Déployer Cato Android pour Profils de travail avec Intune (EA)

Cet article explique comment utiliser Microsoft Intune pour déployer le Client Cato pour les profils de travail Android et acheminer uniquement le trafic des applications de travail via le Cato Cloud.

Note : Il s'agit d'une fonctionnalité de Disponibilité Anticipée (EA) disponible uniquement pour un déploiement limité. Pour plus d'informations sur l'activation de la fonctionnalité, contactez votre représentant Cato Networks ou envoyez un email à ea@catonetworks.com.

Vue d'ensemble

Cato vous permet de protéger le trafic des applications professionnelles gérées sur les appareils Android sans acheminer le trafic de tout l'appareil via le tunnel. Cela est particulièrement utile pour les organisations qui autorisent le BYOD et souhaitent sécuriser les applications et les données d'entreprise, tandis que les applications personnelles contournent le tunnel Cato.

Créez un profil de travail Android avec Microsoft Intune et imposez une connectivité sécurisée pour les applications incluses dans ce profil. Les applications professionnelles telles que l'email d'entreprise, les applications SaaS et les services internes envoient le trafic via le Cato Cloud, tandis que les applications personnelles continuent d'utiliser la connexion réseau normale de l'appareil.

Microsoft Intune ne prend pas en charge l'application native du trafic par application pour les fournisseurs personnalisés sur Android. Au lieu de cela, cette solution utilise un profil de travail Android avec VPN Toujours Actif et le mode Verrouillage.

Pour empêcher les utilisateurs de contourner ce design via le profil personnel, nous recommandons de configurer des contrôles d'accès dans votre IdP ou dans les applications SaaS, afin qu'elles n'acceptent que les connexions provenant du Cato Cloud. Cela aide à garantir que les applications de travail gérées restent accessibles uniquement lorsque le trafic est acheminé via Cato.

Pour plus d'informations, voir Déployer le Client Cato avec Android (Intune).

Prérequis

• Supporté pour Client Cato pour Android v5.5 et supérieur
• Le VPN Toujours Actif et le mode Verrouillage doivent être activés pour le profil de travail

Cas d'Utilisation

La société ABC permet aux employés d'utiliser des appareils Android personnels pour accéder aux ressources de l'entreprise telles que Salesforce, Microsoft Teams et les applications Web internes. Cependant, l'équipe informatique souhaite s'assurer que seul le trafic d'entreprise est acheminé via le Cato Cloud, tandis que la navigation personnelle et les applications personnelles restent en dehors du tunnel.

Pour imposer cela, l'équipe déploie le Client Cato avec un profil de travail Android en utilisant Microsoft Intune. Ils assignent les applications pertinentes au profil de travail et configurent le profil pour imposer le VPN Toujours Actif et le mode Verrouillage. En conséquence, les applications de travail envoient automatiquement le trafic via le Cato Cloud, tandis que les applications personnelles telles qu'Instagram, WhatsApp, et la navigation personnelle continuent d'utiliser la connexion directe du réseau de l'appareil.

Comment fonctionne la Solution de Profil de Travail Android

Microsoft Intune vous permet d'isoler les applications de travail gérées dans un profil de travail Android et d'imposer une connectivité sécurisée pour toutes les applications dans ce profil. Imposez l'utilisation du tunnel pour toutes les applications dans le profil de travail avec ces restrictions Android :

• VPN Toujours Actif démarre le Client Cato automatiquement lorsque l'appareil démarre. Pour établir la connectivité automatiquement, vous devez également activer la politique Toujours Actif dans l'application de gestion Cato.
• Mode Verrouillage bloque tout le trafic réseau dans le profil de travail à moins qu'il ne soit acheminé via le tunnel.

Ces paramètres fonctionnent ensemble pour imposer une connectivité continue pour les applications du profil de travail. Le VPN Toujours Actif démarre le Client automatiquement et aide à empêcher les utilisateurs de le déconnecter. Le mode Verrouillage applique un comportement de fail-closed, de sorte que le trafic du profil de travail est bloqué à moins que le Client ne soit connecté au Cato Cloud.

Pour les appareils Android, activer le VPN Toujours Actif ne bloque pas à lui seul le trafic dans les situations où le Client ne peut pas établir un tunnel vers le Cato Cloud. Sans le mode Verrouillage, le trafic des applications du profil de travail peut contourner le tunnel et accéder directement au réseau. Ensemble, ces restrictions garantissent que toutes les applications du profil de travail ne communiquent que via le Cato Cloud.

Comportement Attendu

• Le profil de travail Android détermine quelles applications utilisent le tunnel Cato.
• Les applications dans le profil de travail envoient le trafic via le tunnel.
• Les applications dans le profil personnel continuent d'utiliser la connexion réseau régulière de l'appareil.
• L'application de la règle de trafic est appliquée au niveau de l'OS Android pour le profil de travail.
• Le tunnel fractionné n'est pas pris en charge dans ce déploiement. Si vous utilisez la politique de Tunnel fractionné dans l'application de gestion Cato pour acheminer le trafic, ce trafic est généralement abandonné par le Client.
• Le mode Verrouillage impose un comportement fail-closed pour le profil de travail, donc le trafic des applications du profil de travail n'est autorisé que lorsqu'il est acheminé par le tunnel Cato.
• Le contournement temporaire n'est pas pris en charge car le trafic en dehors du tunnel est bloqué par le mode Verrouillage.

Configuration d'Intune pour l'Acheminement du Trafic du Profil de Travail Android

Intune utilise ces types de politique pour ce déploiement :

• Une politique de restrictions d'appareils Android Enterprise pour imposer le VPN Toujours Actif et le mode Verrouillage pour le profil de travail.
• Une politique de configuration d'applications d'appareils gérés pour le Client Cato afin d'appliquer les paramètres d'application requis pour le déploiement.

Pour configurer la politique Intune :

1. Dans le centre d'administration Intune, allez à Appareils et sélectionnez Android.
2. Sous Configuration, cliquez sur Créer > Nouvelle politique.
3. Sélectionnez Android Enterprise et Modèles, puis choisissez Restrictions de l'appareil.
   • Sélectionnez soit Entièrement géré ou Profil de travail personnel, selon le type d'appareil.
     
4. Entrez un nom pour la politique.
5. Ouvrez la section Connectivité et configurez les paramètres suivants :
   • Activez Always-On VPN.
   • Réglez le client VPN sur Personnalisé.
   • Sous ID du package, entrez com.catonetworks.vpnclient.

   • Activez le mode Verrouillage.

     

6. Assignez la politique aux groupes d'utilisateurs ou d'appareils Intune pertinents.
7. Enregistrez la politique.
8. Configurez les paramètres pour la configuration de l'application des appareils gérés, naviguez vers Applications > Gérer les applications > Configuration Android.
9. Cliquez sur Créer et sélectionnez Appareils gérés.
10. Dans la page Paramètres, configurez ces paramètres :
    • Nom de la configuration.
    • Plateforme - Android Enterprise.
    • Type de profil - sélectionnez le profil pertinent pour votre déploiement.
    • Application Cible - Client Cato.
      
11. Cliquez sur OK puis cliquez sur Suivant.
12. Dans la page Paramètres, dans le Format des paramètres de configuration, sélectionnez Utiliser le concepteur de configuration.

13. Cliquez sur Ajouter, et sélectionnez les clés Always-On VPN et Per-App VPN.

    

14. Cliquez sur OK puis définissez la valeur de Configuration à Vrai pour chaque clé.
    
15. Cliquez sur Suivant et assignez la politique aux groupes d'utilisateurs ou d'appareils Intune pertinents.
16. Enregistrez la politique.

Ajout d'Applications au Profil VPN Par Application

L'application de la règle de trafic est appliquée au niveau du profil de travail Android. Toute application installée dans le profil de travail est automatiquement forcée à envoyer le trafic via le Client.

Vous contrôlez quelles applications sont incluses dans le VPN en contrôlant les applications assignées au profil de travail Android dans Intune.

Pour ajouter des applications au profil de travail :

1. Dans le centre d'administration Intune, allez à Applications.
2. Sélectionnez Android et choisissez le type d'application pertinent, tel que Android Enterprise.
3. Ajoutez ou sélectionnez l'application que vous souhaitez sécuriser via le VPN.
4. Dans les paramètres d'affectation des applications, assignez l'application aux mêmes groupes d'utilisateurs ou d'appareils qui utilisent le profil de travail Android.