適用于 Microsoft Intune 的 Microsoft Tunnel

  • 發行項

Microsoft Tunnel 是適用于Microsoft Intune的 VPN 閘道解決方案,可在 Linux 上的容器中執行,並允許使用新式驗證和條件式存取從 iOS/iPadOS 和 Android Enterprise 裝置存取內部部署資源。

本文介紹核心 Microsoft Tunnel、其運作方式及其架構。

如果您已準備好部署 Microsoft Tunnel,請參閱 Microsoft Tunnel 的必要條件,然後 設定 Microsoft Tunnel

部署 Microsoft Tunnel 之後,您可以選擇新增適用于行動應用程式管理的 Microsoft Tunnel (Tunnel for MAM) 。 MAM 的通道會擴充 Microsoft Tunnel VPN 閘道,以支援執行 Android 或 iOS 且未向Microsoft Intune註冊的裝置。 當您將 Microsoft Intune方案 2 或Microsoft Intune Suite新增為租使用者的附加元件授權即可使用 MAM 的通道。

注意事項

Microsoft Tunnel 不使用聯邦資訊處理標準 (FIPS) 相容的演算法。

提示

從 Microsoft 下載中心下載Microsoft Tunnel 部署指南 v2。

Microsoft Tunnel 概觀

Microsoft Tunnel 閘道會安裝到在 Linux 伺服器上執行的容器上。 Linux 伺服器可以是內部部署環境中的實體方塊,或是在內部部署或雲端中執行的虛擬機器。 若要設定 Tunnel,您可以將適用於端點的 Microsoft Defender部署為 Microsoft Tunnel 用戶端應用程式,並將 Intune VPN 設定檔部署到您的 iOS 和 Android 裝置。 用戶端應用程式和 VPN 設定檔可讓裝置使用通道來連線到公司資源。 當通道裝載于雲端時,您必須使用 Azure ExpressRoute 之類的解決方案,將內部部署網路延伸至雲端。

透過Microsoft Intune系統管理中心,您將:

  • 下載您在 Linux 伺服器上執行的 Microsoft Tunnel 安裝腳本。
  • 設定 Microsoft Tunnel 閘道的各個層面,例如 IP 位址、DNS 伺服器和埠。
  • 將 VPN 設定檔部署到裝置,以引導它們使用通道。
  • 將通道用戶端應用程式適用於端點的 Microsoft Defender () 部署到您的裝置。

透過適用于端點的 Defender 應用程式、iOS/iPadOS 和 Android Enterprise 裝置:

  • 使用Microsoft Entra識別碼向通道進行驗證。
  • 使用 Active Directory 同盟服務 (AD FS) 向通道進行驗證。
  • 會根據您的條件式存取原則進行評估。 如果裝置不符合規範,則無法存取您的 VPN 伺服器或內部部署網路。

您可以安裝多部 Linux 伺服器來支援 Microsoft Tunnel,並將伺服器合併成稱為 Sites的邏輯群組。 每部伺服器都可以加入單一網站。 當您設定月臺時,您要定義裝置在存取通道時要使用的連接點。 月臺需要您定義並指派給月臺的 伺服器 組態。 伺服器組態會套用至您新增至該月臺的每部伺服器,以簡化更多伺服器的設定。

若要引導裝置使用通道,您可以建立並部署 Microsoft Tunnel 的 VPN 原則。 此原則是使用 Microsoft Tunnel 作為連線類型的裝置設定 VPN 設定檔。

通道的 VPN 設定檔功能包括:

  • 使用者可以看見的 VPN 連線易記名稱。
  • VPN 用戶端所連線的月臺。
  • 每個應用程式 VPN 組態,定義 VPN 設定檔用於哪些應用程式,以及是否一律開啟。 一律開啟時,VPN 會自動連線,且僅用於您定義的應用程式。 如果未定義任何應用程式,永遠開啟連線會提供來自裝置之所有網路流量的通道存取。
  • 針對已設定適用於端點的 Microsoft Defender支援個別應用程式 VPN 和TunnelOnly模式設定為True的 iOS 裝置,使用者不需要在其裝置上開啟或登入Microsoft Defender,即可使用 Tunnel。 相反地,當使用者登入裝置上的公司入口網站,或使用具有有效權杖進行存取之多重要素驗證的任何其他應用程式時,會自動使用通道個別應用程式 VPN。 iOS/iPadOS 支援TunnelOnly模式,並停用 Defender 功能,只保留 Tunnel 功能。
  • 當使用者啟動 VPN 並選取 [連線] 時,手動連線到信
  • 在符合特定 FQDN 或 IP 位址的條件時,允許使用 VPN 的隨選 VPN 規則。 (iOS/iPadOS)
  • iOS/iPadOS、Android 10+) (Proxy 支援

伺服器組態包括:

  • IP 位址範圍 – 指派給連線到 Microsoft Tunnel 之裝置的 IP 位址。
  • DNS 伺服器 – DNS 伺服器裝置應該在連線到伺服器時使用。
  • DNS 尾碼搜尋。
  • 分割通道規則 – 在包含和排除路由之間共用最多 500 個規則。 例如,如果您建立 300 個包含規則,則最多可以有 200 個排除規則。
  • 埠 – Microsoft Tunnel 閘道接聽的埠。

月臺設定包括:

  • 公用 IP 位址或 FQDN,這是使用通道之裝置的連接點。 此位址可以是針對個別伺服器或負載平衡伺服器的 IP 或 FQDN。
  • 套用至月臺中每部伺服器的伺服器組態。

當您在 Linux 伺服器上安裝通道軟體時,您會將伺服器指派給月臺。 安裝會使用您可以從系統管理中心下載的腳本。 啟動腳本之後,系統會提示您為您的環境設定其作業,包括指定伺服器將加入的月臺。

若要使用 Microsoft Tunnel,裝置必須安裝適用於端點的 Microsoft Defender應用程式。 您可以從 iOS/iPadOS 或 Android 應用程式商店取得適用的應用程式,並將其部署給使用者。

架構

Microsoft Tunnel 閘道會在 Linux 伺服器上執行的容器中執行。

繪製 Microsoft Tunnel 閘道架構

元件

  • A – Microsoft Intune。
  • B- Microsoft Entra識別碼。
  • C – 具有 Podman 或 Docker CE 的 Linux 伺服器 (如需哪些版本需要 Podman 或 Docker) 的詳細資訊,請參閱 Linux 伺服器 需求
    • C.1 - Microsoft Tunnel 閘道。
    • C.2 – 管理代理程式。
    • C.3 – 驗證外掛程式 – 使用Microsoft Entra進行驗證的授權外掛程式。
  • D – Microsoft Tunnel 的公開 IP 或 FQDN,可代表負載平衡器。
  • E – 行動裝置裝置管理 (MDM) 已註冊的裝置,或使用行動應用程式管理通道的未註冊行動裝置。
  • F – 防火牆
  • G – 內部 Proxy 伺服器 (選擇性) 。
  • H – 公司網路。
  • I – 公用網際網路。

動作

  • 1 - Intune 系統管理員設定 伺服器組 態和 月臺,伺服器組態會與月臺相關聯。
  • 2 - Intune 系統管理員會安裝 Microsoft Tunnel 閘道,而驗證外掛程式會使用Microsoft Entra來驗證 Microsoft Tunnel 閘道。 Microsoft Tunnel 閘道伺服器會指派給月臺。
  • 3 - 管理代理程式會與 Intune 通訊以擷取您的伺服器設定原則,以及將遙測記錄傳送至 Intune。
  • 4 - Intune 系統管理員會建立 VPN 設定檔,並將 Defender 應用程式部署到裝置。
  • 5 - 裝置驗證以Microsoft Entra。 系統會評估條件式存取原則。
  • 6 - 使用分割通道:
    • 6.a - 部分流量會直接流向公用網際網路。
    • 6.b - 某些流量會流向您針對通道的公用 IP 位址。 VPN 通道會透過埠 443 使用 TCP、TLS、UDP 和 DTLS。 此流量需要開啟輸入和輸出 防火牆埠
  • 7 - 通道會將流量路由傳送至內部 Proxy (選擇性) 和/或公司網路。 IT 系統管理員必須確保來自通道閘道伺服器內部介面的流量可以成功路由傳送至內部公司資源, (IP 位址範圍和埠) 。

注意事項

  • 通道閘道會與用戶端維護兩個通道。 控制通道是透過 TCP 和 TLS 建立。 這也可作為備份資料通道。 然後,它會尋找使用 DTLS (Datagram TLS 建立 UDP 通道,這是透過 UDP 實作的 TLS) ,可作為主要資料通道。 如果 UDP 通道無法建立或暫時無法使用,則會使用透過 TCP/TLS 的備份通道。 根據預設,埠 443 同時用於 TCP 和 UDP,但可透過 Intune 伺服器組態 - 伺服器埠 設定來自訂。 如果將預設埠變更 (443) 請確定您的輸入防火牆規則會調整為自訂埠。

  • 指派的用戶端 IP 位址 (網路上其他裝置看不到 Tunnel) 伺服器組態中的IP 位址範圍設定。 Microsoft Tunnel 閘道會使用埠位址轉譯 (PAT) 。 PAT 是一種網路位址轉譯 (NAT) ,其中來自伺服器組態的多個私人 IP 位址會透過埠對應到單一 IP (多對一) 。 用戶端流量會有 Linux 伺服器主機的來源 IP 位址。

中斷並檢查

許多商業網路會使用 Proxy 伺服器、防火牆、SSL 中斷和檢查、深層封包檢查和資料外泄防護系統等技術,針對網際網路流量強制執行網路安全性。 這些技術可為一般網際網路要求提供重要的風險降低,但在套用至 Microsoft Tunnel 閘道和 Intune 服務端點時,可大幅降低效能、延展性和使用者體驗品質。

下列資訊概述不支援中斷和檢查的位置。 參考是上一節中的架構圖表。

  • 下欄區域不支援中斷和檢查

    • 通道閘道不支援 SSL 中斷和檢查、TLS 中斷和檢查,或用戶端連線的深層封包檢查。
    • 不支援使用防火牆、Proxy、負載平衡器或任何終止和檢查進入通道閘道之用戶端會話的技術,並導致用戶端連線失敗。 (參閱架構圖表) 中的 FDC
    • 如果 Tunnel 閘道使用輸出 Proxy 進行網際網路存取,則 Proxy 伺服器無法執行中斷和檢查。 這是因為通道閘道管理代理程式在連線到 Intune 時會使用 TLS 相互驗證 (請參閱架構圖表) 中的 3 。 如果在 Proxy 伺服器上啟用中斷和檢查,管理 Proxy 伺服器的網路系統管理員必須將通道閘道伺服器 IP 位址和完整功能變數名稱 (FQDN) 新增至這些 Intune 端點的核准清單。

其他詳細資料

  • 條件式存取是在 VPN 用戶端中,並根據雲端應用程式 Microsoft Tunnel 閘道來完成。 不符合規範的裝置不會從Microsoft Entra識別碼接收存取權杖,也無法存取 VPN 伺服器。 如需搭配 Microsoft Tunnel 使用條件式存取的詳細資訊,請 參閱搭配 Microsoft Tunnel 使用條件式存取

  • 管理代理程式已使用 Azure 應用程式識別碼/秘密金鑰,針對Microsoft Entra識別碼進行授權。

後續步驟