Come gestisco le impostazioni VPN GlobalProtect per più dispositivi iOS

GlobalProtect VPN Basics su iOS

GlobalProtect è la soluzione VPN di Palo Alto Networks che protegge i dispositivi mobili stabilendo tunnel crittografati in una rete aziendale. Per i dispositivi iOS, gli utenti in genere installano l'app GlobalProtect dall'App Store Apple. All'installazione, l'app configura la connessione VPN, che include l'impostazione dei profili VPN sul dispositivo iOS.

Quando l'app GlobalProtect tenta di configurare il profilo VPN su iOS, gli utenti vedranno un prompt per consentire le configurazioni VPN e potrebbe essere chiesto di inserire il passcode del proprio dispositivo per autorizzare queste modifiche. Una volta configurati, gli utenti si autenticano utilizzando le loro credenziali aziendali, spesso combinate con l'autenticazione a più fattori (MFA), come Duo o altre app di autenticazione. L'app GlobalProtect mantiene il tunnel VPN e può essere connessa o scollegata dall'utente in qualsiasi momento.

Distribuzione delle impostazioni GlobalProtect su più dispositivi iOS

La configurazione manuale delle impostazioni VPN GlobalProtect su ciascun dispositivo iOS non è pratico per le distribuzioni di grandi dimensioni. La gestione centralizzata utilizzando una soluzione MDM è essenziale, consentendo agli amministratori di spingere le configurazioni, i certificati e le politiche VPN in remoto. Le piattaforme MDM comunemente utilizzate includono Microsoft Intune, Jamf, Meraki System Manager e altri.

usando MDM per configurare GlobalProtect su iOS

Le soluzioni MDM consentono agli amministratori di creare profili VPN e distribuirli per dispositivi iOS iscritti. Questi profili includono:

- Indirizzo portale e impostazioni del gateway
- Metodi di autenticazione (basato sul certificato o nome utente/password)
- Certificati per l'autenticazione
- Parametri di connessione come tunneling diviso, indirizzi DNS e configurazioni proxy
- Configurazioni VPN specifiche per app per costringere alcune app a utilizzare il tunnel VPN

Profili VPN installati tramite MDM Rimuovere la necessità di interazione dell'utente per approvare la configurazione VPN, ridurre gli errori di configurazione e migliorare la conformità alla sicurezza. Inoltre, con MDM, gli amministratori possono applicare politiche come la connessione VPN obbligatoria prima dell'accesso alla rete, timeout di inattività o disconnessioni automatiche.

gestione del certificato su dispositivi iOS

A partire da iOS 12, iOS limita le installazioni di certificati VPN da app come GlobalProtect direttamente. I certificati devono essere distribuiti utilizzando Apple Configurator o MDM Solutions. I certificati sono fondamentali per l'autenticazione del client sicure e per stabilire la fiducia con il gateway VPN.

Il processo di distribuzione del certificato include in genere:

- Generare o ottenere certificati clienti da un'autorità di certificazione
- Installazione di certificati CA root e intermedi sui dispositivi insieme ai certificati client
- Associazione dei certificati ai profili VPN GlobalProtect su iOS tramite MDM

Questa autenticazione basata sul certificato consente una connessione senza soluzione di continuità e sicura senza richiedere agli utenti di inserire le credenziali ogni volta. I certificati di abbinamento agli account utente consentono una maggiore sicurezza tramite il rinnovo del certificato e la revoca gestita centralmente.

Autenticazione e controllo degli accessi

I profili di autenticazione sono configurati sul portale e gateway GlobalProtect GlobalProtect di Palo Alto Networks. Questi profili definiscono come gli utenti si autenticano nel servizio VPN. Le opzioni includono:

- Database utente locali
- Directory esterne come Active Directory, LDAP o raggio
- Integrazione di autenticazione a più fattori (ad es. Duo, Okta)

Per i dispositivi iOS, l'autenticazione multi-fattore può essere applicata durante l'accesso tramite l'app, in cui agli utenti viene richiesto di completare i passaggi aggiuntivi come i passcode SMS o le approvazioni dell'app di autenticatore.

Le politiche di accesso possono essere perfezionate in base al tipo di dispositivo, al gruppo di utenti o alla presenza del certificato. Ciò consente di limitare determinate funzionalità VPN o persino di negare l'accesso VPN a dispositivi che non soddisfano i requisiti di sicurezza (ad esempio, i certificati mancanti o i controlli di conformità non riusciti).

Impostazioni del profilo di connessione e VPN

Le caratteristiche complete di configurazione del profilo VPN su GlobalProtect consentono agli amministratori di specificare:

- Regole di tunneling diviso: definire quale traffico passa attraverso la VPN e quale accede direttamente a Internet
- Impostazioni DNS: server DNS personalizzati per la risoluzione dei nomi di rete mentre sono collegati a VPN
- Impostazioni del server proxy se necessario per le politiche aziendali
- Pool di indirizzi IP client assegnati ai dispositivi che si collegano a VPN
- Timeout per tutta la durata e l'inattività di connessione per scollegare automaticamente le sessioni inattive

Queste impostazioni aiutano a bilanciare la sicurezza e le prestazioni, ad esempio consentendo al traffico non sensibile di bypassare il tunnel VPN per preservare la larghezza di banda, assicurando al contempo i flussi di dati aziendali critici.

Gestione di GlobalProtect con MDM di terze parti per iOS

Molte organizzazioni utilizzano MDM di terze parti come Microsoft Intune o Meraki System Manager per spingere le configurazioni per GlobalProtect. Queste soluzioni forniscono strumenti a:

- Allega i profili VPN direttamente all'app GlobalProtect sui dispositivi iOS
- Gestire i certificati e le politiche di autenticazione sui dispositivi iscritti
- Applicare le politiche di conformità e di accesso condizionale, come richiedere la crittografia del dispositivo, i passcodi o gli aggiornamenti delle app prima di consentire la connessione VPN
- Monitorare lo stato della connessione VPN in remoto e applicare la connettività o scollegare gli scenari in base alla politica

Gli amministratori possono assegnare dispositivi o gruppi di utenti a personalizzare le impostazioni VPN GlobalProtect per ruoli o dipartimenti organizzativi.

Risoluzione dei problemi e monitoraggio

La gestione di più dispositivi iOS con GlobalProtect VPN richiede un monitoraggio continuo per garantire la connettività e la conformità alla sicurezza. Il portale di gestione di Palo Alto fornisce registri e monitoraggio dello stato per i dispositivi connessi, inclusi gli endpoint iOS.

I punti comuni di risoluzione dei problemi includono:

- Verificare le spinte di configurazione riuscita da MDM
- Registri di successo dell'autenticazione e fallimento
- Garantire che i certificati siano installati correttamente e validi sui dispositivi
- Verificare la conformità con le politiche o le restrizioni VPN
- Monitoraggio dei comportamenti di tunneling e routing

Questioni persistenti possono richiedere la revisione dei registri GlobalProtect su singoli dispositivi, testare la connettività a diversi gateway o verificare le configurazioni di licenze e portale.

Riepilogo dei passaggi per la gestione di più dispositivi iOS

1. Utilizzare una soluzione MDM per distribuire i profili di app e VPN GlobalProtect.
2. Distribuire i certificati richiesti tramite MDM per l'autenticazione sicura su iOS.
3. Configurare i profili di autenticazione sul portale GlobalProtect con MFA.
4. Definire e spingere le impostazioni della connessione VPN tra cui tunneling diviso e DNS.
5. Monitorare la conformità del dispositivo e lo stato della connessione VPN centralmente.
6. Risolvere i problemi di connettività e autenticazione utilizzando registri e report di dispositivi.
7. Applicare politiche di sicurezza come VPN obbligatorie, timeout di inattività e accesso selettivo.