Intuneを使用してiOS (EA)のためのアプリごとのVPNを展開する

この記事では、Azure Intuneを設定してアカウントのためにアプリごとのVPNを展開する方法について説明します。

この機能は、iOSクライアントv5.8およびそれ以上でサポートされています。

注意

注: これは限定リリース向けのEarly Availability (EA)機能です。 この機能を有効にする方法についての詳細は、Cato Networksの担当者に問い合わせるか、ea@catonetworks.comまでメールで連絡してください。

概要

iOSでのアプリごとのVPNにより、特定の企業アプリケーションのみをCato Cloudを通じてトンネル接続でき、個人用アプリやインターネットトラフィックはVPNプロファイルをバイパスします。

アプリごとのVPN動作により、企業メール、SaaSアプリケーション、社内サービスなどの機密トラフィックを隔離できます。 一方で、ソーシャルメディア、ストリーミング、一般のブラウジングなどの個人用アプリは通常のデバイスネットワークを使い続けます。 これにより、帯域幅とレイテンシのオーバーヘッドが削減され、ユーザープライバシーが向上し、コンプライアンスが簡素化されます。

前提条件

Microsoft Intuneの会社ポータルアプリが、アプリごとのVPNプロファイルをインストールしたいデバイスにインストールされていることを確認します。

注意

  • OfficeモードはアプリごとのVPNと互換性がありません。
  • アプリごとのVPNを使用する際は、トンネリングの決定がVPNプロファイル内で行われるため、スプリットトンネルの設定が適用されません。
  • アプリごとのVPNを使用する際、Cato Cloudのバイパスはサポートされません。

ユースケース

ABC社では、従業員が個人のiPhoneを使用して、SalesforceやMicrosoft Teamsなどの会社リソースにアクセスできるようにしています。 しかし、ITチームは、すべての企業トラフィックがCato Cloud経由でルーティングされ、個人のブラウジングやアプリはVPNトンネルの外部にとどまることを保証する必要があります。

これを実施するために、チームはMicrosoft Intuneを使用してアプリごとのVPN設定を展開します。 彼らは企業アプリのみを含むVPNプロファイルを定義し、そのプロファイルをiOSデバイスを登録したユーザーグループに割り当てます。 その結果、業務アプリは自動的にCato Cloudに接続し、Instagram、WhatsApp、Safariなどの個人用アプリはモバイル接続を通じて直接アクセスされます。

アプリごとのVPNを展開するための高レベルワークフロー

以下は、アカウント内でiOSクライアント向けにアプリごとのVPNを導入するワークフローの概要です。

  1. VPNプロファイル設定の設定
  2. VPNプロファイルが適用されるユーザーとグループを追加
  3. VPNトンネルを通過する必要があるアプリとVPNトンネルから除外されるアプリを設定
  4. VPNプロファイルの配布

iOS向けのアプリごとのVPNの設定

Microsoft Intune管理センターを使用して、iOSのアプリごとのVPNを設定します。

ios-per-app-config.png

アプリごとのVPNを設定するには:

  1. ナビゲーションメニューから デバイス > iOS/iPadOS を選択し、デバイス管理下で設定をクリックします。

  2. 新規ポリシーの作成をクリックし、次の情報を入力してください。

    • プロファイルタイプテンプレート を選択
    • テンプレート名VPN を選択し、説明的な名前を入力して次へをクリックします。

  3. 設定ページにて、次の情報を入力してください。

    • 接続タイプでカスタムVPNを選択
    • 接続の名前には、例として「CatoアプリごとのVPN」を入力してください。
    • VPNサーバーアドレスフィールドに、vpn.catonetworks.net を入力
    • 認証方法ユーザー名とパスワードを選択。
    • スプリットトンネリング無効 をクリック。
    • VPN識別子フィールドに CatoNetworks.CatoVPN を入力
  4. 自動VPN 設定の 自動VPNの種類フィールドで、アプリごとのVPNを選択。
  5. プロバイだタイプpacket-tunnelを選択。

  6. このVPNをトリガーするSafari URLで次を入力:

    • catonetworks.com
    • sso.ias.catonetworks.com
  7. 除外ドメインpush.apple.com を入力
  8. 次へ をクリックして、傍らでユーザーとグループを追加します。

アプリごとのVPNのためのユーザーとグループを定義

アプリごとのVPNを通過するアプリとVPNトンネル外に出るアプリを定義できます。 トンネルしたいアプリが既にデバイスにインストールされている場合、アプリごとのVPNプロファイル適用後にアンインストールして再インストールする必要があります。

ios-per-app-groups.png

アプリごとのVPNにユーザーとグループを追加するには:

  1. 割り当てページで、グループを追加をクリック
  2. 追加したいグループを選択し、選択 をクリック。
  3. (オプション) 選択したグループ内で、アプリごとのVPNが適用されない除外グループも選択できます。
  4. 次へ をクリックし、作成

VPNプロファイルのアプリを設定する

ios-per-app-apps.png

VPNプロファイルを使用するアプリを設定する:

  1. ナビゲーションメニューから アプリを選択し、プラットフォーム別のアプリ管理でiOS/iPadOSをクリックします。

  2. 作成 をクリックして新しいアプリを追加するか、既存のリストからアプリを選択します。

    プロファイルを使用するアプリとして、少なくともCatoクライアントを含める必要があります。

  3. 割り当てページで、アプリが利用可能な上記と同じグループを選択し、選択 をクリックします。
  4. VPN列で なし をクリックし、アプリ設定 > VPN 項目で設定済みのアプリごとのVPNを選択。
  5. 次へをクリックし、作成

VPNプロファイルを使用するアプリの設定

エンドユーザーデバイスにカスタムVPNプロファイルを展開する

以下のセクションでは、エンドユーザーがデバイスでアプリごとのVPNプロファイルを適用する方法を提供します。 VPNトンネルを必要とするアプリにアクセスすると、Catoクライアントが自動的に接続します。

アプリごとのVPNを展開する

  1. Azure Intune会社ポータルアプリから、セットアップの開始をクリックします。
  2. 会社ポータルに認証してください。
  3. 管理プロファイルのダウンロードを促されたら、許可 をクリックします。
  4. プロファイルがダウンロードされた後、続行 をクリック。
  5. プロファイルをインストールするための指示に従ってください。
    1. デバイスの設定アプリに移動します

    2. VPNとデバイス管理項目の下で、インストール をクリック。

      プロファイルのインストールが完了したら、Azure Intuneの会社ポータルに戻ります。

  6. 会社ポータルで、プロンプトが表示されたら、はい、プロファイルをインストールしました を選択し、続行をクリックします。

  7. アプリごとのVPNが必要な各アプリに対して、アプリが管理されることを許可するように促されます。 管理をクリックします。

    アプリの管理を許可しない場合、リソースにアクセスできません。

プロセスが成功裏に完了すると、Catoクライアントの統計ページでアプリごとのVPNが「はい」に設定されているのが確認できます。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント