Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Kā pārvaldīt GlobalProtect VPN iestatījumus vairākām iOS ierīcēm


Kā pārvaldīt GlobalProtect VPN iestatījumus vairākām iOS ierīcēm


Vairāku iOS ierīču GlobalProtect VPN iestatījumu pārvaldīšana ietver lietotņu izvietošanas kombināciju, VPN profilu konfigurāciju, autentifikācijas mehānismus, sertifikātu pārvaldību un iespējamu mobilo ierīču pārvaldības (MDM) risinājumu izmantošanu. Process atspoguļo apsvērumus par drošu savienojumu, piekļuves vienkāršību un mērogojamību vairākiem lietotājiem. Zemāk ir visaptverošs pārskats:

GlobalProtect VPN pamati iOS

GlobalProtect ir Palo Alto Networks VPN risinājums, kas nodrošina mobilās ierīces, izveidojot šifrētus tuneļus korporatīvajam tīklam. IOS ierīcēm lietotāji parasti instalē lietotni GlobalProtect no Apple App Store. Pēc instalēšanas lietotne konfigurē VPN savienojumu, kas ietver VPN profilu iestatīšanu iOS ierīcē.

Kad lietotne GlobalProtect mēģina konfigurēt VPN profilu operētājsistēmā iOS, lietotāji redzēs uzvedni, lai atļautu VPN konfigurācijas, un viņiem var lūgt ievadīt savu ierīces piekļuves kodu, lai autorizētu šīs izmaiņas. Pēc konfigurēšanas lietotāji autentificējas, izmantojot savus korporatīvos akreditācijas datus, bieži apvienojot ar daudzfaktoru autentifikāciju (MFA), piemēram, duetu vai citām autentifikācijas lietotnēm. GlobalProtect lietotne uztur VPN tuneli, un to var savienot vai atvienot lietotājs jebkurā laikā.

GlobalProtect iestatījumu izvietošana vairākās iOS ierīcēs

GlobalProtect VPN iestatījumu manuāla konfigurēšana katrā iOS ierīcē ir nepraktiska lielām izvietošanai. Centralizēta vadība, izmantojot MDM risinājumu, ir būtiska, ļaujot administratoriem no attāluma virzīt VPN konfigurācijas, sertifikātus un politikas. Parasti izmantotās MDM platformās ietilpst Microsoft Intune, JAMF, Meraki System Manager un citi.

Izmantojot MDM, lai konfigurētu GlobalProtect iOS

MDM risinājumi ļauj administratoriem izveidot VPN profilus un izvietot tos reģistrētās iOS ierīcēs. Šie profili ietver:

- portāla adrese un vārtejas iestatījumi
- Autentifikācijas metodes (uz sertifikātu vai lietotājvārdu/paroli)
- Autentifikācijas sertifikāti
- Savienojuma parametri, piemēram, sadalīšanas tunelēšana, DNS adreses un starpniekservera konfigurācijas
- APPecifiskas VPN konfigurācijas, lai piespiestu noteiktas lietotnes izmantot VPN tuneli

Instalēti VPN profili, izmantojot MDM, noņemiet nepieciešamību pēc lietotāja mijiedarbības, lai apstiprinātu VPN konfigurāciju, samazināt iestatīšanas kļūdas un uzlabot drošības ievērošanu. Turklāt ar MDM administratori var izpildīt tādas politikas kā obligāts VPN savienojums pirms tīkla piekļuves, bezdarbības noildzes vai automātiskas atvienošanas.

sertifikātu pārvaldība iOS ierīcēs

Sākot ar iOS 12, iOS ierobežo VPN sertifikātu instalācijas no tādām lietotnēm kā GlobalProtect. Sertifikāti jāizvieto, izmantojot Apple Configurator vai MDM risinājumus. Sertifikāti ir kritiski svarīgi drošai klienta autentifikācijai un uzticības izveidošanai ar VPN vārteju.

Sertifikāta izvietošanas procesā parasti ietilpst:

- Klientu sertifikātu ģenerēšana vai iegūšana no sertifikātu iestādes
- Sakņu un starpposma CA sertifikātu instalēšana ierīcēs kopā ar klienta sertifikātiem
- sertifikātu saistīšana ar GlobalProtect VPN profiliem iOS caur MDM

Šī uz sertifikātu balstīta autentifikācija nodrošina nemanāmu un drošu savienojumu, neprasot lietotājiem katru reizi ievadīt akreditācijas datus. Sertifikātu saskaņošana ar lietotāju kontiem ļauj uzlabot drošību, izmantojot sertifikātu atjaunošanu un pārvaldītu centrāli.

Autentifikācija un piekļuves kontrole

Autentifikācijas profili ir konfigurēti Palo Alto Networks GlobalProtect portālā un vārtejās. Šie profili nosaka, kā lietotāji autentificējas ar VPN pakalpojumu. Iespējas ietver:

- vietējās lietotāju datu bāzes
- ārējie direktoriji, piemēram, Active Directory, LDAP vai RADIUS
- Daudzfaktoru autentifikācijas integrācija (piemēram, duets, okta)

IOS ierīcēm daudzfaktoru autentifikācija var tikt īstenota pierakstīšanās laikā, izmantojot lietotni, kur lietotājiem tiek piedāvāts veikt papildu darbības, piemēram, SMS piekļuves kodus vai autentifikatora lietotnes apstiprinājumus.

Piekļuves politikas var rafinēt, pamatojoties uz ierīces veidu, lietotāju grupu vai sertifikāta klātbūtni. Tas ļauj ierobežot noteiktas VPN iespējas vai pat liegt VPN piekļuvi ierīcēm, kas neatbilst drošības prasībām (piemēram, trūkstošie sertifikāti vai atbilstības pārbaudes).

Savienojuma un VPN profila iestatījumi

Visaptverošas VPN profila konfigurācijas funkcijas GlobalProtect ļauj administratoriem norādīt:

- Sadalīto tunelēšanas noteikumi: definējiet, kura trafiks iet cauri VPN un kura tieši piekļūst internetam
- DNS iestatījumi: pielāgoti DNS serveri tīkla nosaukumu izšķiršanai, kamēr tas ir savienots ar VPN
- Starpniekservera iestatījumi, ja tas nepieciešams korporatīvajām politikām
- Klienta IP adreses baseini, kas piešķirti ierīcēm, kas savieno ar VPN
- Savienojuma kalpošanas laiks un bezdarbības taimauts, lai automātiski atvienotu dīkstāves sesijas

Šie iestatījumi palīdz līdzsvarot drošību un veiktspēju, piemēram, ļaujot nejutīgai satiksmei apiet VPN tuneli, lai saglabātu joslas platumu, vienlaikus nodrošinot kritiskas korporatīvo datu plūsmas.

GlobalProtect pārvaldīšana ar trešās puses MDMS iOS

Daudzas organizācijas izmanto trešo personu MDM, piemēram, Microsoft Intune vai Meraki System Manager, lai virzītu konfigurācijas GlobalProtect. Šie risinājumi nodrošina rīkus:

- Pievienojiet VPN profilus tieši GlobalProtect lietotnei iOS ierīcēs
- Pārvaldiet sertifikātus un autentifikācijas politikas reģistrētās ierīcēs
- Izpildiet atbilstību un nosacītas piekļuves politikas, piemēram, pirms VPN savienojuma atļaujat, ka ir nepieciešama ierīču šifrēšana, piekļuves kodi vai lietotņu atjauninājumi
- Pārraugiet VPN savienojuma statusu no attāluma un īstenojiet savienojamību vai atvienojiet scenārijus, pamatojoties uz politiku

Administratori var piešķirt ierīces vai lietotāju grupas, lai pielāgotu GlobalProtect VPN iestatījumus katrā organizatoriskajā lomā vai departamentos.

problēmu novēršana un uzraudzība

Lai nodrošinātu savienojamību un drošības atbilstību, ir nepieciešama vairāku iOS ierīču pārvaldīšana ar GlobalProtect VPN. Palo Alto pārvaldības portāls nodrošina savienotu ierīču žurnālus un statusa uzraudzību, ieskaitot iOS parametrus.

Kopīgi problēmu novēršanas punkti ir:

- Veiksmīgu konfigurācijas pārbaudi no MDM
- Autentifikācijas panākumu un kļūmju žurnāli
- Sertifikātu nodrošināšana ir pareizi instalēta un derīga ierīcēs
- Pārbaudot, vai nav atbilstība VPN politikai vai ierobežojumiem
- Sadalīta tunelēšanas un maršrutēšanas uzvedības uzraudzība

Pastāvīgiem jautājumiem var būt nepieciešams pārskatīt GlobalProtect žurnālus atsevišķās ierīcēs, pārbaudīt savienojumu ar dažādiem vārtiem vai pārbaudīt licenci un portāla konfigurācijas.

Darbību kopsavilkums vairāku iOS ierīču pārvaldībai

1. Izmantojiet MDM risinājumu, lai lielapjoma izvietotu GlobalProtect lietotni un VPN profilus.
2. Izvietojiet nepieciešamos sertifikātus, izmantojot MDM, lai nodrošinātu iOS drošu autentifikāciju.
3. Konfigurējiet autentifikācijas profilus GlobalProtect portālā ar MFA.
4. Definējiet un nospiediet VPN savienojuma iestatījumus, ieskaitot sadalīto tunelēšanu un DNS.
5. Monitores atbilstība un VPN savienojuma statuss centrā.
6. Traucējummeklēšana savienojamība un autentifikācijas problēmas, izmantojot žurnālus un ierīču pārskatus.
7. Izpildiet drošības politiku, piemēram, obligātu VPN, bezdarbības taimautu un selektīvu piekļuvi.

Šī pieeja nodrošina drošu, mērogojamu un lietotājam draudzīgu GlobalProtect VPN pieredzi vairākās iOS ierīcēs visā organizācijā. Tas samazina manuālās konfigurācijas kļūdas un nodrošina, ka VPN lietojums ievēro korporatīvās drošības standartus, vienlaikus pielāgojot lietotāju ērtības.