Implantando Cato Android para Perfis de Proteção de Dados com Intune (EA)

Este artigo explica como usar o Microsoft Intune para implantar o Cliente Cato para perfis de proteção de dados Android e rotear apenas o tráfego de aplicações de trabalho através da Nuvem Cato.

Nota: Esta é uma funcionalidade de Disponibilidade Antecipada (EA) que está disponível apenas para lançamento limitado. Para obter mais informações sobre como ativar a funcionalidade, entre em contato com seu representante da Cato Networks ou envie um email para ea@catonetworks.com.

Visão geral

Cato permite proteger o tráfego para aplicações de trabalho gerenciadas em dispositivos Android sem rotear o tráfego do dispositivo inteiro através do túnel. Isso é especialmente útil para organizações que permitem BYOD e desejam proteger aplicativos e dados corporativos enquanto aplicativos pessoais ignoram o túnel Cato.

Crie um perfil de trabalho Android com Microsoft Intune e aplique conectividade segura para aplicativos incluídos nesse perfil. Aplicativos de negócios, como o email corporativo, aplicativos SaaS e serviços internos enviam tráfego através da Nuvem Cato, enquanto aplicativos pessoais continuam usando a conexão de rede regular do dispositivo.

O Microsoft Intune não oferece suporte à aplicação de tráfego por aplicativo para provedores personalizados no Android. Em vez disso, esta solução usa um perfil de trabalho Android junto com VPN Sempre Ativa e modo de Bloqueio.

Para evitar que usuários contornem esse design por meio do perfil pessoal, recomendamos configurar controles de acesso em suas aplicações IdP ou SaaS, para que aceitem apenas conexões que se originam da Nuvem Cato. Isso ajuda a garantir que aplicativos de trabalho gerenciados permaneçam acessíveis apenas quando o tráfego é roteado através da Cato.

Para mais informações, veja Implantando Cliente Cato com Android (Intune).

Pré-requisitos

Compatível com Cliente Cato para Android v5.5 e superior
VPN Sempre Ativa e modo de Bloqueio devem estar ativados para o perfil de trabalho

Caso de Uso

A Empresa ABC permite que funcionários usem dispositivos Android pessoais para acessar recursos da empresa, como Salesforce, Microsoft Teams e aplicativos web internos. No entanto, a equipe de TI quer garantir que apenas o tráfego corporativo seja roteado através da Nuvem Cato, enquanto a navegação pessoal e os aplicativos pessoais permanecem fora do túnel.

Para garantir isso, a equipe implanta o Cliente Cato com um perfil de trabalho Android usando o Microsoft Intune. Eles atribuem os aplicativos relevantes ao perfil de trabalho e configuram o perfil para aplicar a VPN Sempre Ativa e o modo de Bloqueio. Como resultado, aplicativos de trabalho enviam automaticamente o tráfego através da Nuvem Cato, enquanto aplicativos pessoais como Instagram, WhatsApp e a navegação pessoal continuam usando a conexão de rede direta do dispositivo.

Como Funciona a Solução de Perfil de Trabalho do Android

O Microsoft Intune permite que os aplicativos de trabalho gerenciados sejam isolados dentro de um perfil de trabalho Android e aplique conectividade segura para todos os aplicativos nesse perfil. Aplique o uso do túnel para todos os aplicativos no perfil de trabalho com estas restrições do Android:

VPN Sempre Ativa inicia o Cliente Cato automaticamente quando o dispositivo é iniciado. Para estabelecer conectividade automaticamente, você também deve ativar a política Sempre Ativa no Aplicativo de Gerenciamento Cato.
O modo de Bloqueio bloqueia todo o tráfego de rede no perfil de trabalho, a menos que seja roteado através do túnel.

Essas configurações funcionam juntas para aplicar conectividade contínua para aplicativos de perfil de trabalho. A VPN Sempre Ativa inicia o Cliente automaticamente e ajuda a impedir que os usuários o desconectem. O modo de Bloqueio aplica comportamento falha-fechado, de modo que o tráfego do perfil de trabalho é bloqueado a menos que o Cliente esteja conectado à Nuvem Cato.

Para dispositivos Android, ativar apenas a VPN Sempre Ativa não bloqueia o tráfego para situações onde o Cliente não consegue estabelecer um túnel para a Nuvem Cato. Sem o modo de Bloqueio, o tráfego de aplicativos de perfil de trabalho pode ignorar o túnel e acessar a rede diretamente. Juntas, essas restrições garantem que todas as aplicações dentro do perfil de trabalho comuniquem-se apenas através da Nuvem Cato.

Comportamento Esperado

O perfil de trabalho Android determina quais aplicativos usam o túnel Cato.
Aplicativos no perfil de trabalho enviam tráfego através do túnel.
Aplicativos no perfil pessoal continuam a usar a conexão de rede regular do dispositivo.
A aplicação de tráfego é aplicada no nível do SO Android para o perfil de trabalho.
Túnel Dividido não é suportado nesta implantação. Se você usar a política de Túnel Dividido na Aplicação de Gerenciamento Cato para rotear o tráfego, esse tráfego é normalmente descartado pelo Cliente.
O modo de Bloqueio aplica comportamento falha-fechado para o perfil de trabalho, então o tráfego dos aplicativos do perfil de trabalho é permitido apenas quando ele é roteado através do túnel Cato.
Desvio temporário não é suportado porque o tráfego fora do túnel é bloqueado pelo modo de Bloqueio.

Configurando Intune para Roteamento de Tráfego do Perfil de Trabalho do Android

O Intune usa estes tipos de política para esta implantação:

Uma política de restrições de dispositivos Android Enterprise para aplicar VPN Sempre Ativa e modo de Bloqueio para o perfil de trabalho.
Uma política de configuração de aplicativo para dispositivos gerenciados para o Cliente Cato aplicar as configurações de aplicativo necessárias para a implantação.

Para configurar a política do Intune:

No centro de administração do Intune, navegue até Dispositivos e selecione Android.
Em Configuração, clique em Criar > Nova política.
Selecione Android Enterprise e Templates, depois escolha Restrições de dispositivos.
- Selecione Gerenciado completamente ou Perfil de trabalho de propriedade pessoal, dependendo do tipo de dispositivo.
Digite um nome para a política.
Abra a seção Conectividade e configure as seguintes configurações:
- Ative VPN Sempre Ativa.
- Defina o cliente VPN como Personalizado.
- Em Pacote ID, insira com.catonetworks.vpnclient.
- Ative o modo de Bloqueio.
Atribua a política aos grupos de usuários ou dispositivos relevantes do Intune.
Salve a política.
Configure as configurações para a configuração de aplicativo de dispositivos gerenciados, navegue até Aplicativos > Gerenciar aplicativos > Configuração do Android.
Clique em Criar e selecione Dispositivos gerenciados.
Na página Configurações básicas, configure estas definições:
- Nome da configuração.
- Plataforma - Android Enterprise.
- Tipo de Perfil - selecione o perfil relevante para sua implantação.
- Aplicativo Alvo - Cliente Cato.
Clique em OK e depois clique em Próximo.
Na página Configurações, no Formato de configuração de configurações, selecione Usar designer de configuração.
Clique em Adicionar, e selecione as chaves VPN Sempre Ativa e VPN por Aplicativo.
Clique em OK e depois defina o Valor de Configuração como Verdadeiro para cada chave.
Clique em Próximo e atribua a política aos grupos de usuários ou dispositivos relevantes do Intune.
Salve a política.

Adicionando Aplicativos ao Perfil de VPN por Aplicativo

A aplicação de tráfego é aplicada no nível do perfil de trabalho Android. Qualquer aplicação instalada no perfil de trabalho é automaticamente forçada a enviar tráfego através do Cliente.

Você controla quais aplicativos estão incluídos na VPN controlando quais aplicativos são atribuídos ao perfil de trabalho Android no Intune.

Para adicionar aplicativos ao perfil de trabalho:

No centro de administração do Intune, vá para Aplicativos.
Selecione Android e escolha o tipo de aplicativo relevante, como Android Enterprise.
Adicione ou selecione o aplicativo que deseja garantir acesso via VPN.
Nas configurações de atribuição do aplicativo, atribua o aplicativo aos mesmos grupos de usuários ou dispositivos que usam o perfil de trabalho Android.