この記事は、Microsoft Intuneを使用してCatoクライアントをAndroid作業プロファイルにデプロイし、仕事用アプリケーションのトラフィックのみをCato Cloud経由でルーティングする方法を説明しています。
注: これは、限られたリリースのみに利用可能なEarly Availability(EA)機能です。 この機能の有効化について詳しくは、Cato Networksの代表者に連絡するか、ea@catonetworks.com まで電子メールを送信してください。
概要
Catoでは、Androidデバイスの管理された仕事用アプリケーションのトラフィックを保護しつつ、デバイス全体のトラフィックをトンネル経由にルーティングすることなく、保護することができます。 これは、BYODを許可し、企業のアプリケーションとデータを保護しつつ、個人のアプリケーションはCatoトンネルをバイパスさせたい組織に特に有効です。
Microsoft Intuneを使用してAndroid作業プロファイルを作成し、そのプロファイルに含まれるアプリケーションの安全な接続を強制します。 企業用メール、SaaSアプリケーション、内部サービスなどの業務用アプリケーションはCato Cloud経由でトラフィックを送信しますが、個人アプリケーションはデバイスの通常のネットワーク接続を使い続けます。
Microsoft Intuneは、カスタムプロバイダ向けのネイティブアプリ単位のトラフィック施行をAndroidでサポートしていません。 その代わりに、このソリューションではAndroid作業プロファイルを常時接続VPNおよびロックダウンモードと共に使用します。
この設計を個人プロファイルを通じて回避しないようにするため、IdPまたはSaaSアプリケーションでアクセス制御を設定し、Cato Cloudからの接続のみを受け入れるようにしてください。 これにより、管理された仕事用アプリがCato経由でトラフィックがルーテッドされた時のみアクセス可能であることが保証されます。
詳細については、CatoクライアントをAndroid(Intune)でデプロイする方法 を参照してください。
前提条件
- Android v5.5以上でCatoクライアントをサポート
- Always-On VPNおよびロックダウンモードはプロファイルのために有効にする必要があります。
ユースケース
ABC社の社員は、個人のAndroidデバイスを使用して、Salesforce、Microsoft Teams、内部ウェブアプリなどの企業リソースにアクセスできます。 しかし、ITチームは企業トラフィックのみをCato Cloud経由でルーティングし、個人的なブラウジングや個人のアプリをトンネル外に置くことを確認したいと考えています。
これを強制するために、チームはMicrosoft Intuneを使用してCatoクライアントをAndroid作業プロファイルにデプロイします。 彼らは関連するアプリケーションを作業プロファイルに割り当て、常時接続VPNとロックダウンモードを強制するようにプロファイルを設定します。 結果として、仕事用アプリは自動的にトラフィックをCato Cloud経由で送信し、InstagramやWhatsApp、個人的なブラウジングなどの個人用アプリはデバイスの直接ネットワーク接続を使い続けます。
Android作業プロファイルソリューションの動作
Microsoft Intuneは、管理された仕事用アプリをAndroid作業プロファイル内に隔離し、そのプロファイル内のすべてのアプリに対してセキュアな接続を強制します。 これらのAndroidの制限を使用してワークプロファイルのすべてのアプリにトンネルの使用を強制します:
- 常時接続VPNがデバイスの起動時に自動的にCatoクライアントを開始します。 自動的に接続を確立するためには、Cato管理アプリケーションで常時接続ポリシーも有効にする必要があります。
- ロックダウンモードは、トンネル経由でルーティングされない限り作業プロファイル内のすべてのネットワークトラフィックをブロックします。
これらの設定は協力して、作業プロファイルアプリの連続的な接続を強制します。 常時接続VPNはクライアントを自動的に開始し、ユーザーが切断するのを防ぎます。 ロックダウンモードは、クライアントがCato Cloudに接続されない限り、業務プロファイルトラフィックをブロックするフェイルクローズ動作を強制します。
Androidデバイスの場合、常時接続VPNを有効にしてもCato Cloudへのトンネルを確立できない状況ではトラフィックをブロックしません。 ロックダウンモードがないと、作業プロファイルアプリからのトラフィックはトンネルをバイパスしてネットワークに直接アクセスできます。 これらの制限により、作業プロファイル内のすべてのアプリケーションがCato Cloud経由でのみ通信できることが保証されます。
想定される動作
- Android作業プロファイルは、どのアプリがCatoトンネルを使用するかを決定します。
- 作業プロファイル内のアプリはトンネル経由でトラフィックを送信します。
- 個人プロファイル内のアプリはデバイスの通常のネットワーク接続を使い続けます。
- トラフィック施行は、Androidオペレーティングシステムレベルで作業プロファイルに適用されます。
- このデプロイメントではスプリットトンネルはサポートされていません。 Cato管理アプリケーションでスプリットトンネルポリシーを使用してトラフィックをルーティングした場合、そのトラフィックはクライアントによって通常はドロップされます。
- ロックダウンモードは作業プロファイル用にフェイルクローズ動作を強制し、トラフィックがCatoトンネル経由でルーティングされた場合にのみ、作業プロファイルアプリトラフィックを許可します。
- トンネル外のトラフィックはロックダウンモードによってブロックされるため、一時的なバイパスはサポートされていません。
Android作業プロファイルトラフィックルーティングのためのIntuneの設定
Intuneはこのデプロイメントのためにこれらのポリシータイプを使用します:
- Always-On VPNとロックダウンモードを作業プロファイルに強制するためのAndroid Enterpriseデバイス制限ポリシー。
- Catoクライアントのために必要なアプリ設定を適用するための管理されたデバイスアプリ構成ポリシー。
Intuneポリシーを設定するには:
- Intune管理センターで、デバイスに移動し、Androidを選択します。
- 構成で作成 > 新しいポリシーをクリックします。
-
Android Enterpriseとテンプレートを選択し、デバイス制限を選択します。
- デバイスタイプに応じて、完全管理または個人所有の作業プロファイルのいずれかを選択します。
- デバイスタイプに応じて、完全管理または個人所有の作業プロファイルのいずれかを選択します。
- ポリシーの名前を入力します。
-
接続性セクションを開き、次の設定を構成します。
- 常時接続VPNを有効にします。
- VPNクライアントをカスタムに設定します。
-
パッケージIDで
com.catonetworks.vpnclientを入力します。 -
ロックダウンモードを有効にします。
- ポリシーを関連するIntuneユーザーまたはデバイスグループに割り当てます。
- ポリシーを保存します。
- 管理されたデバイスアプリ構成の設定を構成し、アプリ > アプリの管理 > Android構成に移動します。
- 作成をクリックし、管理されたデバイスを選択します。
-
基本ページにて、次の設定を構成します:
- 構成の名前。
- プラットフォーム - Android Enterprise。
- プロファイルタイプ - デプロイメントに適したプロファイルを選択します。
-
ターゲットアプリ - Catoクライアント。
- OKをクリックしてから次へをクリックします。
- 設定ページで、構成設定形式で、設定デザイナーを使用を選択します。
-
追加をクリックし、常時接続VPNとアプリ単位のVPNキーを選択します。
-
OKをクリックし、各キーの構成値をTrueに設定します。
- 次へをクリックし、ポリシーを関連するIntuneユーザーまたはデバイスグループに割り当てます。
- ポリシーを保存します。
アプリ単位VPNプロファイルにアプリを追加する
トラフィック施行は、Android作業プロファイルレベルで適用されます。 作業プロファイルにインストールされたすべてのアプリケーションは、自動的にクライアントを通じてトラフィックを送信するように強制されます。
IntuneでAndroidワークプロファイルに割り当てられたアプリを制御することで、どのアプリがVPNに含まれるかを管理します。
作業プロファイルにアプリを追加するには:
- Intune管理センターで、アプリに移動します。
- Androidを選択し、Android Enterprise などの関連するアプリタイプを選択します。
- VPN経由でアクセスされる確実なアプリケーションを追加または選択します。
- アプリ割り当て設定で、同じユーザーまたはAndroid作業プロファイルを使用するデバイスグループにアプリを割り当てます。
0件のコメント
サインインしてコメントを残してください。