceManagementMicrosoftTunnelConfiguration -MicrosoftTunnelConfigurationId <id> -AdvancedSettings @($setting)確認進階設定是否已更新:
Get-MgBetaDeviceManagementMicrosoftTunnelConfiguration -MicrosoftTunnelConfigurationId <id> | Format-List
所有伺服器應在變更後五分鐘內收到新設定。 要驗證伺服器上的設定,請檢查 /etc/mstunnel/ocserv.conf 更新後的值。
部署 Microsoft Tunnel 用戶端應用程式
要使用 Microsoft Tunnel,裝置需要存取 Microsoft Tunnel 用戶端應用程式。 Microsoft Tunnel 使用 適用於端點的 Microsoft Defender 作為 Tunnel 用戶端應用程式:
Android:從 Google Play 商店下載 適用於端點的 Microsoft Defender 作為 Microsoft Tunnel 客戶端應用程式使用。 請參見將 Android 商店應用程式加入 Microsoft Intune。
當您將 適用於端點的 Microsoft Defender 作為隧道用戶端應用程式,並作為行動威脅防禦 (MTD) 應用程式時,請參閱 MTD 使用適用於端點的 Microsoft Defender及作為 Microsoft 隧道用戶端應用程式,了解重要的設定指引。
iOS/iPadOS:從 Apple App Store 下載 適用於端點的 Microsoft Defender 作為 Microsoft Tunnel 用戶端應用程式使用。 請參閱將 iOS 商店應用程式加入 Microsoft Intune。
欲了解更多關於使用 Intune 部署應用程式的資訊,請參閱將應用程式加入 Microsoft Intune。
建立 VPN 設定檔
Microsoft 隧道安裝完成並裝置安裝 適用於端點的 Microsoft Defender 後,你可以部署 VPN 設定檔,引導裝置使用隧道。 為此,請建立帶有 Microsoft 隧道連線類型的 VPN 設定檔:
Android:Android 平台支援透過每個應用程式的 VPN 路由流量,並獨立或同時分割隧道規則。
iOS/iPadOS iOS 平台支援透過每個應用程式的 VPN 或分割隧道規則來路由流量,但不會同時兩者。 如果你在 iOS 上啟用了每個應用程式的 VPN,分割隧道的規則就會被忽略。
Android
登入 Microsoft Intune 管理中心>> 裝置管理裝置>>配置,在政策標籤中選擇建立。
平台選項,選擇 Android 企業版。 在 個人檔案 中,選擇 VPN 以選擇企業 擁有的工作設定檔 或 個人擁有的工作設定檔,然後選擇 建立。
注意事項
Microsoft Tunnel 不支援 Android Enterprise 專用 裝置。
在 基礎 標籤中,輸入 名稱 和 描述 (可選) ,然後選擇 「下一步」。
連線 類型 請選擇 Microsoft 隧道,然後設定以下細節:
基礎 VPN:
- 對於 連線名稱,請指定一個要顯示給使用者的名稱。
- 對於 Microsoft 隧道站,請選擇此 VPN 設定檔所使用的隧道站點。
每個應用程式的 VPN:
- 每個應用程式 VPN 設定檔中分配的應用程式會將應用程式流量傳送到隧道。
- 在 Android 上,啟動應用程式不會啟動每個應用程式的 VPN。 然而,當 VPN 將 Always-on VPN 設為 啟用時,VPN 已經連線,應用程式流量則使用該 VPN 的啟用。 如果 VPN 沒有設定為 Always-on,使用者必須手動啟動 VPN 才能使用。
- 如果你使用 Defender for Endpoint 應用程式連接 Tunnel,啟用網頁保護,且使用每個應用程式的 VPN,網頁保護只會適用於每個應用程式 VPN 清單中的應用程式。 對於有工作設定檔的裝置,在這種情況下,我們建議將工作設定檔內的所有瀏覽器加入每個應用程式的 VPN 清單,以確保所有工作設定檔的網頁流量受到保護。
- 要啟用每個應用程式的 VPN,請選擇新增,然後瀏覽已匯入 Intune 的自訂或公開應用程式。
永遠連線的 VPN:
- 對於 Always-on VPN,請選擇 啟用 ,讓 VPN 用戶端自動連接並重新連接 VPN。 始終連線的 VPN 連線會保持連線。 如果 Per-app VPN 設定為 啟用,只有你選擇的應用程式流量會經過隧道。
代理:
為你的環境設定代理伺服器細節。
注意事項
Android 版本 10 之前不支援代理伺服器設定。 更多資訊請參閱 Android 開發者文件中的 VpnService.Builder 。
欲了解更多 VPN 設定資訊,請參閱 Android Enterprise 裝置設定以設定 VPN
在 分配 標籤中,設定將接收此設定檔的群組。
在 「檢視+建立 」標籤中,檢視設定,然後選擇 「建立 」來儲存。
iOS
登入 Microsoft Intune 管理中心>裝置>管理>裝置 配置>建立。
在 平台設定中,選擇 iOS/iPadOS,然後在 個人檔案 中選擇 VPN,接著 選擇建立。
在 基礎 標籤中,輸入 名稱 和 描述 (可選) ,然後選擇 「下一步」。
對於 連線類型,請選擇 Microsoft 隧道 ,然後設定以下項目:
基礎 VPN:
- 對於 連線名稱,請指定一個要顯示給使用者的名稱。
- 對於 Microsoft 隧道站點,點選「 選擇一個站 點」,然後選擇這個 VPN 設定檔所使用的隧道站點。
注意事項
在 iOS 裝置上同時使用 Microsoft Tunnel VPN 連線與 Defender Web Protection 並用時,必須設定「隨選」規則,以有效啟動「睡眠時斷線」設定。 若未這麼做,當 iOS 裝置進入睡眠模式(VPN 開啟時),隧道 VPN 和 Defender VPN 都會被斷開連接。
然而,由於單 Sign-On (SSO) 應用程式取得存取權杖的方式與隧道 VPN 按需規則之間的衝突,使用 SSO 時不支援在同時使用「Deisconnect on Sleep」時,設定隨選規則以連接所有網域。
一般建議為每個應用程式的 VPN 設定隨選規則,因為這讓應用程式能依需求啟動 VPN 連線,並確保「睡眠時斷線」設定正常運作。
每個應用程式的 VPN:要啟用每個應用程式的 VPN,請選擇 啟用。 iOS 的每個應用程式 VPN 需要額外的設定步驟。 當每個應用程式的 VPN 設定好時,iOS 會忽略你的分割隧道規則。
更多資訊請參閱 iOS/iPadOS 的 Per-App VPN。
隨選 VPN 規則:定義隨選規則,允許在特定 FQDN 或 IP 位址條件下使用 VPN。
欲了解更多資訊,請參閱 自動 VPN 設定。
代理伺服器:為你的環境設定代理伺服器細節。
注意事項
在 iOS 裝置上同時使用 Microsoft Tunnel VPN 連線與 Defender Web Protection 並用結合模式時,設定「隨選」規則以有效啟動「睡眠斷開」設定至關重要。 在設定隧道 VPN 設定檔時,要設定按需規則:
- 在設定頁面,展開 「隨需 VPN 規則 」區塊。
- 對於 隨選規則,請選擇 新增 以開啟 新增列 窗格。
- 在 新增列 的窗格中,設定「 我想做以下操作 」「 連接 VPN」,然後「 我想限制 」選擇一個限制,例如「 所有網域」。
- 你也可以選擇性地在 But 欄位新增 URL, 前提是這個 URL 探測成功 。
- 選取 [儲存]。
Android Enterprise 使用代理排除清單
當你在環境中使用單一直接代理伺服器時,你可以在 Android Enterprise 的 Microsoft Tunnel VPN 設定檔中使用代理排除清單。 代理排除清單支援Microsoft隧道與適用於 MAM 的 Microsoft Tunnel。
重要事項
代理排除清單僅在使用單一代理直接代理伺服器時才被支援。 在多個代理伺服器同時使用的環境中,這些伺服器並不被支援。
VPN 設定檔中的代理排除清單支援輸入特定網域,以排除接收並使用該設定檔的裝置,從你的直接代理設定中剔除。
以下為排除清單條目的支援格式:
- 完整網址與子網域完全匹配。 例如,
sub.contoso.com - 網址領域的領先萬用卡。 例如,使用完整網址範例,我們可以將子網域 (子網域名稱) 星號取代,以擴展支援範圍,涵蓋所有 contso.com 子網域:
*.contoso.com - IPv4 與 IPv6 位址
不支援的格式包括:
- 內部萬用卡。 例如:
con*oso.com、、contos*.com和contoso.*
設定代理排除清單
你可以在編輯或建立 Android Enterprise 平台的 Microsoft 隧道 VPN 設定檔 時,設定排除清單。
在設定頁面,當你把連線類型設為 Microsoft Tunnel 後:
展開代理,然後在代理排除清單中選擇管理代理排除。
在 代理排除清單 面板上:
- 在文字輸入框中,指定一個 URL 或 IP 位址。 每次新增條目時,都會提供一個新的文字輸入框,供更多條目使用。
- 選擇 匯入 以開啟 匯入代理排除 選區,然後你可以匯入一個以 CSV 格式呈現的清單。
- 選擇 匯出 可匯出此設定檔中目前的排除清單,格式為 CSV 檔案。
選擇 確定 以儲存你的代理排除清單設定,然後繼續編輯 VPN 設定檔。
使用自訂設定來使用適用於端點的 Microsoft Defender
Intune 支援 適用於端點的 Microsoft Defender,作為 MTD 應用程式,以及 Android Enterprise 裝置上的 Microsoft Tunnel 用戶端應用程式。 如果你同時使用 Defender for Endpoint 作為 Microsoft Tunnel 用戶端應用程式和 MTD 應用程式,你可以在 VPN 設定檔中自訂 設定 來簡化 Microsoft Tunnel 的設定。 VPN 設定檔的自訂設定取代了使用獨立應用程式設定檔的需求。
對於 註冊為Android Enterprise 個人擁有的工作設定檔 ,且同時使用 Defender for Endpoint 進行兩種用途的裝置,必須使用自訂設定,而非應用程式設定設定檔。 在這些裝置上,Defender for Endpoint 的應用程式設定檔會與 Microsoft Tunnel 衝突,可能導致裝置無法連接到 Microsoft Tunnel。
如果你使用 適用於端點的 Microsoft Defender for Microsoft Tunnel,但不使用 MTD,則繼續使用 App Tunnel 設定檔來設定 適用於端點的 Microsoft Defender 作為隧道用戶端。
在 VPN 設定檔中加入應用程式設定支援,適用於端點的 Microsoft Defender Microsoft 隧道
請使用以下資訊在 VPN 設定檔中設定自訂,以取代獨立應用程式設定檔,來設定 適用於端點的 Microsoft Defender。 可用設定因平台而異。
針對 Android 企業級裝置:
| 配置鍵 | 值類型 | 配置值 | 描述 |
|---|---|---|---|
| VPN | 整數 | 選項: 1 - 啟用預設 () 0 - 停用 |
設定為啟用,以允許 適用於端點的 Microsoft Defender 反釣魚功能使用本地 VPN。 |
| 反尋 | 整數 | 選項: 1 - 啟用預設 () 0 - 停用 |
設定為啟用以啟用 適用於端點的 Microsoft Defender 防釣魚功能。 當功能被停用時,反釣魚功能即被關閉。 |
| 防守者切換 | 整數 | 選項: 1 - 啟用預設 () 0 - 停用 |
設定為啟用以使用 適用於端點的 Microsoft Defender。 停用後,適用於端點的 Microsoft Defender 功能將無法使用。 |
針對 iOS/iPad 裝置:
| 配置鍵 | 值 | 描述 |
|---|---|---|
| 僅隧道 |
正確 ——所有 Defender for Endpoint 功能都被停用。 如果你只用 App 來支援 Tunnel 功能,這個設定應該用。
預設) ( False - Defender for Endpoint 功能已啟用。 |
判斷 Defender 應用程式是否僅限於 Microsoft Tunnel,或是否同時支援完整的 Defender for Endpoint 功能。 |
| 網路保護 |
真正的 (預設) ——網路保護已啟用,使用者可以在 Defender for Endpoint 應用程式中看到網頁保護標籤。
錯誤 ——網頁保護已被停用。 若部署了隧道 VPN 設定檔,使用者只能在 Defender for Endpoint 應用程式中看到儀表板與隧道分頁。 |
判定該應用程式是否啟用 Defender for Endpoint Web Protection (反釣魚功能) 。 預設情況下,這個功能是開啟的。 |
| AutoOnboard |
正確 – 若啟用 Web Protection,Defender for Endpoint 應用程式會自動獲得新增 VPN 連線權限,且不會提示使用者。 必須設定「Connect VPN」按需規則。 欲了解更多隨選規則資訊,請參閱自動 VPN 設定。
預設 (錯誤) – 若啟用網路保護,使用者會被提示允許 Defender for Endpoint 應用程式新增 VPN 設定。 |
判斷是否啟用 Defender for Endpoint Web Protection,且使用者未要求新增 VPN 連線 (,因為網路保護功能需要本地 VPN) 。 此設定僅適用於 WebProtection 設 為 True。 |
配置 TunnelOnly 模式以符合歐盟資料邊界
截至2022年曆年末,所有個人資料,包括客戶內容 (CC) 、EUII、EUPI及支援資料,必須在歐盟 (歐盟租戶的歐盟) 中儲存與處理。
Defender for Endpoint 中的 Microsoft 隧道 VPN 功能符合歐盟資料邊界 (EUDB) 規範。 然而,雖然 Defender for Endpoint 與日誌相關的威脅防護元件尚未符合 EUDB 規範,Defender for Endpoint 是資料 保護附錄 (DPA) 的一部分,且符合《通用資料保護條例》 (GDPR) 。
同時,擁有歐盟租戶的 Microsoft Tunnel 客戶可在 Defender for Endpoint 用戶端應用程式中啟用 TunnelOnly 模式。 要設定此功能,請使用以下步驟:
請依照「安裝並設定 Microsoft 隧道 VPN 解決方案 for Microsoft Intune |Microsoft Learn 建立應用程式配置政策,該政策會停用 Defender for Endpoint 的功能。
建立一個叫 做 TunnelOnly 的金鑰,並將值設為 True。
透過設定 TunnelOnly 模式,所有 Defender for Endpoint 功能會被停用,但 Tunnel 功能仍可在應用程式中使用。
非你組織租戶專屬的訪客帳號和Microsoft帳號 (MSA) ,不支援使用 Microsoft 隧道 VPN 進行跨租戶存取。 這表示這類帳號無法透過 VPN 安全存取內部資源。 在使用 Microsoft Tunnel VPN 建立內部資源的安全存取時,務必牢記此限制。
欲了解更多關於歐盟資料邊界的資訊,請參閱 Microsoft 雲端的歐盟資料邊界 | Microsoft 安全與合規部落格上的常見問題。
安裝隧道伺服器後安裝 Linux 系統稽核功能
Linux 系統稽核能協助識別承載 Microsoft 隧道的 Linux 伺服器上的安全相關資訊或安全違規行為。 建議對 Microsoft 隧道進行 Linux 系統稽核,但並非必須。 要使用系統稽核,Linux 伺服器必須安裝可選的稽核套件至 /etc/audit/auditd.conf。
如果你已經在 Linux 上安裝了隧道伺服器,但缺少 audited,請依照以下步驟進行安裝。 關於在安裝 Microsoft Tunnel 前於 Linux 伺服器安裝 auditd 的相關資訊,請參閱「手動安裝 auditd」以取得Linux系統稽核Microsoft隧道前置條件。
在隧道伺服器上進行安裝審核
當 Microsoft Tunnel server 已經安裝在 Linux 伺服器上時,你可以使用 mst-cli 命令列工具,並依以下步驟進行安裝審核。
在開始安裝程序前,請使用以下連結下載 Microsoft 的 mst.rules 檔案: https://aka.ms/TunnelAuditdRules。 (連結下載了一個名為 mst.rules.)
安裝審核過的函式庫和外掛。 請在 Linux 伺服器上執行以下指令:
- Ubuntu:
sudo apt install auditd audispd-plugins - RHEL:
sudo dnf install audit audit-libs audispd-plugins(預設情況下,RHEL 應該已經安裝了審核 )
- Ubuntu:
將 Tunnel mst.rules 的審核規則複製到 Linux 伺服器:
- 將 mst.rules 檔案複製到你的伺服器,然後執行以下指令將它們移到正確的資料夾:
sudo cp /path/to/mst.rules /etc/audit/rules.d
- 將 mst.rules 檔案複製到你的伺服器,然後執行以下指令將它們移到正確的資料夾:
要載入新的審核規則,請執行以下指令:
sudo augenrules --load確認新規則已被執行。 跑 'sudo auditctl -l'
日誌儲存在 /var/log/audit/audit.log。 你可以用這個 sudo ausearch 指令來搜尋那段日誌。 例如,sudo ausearch -f TARGET_DIRECTORY。
升級 Microsoft Tunnel
Intune 會定期釋出 Microsoft 隧道伺服器的更新。 為了維持支援,隧道伺服器必須運行最新版本,或最多落後一個版本。
預設情況下,一旦有新的升級可用,Intune 會自動盡快開始在每個隧道站點升級隧道伺服器。 為了幫助你管理升級,你可以設定管理升級流程的選項:
你可以允許伺服器自動升級,或在升級開始前要求管理員批准。
你可以設定維護視窗,限制站點升級開始的時間。
欲了解更多關於 Microsoft 隧道升級的資訊,包括如何查看隧道狀態及設定升級選項,請參見 升級 Microsoft 隧道。
更新 Linux 伺服器上的 TLS 憑證
你可以使用 ./mst-cli 命令列工具更新伺服器上的 TLS 憑證:
PFX:
- 將憑證檔案複製到 /etc/mstunnel/private/site.pfx
- 跑步:
mst-cli import_cert - 跑步:
mst-cli server restart
PEM:
- 將新憑證複製到 /etc/mstunnel/certs/site.crt
- 將私鑰複製到 /etc/mstunnel/private/site.key
- 跑步:
mst-cli import_cert - 跑步:
mst-cli server restart
注意事項
「import-cert」指令加上一個額外參數「delay」。這個參數允許你指定匯入憑證使用前的延遲時間。 範例:mst-cli import_cert delay 10080
欲了解更多關於 mst-cli 的資訊,請參閱 Microsoft 隧道參考文獻。
使用無根的Podman容器
當你使用 Red Hat Linux 搭配 Podman 容器來架設 Microsoft 隧道時,你可以將容器設定為無根容器。
使用無根容器有助於減少容器逃逸的影響,因為伺服器上 /etc/mstunnel 資料夾內及下方的所有檔案都歸非特權使用者服務帳號所有。 執行 Tunnel 的 Linux 伺服器帳號名稱與標準安裝相同,但建立時沒有 root 使用者權限。
要成功使用無根 Podman 容器,您必須:
在先設條件後,你可以先使用 安裝腳本程序 下載安裝腳本,然後使用修改過的腳本命令列執行安裝。
無根 Podman 容器的額外前提條件
使用無根 Podman 容器時,你的環境必須符合以下先決條件,這些條件是 除了 預設的 Microsoft Tunnel 先決條件之外:
支援平台:
Linux伺服器必須運行 Red Hat (RHEL) 8.8 或更新版本。
容器必須執行 Podman 4.6.1 或更新版本。 Docker 不支援無根容器。
無根容器必須安裝在 /home 資料夾下方。
/home 資料夾必須有至少 10 GB 的可用空間。
吞吐量:
- 峰值吞吐量不應該超過 230Mbps
網絡:
以下網路設定在無根命名空間中無法使用,必須在 /etc/sysctl.conf 中設定:
net.core.somaxconn=8192net.netfilter.nf_conntrack_acct=1net.netfilter.nf_conntrack_timestamp=1
此外,如果你將無根隧道閘道綁定到小於 1024 的埠口,你還必須在 /etc/sysctl.conf 中加入以下設定,並設定為你使用的埠:
net.ipv4.ip_unprivileged_port_start
例如,要指定埠 443,請使用以下條目: net.ipv4.ip_unprivileged_port_start=443
編輯 sysctl.conf 後,必須先重啟 Linux 伺服器,才能生效新設定。
無根使用者的外發代理:
為了支援無根使用者的外撥代理,請編輯 /etc/profile.d/http_proxy.sh 並新增以下兩行。 以下行中, 10.10.1:3128 是一個範例 address:port entry。 加入這些線時,請將 10.10.10.1:3128 替換成你的代理 IP 位址和埠口的數值:
export http_proxy=http://10.10.10.1:3128export https_proxy=http://10.10.10.1:3128
無根 Podman 容器的修改安裝命令列
要將 Microsoft Tunnel 安裝到無根 Podman 容器,請使用以下命令列開始安裝腳本。 此命令列將 mst_rootless_mode 設為環境變數,並取代安裝程序第 2 步中預設安裝命令列的使用:
mst_rootless_mode=1 ./mstunnel-setup
卸載 Microsoft 隧道
要解除安裝產品,請以 root 身份從 Linux 伺服器執行 mst-cli 卸載。 這也會讓伺服器從 Intune 管理中心移除。