为了使用用于iOS设备的Workspace One设置GlobalProtect VPN,该过程涉及多个步骤,这些步骤将下载和部署GlobalProtect应用程序结合在一起,在Workspace One中配置VPN配置文件,并管理部署以招募iOS设备。这是涵盖所有必要步骤的全面指南。
下载和部署GlobalProtect应用程序:
必须首先通过Workspace One向最终用户提供iOS的Global Protect应用程序。该应用程序可在Apple App Store上找到,可以部署到工作区ONE中注册的托管设备。为此,管理员通过选择资源> Apps> Apps>“本机>公共”然后添加应用程序,将Global Protect应用程序添加到Workspace One控制台。全球保护应用程序将在选定的组织组和平台下作为iOS进行管理。添加后,该应用程序可以自动将应用程序推向目标智能组中的设备,也可以用于可选的用户安装。
使用工作空间注册设备:
为了通过工作区ONE管理Global Protect,需要使用Workspace One Agent将iOS设备录入Workspace One MDM。注册使管理员可以将配置配置文件和应用程序设置推向托管设备。注册通常涉及在iOS设备上下载一个智能集线器应用程序,并遵循屏幕上提示在公司管理环境中注册该设备。
在工作区中配置VPN配置文件:
部署应用程序后,下一步就是创建或修改iOS设备配置文件以配置GlobalProtect VPN设置。这是通过工作区One控制台通过导航到资源>配置文件和基准>配置文件>添加配置文件,选择iOS设备配置文件并选择设备配置文件上下文来完成的。
在配置配置文件时,“一般部分”包括给出配置文件一个名称和可选描述,设置托管(可在未注册时可移动)或手动(需要最终用户删除)等部署方法以及指定自动,可选或基于合规性部署的分配类型。
配置VPN设置:
在配置文件配置中,定义了特定的VPN设置,该设置允许GlobalProtect使用零信任模型自动连接,并始终在需要的情况下。
- 始终可以启用VPN,可以使Global Protect隧道连续保持在设备上。
- 输入GlobalProtect网关的门户地址或完全合格的域名(FQDN)。
- 配置身份验证方法,客户端证书选项和VPN连接方法,例如用户logon或按需。
- 如果仅适用于特定应用程序的隧道流量,则指定每个应用程序VPN设置。
- 控制网络旁路选项,以允许或禁止某些流量绕过VPN隧道。
- 例如,将自定义设置作为键值对,例如,将设备的唯一标识符(UDID)发送到hip(主机信息配置文件)集成的GlobalProtect应用程序。
- 配置合规性和设备所有权属性以启用VPN在连接尝试中强制执行的有条件访问策略。
部署和用户体验:
发布配置文件后,将配置推向自动注册iOS设备(如果分配为自动设备),或通过Workspace一个自助服务门户(如果可选)进行手动安装。安装了GlobalProtect应用程序并应用了配置文件时,用户将能够无缝连接到VPN。
在启动GlobalProtect应用程序或使用始终为ON VPN时,VPN连接将自动建立。可能会提示用户输入其凭据(用户名/密码)或执行多因素身份验证,具体取决于门户配置。该应用支持常见的身份验证方法,包括LDAP,RADIUS,SAML,客户端证书和本地用户名/密码。
连接后,iOS状态栏上显示了VPN图标,表明有效的安全连接。该应用程序保持在后台连接,并根据配置的策略在没有用户干预的情况下进行路由流量。
有关网络和安全性的其他注释:
- 管理员可以在GlobalProtect网关上定义网络过滤器,以通过VPN隧道路由特定的流量或应用程序。
- 与工作空间集成一允许利用设备合规性状态在允许VPN访问之前执行安全策略执行。
- 每个应用程序VPN配置仅通过VPN启用从企业应用程序的路由流量,同时允许个人应用程序流量直接使用本地网络。
- Global Protect应用程序和工作区一个配置文件配置通过连续监视支持现代安全最佳实践。
iOS上的Global Protect VPN应用功能:
- 该应用程序适应用户的位置,并连接到最佳可用网关。
- 支持IPSEC或SSL协议上的连接。
- 与MDM集成可以简化供应和集中管理。
- 如果在远程连接尝试期间过期,则允许密码更改。
- 使用各种方法为两因素身份验证提供支持。
- 与本机iOS经验的完全集成,包括有关连接状态和提示的通知支持。