Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon ฉันจะจัดการการตั้งค่า VPN GlobalProtect สำหรับอุปกรณ์ iOS หลายเครื่องได้อย่างไร


ฉันจะจัดการการตั้งค่า VPN GlobalProtect สำหรับอุปกรณ์ iOS หลายเครื่องได้อย่างไร


การจัดการการตั้งค่า VPN GlobalProtect สำหรับอุปกรณ์ iOS หลายตัวเกี่ยวข้องกับการรวมกันของการปรับใช้แอพการกำหนดค่าโปรไฟล์ VPN กลไกการตรวจสอบความถูกต้องการจัดการใบรับรองและการใช้โซลูชั่นการจัดการอุปกรณ์มือถือ (MDM) ที่เป็นไปได้ กระบวนการนี้สะท้อนให้เห็นถึงการพิจารณาสำหรับการเชื่อมต่อที่ปลอดภัยความสะดวกในการเข้าถึงและความสามารถในการปรับขนาดให้กับผู้ใช้หลายคน ด้านล่างนี้เป็นภาพรวมที่ครอบคลุม:

พื้นฐาน VPN GlobalProtect บน iOS

GlobalProtect เป็นโซลูชัน VPN ของ Palo Alto Networks ที่ยึดอุปกรณ์มือถือโดยการสร้างอุโมงค์ที่เข้ารหัสไปยังเครือข่ายองค์กร สำหรับอุปกรณ์ iOS โดยทั่วไปผู้ใช้จะติดตั้งแอพ GlobalProtect จาก Apple App Store เมื่อติดตั้งแอปจะกำหนดค่าการเชื่อมต่อ VPN ซึ่งรวมถึงการตั้งค่าโปรไฟล์ VPN บนอุปกรณ์ iOS

เมื่อแอป GlobalProtect พยายามกำหนดค่าโปรไฟล์ VPN บน iOS ผู้ใช้จะเห็นพรอมต์เพื่ออนุญาตการกำหนดค่า VPN และอาจถูกขอให้ป้อนรหัสผ่านอุปกรณ์ของพวกเขาเพื่ออนุมัติการเปลี่ยนแปลงเหล่านี้ เมื่อกำหนดค่าแล้วผู้ใช้จะตรวจสอบความถูกต้องโดยใช้ข้อมูลรับรององค์กรของพวกเขามักจะรวมกับการตรวจสอบความถูกต้องแบบหลายปัจจัย (MFA) เช่น DUO หรือแอพตรวจสอบความถูกต้องอื่น ๆ แอพ GlobalProtect ดูแลอุโมงค์ VPN และสามารถเชื่อมต่อหรือตัดการเชื่อมต่อโดยผู้ใช้ได้ตลอดเวลา

การปรับใช้การตั้งค่า GlobalProtect ไปยังอุปกรณ์ iOS หลายตัว

การกำหนดค่าการตั้งค่า VPN ของ GlobalProtect ด้วยตนเองในแต่ละอุปกรณ์ iOS นั้นไม่สามารถใช้งานได้สำหรับการปรับใช้ขนาดใหญ่ การจัดการส่วนกลางโดยใช้โซลูชัน MDM เป็นสิ่งจำเป็นทำให้ผู้ดูแลระบบสามารถผลักดันการกำหนดค่า VPN ใบรับรองและนโยบายจากระยะไกล แพลตฟอร์ม MDM ที่ใช้กันทั่วไป ได้แก่ Microsoft Intune, Jamf, Meraki System Manager และอื่น ๆ

การใช้ MDM เพื่อกำหนดค่า GlobalProtect บน iOS

โซลูชัน MDM อนุญาตให้ผู้ดูแลระบบสร้างโปรไฟล์ VPN และปรับใช้กับอุปกรณ์ iOS ที่ลงทะเบียน โปรไฟล์เหล่านี้รวมถึง:

- ที่อยู่พอร์ทัลและการตั้งค่าเกตเวย์
- วิธีการรับรองความถูกต้อง (ชื่อตามใบรับรองหรือชื่อผู้ใช้/รหัสผ่าน)
- ใบรับรองสำหรับการรับรองความถูกต้อง
- พารามิเตอร์การเชื่อมต่อเช่นการแยกอุโมงค์แยกที่อยู่ DNS และการกำหนดค่าพร็อกซี
- การกำหนดค่า VPN เฉพาะแอพเพื่อบังคับให้แอพบางตัวใช้อุโมงค์ VPN

ติดตั้งโปรไฟล์ VPN ผ่าน MDM ลบความต้องการการโต้ตอบของผู้ใช้เพื่ออนุมัติการกำหนดค่า VPN ลดข้อผิดพลาดการตั้งค่าและปรับปรุงการปฏิบัติตามความปลอดภัย นอกจากนี้ด้วย MDM ผู้ดูแลระบบสามารถบังคับใช้นโยบายเช่นการเชื่อมต่อ VPN ที่บังคับก่อนการเข้าถึงเครือข่ายการหมดเวลาไม่ใช้งานหรือการตัดการเชื่อมต่ออัตโนมัติ

การจัดการใบรับรองบนอุปกรณ์ iOS

เริ่มต้นจาก iOS 12 iOS จะ จำกัด การติดตั้งใบรับรอง VPN จากแอพเช่น GlobalProtect โดยตรง ต้องปรับใช้ใบรับรองโดยใช้ Apple Configurator หรือ MDM Solutions ใบรับรองมีความสำคัญอย่างยิ่งสำหรับการตรวจสอบสิทธิ์ไคลเอนต์ที่ปลอดภัยและเพื่อสร้างความน่าเชื่อถือด้วยเกตเวย์ VPN

กระบวนการปรับใช้ใบรับรองมักจะรวมถึง:

- การสร้างหรือรับใบรับรองลูกค้าจากหน่วยงานใบรับรอง
- การติดตั้งใบรับรอง Root และ Intermediate CA บนอุปกรณ์พร้อมกับใบรับรองไคลเอนต์
- เชื่อมโยงใบรับรองกับโปรไฟล์ VPN GlobalProtect บน iOS ผ่าน MDM

การรับรองความถูกต้องตามใบรับรองนี้ช่วยให้การเชื่อมต่อที่ราบรื่นและปลอดภัยโดยไม่ต้องให้ผู้ใช้ป้อนข้อมูลรับรองทุกครั้ง การจับคู่ใบรับรองกับบัญชีผู้ใช้ช่วยให้การรักษาความปลอดภัยขั้นสูงผ่านการต่ออายุใบรับรองและการเพิกถอนการจัดการจากส่วนกลาง

การรับรองความถูกต้องและการควบคุมการเข้าถึง

โปรไฟล์การรับรองความถูกต้องได้รับการกำหนดค่าบนพอร์ทัลและเกตเวย์ Palo Alto Networks โปรไฟล์เหล่านี้กำหนดวิธีที่ผู้ใช้ตรวจสอบความถูกต้องของบริการ VPN ตัวเลือกรวมถึง:

- ฐานข้อมูลผู้ใช้ในท้องถิ่น
- ไดเรกทอรีภายนอกเช่น Active Directory, LDAP หรือ RADIUS
- การรวมการตรวจสอบความถูกต้องแบบหลายปัจจัย (เช่น Duo, Okta)

สำหรับอุปกรณ์ iOS การตรวจสอบความถูกต้องแบบหลายปัจจัยสามารถบังคับใช้ในระหว่างการลงชื่อเข้าใช้ผ่านแอพซึ่งผู้ใช้จะได้รับแจ้งให้ทำตามขั้นตอนเพิ่มเติมเช่นรหัสผ่าน SMS หรือ Authenticator App Approvals

นโยบายการเข้าถึงสามารถปรับปรุงได้ตามประเภทอุปกรณ์กลุ่มผู้ใช้หรือสถานะใบรับรอง สิ่งนี้จะช่วยให้การจำกัดความสามารถของ VPN หรือแม้แต่ปฏิเสธการเข้าถึง VPN ไปยังอุปกรณ์ที่ไม่ตรงตามข้อกำหนดด้านความปลอดภัย (เช่นใบรับรองที่หายไปหรือการตรวจสอบการปฏิบัติตามกฎระเบียบที่ล้มเหลว)

การเชื่อมต่อและการตั้งค่าโปรไฟล์ VPN

คุณสมบัติการกำหนดค่าโปรไฟล์ VPN ที่ครอบคลุมบน GlobalProtect อนุญาตให้ผู้ดูแลระบบระบุ:

- กฎการแยกอุโมงค์แยก: กำหนดปริมาณการใช้งานผ่าน VPN และที่เข้าถึงอินเทอร์เน็ตโดยตรง
- การตั้งค่า DNS: เซิร์ฟเวอร์ DNS แบบกำหนดเองสำหรับการแก้ไขชื่อเครือข่ายในขณะที่เชื่อมต่อกับ VPN
- การตั้งค่าพร็อกซีเซิร์ฟเวอร์หากจำเป็นสำหรับนโยบายขององค์กร
- พูลที่อยู่ IP ของไคลเอนต์ที่กำหนดให้กับอุปกรณ์ที่เชื่อมต่อกับ VPN
- การเชื่อมต่ออายุการใช้งานและหมดเวลาไม่ใช้งานเพื่อตัดการเชื่อมต่อโดยอัตโนมัติ

การตั้งค่าเหล่านี้ช่วยสร้างสมดุลให้กับความปลอดภัยและประสิทธิภาพเช่นการอนุญาตให้มีการรับส่งข้อมูลที่ไม่ไวต่อการหลีกเลี่ยงอุโมงค์ VPN เพื่อรักษาแบนด์วิดท์ในขณะที่รักษาสตรีมข้อมูลองค์กรที่สำคัญ

การจัดการ GlobalProtect ด้วย MDM ของบุคคลที่สามสำหรับ iOS

หลายองค์กรใช้ MDM ของบุคคลที่สามเช่น Microsoft Intune หรือ Meraki System Manager เพื่อผลักดันการกำหนดค่าสำหรับ GlobalProtect โซลูชันเหล่านี้มีเครื่องมือในการ:

- แนบโปรไฟล์ VPN โดยตรงกับแอพ GlobalProtect บนอุปกรณ์ iOS
- จัดการใบรับรองและนโยบายการรับรองความถูกต้องบนอุปกรณ์ที่ลงทะเบียน
- บังคับใช้นโยบายการปฏิบัติตามข้อกำหนดและการเข้าถึงแบบมีเงื่อนไขเช่นการเข้ารหัสอุปกรณ์รหัสผ่านหรือการอัปเดตแอปก่อนที่จะอนุญาตการเชื่อมต่อ VPN
- ตรวจสอบสถานะการเชื่อมต่อ VPN จากระยะไกลและบังคับใช้การเชื่อมต่อหรือตัดการเชื่อมต่อสถานการณ์ตามนโยบาย

ผู้ดูแลระบบสามารถกำหนดอุปกรณ์หรือกลุ่มผู้ใช้เพื่อปรับการตั้งค่า VPN GlobalProtect ต่อบทบาทหรือแผนกขององค์กร

การแก้ไขปัญหาและการตรวจสอบ

การจัดการอุปกรณ์ iOS หลายตัวด้วย GlobalProtect VPN ต้องการการตรวจสอบอย่างต่อเนื่องเพื่อให้แน่ใจว่าการเชื่อมต่อและการปฏิบัติตามความปลอดภัย พอร์ทัลการจัดการของ Palo Alto ให้บันทึกและการตรวจสอบสถานะสำหรับอุปกรณ์ที่เชื่อมต่อรวมถึงจุดสิ้นสุด iOS

จุดแก้ไขปัญหาทั่วไป ได้แก่ :

- การตรวจสอบการกำหนดค่าที่ประสบความสำเร็จผลักจาก MDM
- บันทึกความสำเร็จและการตรวจสอบความล้มเหลว
- การรับรองใบรับรองได้รับการติดตั้งอย่างถูกต้องและใช้ได้กับอุปกรณ์
- การตรวจสอบการปฏิบัติตามนโยบายหรือข้อ จำกัด ของ VPN
- ตรวจสอบพฤติกรรมการเดินทางและการกำหนดเส้นทางแยก

ปัญหาถาวรอาจจำเป็นต้องมีการตรวจสอบบันทึก GlobalProtect บนอุปกรณ์แต่ละตัวทดสอบการเชื่อมต่อกับเกตเวย์ที่แตกต่างกันหรือตรวจสอบใบอนุญาตและการกำหนดค่าพอร์ทัล

สรุปขั้นตอนสำหรับการจัดการอุปกรณ์ iOS หลายตัว

1. ใช้โซลูชัน MDM เพื่อปรับใช้แอพ GlobalProtect และโปรไฟล์ VPN
2. ปรับใช้ใบรับรองที่ต้องการผ่าน MDM เพื่อการตรวจสอบความปลอดภัยบน iOS
3. กำหนดค่าโปรไฟล์การรับรองความถูกต้องบนพอร์ทัล GlobalProtect ด้วย MFA
4. กำหนดและผลักดันการตั้งค่าการเชื่อมต่อ VPN รวมถึงการแยกอุโมงค์และ DNS
5. ตรวจสอบการปฏิบัติตามอุปกรณ์และสถานะการเชื่อมต่อ VPN จากส่วนกลาง
6. แก้ไขปัญหาการเชื่อมต่อและการตรวจสอบความถูกต้องโดยใช้บันทึกและรายงานอุปกรณ์
7. บังคับใช้นโยบายความปลอดภัยเช่น VPN ที่บังคับใช้การหมดเวลาไม่ใช้งานและการเข้าถึงแบบเลือก

วิธีการนี้ช่วยให้มั่นใจได้ถึงประสบการณ์ VPN ที่ปลอดภัยปรับขนาดได้และเป็นมิตรกับผู้ใช้บนอุปกรณ์ iOS หลายตัวทั่วทั้งองค์กร ลดข้อผิดพลาดการกำหนดค่าด้วยตนเองและทำให้มั่นใจได้ว่าการใช้งาน VPN เป็นไปตามมาตรฐานความปลอดภัยขององค์กรในขณะที่รองรับความสะดวกของผู้ใช้