Konfigurace Microsoft Tunnel pro Intune

Až budou vaše požadavky připravené, vraťte se k tomuto článku a zahajte instalaci a konfiguraci tunelu.

Vytvoření konfigurace serveru

Použití konfigurace serveru umožňuje vytvořit konfiguraci jednou a mít tuto konfiguraci používanou více servery. Konfigurace zahrnuje rozsahy IP adres, servery DNS a pravidla děleného tunelování. Později přiřadíte konfiguraci serveru lokalitě, která automaticky použije tuto konfiguraci pro každý server, který se k dané lokalitě připojí.

Vytvoření konfigurace serveru

  1. Přihlaste se k Microsoft Endpoint Manager centra > pro správuSpráva > Microsoft Tunnel Gatewayvyberte > kartu > Konfigurace serveruVytvořit nové.

  2. Na kartě Základy zadejte název a popis (volitelné) a vyberte Další.

  3. Na kartě Nastavení nakonfigurujte následující položky:

    • Rozsah IP adres: IP adresy v tomto rozsahu se pronajímají zařízením, když se připojují k Tunnel Gateway. Zadaný rozsah IP adres klienta Tunnel nesmí být v konfliktu s rozsahem místní sítě.

      • Zvažte použití rozsahu rozhraní APIPA (Automatic Private IP Addressing) 169.254.0.0/16, protože tento rozsah zabraňuje konfliktům s jinými podnikovými sítěmi.
      • Pokud je rozsah IP adres klienta v konfliktu s cílem, dojde ke zpětné smyčce a nepodaří se mu komunikovat s podnikovou sítí.
      • Můžete vybrat libovolný rozsah IP adres klienta, který chcete použít, pokud není v konfliktu s rozsahy IP adres vaší podnikové sítě.
    • Servery DNS: Tyto servery se používají, když požadavek DNS pochází ze zařízení připojeného k Tunnel Gateway.

    • Vyhledávání přípon DNS (volitelné): Tato doména se klientům poskytuje jako výchozí doména, když se připojují k Tunnel Gateway.

    • Dělené tunelové propojení (volitelné): Zahrnout nebo vyloučit adresy Zahrnuté adresy se směrují na Tunnel Gateway. Vyloučené adresy se nesměrují do Tunnel Brány. Můžete například nakonfigurovat pravidlo zahrnutí pro 255.255.0.0 nebo 192.168.0.0/16.

      Dělené tunelové propojení podporuje celkem 500 pravidel mezi pravidly zahrnutí i vyloučení. Pokud například nakonfigurujete pravidla zahrnutí 300, můžete mít pouze 200 pravidel vyloučení.

    • Port serveru: Zadejte port, na který server naslouchá pro připojení.

  4. Na kartě Zkontrolovat a vytvořit zkontrolujte konfiguraci a pak ji uložte výběrem možnosti Vytvořit .

Vytvoření webu

Lokality jsou logické skupiny serverů, které hostují Microsoft Tunnel. Konfiguraci serveru přiřadíte ke každé lokalitě, kterou vytvoříte. Tato konfigurace se použije pro každý server, který se připojuje k lokalitě.

Vytvoření konfigurace lokality

  1. Přihlaste se do centra pro správu > Microsoft Endpoint Manager Klientská správa > Microsoft Tunnel Gatewayvyberte > kartu > WebyVytvořit.

  2. V podokně Vytvořit web zadejte následující vlastnosti:

    • Název: Zadejte název tohoto webu.

    • Popis (volitelné)

    • Veřejná IP adresa nebo plně kvalifikovaný název domény: Zadejte veřejnou IP adresu nebo plně kvalifikovaný název domény, což je spojovací bod pro zařízení, která tunel používají. Tato IP adresa nebo plně kvalifikovaný název domény může identifikovat jednotlivé servery nebo servery pro vyrovnávání zatížení. IP adresa nebo plně kvalifikovaný název domény musí být přeložitelné ve veřejném DNS a přeložená IP adresa musí být veřejně směrovatelná.

    • Konfigurace serveru: Pomocí rozevíracího seznamu vyberte konfiguraci serveru, která se má přidružit k této lokalitě.

    • Adresa URL pro interní kontrolu přístupu k síti: Zadejte adresu URL HTTP nebo HTTPS pro umístění v interní síti. Každých pět minut se každý server přiřazený k tomuto webu pokusí o přístup k adrese URL a ověří, že má přístup k vaší interní síti. Servery hlásí stav této kontroly jako Přístupnost interní sítě na kartě Kontrola stavu serverů.

    • Automaticky upgradovat servery v této lokalitě: Pokud ano, servery se upgradovat automaticky, když je k dispozici upgrade. Pokud ne, upgrade je ruční a správce musí před zahájením upgradu schválit upgrade.

      Další informace naleznete v tématu Upgrade Microsoft Tunnel.

    • Omezit upgrady serveru na časové období údržby: Pokud ano, mohou upgrady serveru pro tuto lokalitu začínat pouze od zadaného počátečního a koncového času. Mezi počátečním a koncovým časem musí být aspoň hodinu. Pokud je nastavená hodnota Ne, není k dispozici žádné časové období údržby a upgrady se spustí co nejdříve v závislosti na konfiguraci automatického upgradu serverů v této lokalitě .

      Pokud je nastavená možnost Ano, nakonfigurujte následující možnosti:

      • Časové pásmo – Časové pásmo, které vyberete, určuje, kdy se spustí a končí časové období údržby na všech serverech v lokalitě bez ohledu na časové pásmo jednotlivých serverů.
      • Čas spuštění – Určete nejstarší čas, kdy může cyklus upgradu začít, podle vybraného časového pásma.
      • Čas ukončení – Zadejte nejnovější čas spuštění cyklu upgradu na základě vybraného časového pásma. Cykly upgradu, které se spustí před touto dobou, se budou dál spouštět a po této době se můžou dokončit.

      Další informace naleznete v tématu Upgrade Microsoft Tunnel.

  3. Výběrem možnosti Vytvořit web uložte.

Instalace služby Microsoft Tunnel Gateway

Před instalací služby Microsoft Tunnel Gateway na server s Linuxem nakonfigurujte tenanta alespoň s jednou konfigurací serveru a pak vytvořte lokalitu. Později zadáte lokalitu, ke které se server připojí při instalaci tunelu na tento server.

Pomocí skriptu nainstalujte Microsoft Tunnel

  1. Stáhněte instalační skript Microsoft Tunnel pomocí jedné z následujících metod:

    • Nástroj si můžete stáhnout přímo pomocí webového prohlížeče. Přejděte ke https://aka.ms/microsofttunneldownload stažení souboru mstunnel-setup.

    • Přihlaste se k Microsoft Endpoint Manager centra > pro správuKlientská správa > Microsoft Tunnel brána, vyberte kartu Servery, výběrem možnosti Vytvořit otevřete podokno Vytvořit server a pak vyberte Stáhnout skript.

      Snímek obrazovky pro stažení instalačního skriptu

    • K přímému stažení softwaru tunelu použijte linuxový příkaz. Například na serveru, na který budete tunel instalovat, můžete k otevření odkazu https://aka.ms/microsofttunneldownloadpoužít wget nebo curl.

      Pokud například chcete použít wget a podrobnosti protokolu k nastavení mstunnel během stahování, spusťte wget --output-document=mstunnel-setup https://aka.ms/microsofttunneldownload

  2. Instalaci serveru spustíte spuštěním skriptu jako kořenového adresáře. Můžete například použít následující příkazový řádek: sudo chmod +x ./mstunnel-setup. Skript vždy nainstaluje nejnovější verzi Microsoft Tunnel.

    Důležité

    V případě cloudu pro státní správu USA musí příkazový řádek odkazovat na cloudové prostředí státní správy. Uděláte to tak, že spuštěním následujících příkazů přidáte do příkazového řádku intune_env=FXP :

    1. Spustit sudo chmod +x ./mstunnel-setup
    2. Spustit sudo intune_env=FXP ./mstunnel-setup

    Tip

    Pokud instalaci a skript zastavíte, můžete ji znovu spustit spuštěním příkazového řádku. Instalace pokračuje od místa, kde jste skončili.

    Když skript spustíte, stáhne image kontejneru z imagí kontejneru Microsoft Tunnel Gateway ze služby Intune a vytvoří potřebné složky a soubory na serveru.

    Během instalace vás skript vyzve k dokončení několika úloh správy.

  3. Po zobrazení výzvy skriptem přijměte licenční smlouvu (EULA).

  4. Zkontrolujte a nakonfigurujte proměnné v následujících souborech pro podporu vašeho prostředí.

    • Soubor prostředí: /etc/mstunnel/env.sh. Další informace o těchto proměnných najdete v tématu Proměnné prostředí v referenčních informacích k Microsoft Tunnel článku.
  5. Po zobrazení výzvy zkopírujte úplný řetězec souboru certifikátu TLS (Transport Layer Security) na linuxový server. Skript zobrazí správné umístění pro použití na serveru s Linuxem.

    Certifikát TLS zabezpečuje připojení mezi zařízeními, která používají tunel, a koncovým bodem služby Tunnel Gateway. Certifikát musí mít IPI adresu nebo plně kvalifikovaný název domény serveru služby Tunnel Gateway v síti SAN.

    Privátní klíč zůstane dostupný na počítači, na kterém vytvoříte žádost o podepsání certifikátu pro certifikát TLS. Tento soubor musí být exportován s názvem site.key.

    Nainstalujte certifikát TLS a privátní klíč. Postupujte podle následujících pokynů, které odpovídají vašemu formátu souboru:

    • PFX:

      • Název souboru certifikátu musí být site.pfx. Zkopírujte soubor certifikátu do souboru /etc/mstunnel/private/site.pfx.
    • PEM:

      • Úplný řetězec (kořenová, zprostředkující, koncová entita) musí být v jednom souboru s názvem site.crt. Pokud používáte certifikát vydaný veřejným poskytovatelem, jako je Digicert, máte možnost stáhnout úplný řetěz jako jeden soubor .pem.

      • Název souboru certifikátu musí být *site.crt. Zkopírujte úplný řetězový certifikát do souboru /etc/mstunnel/certs/site.crt. Příklad: cp [full path to cert] /etc/mstunnel/certs/site.crt

        Případně vytvořte odkaz na úplný řetězový certifikát v souboru /etc/mstunnel/certs/site.crt. Příklad: ln -s [full path to cert] /etc/mstunnel/certs/site.crt

      • Zkopírujte soubor privátního klíče do souboru /etc/mstunnel/private/site.key. Příklad: cp [full path to key] /etc/mstunnel/private/site.key

        Případně vytvořte odkaz na soubor privátního klíče v souboru /etc/mstunnel/private/site.key. Příklad: ln -s [full path to key file] /etc/mstunnel/private/site.key Tento klíč by neměl být šifrován heslem. Název souboru privátního klíče musí být site.key.

  6. Po instalaci nainstalujete certifikát a vytvoříte služby Tunnel Gateway, zobrazí se výzva k přihlášení a ověření pomocí Intune. Uživatelský účet musí mít přiřazené role Intune Administrator nebo Global Administrator. Účet, který použijete k dokončení ověřování, musí mít licenci Intune. Přihlašovací údaje tohoto účtu se neukládají a používají se jenom pro počáteční přihlášení k Azure Active Directory. Po úspěšném ověření se k ověřování mezi Tunnel Gateway a Azure Active Directory používají ID aplikací Azure nebo tajné klíče.

    Toto ověřování registruje Tunnel Gateway u Microsoft Endpoint Manager a vašeho tenanta Intune.

    1. Otevřete webový prohlížeč https://Microsoft.com/devicelogin a zadejte kód zařízení poskytnutý instalačním skriptem a pak se přihlaste pomocí přihlašovacích údajů správce Intune.

    2. Jakmile se Microsoft Tunnel Gateway zaregistruje v Intune, skript z Intune získá informace o konfiguracích vašich lokalit a serverů. Skript vás pak vyzve k zadání identifikátoru GUID tunelové lokality, ke které se má tento server připojit. Skript zobrazí seznam dostupných webů.

    3. Po výběru lokality instalační program načte konfiguraci serveru pro tuto lokalitu z Intune a použije ji na nový server k dokončení instalace Microsoft Tunnel.

  7. Po dokončení instalačního skriptu můžete přejít v centru pro správu Microsoft Endpoint Manager na kartu Microsoft Tunnel Brána a zobrazit tak stav tunelu na vysoké úrovni. Můžete také otevřít kartu Stav a ověřit, že je server online.

  8. Pokud používáte RHEL 8.4 nebo 8.5, nezapomeňte restartovat server Tunnel Gateway zadáním mst-cli server restart před pokusem o připojení klientů k němu.

Nasazení klientské aplikace Microsoft Tunnel

Aby bylo možné používat Microsoft Tunnel, zařízení potřebují přístup k klientské aplikaci Microsoft Tunnel. Klientskou aplikaci tunelu můžete nasadit do zařízení tak, že ji přiřadíte uživatelům. K dispozici jsou následující aplikace:

  • Android:

  • iOS/iPadOS:

    • Microsoft Defender for Endpoint – Stáhněte si Microsoft Defender for Endpoint pro použití jako klientská aplikace Microsoft Tunnel z Apple App Storu. Viz Přidání aplikací z iOS Storu do Microsoft Intune.

      Pokud stále používáte samostatnou klientskou aplikaci Microsoft Tunnel nebo verzi Preview defenderu for Endpoint (k dispozici před 29. dubnem 2022), naplánujte migraci zařízení na nejnovější verzi Defenderu for Endpoint.

    • Microsoft Tunnel klientskou aplikaci – pro iOS/iPadOS si stáhněte klientskou aplikaci Microsoft Tunnel z App Store Apple. Viz Přidání aplikací z iOS Storu do Microsoft Intune.

    Důležité

    Naplánujte změnu. 29. dubna 2022 se Microsoft Tunnel (Preview) typ připojení i Microsoft Defender for Endpoint, protože klientská aplikace tunelu byla všeobecně dostupná. S touto obecnou dostupností se používání typu připojení Microsoft Tunnel (samostatného klienta) (Preview) a samostatné klientské aplikace tunelu zastará a brzy přestane podporovat.

      1. července 2022 už samostatná klientská aplikace tunelu nebude dostupná ke stažení. Jako klientská aplikace tunelu bude dostupná jenom obecně dostupná verze Microsoft Defender for Endpoint.
      1. srpna 2022 se typ připojení Microsoft Tunnel (samostatný klient) (Preview) přestane připojovat k Microsoft Tunnel.

    Pokud se chcete vyhnout přerušení služby pro Microsoft Tunnel, naplánujte migraci používání zastaralé klientské aplikace tunelu a typu připojení na ty, které jsou nyní obecně dostupné.

Další informace o nasazování aplikací pomocí Intune najdete v tématu Přidání aplikací do Microsoft Intune.

Vytvoření profilu sítě VPN

Jakmile Microsoft Tunnel nainstaluje a zařízení nainstalují klientskou aplikaci Microsoft Tunnel, můžete nasadit profily sítě VPN tak, aby nasměrovali zařízení na použití tunelu. Uděláte to tak, že vytvoříte profily VPN s jedním z následujících typů připojení:

  • Android:

    • Microsoft Tunnel – Tento typ připojení použijte s defenderem for Endpoint jako klientskou aplikací tunelu.

      Poznámka

      Před podporou používání Microsoft Defender for Endpoint jako klientské aplikace tunelu byla ve verzi Preview dostupná samostatná klientská aplikace tunelu a používala typ připojení Microsoft Tunnel (samostatný klient). Od 14. června 2021 jsou jak samostatná aplikace tunelu, tak samostatný typ připojení klienta vyřazeny z podpory po 26. říjnu 2021.

    Platforma Android podporuje směrování provozu přes síť VPN pro jednotlivé aplikace a rozdělení pravidel tunelového propojení nezávisle nebo současně.

    Poznámka

    Před podporou používání Microsoft Defender for Endpoint jako klientské aplikace tunelu byla ve verzi Preview dostupná samostatná klientská aplikace tunelu a používala typ připojení Microsoft Tunnel (samostatný klient). Od 14. června 2021 jsou jak samostatná aplikace tunelu, tak samostatný typ připojení klienta vyřazeny z podpory po 31. lednu 2022.

  • iOS/iPadOS:

    • Microsoft Tunnel (Preview) – Tento typ připojení použijte s Microsoft Defender for Endpoint jako klientskou aplikací tunelu.

      Důležité

      1. dubna 2022 byl tento typ připojení obecně dostupný a podporuje Microsoft Defender for Endpoint jako klientskou aplikaci tunelu. Typ připojení ale i nadále odpovídá verzi Preview.
    • Microsoft Tunnel (samostatný klient) (Preview) – Tento typ připojení použijte, když používáte samostatnou Microsoft Tunnel klientskou aplikaci. Tento typ připojení nepodporuje Microsoft Defender for Endpoint jako klientskou Tunnel aplikaci.

      Důležité

      Naplánujte změnu. 29. dubna 2022 se Microsoft Tunnel (Preview) typ připojení i Microsoft Defender for Endpoint, protože klientská aplikace tunelu byla všeobecně dostupná. S touto obecnou dostupností se používání typu připojení Microsoft Tunnel (samostatného klienta) (Preview) a samostatné klientské aplikace tunelu zastará a brzy přestane podporovat.

        1. července 2022 už samostatná klientská aplikace tunelu nebude dostupná ke stažení. Jako klientská aplikace tunelu bude dostupná jenom obecně dostupná verze Microsoft Defender for Endpoint.
        1. srpna 2022 se typ připojení Microsoft Tunnel (samostatný klient) (Preview) přestane připojovat k Microsoft Tunnel.

      Pokud se chcete vyhnout přerušení služby pro Microsoft Tunnel, naplánujte migraci používání zastaralé klientské aplikace tunelu a typu připojení na ty, které jsou nyní obecně dostupné.

    Platforma iOS podporuje směrování provozu buď pomocí sítě VPN pro jednotlivé aplikace, nebo rozdělenými pravidly tunelového propojení, ale ne oběma současně. Pokud pro iOS povolíte síť VPN pro jednotlivé aplikace, pravidla rozděleného tunelování se ignorují.

Android

  1. Přihlaste se k Microsoft Endpoint Manager centru > pro správuDevicesConfiguration > profilesCreate > profile.

  2. V možnosti Platforma vyberte Android Enterprise. Jako profil vyberte VPN pro pracovní profil vlastněný společností nebo pracovní profil v osobním vlastnictví a pak vyberte Vytvořit.

    Poznámka

    Microsoft Tunnel nepodporuje Android Enterprise vyhrazená zařízení.

  3. Na kartě Základy zadejte název a popis (volitelné) a vyberte Další.

  4. Jako typ připojení vyberte Microsoft Tunnel a potom nakonfigurujte následující podrobnosti:

    • Základní síť VPN:

      • Jako název připojení zadejte název, který se zobrazí uživatelům.
      • V Microsoft Tunnel webu vyberte Tunnel lokalitu, kterou bude tento profil VPN používat.
    • SÍŤ VPN pro jednotlivé aplikace:

      • Aplikace přiřazené v profilu SÍTĚ VPN pro jednotlivé aplikace odesílají provoz aplikací do tunelu.
      • Při Android spuštění aplikace nespustí síť VPN pro jednotlivé aplikace. Pokud má ale síť VPN nastavenou možnost Povolit vždy zapnutou, síť VPN už bude připojená a provoz aplikací bude používat aktivní síť VPN. Pokud není síť VPN nastavená na always-on, musí uživatel před použitím vpn spustit ručně.
      • Pokud se k Tunnel připojujete pomocí aplikace Defender for Endpoint, máte povolenou webovou ochranu a používáte síť VPN pro jednotlivé aplikace, bude se webová ochrana vztahovat jenom na aplikace v seznamu VPN pro jednotlivé aplikace. Na zařízeních s pracovním profilem v tomto scénáři doporučujeme přidat všechny webové prohlížeče v pracovním profilu do seznamu VPN pro jednotlivé aplikace, aby se zajistilo, že veškerý webový provoz pracovního profilu bude chráněný.
      • Pokud chcete povolit síť VPN pro jednotlivé aplikace, vyberte Přidat a pak přejděte k vlastním nebo veřejným aplikacím, které jste naimportovali do Intune.
    • Síť VPN s podporou always-on:

      • Pokud chcete nastavit klienta VPN tak, aby se automaticky připojovala k síti VPN a znovu se k němu připojila, vyberte možnost Povolit . Připojení VPN s nepřetržitou službou zůstanou připojená. Pokud je pro síť VPN pro jednotlivé aplikace nastavená možnost Povolit, prochází tunelem pouze provoz z aplikací, které vyberete.
    • Proxy server:

      • Nakonfigurujte podrobnosti o proxy serveru pro vaše prostředí.

    Další informace o nastavení sítě VPN najdete v tématu Android Enterprise nastavení zařízení pro konfiguraci sítě VPN.

    Důležité

    U Android Enterprise zařízení, která používají Microsoft Defender for Endpoint jako klientskou aplikaci Microsoft Tunnel a jako aplikaci MTD, musíte ke konfiguraci Microsoft Defender for Endpoint použít vlastní nastavení. místo použití samostatného konfiguračního profilu aplikace. Pokud nechcete používat žádnou funkci Defenderu for Endpoint, včetně webové ochrany, použijte vlastní nastavení v profilu VPN a nastavte defendertoggle na 0.

  5. Na kartě Přiřazení nakonfigurujte skupiny, které tento profil obdrží.

  6. Na kartě Zkontrolovat a vytvořit zkontrolujte konfiguraci a pak ji uložte výběrem možnosti Vytvořit .

iOS

  1. Přihlaste se k Microsoft Endpoint Manager profilu ConfigurationCreate > centra > pro správuDevicesDevice > .

  2. V případě platformy vyberte iOS/iPadOS a pak jako Profil vyberte VPN a pak Vytvořit.

  3. Na kartě Základy zadejte název a popis (volitelné) a vyberte Další.

  4. Jako typ připojení vyberte Microsoft Tunnel (Preview) a pak nakonfigurujte následující položky:

    • Základní síť VPN:

      • Jako název připojení zadejte název, který se zobrazí uživatelům.
      • Pro Microsoft Tunnel lokalitu vyberte lokalitu tunelového propojení, kterou bude tento profil VPN používat.
    • SÍŤ VPN pro jednotlivé aplikace:

      • Pokud chcete povolit síť VPN pro jednotlivé aplikace, vyberte Povolit. Pro sítě VPN iOS pro jednotlivé aplikace se vyžadují další kroky konfigurace. Když je nakonfigurovaná síť VPN pro jednotlivé aplikace, iOS pravidla rozděleného tunelového propojení ignorují.

        Další informace najdete v tématu VPN pro jednotlivé aplikace pro iOS/iPadOS.

    • Pravidla sítě VPN na vyžádání:
      Definujte pravidla na vyžádání, která umožňují použití sítě VPN při splnění podmínek pro konkrétní plně kvalifikované názvy domén nebo IP adresy.

      Další informace najdete v tématu Automatické nastavení sítě VPN.

    • Proxy server:

      • Nakonfigurujte podrobnosti o proxy serveru pro vaše prostředí.

Použití vlastních nastavení pro Microsoft Defender for Endpoint

Intune podporuje Microsoft Defender for Endpoint jako aplikaci MTD i jako Microsoft Tunnel klientskou aplikaci na Android Enterprise zařízeních. Pokud používáte Defender for Endpoint pro klientskou aplikaci Microsoft Tunnel i jako aplikaci MTD, můžete pro zjednodušení konfigurací použít vlastní nastavení v profilu SÍTĚ VPN pro Microsoft Tunnel. Použití vlastních nastavení v profilu sítě VPN nahrazuje nutnost používat samostatný konfigurační profil aplikace.

Pro zařízení zaregistrovaná jako Android Enterprise pracovní profil v osobním vlastnictví, který pro oba účely používá Defender for Endpoint, musíte místo konfiguračního profilu aplikace použít vlastní nastavení. Na těchto zařízeních je konfigurační profil aplikace pro Defender for Endpoint v konfliktu s Microsoft Tunnel a může zařízení zabránit v připojení k Microsoft Tunnel.

Pokud používáte Microsoft Defender for Endpoint pro MTD, ale ne pro Microsoft Tunnel, pak budete ke konfiguraci Microsoft Defender for Endpoint dál používat konfigurační profil aplikace.

Přidání podpory konfigurace aplikace pro Microsoft Defender for Endpoint do profilu sítě VPN pro Microsoft Tunnel

Následující informace slouží ke konfiguraci vlastního nastavení v profilu SÍTĚ VPN pro konfiguraci Microsoft Defender for Endpoint místo samostatného konfiguračního profilu aplikace. Dostupná nastavení se liší podle platformy.

Pro Android Enterprise zařízení:

Konfigurační klíč Typ hodnoty Hodnota konfigurace Popis
Vpn Celé číslo Možnosti:
1. Povolení (výchozí)
0 – Zakázat
Nastavte možnost Povolit tak, aby Microsoft Defender for Endpoint možnost ochrany proti útokům phishing používala místní síť VPN.
Antiphishing Celé číslo Možnosti:
1. Povolení (výchozí)
0 – Zakázat
Pokud chcete zapnout Microsoft Defender for Endpoint proti útokům phishing, nastavte možnost Povolit. Pokud je tato funkce zakázaná, funkce ochrany proti útokům phishing je vypnutá.
defendertoggle Celé číslo Možnosti:
1. Povolení (výchozí)
0 – Zakázat
Nastavte na povolit použití Microsoft Defender for Endpoint. Pokud je tato funkce zakázaná, není k dispozici žádná funkce Microsoft Defender for Endpoint.

Konfigurace vlastních nastavení v profilu sítě VPN pro Microsoft Defender for Endpoint

Pro iOS/iPad zařízení:

Konfigurační klíč Hodnoty Popis
TunnelOnly True – Všechny funkce Defenderu pro koncový bod jsou zakázané. Toto nastavení byste měli použít, pokud aplikaci používáte jenom pro Tunnel schopnosti.

False (výchozí) – Funkce Defenderu pro koncový bod je povolená.
Určuje, jestli je aplikace Defender omezená jenom na Microsoft Tunnel nebo jestli aplikace podporuje také úplnou sadu funkcí Defenderu pro koncový bod.
Ochrana webu True (výchozí) – webová ochrana je povolená a uživatelům se zobrazí karta webová ochrana v aplikaci Defender for Endpoint.

False – webová ochrana je zakázaná. Pokud je nasazený profil sítě VPN Tunnel, uvidí uživatelé v aplikaci Defender for Endpoint jenom karty Řídicí panel a Tunnel.
Určuje, jestli je pro aplikaci povolený Defender for Endpoint Web Protection (funkce ochrany proti útokům phishing). Ve výchozím nastavení je tato funkce zapnutá.
Automatické připojení True – Pokud je povolená webová ochrana, aplikaci Defender for Endpoint se automaticky udělí oprávnění pro přidání připojení VPN a uživateli se nezobrazí výzva, aby to povolil.

False (výchozí) – Pokud je povolená webová ochrana, zobrazí se uživateli výzva, aby aplikaci Defender for Endpoint povolila přidání konfigurací sítě VPN.
Určuje, jestli je povolená služba Defender for Endpoint Web Protection bez výzvy uživatele k přidání připojení VPN (protože pro funkci webová ochrana je potřeba místní síť VPN). Toto nastavení platí jenom v případě, že je vlastnost WebProtection nastavená na hodnotu True.

Upgrade Microsoft Tunnel

Intune pravidelně vydává aktualizace Microsoft Tunnel serveru. Aby servery tunelu zůstaly v podpoře, musí spouštět nejnovější verzi nebo maximálně jednu verzi za sebou.

Ve výchozím nastavení po nové aktualizaci je k dispozici Intune automaticky spustí upgrade serverů tunelového propojení co nejdříve na každé z vašich lokalit tunelového propojení. Pokud chcete pomoct se správou upgradů, můžete nakonfigurovat možnosti, které spravují proces upgradu:

  • Můžete povolit automatický upgrade serverů v lokalitě nebo před upgradem vyžadovat schválení správcem.
  • Můžete nakonfigurovat časové období údržby, které omezuje, kdy se můžou upgrady v lokalitě spustit.

Další informace o upgradech pro Microsoft Tunnel, včetně postupu zobrazení stavu tunelu a konfigurace možností upgradu, najdete v tématu Upgrade Microsoft Tunnel.

Aktualizace certifikátu TLS na serveru s Linuxem

K aktualizaci certifikátu TLS na serveru můžete použít nástroj příkazového řádku ./mst-cli :

PFX:

  1. Zkopírujte soubor certifikátu do souboru /etc/mstunnel/private/site.pfx.
  2. Spustit: mst-cli import_cert
  3. Spustit: mst-cli server restart

PEM:

  1. Zkopírujte nový certifikát do souboru /etc/mstunnel/certs/site.crt.
  2. Zkopírujte privátní klíč do souboru /etc/mstunnel/private/site.key.
  3. Spustit: mst-cli import_cert
  4. Spustit: mst-cli server restart

Další informace o mst-cli naleznete v tématu Referenční informace pro Microsoft Tunnel.

Odinstalace Microsoft Tunnel

Pokud chcete produkt odinstalovat, spusťte odinstalaci ./mst-cli ze serveru s Linuxem jako root.

Další kroky

Použití podmíněného přístupu s Microsoft Tunnel
Monitorování Microsoft Tunnel