Desplegando Cato Android para Perfiles de Trabajo con Intune (EA)

Este artículo explica cómo usar Microsoft Intune para desplegar el Cliente Cato para perfiles de trabajo de Android y enrutar solo el tráfico de aplicaciones de trabajo a través de la nube Cato.

Nota: Esta es una funcionalidad de Disponibilidad Temprana (EA) que solo está disponible para lanzamiento limitado. Para obtener más información sobre cómo habilitar la funcionalidad, contacte a su representante de Cato Networks o envíe un correo electrónico a ea@catonetworks.com.

Visión general

Cato te permite proteger el tráfico para aplicaciones de trabajo gestionadas en dispositivos Android sin enrutar el tráfico de todo el dispositivo a través del túnel. Esto es especialmente útil para organizaciones que permiten BYOD, y quieren asegurar apps corporativas y datos mientras las aplicaciones personales evitan el túnel Cato.

Cree un perfil de trabajo Android con Microsoft Intune y implemente conectividad segura para las aplicaciones incluidas en ese perfil. Las aplicaciones comerciales como el correo electrónico corporativo, aplicaciones SaaS y servicios internos envían tráfico a través de la nube Cato, mientras que las aplicaciones personales continúan utilizando la conexión de red regular del dispositivo.

Microsoft Intune no soporta la aplicación de tráfico por aplicación nativa para proveedores personalizados en Android. En cambio, esta solución utiliza un perfil de trabajo Android junto con VPN Siempre Activa y modo Bloqueo.

Para evitar que los usuarios eludan este diseño a través del perfil personal, recomendamos configurar controles de acceso en su IdP o aplicaciones SaaS para que solo acepten conexiones que se originen desde la nube Cato. Esto ayuda a asegurar que las aplicaciones de trabajo gestionadas permanezcan accesibles solo cuando el tráfico es enrutado a través de Cato.

Para más información, consulte Desplegando Cliente Cato con Android (Intune).

Requisitos Previos

• Soportado para Cliente Cato para Android v5.5 y superior
• VPN Siempre Activa y el modo Bloqueo deben estar habilitados para el perfil de trabajo

Caso de Uso

La Compañía ABC permite a los empleados usar dispositivos Android personales para acceder a recursos de la compañía como Salesforce, Microsoft Teams y aplicaciones web internas. Sin embargo, el equipo de TI quiere asegurarse de que solo el tráfico empresarial esté enrutado a través de la nube Cato, mientras que la navegación personal y las aplicaciones personales se mantienen fuera del túnel.

Para hacer cumplir esto, el equipo despliega el Cliente Cato con un perfil de trabajo Android utilizando Microsoft Intune. Asignan las aplicaciones relevantes al perfil de trabajo y configuran el perfil para aplicar VPN Siempre Activa y el modo Bloqueo. Como resultado, las aplicaciones de trabajo envían automáticamente tráfico a través de la nube Cato, mientras que las aplicaciones personales como Instagram, WhatsApp y la navegación personal continúan usando la conexión de red directa del dispositivo.

Cómo funciona la Solución de Perfil de Trabajo Android

Microsoft Intune te permite aislar aplicaciones de trabajo gestionadas dentro de un perfil de trabajo Android y aplicar conectividad segura para todas las aplicaciones en ese perfil. Aplique el uso de túnel para todas las aplicaciones en el perfil de trabajo con estas restricciones de Android:

• VPN Siempre Activa inicia el Cliente Cato automáticamente cuando el dispositivo se enciende. Para establecer la conectividad automáticamente, también debe habilitar la política Siempre Activa en la Aplicación de Gestión Cato.
• Modo Bloqueo bloquea todo el tráfico de red en el perfil de trabajo a menos que sea enrutado a través del túnel.

Estos ajustes funcionan juntos para aplicar conectividad continua para aplicaciones de perfil de trabajo. VPN Siempre Activa inicia el Cliente automáticamente y ayuda a prevenir que los usuarios lo desconecten. El modo Bloqueo aplica un comportamiento de cierre por falla, por lo que el tráfico del perfil de trabajo está bloqueado a menos que el Cliente esté conectado a la nube Cato.

Para dispositivos Android, habilitar solo VPN Siempre Activa no bloquea el tráfico en situaciones donde el Cliente no puede establecer un túnel con la nube Cato. Sin el modo Bloqueo, el tráfico de las aplicaciones de perfil de trabajo puede evitar el túnel y acceder directamente a la red. Juntas, estas restricciones aseguran que todas las aplicaciones dentro del perfil de trabajo se comuniquen solo a través de la nube Cato.

Comportamiento Esperado

• El perfil de trabajo Android determina qué aplicaciones usan el túnel Cato.
• Las aplicaciones en el perfil de trabajo envían tráfico a través del túnel.
• Las aplicaciones en el perfil personal continúan usando la conexión de red regular del dispositivo.
• La aplicación del tráfico se aplica a nivel del sistema operativo Android para el perfil de trabajo.
• Túnel Dividido no está soportado en este despliegue. Si utiliza la política de Túnel Dividido en la Aplicación de Gestión Cato para enrutar el tráfico, ese tráfico generalmente es descartado por el Cliente.
• El modo Bloqueo aplica un comportamiento de cierre por falla para el perfil de trabajo, por lo que el tráfico de aplicaciones de perfil de trabajo solo está permitido cuando está enrutado a través del túnel Cato.
• El desvío temporal no está soportado porque el tráfico fuera del túnel está bloqueado por el modo Bloqueo.

Configurando Intune para el Enrutamiento de Tráfico de Perfil de Trabajo Android

Intune utiliza estos tipos de políticas para este despliegue:

• Una política de restricciones de dispositivo de Android Enterprise para aplicar VPN Siempre Activa y modo Bloqueo para el perfil de trabajo.
• Una política de configuración de aplicaciones de dispositivos gestionados para el Cliente Cato para aplicar las configuraciones de aplicación necesarias para el despliegue.

Para configurar la política Intune:

1. En el centro de administración Intune, navegue a Dispositivos y seleccione Android.
2. En Configuración, haga clic en Crear > Nueva política.
3. Seleccione Android Enterprise y Plantillas, luego elija Restricciones de dispositivo.
   • Seleccione Totalmente gestionado o Perfil de trabajo de propietario personal, dependiendo del tipo de dispositivo.
     
4. Ingrese un nombre para la política.
5. Abra la sección de Conectividad y configure los siguientes ajustes:
   • Habilite VPN Siempre Activa.
   • Establezca Cliente VPN en Personalizado.
   • En ID de paquete, ingrese com.catonetworks.vpnclient.

   • Habilite modo Bloqueo.

     

6. Asigne la política a los grupos de usuarios o dispositivos de Intune relevantes.
7. Guarde la política.
8. Configure los ajustes para la configuración de aplicaciones en dispositivos gestionados, navegue a Apps > Gestionar aplicaciones > Configuración de Android.
9. Haga clic en Crear y seleccione Dispositivos gestionados.
10. En la página Configuración, configure estos ajustes:
    • Nombre de la configuración.
    • Plataforma - Android Enterprise.
    • Tipo de perfil - seleccione el perfil relevante para su despliegue.
    • Aplicación dirigida - Cliente Cato.
      
11. Haga clic en OK y luego en Siguiente.
12. En la página Ajustes, en el formato de Ajustes de configuración, seleccione Usar diseñador de configuración.

13. Haga clic en Agregar, y seleccione las claves VPN Siempre Activa y VPN Por-App.

    

14. Haga clic en OK y luego configure el Valor de configuración a Verdadero para cada clave.
    
15. Haga clic en Siguiente y asigne la política a los grupos de usuarios o dispositivos de Intune relevantes.
16. Guarde la política.

Agregando Aplicaciones al Perfil VPN Por-App

La aplicación del tráfico se aplica a nivel del perfil de trabajo Android. Cualquier aplicación instalada en el perfil de trabajo se ve obligada automáticamente a enviar tráfico a través del Cliente.

Controlas qué aplicaciones están incluidas en la VPN controlando qué aplicaciones están asignadas al perfil de trabajo de Android en Intune.

Para agregar aplicaciones al perfil de trabajo:

1. En el centro de administración Intune, vaya a Aplicaciones.
2. Seleccione Android y elija el tipo de aplicación relevante, como Android Enterprise.
3. Agregue o seleccione la aplicación que desea asegurar que se acceda a través de la VPN.
4. En los ajustes de asignación de aplicaciones, asigna la aplicación a los mismos grupos de usuario o dispositivos que usan el perfil de trabajo Android.