Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Kaip valdyti „GlobalProtect“ VPN parametrus keliems „iOS“ įrenginiams


Kaip valdyti „GlobalProtect“ VPN parametrus keliems „iOS“ įrenginiams


Kelių „iOS“ įrenginių „GlobalProtect“ VPN parametrų valdymas apima programų diegimo derinį, VPN profilių konfigūraciją, autentifikavimo mechanizmus, sertifikatų valdymą ir galimą mobiliųjų įrenginių valdymo (MDM) sprendimų naudojimą. Procesas atspindi saugų ryšį, lengvą prieigą ir kelis vartotojus mastelį. Žemiau yra išsami apžvalga:

„GlobalProtect“ VPN pagrindai „iOS“

„GlobalProtect“ yra „Palo Alto Networks“ VPN sprendimas, užtikrinantis mobiliuosius įrenginius, nustatant užšifruotus tunelius į įmonių tinklą. „IOS“ įrenginiams vartotojai paprastai diegia „GlobalProtect“ programą iš „Apple App Store“. Įdiegus programą sukonfigūruoja VPN ryšį, kuris apima VPN profilių nustatymą „iOS“ įrenginyje.

Kai „GlobalProtect“ programa bandys sukonfigūruoti VPN profilį „iOS“, vartotojai pamatys raginimą leisti VPN konfigūracijas ir gali būti paprašyta įvesti savo įrenginio „Passcode“, kad būtų galima patvirtinti šiuos pakeitimus. Sukonfigūravę vartotojai, autentifikuojantys savo įmonės kredencialus, dažnai derinami su daugiafaktoriaus autentifikavimu (MFA), tokiais kaip duetas ar kitos autentifikavimo programos. „GlobalProtect“ programa prižiūri VPN tunelį ir bet kuriuo metu ją gali prijungti arba atjungti.

„GlobalProtect“ nustatymų diegimas keliuose „iOS“ įrenginiuose

Rankiniu būdu sukonfigūruoti „GlobalProtect“ VPN parametrus kiekviename „iOS“ įrenginyje yra nepraktiška dideliems diegimams. Centralizuotas valdymas naudojant MDM sprendimą yra būtinas, todėl administratoriai suteikia galimybę administratoriams stumti VPN konfigūracijas, sertifikatus ir politiką nuotoliniu būdu. Dažniausiai naudojamos MDM platformos yra „Microsoft Intune“, „Jamf“, „Meraki“ sistemos valdytojas ir kt.

naudojant MDM, norint sukonfigūruoti „GlobalProtect“ „iOS“

„MDM Solutions“ leidžia administratoriams kurti VPN profilius ir diegti juos į „IOS“ įrenginius. Šie profiliai apima:

- Portalo adresas ir „Gateway“ nustatymai
- Autentifikavimo metodai (sertifikatas pagrįstas arba vartotojo vardas/slaptažodis)
- Autentifikavimo sertifikatai
- Ryšio parametrai, tokie kaip padalijimo tunelis, DNS adresai ir tarpinio serverio konfigūracijos
- Konkrečios programos VPN konfigūracijos, kad priverstų tam tikras programas naudoti VPN tunelį

Įdiegti VPN profiliai naudojant MDM Pašalinkite vartotojo sąveikos poreikį patvirtinti VPN konfigūraciją, sumažinti sąrankos klaidas ir pagerinti saugumo atitiktį. Be to, naudodamiesi MDM, administratoriai gali vykdyti tokią politiką kaip privalomas VPN ryšys prieš prieigą prie tinklo, neveikimo laiko ar automatinių atjungimų.

sertifikatų valdymas „iOS“ įrenginiuose

Pradedant nuo „iOS 12“, „iOS“ riboja VPN sertifikatų diegimus iš tokių programų kaip „GlobalProtect“. Sertifikatai turi būti diegti naudojant „Apple Configurator“ arba MDM sprendimus. Sertifikatai yra labai svarbūs saugiam kliento autentifikavimui ir pasitikėjimui VPN šliuzu.

Sertifikato diegimo procesą paprastai sudaro:

- Kliento sertifikatų generavimas ar gavimas iš sertifikatų institucijos
- Įrenginių šaknies ir tarpinių CA sertifikatų diegimas kartu su kliento sertifikatais
- Sertifikatų susiejimas su „GlobalProtect“ VPN profiliais „iOS“ per MDM

Šis sertifikatus pagrįstas autentifikavimas įgalina sklandų ir saugų ryšį, nereikalaujant vartotojų kiekvieną kartą įvesti kredencialus. Suderinę sertifikatus su vartotojo abonementais, galima sustiprinti saugumą, atnaujinant sertifikatus ir atnaujinant atšaukimą centralizuotai.

Autentifikavimo ir prieigos valdymas

Autentifikavimo profiliai sukonfigūruoti „Palo Alto Networks GlobalProtect“ portale ir šliuzuose. Šie profiliai apibrėžia, kaip vartotojai autentifikuoja VPN paslaugą. Parinktys apima:

- Vietinių vartotojų duomenų bazės
- Išoriniai katalogai, tokie kaip „Active Directory“, LDAP arba RADIUS
- Daugiafaktoriaus autentifikavimo integracija (pvz., Duo, OKTA)

„IOS“ įrenginiams daugiafaktorinis autentifikavimas gali būti vykdomas prisijungimo metu per programą, kur vartotojams raginami atlikti papildomus veiksmus, tokius kaip SMS Passcodes ar Authenticator App patvirtinimas.

Prieigos politiką galima patobulinti atsižvelgiant į įrenginio tipą, vartotojų grupę ar buvimą sertifikate. Tai leidžia apriboti tam tikras VPN galimybes ar netgi atsisakyti VPN prieigos prie įrenginių, kurie neatitinka saugumo reikalavimų (pvz., Trūksta sertifikatų ar nesugeba atitikties patikrinimų).

ryšio ir VPN profilio nustatymai

Išsamios VPN profilio konfigūracijos funkcijos „GlobalProtect“ leidžia administratoriams nurodyti:

- Padalinimo tuneliavimo taisyklės: Apibrėžkite, kuris srautas eina per VPN ir kuris tiesiogiai pasiekia internetą
- DNS nustatymai: Individualūs DNS serveriai, skirti išspręsti tinklo pavadinimus, kai jie yra prijungti prie VPN
- Įgaliotinio serverio nustatymai, jei reikia įmonės politikai
- Kliento IP adresų baseinai, priskirti prie įrenginių, jungiančių prie VPN
- Ryšio gyvavimo laikas ir neveiklumo laikas, kad automatiškai atjungtumėte tuščiosios eigos seansus

Šie parametrai padeda subalansuoti saugumą ir našumą, pavyzdžiui, leidžiant ne jautriam srautui apeiti VPN tunelį, kad būtų išsaugotas pralaidumas, tuo pačiu užtikrinant kritinius įmonių duomenų srautus.

„GlobalProtect“ valdymas su trečiųjų šalių MDMS „iOS“

Daugelis organizacijų naudoja trečiųjų šalių MDM, tokias kaip „Microsoft Intune“ ar „Meraki“ sistemos tvarkyklė, kad pastumtų „GlobalProtect“ konfigūracijas. Šie sprendimai teikia įrankius:

- Pridėkite VPN profilius tiesiai prie „GlobalProtect“ programos „iOS“ įrenginiuose
- Tvarkykite sertifikatus ir autentifikavimo politiką, susijusią su prietaisais
- Vykdykite atitikties ir sąlyginės prieigos politiką, pavyzdžiui, reikalaujant įrenginio šifravimo, leidimų kodų ar programų atnaujinimų, prieš leisdami VPN ryšį
- Stebėkite VPN ryšio būseną nuotoliniu būdu ir vykdykite ryšį arba atjunkite scenarijus pagal politiką

Administratoriai gali priskirti įrenginio ar vartotojų grupes, kad būtų galima pritaikyti „GlobalProtect“ VPN nustatymus pagal organizacinius vaidmenis ar skyrius.

Trikčių šalinimas ir stebėjimas

Norint užtikrinti ryšio ir saugumo atitiktį, reikia nuolat valdyti kelis „iOS“ įrenginius naudojant „GlobalProtect VPN“. „Palo Alto“ valdymo portalas teikia prijungtų įrenginių žurnalus ir būsenos stebėjimą, įskaitant „iOS“ galinius taškus.

Įprasti trikčių šalinimo taškai apima:

- Sėkmingos konfigūracijos patikrinimas išstumia iš MDM
- Autentifikavimo sėkmė ir gedimų žurnalai
- Užtikrinti sertifikatus teisingai įdiegti ir galioti įrenginiuose
- Patikrinkite, ar atitinka VPN politiką ar apribojimus
- Stebėjimas padalijimo tunelių ir maršruto parinkimo elgesys

Dėl nuolatinių problemų gali prireikti peržiūrėti „GlobalProtect“ žurnalus atskiruose įrenginiuose, išbandyti ryšį su skirtingais šliuzais arba patikrinti licenciją ir portalų konfigūraciją.

Kelių „iOS“ įrenginių valdymo veiksmų santrauka

1. Naudokite MDM sprendimą, norėdami diegti „GlobalProtect“ programos ir VPN profilius.
2. Norėdami saugiai autentifikuoti „iOS“, diegkite reikiamus sertifikatus per MDM.
3. Konfigūruokite autentifikavimo profilius „GlobalProtect“ portale su MFA.
4. Apibrėžkite ir stumkite VPN ryšio parametrus, įskaitant padalijimo tunelius ir DNS.
5. Stebėkite įrenginio atitiktį ir VPN ryšio būseną.
6. Pašalinkite jungiamumo ir autentifikavimo problemas naudojant žurnalus ir įrenginių ataskaitas.
7. Vykdykite saugumo politiką, tokią kaip privalomas VPN, neveikimo laikas ir selektyvi prieiga.

Šis metodas užtikrina saugią, keičiamą ir patogią „GlobalProtect“ VPN patirtį keliuose „iOS“ įrenginiuose visoje organizacijoje. Tai sumažina rankinės konfigūracijos klaidas ir užtikrina, kad VPN naudojimas laikytųsi įmonių saugumo standartų, kartu pritaikant vartotojo patogumą.