¿Cómo configuré una VPN de GlobalProtect usando el espacio de trabajo para iOS?

Descargar e implementar la aplicación GlobalProtect:
La aplicación GlobalProtect para iOS primero debe estar disponible para los usuarios finales a través del espacio de trabajo uno. La aplicación está disponible en Apple App Store y se puede implementar en dispositivos administrados inscritos en Workspace One. Para esto, los administradores agregan la aplicación GlobalProtect al espacio de trabajo One Console seleccionando Recursos> Aplicaciones> Nativo> Public y luego agregando la aplicación. La aplicación GlobalProtect se administrará bajo el grupo y plataforma organizacional seleccionados como iOS. Una vez agregado, la aplicación se puede enviar a dispositivos en grupos inteligentes específicos automáticamente o estar disponibles para la instalación opcional del usuario.

Inscripción de dispositivos utilizando el espacio de trabajo One:
Para administrar GlobalProtect a través del espacio de trabajo One, los dispositivos iOS deben inscribirse en el espacio de trabajo One MDM utilizando el agente de Workspace One. La inscripción permite a los administradores presionar los perfiles de configuración y la configuración de la aplicación a los dispositivos administrados. La inscripción generalmente implica descargar el espacio de trabajo One One Hub App en el dispositivo iOS y seguir las indicaciones en pantalla para registrar el dispositivo en el entorno de gestión corporativa.

Configuración del perfil VPN en el espacio de trabajo One:
Una vez que se implementa la aplicación, el siguiente paso es crear o modificar un perfil de dispositivo iOS para configurar la configuración de VPN globalprotect. Esto se realiza a través del espacio de trabajo One Console navegando a Recursos> Perfiles y líneas de base> Perfiles> Agregar perfil, seleccionar perfil del dispositivo iOS y elegir el contexto del perfil del dispositivo.

Al configurar el perfil, la sección general incluye darle un nombre al perfil y una descripción opcional, configurar métodos de implementación como administrado (eliminable en unrollment) o manual (la eliminación del usuario final necesario) y el tipo de asignación que especifica la implementación automática, opcional o basada en el cumplimiento.

Configuración de configuraciones de VPN:
En la configuración del perfil, se definen configuraciones de VPN específicas que permiten que GlobalProtect se conecte automáticamente utilizando modelos de confianza cero y VPN siempre encendido donde se desee.

- VPN siempre activo puede habilitarse para mantener el túnel GlobalProtect activo continuamente en el dispositivo.
- Ingrese la dirección del portal o el nombre de dominio totalmente calificado (FQDN) de GlobalProtect Gateway.
-Configure los métodos de autenticación, las opciones de certificado del cliente y los métodos de conexión VPN, como User-LOGON o a pedido.
- Especifique la configuración de VPN por APP si corresponde al tráfico del túnel solo desde aplicaciones específicas.
- Controle las opciones de derivación de la red para permitir o no permitir cierto tráfico para evitar el túnel VPN.
- Incluya configuraciones personalizadas como pares de valor clave, por ejemplo, enviando el identificador único del dispositivo (UDID) a la aplicación GlobalProtect para la integración de HIP (perfil de información de host).
- Configure los atributos de cumplimiento y propiedad del dispositivo para habilitar las políticas de acceso condicional que la VPN impone en los intentos de conexión.

Implementación y experiencia del usuario:
Después de publicar el perfil, la configuración se presiona a los dispositivos iOS inscritos automáticamente (si se asigna como Auto) o mediante instalación manual desde Workspace One de autoservicio (si es opcional). Cuando se instala la aplicación GlobalProtect y se aplica el perfil, los usuarios podrán conectarse a la VPN sin problemas.

Al lanzar la aplicación GlobalProtect o con VPN siempre encendido, la conexión VPN se establecerá automáticamente. Se puede solicitar a los usuarios que ingresen sus credenciales (nombre de usuario/contraseña) o realicen autenticación multifactor, dependiendo de la configuración del portal. La aplicación admite métodos de autenticación comunes que incluyen LDAP, radio, SAML, certificados de cliente y nombre de usuario/contraseña local.

Una vez conectado, aparece un icono VPN en la barra de estado de iOS, lo que indica una conexión segura activa. La aplicación permanece conectada en segundo plano, enrutando el tráfico de acuerdo con las políticas configuradas sin intervención del usuario.

Notas adicionales sobre red y seguridad:
- Los administradores pueden definir filtros de red en la puerta de enlace GlobalProtect para enrutar tráfico o aplicaciones específicas a través del túnel VPN.
- La integración con el espacio de trabajo Uno permite aprovechar los estados de cumplimiento del dispositivo para hacer cumplir la aplicación de la política de seguridad antes de permitir el acceso a VPN.
- Las configuraciones de VPN por-app habilitan el enrutamiento solo el tráfico de las aplicaciones empresariales a través de la VPN, al tiempo que permite que el tráfico de aplicaciones personales use la red local directamente.
- La aplicación GlobalProtect y el espacio de trabajo de configuraciones de perfil admiten las mejores prácticas de seguridad modernas con monitoreo continuo.

Capacidades de la aplicación GlobalProtect VPN en iOS:
- La aplicación se adapta a la ubicación del usuario y se conecta a la mejor puerta de enlace disponible.
- Admite la conexión a través de protocolos IPSEC o SSL.
- La integración con MDM permite un aprovisionamiento fácil y una gestión centralizada.
- Permite cambios de contraseña si vence durante los intentos de conexión remota.
- Proporciona soporte para la autenticación de dos factores utilizando varios métodos.
- Integración completa con experiencia nativa de iOS, incluida la notificación de soporte para el estado de conexión y las indicaciones.