Развертывание Cato Android для рабочих профилей с Intune (EA)

Эта статья объясняет, как использовать Microsoft Intune для развертывания клиента Cato для рабочих профилей Android и маршрутизации только рабочего трафика приложений через облако Cato.

Примечание: Это функция раннего доступа (EA), доступная только для ограниченного выпуска. Для получения дополнительной информации о включении функции свяжитесь с представителем Cato Networks или отправьте письмо на ea@catonetworks.com.

Обзор

Cato позволяет вам защищать трафик для управляемых рабочих приложений на устройствах Android, не маршрутизируя трафик для всего устройства через туннель. Это особенно полезно для организаций, которые разрешают использование личных устройств, и хотят обеспечить безопасность корпоративных приложений и данных, в то время как личные приложения обходят туннель Cato.

Создайте рабочий профиль Android с помощью Microsoft Intune и обеспечьте безопасное подключение для приложений, входящих в этот профиль. Бизнес-приложения, такие как корпоративная электронная почта, SaaS приложения и внутренние сервисы, отправляют трафик через облако Cato, в то время как личные приложения продолжают использовать обычное сетевое соединение устройства.

Microsoft Intune не поддерживает принудительное использование трафика на уровне отдельных приложений для пользовательских провайдеров на Android. Вместо этого решение использует рабочий профиль Android вместе с Always-On VPN и режимом блокировки.

Чтобы предотвратить обход этого дизайна через личный профиль, мы рекомендуем настроить управление доступом в ваших приложениях IdP или SaaS, чтобы они принимали только соединения, которые исходят из облака Cato. Это помогает гарантировать, что управляемые рабочие приложения остаются доступными только тогда, когда трафик маршрутизируется через Cato.

Для более подробной информации смотрите Deploying Cato Client with Android (Intune).

Требования

  • Поддерживается клиентами Cato для Android версии 5.5 и выше
  • Always-On VPN и режим блокировки должны быть включены для рабочего профиля

Использование примера

Компания ABC разрешает сотрудникам использовать личные устройства Android для доступа к ресурсам компании, таким как Salesforce, Microsoft Teams и внутренние веб-приложения. Тем не менее, команда IT хочет убедиться, что только корпоративный трафик маршрутизируется через облако Cato, а личный просмотр и личные приложения остаются вне туннеля.

Для этого команда разворачивает клиента Cato с рабочим профилем на Android, используя Microsoft Intune. Они назначают соответствующие приложения рабочему профилю и настраивают профиль, чтобы обеспечить Always-On VPN и режим блокировки. В результате, рабочие приложения автоматически отправляют трафик через облако Cato, в то время как личные приложения, такие как Instagram, WhatsApp, и личный просмотр продолжают использовать прямое сетевое подключение устройства.

Как работает решение Android рабочих профилей

Microsoft Intune позволяет изолировать управляемые рабочие приложения внутри рабочего профиля Android и обеспечить безопасное подключение для всех приложений в этом профиле. Обеспечьте использование туннеля для всех приложений в рабочем профиле с помощью этих ограничений Android:

  • Always-On VPN автоматически запускает клиент Cato при загрузке устройства. Для автоматического установления соединения также необходимо включить политику Always-On в приложении управления Cato.
  • Режим блокировки блокирует весь сетевой трафик в рабочем профиле, если он не маршрутизируется через туннель.

Эти настройки работают вместе для обеспечения постоянного соединения для приложений в рабочем профиле. Always-On VPN автоматически запускает клиента и помогает предотвратить его отключение пользователями. Режим блокировки обеспечивает поведение fail-closed, поэтому трафик рабочего профиля блокируется, если клиент не подключен к облаку Cato.

Для устройств на Android включение Always-On VPN не блокирует трафик в ситуациях, когда клиент не может установить туннель к облаку Cato. Без режима блокировки трафик из приложений в рабочем профиле может обходить туннель и напрямую подключаться к сети. Вместе эти ограничения обеспечивают, чтобы все приложения внутри рабочего профиля общались только через облако Cato.

Ожидаемое поведение

  • Рабочий профиль Android определяет, какие приложения используют туннель Cato.
  • Приложения в рабочем профиле отправляют трафик через туннель.
  • Приложения в личном профиле продолжают использовать обычное сетевое соединение устройства.
  • Принудительное использование трафика применяется на уровне рабочей системы Android для рабочего профиля.
  • Разделенный туннель не поддерживается в этом развертывании. Если вы используете политику Split Tunnel в приложении управления Cato для маршрутизации трафика, этот трафик обычно отклоняется клиентом.
  • Режим блокировки обеспечивает поведение fail-closed для рабочего профиля, поэтому трафик приложений рабочего профиля разрешен только тогда, когда он маршрутизируется через туннель Cato.
  • Временное обход не поддерживается, потому что трафик вне туннеля блокируется режимом блокировки.

Настройка Intune для маршрутизации трафика рабочего профиля Android

Intune использует следующие типы политик для этого развертывания:

  • Политика ограничения устройств Android Enterprise для принуждения Always-On VPN и режима блокировки для рабочего профиля.
  • Политика конфигурации приложений управляемых устройств для клиента Cato для применения необходимых настроек приложений для развертывания.

Чтобы настроить политику Intune:

  1. В центре администрирования Intune перейдите в раздел Устройства и выберите Android.
  2. В разделе Конфигурация нажмите Создать > Новая политика.
  3. Выберите Полностью управляемый или Лично принадлежащий рабочий профиль в зависимости от типа устройства.
    • Введите имя для политики.
      1-createProfile.png
  4. Откройте раздел Соединение и настройте следующие параметры:
  5. Включите Always-On VPN.
    • Установите VPN клиент на Пользовательский.
    • В разделе ID пакета введите com.catonetworks.vpnclient.
    • Включите Режим блокировки.

    • Включите режим блокировки.

      2-deviceRestrictions.png
  6. Назначьте политику соответствующим пользователям или группам устройств Intune.
  7. Сохраните политику.
  8. Настройте параметры конфигурации приложения для управляемых устройств, перейдите в Программы > Управление приложениями > Конфигурация Android.
  9. Нажмите Создать и выберите Управляемые устройства.
  10. На странице Основы настройте следующие параметры:
    • Название конфигурации.
    • Платформа - Android Enterprise.
    • Тип профиля - выберите соответствующий профиль для вашего развертывания.
    • Целевое приложение - клиент Cato.
      3-createApp.png
  11. Нажмите ОК, затем нажмите Далее.
  12. На странице Настройки, в формате Настройки конфигурации, выберите Использовать дизайн конфигурации.

  13. Нажмите Добавить и выберите Always-On VPN и ключи Per-App VPN.

    4-appSettings.png
  14. Нажмите ОК, затем установите Значение конфигурации на Истина для каждого ключа.
    5-config.png
  15. Нажмите Далее и назначьте политику соответствующему пользователю или группам устройств Intune.
  16. Сохраните политику.

Добавление приложений в профиль VPN для отдельных приложений

Принудительное использование трафика применяется на уровне рабочего профиля Android. Любое приложение, установленное в рабочем профиле, автоматически вынуждается отправлять трафик через клиента.

Вы контролируете, какие приложения включены в VPN, контролируя, какие приложения назначены рабочему профилю Android в Intune.

Чтобы добавить приложения в рабочий профиль:

  1. В центре администрирования Intune перейдите к Программам.
  2. Выберите Android и выберите соответствующий тип приложения, например Android Enterprise.
  3. Добавьте или выберите приложение, которое вы хотите обеспечить доступ к которому через VPN.
  4. В настройках назначения приложения назначьте приложение тем же пользователям или группам устройств, которые используют рабочий профиль Android.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев