Intune(EA)로 Android 작업 프로필에 Cato 배포하기

이 문서에서는 Microsoft Intune을 사용하여 Android 작업 프로필에 Cato 클라이언트를 배포하고, 업무 애플리케이션 트래픽만 Cato Cloud를 통해 라우팅하는 방법을 설명합니다.

참고: 이 기능은 제한된 릴리스에만 제공되는 초기 접근성(EA) 기능입니다. 기능 활성화에 대한 추가 정보를 원하시면, Cato Networks 담당자에게 문의하거나 ea@catonetworks.com으로 이메일을 보내세요.

개요

Cato를 통해 Android 디바이스에서 관리되는 업무 애플리케이션의 트래픽을 전체 기기의 트래픽 없이 보호할 수 있습니다. 이는 개인용 애플리케이션이 Cato 터널을 우회하도록 하면서, 기업용 앱과 데이터를 보호하기 원하는 BYOD를 허용하는 조직에 특히 유용합니다.

Microsoft Intune을 통해 Android 작업 프로필을 생성하고, 프로필에 포함된 앱에 대해 안전한 연결을 강제하세요. 기업 이메일, SaaS 애플리케이션 및 내부 서비스와 같은 비즈니스 앱은 Cato Cloud를 통해 트래픽을 전송하지만, 개인 앱은 계속해서 디바이스의 일반 네트워크 연결을 사용합니다.

Microsoft Intune은 Android에서 사용자 지정 공급자의 네이티브 앱별 트래픽 제한을 지원하지 않습니다. 대신, 이 솔루션은 Android 작업 프로필과 항상 켜짐 VPN 및 Lockdown 모드를 함께 사용합니다.

개인 프로필을 통한 이 설계의 우회를 막기 위해, IdP 또는 SaaS 애플리케이션에서 액세스 제어를 구성하여, Cato Cloud에서 유래하는 연결만 수용하도록 권장합니다. 이는 관리되는 업무 앱이 트래픽이 Cato를 통해 라우팅될 때에만 접근 가능하도록 보장합니다.

자세한 정보는 Deploying Cato Client with Android (Intune)을 참조하세요.

사전 요구 사항

Android v5.5 이상을 위한 Cato 클라이언트에 대해 지원됩니다.
작업 프로필에 대해 항상 켜짐 VPN 및 Lockdown 모드를 활성화해야 합니다.

사용 사례

ABC 회사는 직원들이 개인 Android 디바이스를 사용하여 Salesforce, Microsoft Teams, 내부 웹 앱과 같은 회사 리소스에 접근할 수 있도록 허용합니다. 그러나, IT 팀은 기업 트래픽만 Cato Cloud를 통해 라우팅하고, 개인 사용 및 개인 앱은 터널 외부에서 유지되도록 하고 싶어합니다.

이를 강제하기 위해, 팀은 Microsoft Intune을 사용하여 Android 작업 프로필에 Cato 클라이언트를 배포합니다. 관련 애플리케이션을 작업 프로필에 할당하고, 프로필을 항상 켜짐 VPN 및 Lockdown 모드를 강제하도록 구성합니다. 그 결과, 작업 앱은 자동으로 Cato Cloud를 통해 트래픽을 전송하고, Instagram, WhatsApp, 개인 브라우징과 같은 개인 앱은 계속해서 디바이스의 직접 네트워크 연결을 사용합니다.

Android 작업 프로필 솔루션 작동 방식

Microsoft Intune을 통해 관리되는 업무 앱을 Android 작업 프로필 안에서 격리하고, 해당 프로필 내 모든 애플리케이션에 대해 안전한 연결을 강제합니다. 다음 Android 제약 사항을 사용하여 작업 프로필의 모든 애플리케이션에 대해 터널 사용을 강제하세요.

항상 켜짐 VPN은 디바이스 부팅 시 Cato 클라이언트를 자동으로 시작합니다. 자동으로 연결성을 설정하려면, Cato 관리 애플리케이션에서 항상 켜짐 정책을 활성화해야 합니다.
Lockdown 모드는 네트워크 트래픽이 터널을 통해 라우팅되지 않는 한, 작업 프로필 내의 모든 네트워크 트래픽을 차단합니다.

These settings work together to enforce continuous connectivity for work-profile apps. 항상 켜짐 VPN은 클라이언트를 자동으로 시작하여 사용자가 연결을 끊는 것을 방지합니다. Lockdown 모드는 연결 실패 시 차단되는 동작을 강제하므로, 클라이언트가 Cato Cloud에 연결되지 않는 한 작업 프로필의 트래픽이 차단됩니다.

Android 디바이스의 경우, 항상 켜짐 VPN만 활성화하면 클라이언트가 Cato Cloud와 터널을 설정할 수 없는 상황에서 트래픽이 차단되지 않습니다. Lockdown 모드가 없으면, 작업 프로필 앱의 트래픽이 터널을 우회하여 네트워크에 직접 접근할 수 있습니다. 이러한 제한사항을 통해 작업 프로필 내의 모든 애플리케이션이 오직 Cato Cloud를 통해서만 통신하도록 보장합니다.

기대되는 행동

Android 작업 프로필은 Cato 터널을 사용하는 앱을 결정합니다.
작업 프로필의 앱은 터널을 통해 트래픽을 전송합니다.
개인 프로필의 앱은 디바이스의 일반 네트워크 연결을 계속 사용합니다.
트래픽 제한은 작업 프로필의 Android OS 수준에서 적용됩니다.
이 배포에서는 스플릿 터널이 지원되지 않습니다. Cato 관리 애플리케이션에서의 스플릿 터널 정책을 사용하여 트래픽을 라우팅하는 경우, 해당 트래픽은 일반적으로 클라이언트에 의해 드롭됩니다.
Lockdown 모드는 작업 프로필에 대해 연결 실패 시 차단되는 동작을 강제하므로, Cato 터널을 통해 라우팅되지 않는 한 작업 프로필 앱 트래픽만 허용합니다.
Lockdown 모드에서 터널 외부의 트래픽이 차단되기 때문에, 임시 우회는 지원되지 않습니다.

Android 작업 프로필 트래픽 라우팅을 위한 Intune 구성하기

Intune은 이 배포에 대해 다음과 같은 정책 유형을 사용합니다.

작업 프로필에 대해 항상 켜짐 VPN 및 Lockdown 모드를 강제하기 위해 Android Enterprise 디바이스 제한 정책을 설정합니다.
이 배포에 필요한 앱 설정을 적용하기 위해 관리 디바이스 앱 구성 정책을 Cato 클라이언트에 설정합니다.

Intune 정책을 구성하려면:

Intune 관리자 센터에서 장치로 이동하여 Android를 선택합니다.
구성 아래에서 생성 > 새 정책 클릭하십시오.
Android Enterprise 및 템플릿을 선택한 후, 디바이스 제한사항을 선택하십시오.
- 완전 관리 또는 개인 소유 작업 프로필 중 디바이스 유형에 따라 선택하십시오.
정책에 대한 이름을 입력하십시오.
연결성 섹션을 열고 다음 설정을 구성하십시오:
- Always-On VPN을 활성화하십시오.
- VPN 클라이언트를 사용자 정의로 설정하십시오.
- 패키지 ID 아래에 com.catonetworks.vpnclient을 입력하십시오.
- Lockdown 모드를 활성화하십시오.
정책을 관련 Intune 사용자 또는 장치 그룹에 할당하십시오.
정책을 저장하십시오.
관리 디바이스 앱 구성을 위한 설정을 구성하려면, 앱 > 앱 관리 > Android 구성로 이동하십시오.
생성을 클릭하고 관리 디바이스를 선택하십시오.
기본 정보 페이지에서 다음 설정을 구성하십시오:
- 구성의 이름.
- 플랫폼 - Android Enterprise.
- 프로필 유형 - 배포에 적절한 프로필을 선택하십시오.
- 대상 앱 - Cato 클라이언트.
확인을 클릭한 후, 다음을 클릭하십시오.
설정 페이지에서 구성 설정 형식에서 구성 디자이너 사용을 선택하세요.
추가를 클릭하고 항상 켜짐 VPN 및 앱별 VPN 키를 선택하세요.
확인을 클릭한 후, 각 키에 대해 구성값을 True로 설정하십시오.
다음을 클릭하고 정책을 관련 Intune 사용자 또는 장치 그룹에 할당하십시오.
정책을 저장하십시오.