使用 Intune（EA）部署 Cato Android 的工作资料配置文件

本文解释了如何使用 Microsoft Intune 部署 Cato 客户端用于 Android 工作资料，并仅通过 Cato 云路由工作应用程序流量。

注意： 这是仅供有限发布的提前可用体验（EA）功能。 有关启用该功能的更多信息，请联系您的 Cato Networks 代表或发送电子邮件至 ea@catonetworks.com。

概述

Cato 允许您可以保护 Android 设备上管理的工作应用的流量，而无需通过隧道路由整个设备的流量。 这对于允许BYOD的组织尤其有用，他们希望在个人应用绕过 Cato 隧道时保护企业应用和数据。

使用 Microsoft Intune 创建一个 Android 工作资料，强制应用程序的安全连接。 企业应用如企业电子邮件、SaaS 应用程序和内部服务通过 Cato 云发送流量，而个人应用继续使用设备的常规网络连接。

Microsoft Intune 不支持在 Android 上为自定义提供商的应用流量进行本机执法。 相反，该解决方案将 Android 工作资料与始终开启的 VPN 和锁定模式结合使用。

为了防止用户通过个人资料绕过该设计，建议在您的 IdP 或 SaaS 应用中配置访问控件，以便它们只接受源自 Cato 云的连接。 这有助于确保管理的工作应用仅在流量通过 Cato 路由时才可访问。

有关更多信息，请参阅与 Android（Intune）一起部署 Cato 客户端。

先决条件

• 支持 Cato 客户端用于 Android v5.5 及更高版本
• 必须为工作配置文件启用始终开启的 VPN 和锁定模式

使用案例

ABC 公司允许员工使用个人 Android 设备访问公司资源，例如 Salesforce、Microsoft Teams 和内部 Web 应用程序。 然而，IT 团队希望确保只有企业流量通过 Cato 云路由，而个人浏览和个人应用留在隧道之外。

为此，团队使用 Microsoft Intune 将 Cato 客户端与 Android 工作资料一起部署。 他们将相关的应用程序分配给工作配置文件并配置配置文件以强制执行始终开启的 VPN 和锁定模式。 因此，工作应用程序自动通过 Cato 云发送流量，而个人应用程序如 Instagram、WhatsApp 和个人浏览继续使用设备的直接网络连接。

Android 工作配置文件解决方案的工作方式

Microsoft Intune 允许您将已管理的工作应用隔离在 Android 工作配置文件中，并强制所有该配置文件中的应用进行安全连接。 对工作配置文件中的所有应用程序执行隧道使用限制，这些 Android 限制如下：

• 始终开启的 VPN 在设备启动时自动启动 Cato 客户端。 为自动建立连接，您还必须在 Cato 管理应用程序中启用 Always-On（始终开启）策略。
• 锁定模式 阻止所有工作配置文件中的网络流量，除非它通过隧道路由。

这些设置协同工作以强制工作配置文件应用的连续连接。 始终开启的 VPN 自动启动客户端，并有助于防止用户断开连接。 锁定模式强制执行故障关闭行为，因此除非客户端连接到 Cato 云，否则工作配置文件流量将被阻止。

对于 Android 设备，仅启用始终开启的 VPN 不会阻止客户端无法建立到 Cato 云的隧道的情况中的流量。 没有锁定模式，工作配置文件应用的流量可以绕过隧道并直接访问网络。 这些限制共同确保所有工作配置文件中的应用程序仅通过 Cato 云进行通信。

预期行为

• Android 工作配置文件确定哪些应用程序使用 Cato 隧道。
• 工作配置文件中的应用程序通过隧道发送流量。
• 个人配置文件中的应用程序继续使用设备的常规网络连接。
• 工作配置文件的流量执法在 Android OS 级别应用。
• 此部署中不支持分流隧道。 如果您在 Cato 管理应用程序中使用分流策略进行路由，客户端通常会丢弃该流量。
• 锁定模式为工作配置文件强制执行故障关闭行为，因此工作配置文件应用流量仅当其通过 Cato 隧道路由时才被允许。
• 不支持临时绕过，因为隧道外的流量被锁定模式阻止。

为 Android 工作配置文件流量路由配置 Intune

Intune 使用以下策略类型进行此部署：

• 一项 Android 企业设备限制策略，强制执行工作配置文件的始终开启 VPN 和锁定模式。
• Cato 客户端的已管理设备应用配置策略，用于应用部署所需的应用设置。

要配置 Intune 策略：

1. 在 Intune 管理中心，导航到 Devices 并选择 Android。
2. 在 Configuration 下，单击 Create > New policy。
3. 选择 Android Enterprise 和 Templates，然后选择 Device restrictions。
   • 根据设备类型选择 Fully managed 或 Personally owned work profile。
     
4. 输入策略的名称。
5. 打开 Connectivity 部分并配置以下设置：
   • 启用 Always-On VPN。
   • 将 VPN client 设置为 Custom。
   • 在 Package ID 下，输入 com.catonetworks.vpnclient。

   • 启用 Lockdown mode。

     

6. 将策略分配给相关的 Intune 用户或设备组。
7. 保存策略。
8. 配置已管理设备应用程序配置的设置，导航到 Apps > Manage apps > Android Configuration。
9. 点击 Create 并选择 Managed devices。
10. 在 Basics 页面中，配置这些设置：
    • 配置的名称。
    • Platform - Android Enterprise。
    • Profile Type - 为您的部署选择相关配置文件。
    • Targeted app - Cato 客户端。
      
11. 点击 OK 然后点击 Next。
12. 在 Settings 页面的 Configuration settings format 中，选择 Use configuration designer。

13. 点击 Add，并选择 Always-On VPN 和 Per-App VPN 密钥。

    

14. 点击 OK 然后将 Configuration value 对每个密钥设置为 True。
    
15. 点击 Next 并将策略分配给相关的 Intune 用户或设备组。
16. 保存策略。

向 Per-App VPN 配置文件添加应用

工作配置文件级别应用了流量执法。 任何安装在工作配置文件中的应用程序都会自动被强制通过客户端发送流量。

您可以通过控制分配给 Intune 中 Android 工作配置文件的应用来控制 VPN 内包括的应用。

要向工作配置文件添加应用：

1. 在 Intune 管理中心，进入 Apps。
2. 选择 Android 并选择相关的应用类型，例如 Android Enterprise。
3. 添加或选择您希望确保通过 VPN 访问的应用程序。
4. 在应用分配设置中，将应用分配给使用 Android 工作配置文件的相同用户或设备组。