Norint nustatyti „GlobalProtect“ VPN, naudojant „Workspace One“, skirtą „iOS“ įrenginiams, procesas apima keletą veiksmų, kuriuose derinamas atsisiuntimas ir diegimas „GlobalProtect“ programai, VPN profilio konfigūravimas „Workspace One“ ir diegimo tvarkymas į „IOS“ įrenginius. Čia yra išsamus vadovas, apimantis visus būtinus veiksmus.
„GlobalProtect“ programos atsisiuntimas ir diegimas:
„GlobalProtect“ programą, skirtą „iOS“, pirmiausia turi būti prieinama galutiniams vartotojams per „Workspace One“. Programą galima rasti „Apple App Store“ ir ją galima įdiegti į valdomus įrenginius, į kuriuos įtraukta „Workspace One“. Tam administratoriai prideda „GlobalProtect“ programą prie „Workspace One“ konsolės, pasirinkdami išteklius> Apps> Native> Public ir tada pridėdami programą. „GlobalProtect“ programa bus valdoma pasirinktoje organizacinėje grupėje ir platformoje kaip „iOS“. Pridėjusią programą galima automatiškai perkelti į tikslinių intelektualiųjų grupių įrenginius arba pateikti pasirinktinai vartotojui diegti.
Įrenginių prietaisai naudojant „Workspace One“:
Norėdami valdyti „GlobalProtect“ per „Workspace One“, „iOS“ įrenginius reikia įtraukti į „Workspace One MDM“, naudojant „Workspace One Agent“. Registracija suteikia administratoriams galimybę perkelti konfigūracijos profilius ir programų parametrus į valdomus įrenginius. Paprastai registracija apima „Workspace One Intelligent Hub“ programos atsisiuntimą „iOS“ įrenginyje ir stebėti ekrano raginimus užregistruoti įrenginį įmonės valdymo aplinkoje.
VPN profilio konfigūravimas pirmoje darbo vietoje:
Kai programa bus įdiegta, kitas žingsnis yra „iOS“ įrenginio profilio kūrimas arba modifikavimas, kad būtų sukonfigūruota „GlobalProtect VPN“ nustatymai. Tai atliekama per „Workspace One“ konsolę naršant į išteklius> Profiliai ir bazinės linijos> Profiliai> Pridėkite profilį, pasirinkdami „iOS“ įrenginio profilį ir pasirinkdami įrenginio profilio kontekstą.
Konfigūruojant profilį, bendrame skyriuje pateikiamas profilio pavadinimas ir pasirenkamas aprašymas, nustatant diegimo metodus, tokius kaip valdomi (nuimami beatrolite) arba rankiniu būdu (reikalingas galutinio vartotojo pašalinimas) ir priskyrimo tipas, nurodantis automatinį, pasirenkamą ar atitiktį pagrįstą diegimą.
VPN nustatymų konfigūravimas:
Profilio konfigūracijoje apibrėžiami konkretūs VPN parametrai, leidžiantys „GlobalProtect“ automatiškai prisijungti naudojant „Zero Trust“ modelius ir visada įjungtą VPN, kur norima.
- Visada įjungtas VPN gali būti įjungtas, kad „GlobalProtect“ tunelis būtų nuolat veikiantis įrenginyje.
- Įveskite „GlobalProtect“ šliuzo portalo adresą arba visiškai kvalifikuotą domeno vardą (FQDN).
-Konfigūruokite autentifikavimo metodus, kliento sertifikatų parinktis ir VPN ryšio metodus, tokius kaip vartotojo logonas arba pagal pareikalavimą.
- Nurodykite VPN parametrus, jei taikoma tik tunelio srautui iš tik iš konkrečių programų.
- Valdymo tinklo aplinkkelio parinktys, leidžiančios leisti arba neleisti tam tikro srauto apeiti VPN tuneliavimą.
- Pvz., Įtraukite pasirinktinius parametrus kaip raktų vertės poras, pavyzdžiui, išsiųsdami įrenginio unikalų identifikatorių (UDID) į „GlobalProtect“ programą, skirtą hipo (pagrindinio kompiuterio informacijos profiliui) integracijai.
- Konfigūruokite atitikties ir įrenginio nuosavybės atributus, kad būtų galima įgalinti sąlyginės prieigos politiką, kurią VPN vykdo dėl ryšio bandymų.
Diegimas ir vartotojo patirtis:
Paskelbus profilį, konfigūracija perkeliama į „iOS“ įrenginius automatiškai (jei priskiriama automatiniam) arba naudojant rankinį diegimą iš „Workspace One Savarankų“ portalo (jei neprivaloma). Įdiegę „GlobalProtect“ programą ir taikomas profilis, vartotojai galės sklandžiai prisijungti prie VPN.
Paleidus „GlobalProtect“ programą arba naudojant visada įjungtą VPN, VPN ryšys bus automatiškai užmegztas. Vartotojai gali būti paraginti įvesti savo kredencialus (vartotojo vardas/slaptažodis) arba atlikti daugiafaktoriaus autentifikavimą, atsižvelgiant į portalo konfigūraciją. Programa palaiko įprastus autentifikavimo metodus, įskaitant LDAP, RADIUS, SAML, kliento sertifikatus ir vietinį vartotojo vardą/slaptažodį.
Prijungus „iOS“ būsenos juostoje, rodoma VPN piktograma, rodanti aktyvų saugų ryšį. Programa lieka sujungta fone, nukreipia srautą pagal sukonfigūruotą politiką be vartotojo įsikišimo.
Papildomos pastabos apie tinklą ir saugumą:
- Administratoriai gali apibrėžti tinklo filtrus „GlobalProtect“ šliuze, kad būtų galima nukreipti konkretų srautą ar programas per VPN tunelį.
- Integracija į „Workspace One“ leidžia pasinaudoti įrenginių atitikties būsenomis vykdyti saugumo politikos vykdymą prieš suteikiant VPN prieigą.
- VPN konfigūracijose vienoje programoje galima nukreipti tik srautą iš „Enterprise“ programų per VPN, tuo pačiu leisdami asmeniniam programų srautui tiesiogiai naudoti vietinį tinklą.
- „GlobalProtect“ programa ir darbo vieta Vienos profilio konfigūracijos palaiko šiuolaikinę geriausią saugumo praktiką, nuolat stebėdama.
„GlobalProtect“ VPN programos galimybės „iOS“:
- Programa prisitaiko prie vartotojo vietos ir prisijungia prie geriausių galimų šliuzų.
- Palaiko ryšį per IPSEC arba SSL protokolus.
- Integracija su MDM leidžia lengvai aprūpinti ir centralizuotą valdymą.
- Leidžia pakeisti slaptažodį, jei pasibaigs nuotolinio ryšio bandymo metu.
- Teikia dviejų veiksnių autentifikavimo palaikymą įvairiais metodais.
- Visiška integracija su vietine „iOS“ patirtimi, įskaitant pranešimo palaikymą ryšio būsenai ir raginimams.