Aplikacja Microsoft Tunnel dla usługi Microsoft IntuneMicrosoft Tunnel for Microsoft Intune

Microsoft Tunnel to rozwiązanie bramy sieci VPN dla usługi Microsoft Intune.Microsoft Tunnel is a VPN gateway solution for Microsoft Intune. Tunel umożliwia dostęp do zasobów lokalnych z urządzeń z systemem iOS/iPadOS i Android Enterprise przy użyciu nowoczesnego uwierzytelniania i dostępu warunkowego.The tunnel allows access to on-premises resources from iOS/iPadOS and Android Enterprise devices using modern authentication and Conditional Access. W tym artykule wyjaśniono, jak działa tunel, oraz opisano wymagania wstępne do jego uruchomienia i jego architekturę.This article explains how the tunnel works, including prerequisites to use it, and its architecture.

Rozwiązanie Microsoft Tunnel jest dostępne w publicznej wersji zapoznawczej.Microsoft Tunnel is in public preview.

Jeśli skonfigurowano wymagania wstępne i wszystko jest już gotowe do zainstalowania tunelu, zapoznaj się z tematem Konfigurowanie aplikacji Microsoft Tunnel.When you have your prerequisite configurations in place and are ready to install the tunnel, see Configure the Microsoft Tunnel.

Przegląd aplikacji Microsoft TunnelOverview of Microsoft Tunnel

Brama Microsoft Tunnel Gateway jest instalowana w kontenerze platformy Docker działającym na serwerze z systemem Linux.Microsoft Tunnel Gateway installs to a Docker container that runs on a Linux server. Serwer z systemem Linux może być fizycznym komputerem w środowisku lokalnym lub maszyną wirtualną działającą lokalnie bądź w chmurze.The Linux server can be a physical box in your on-premises environment, or a virtual machine that runs on-premises or in the cloud. Po zainstalowaniu tunelu należy użyć profilów sieci VPN usługi Intune dla systemu iOS lub Android, aby skierować urządzenia do korzystania z tunelu na potrzeby obsługi połączeń z firmową siecią i zasobami.After the tunnel installs, you use Intune VPN profiles for iOS or Android to direct your devices to use the tunnel for connections to your corporate network and resources. Jeśli tunel jest hostowany w chmurze, należy użyć rozwiązania umożliwiającego rozszerzenie sieci lokalnej do chmury, takiego jak Azure ExpressRoute.When the tunnel is hosted in the cloud, you’ll need to use a solution like Azure ExpressRoute to extend your on-premises network to the cloud.

Centrum administracyjne programu Microsoft Endpoint Manager umożliwia wykonywanie następujących czynności:Through the Microsoft Endpoint Manager admin center, you’ll:

  • Pobieranie skryptu instalacji aplikacji Microsoft Tunnel, który będzie uruchamiany na serwerach z systemem Linux.Download the Microsoft Tunnel installation script that you’ll run on the Linux servers.
  • Konfigurowanie aspektów bramy Microsoft Tunnel Gateway, takich jak adresy IP, serwery DNS i porty.Configure aspects of Microsoft Tunnel Gateway like IP addresses, DNS servers, and ports.
  • Wdrażanie profilów sieci VPN na urządzeniach, aby skierować je do korzystania z tunelu.Deploy VPN profiles to devices to direct them to use the tunnel.
  • Wdrażanie aplikacji Microsoft Tunnel na urządzeniach.Deploy the Microsoft Tunnel apps to your devices.

Dzięki korzystaniu z aplikacji Microsoft Tunnel urządzenia z systemem iOS/iPadOS i Android Enterprise:Through the Microsoft Tunnel app, iOS/iPadOS and Android Enterprise devices:

  • Używają usługi Azure Active Directory (Azure AD) do uwierzytelniania w tunelu.Use Azure Active Directory (Azure AD) to authenticate to the tunnel.
  • Są oceniane pod kątem zasad dostępu warunkowego.Are evaluated against your Conditional Access policies. Jeśli urządzenie nie jest zgodne, nie będzie miało dostępu do serwera sieci VPN ani sieci lokalnej.If the device isn’t compliant, then it won’t have access to your VPN server or your on-premises network.

Na potrzeby nawiązywania połączeń z tunelem urządzenia używają aplikacji Microsoft Tunnel dostępnej w sklepach z aplikacjami dla systemu iOS/iPadOS lub Android.To connect to the tunnel, devices use the Microsoft Tunnel app, which is available from the iOS/iPadOS or Android app stores.

Do obsługi aplikacji Microsoft Tunnel można zainstalować wiele serwerów z systemem Linux i łączyć serwery w grupy logiczne nazywane lokacjami.You can install multiple Linux servers to support Microsoft Tunnel, and combine servers into logical groups called Sites. Każdy serwer może przyłączyć się do jednej lokacji.Each server can join a single Site. Podczas konfigurowania lokacji należy zdefiniować punkt połączenia dla urządzeń, z którego będą one korzystać podczas uzyskiwania dostępu do tunelu.When you configure a Site, you’re defining a connection point for devices to use when they access the tunnel. Lokacje wymagają zdefiniowania konfiguracji serwera, która zostanie przypisana do lokacji.Sites require a Server configuration that you’ll define and assign to the Site. Konfiguracja serwera jest stosowana do każdego serwera dodawanego do lokacji, co upraszcza konfigurowanie dodatkowych serwerów.The Server configuration is applied to each server you add to that Site, simplifying the configuration of additional servers.

Aby skierować urządzenia do korzystania z tunelu, należy utworzyć i wdrożyć zasady sieci VPN dla aplikacji Microsoft Tunnel.To direct devices to use the tunnel, you create and deploy a VPN policy for Microsoft Tunnel. Te zasady to profil sieci VPN konfiguracji urządzenia, którego używa aplikacja Microsoft Tunnel na potrzeby typu połączenia.This policy is a device configuration VPN profile that uses the Microsoft Tunnel for its connection type.

Do funkcji profilów sieci VPN dla tunelu należą:Features of the VPN profiles for the tunnel include:

  • Przyjazna nazwa połączenia sieci VPN, która będzie widoczna dla użytkowników końcowych.A friendly name for the VPN connection that your end users will see.
  • Lokacja, z którą łączy się klient sieci VPN.The Site that the VPN client connects to.
  • Konfiguracje sieci VPN dla aplikacji definiujące, dla których aplikacji jest używany profil sieci VPN, oraz czy połączenie jest zawsze włączone.Per-app VPN configurations that define which apps the VPN profile is used for, and if it's always-on or not. Gdy jest ono zawsze włączone, sieć VPN automatycznie nawiąże połączenie i zostanie ono użyte tylko na potrzeby zdefiniowanych aplikacji.When always-on, the VPN will automatically connect and is used only for the apps you define. Jeśli nie zdefiniowano żadnych aplikacji, zawsze włączone połączenie zapewnia dostęp do tunelu dla całego ruchu sieciowego z urządzenia.If no apps are defined, the always-on connection provides tunnel access for all network traffic from the device.
  • Ręczne połączenia z tunelem, gdy użytkownik uruchamia sieć VPN i wybiera pozycję Połącz.Manual connections to the tunnel when a user launches the VPN and selects Connect.
  • Obsługa serwera proxy (system iOS/iPadOS, Android 10+)Proxy support (iOS/iPadOS, Android 10+)

Konfiguracje serwera obejmują:Server configurations include:

  • Zakres adresów IP — adresy IP przypisane do urządzeń, które łączą się z aplikacją Microsoft Tunnel.IP address range – The IP addresses that are assigned to devices that connect to a Microsoft Tunnel.
  • Serwery DNS — serwer DNS, którego powinny używać urządzenia podczas nawiązywania połączenia z serwerem.DNS servers – The DNS server devices should use when they connect to the server.
  • Wyszukiwanie sufiksów DNS.DNS suffix search.
  • Reguły tunelowania podzielonego — do 500 reguł udostępnionych w ramach reguł uwzględniania i wykluczania.Split tunneling rules – Up to 500 rules shared across include and exclude routes. Przykładowo jeśli utworzysz 300 reguł uwzględniania, możesz mieć do 200 reguł wykluczania.For example, if you create 300 include rules, you can then have up to 200 exclude rules.
  • Port — port, na którym nasłuchuje brama Microsoft Tunnel Gateway.Port – The port that Microsoft Tunnel Gateway listens on.

Konfiguracja lokacji obejmuje:Site configuration includes:

  • Publiczny adres IP lub nazwa FQDN, będące punktem połączenia dla urządzeń korzystających z tego tunelu.A public IP address or FQDN, which is the connection point for devices that use the tunnel. Ten adres może być adresem pojedynczego serwera lub adresem IP bądź nazwą FQDN serwera równoważenia obciążenia.This address can be for an individual server or the IP or FQDN of a load-balancing server.
  • Konfiguracja serwera stosowana do poszczególnych serwerów w lokacji.The Server configuration that is applied to each server in the Site.

Serwer jest przypisywany do lokacji w czasie instalacji oprogramowania tunelu na serwerze z systemem Linux.You assign a server to a Site at the time you install the tunnel software on the Linux server. Proces instalacji używa skryptu, który można pobrać z centrum administracyjnego.The installation uses a script that you can download from within the admin center. Po uruchomieniu skryptu zostanie wyświetlony monit o skonfigurowanie jego operacji na potrzeby środowiska, co obejmuje m.in. określenie lokacji, do której zostanie dołączony serwer.After starting the script, you’ll be prompted to configure its operation for your environment, which includes specifying the Site the server will join.

Aby można było korzystać z rozwiązania Microsoft Tunnel, na urządzeniach należy zainstalować aplikację Microsoft Tunnel.To use the Microsoft Tunnel, devices will need to install the Microsoft Tunnel app. Tę aplikację można pobrać ze sklepów z aplikacjami dla systemu iOS/iPadOS lub Android i wdrożyć ją dla użytkowników.You get the app from the iOS/iPadOS or Android app stores and deploy it to users.

Konfigurowanie wymagań wstępnych dla rozwiązania Microsoft TunnelConfigure prerequisites for Microsoft Tunnel

W poniższych sekcjach opisano wymagania wstępne dotyczące serwera z systemem Linux, który obsługuje oprogramowanie tunelu i sieci.The following sections detail prerequisites for the Linux server that hosts the tunnel software, and for your network.

Uwaga

Rozwiązanie Microsoft Tunnel nie jest obsługiwane w środowiskach chmury Azure Government.Microsoft Tunnel isn’t supported with Azure Government cloud environments.

Serwer z systemem LinuxLinux server

Skonfiguruj maszynę wirtualną z systemem Linux lub serwer fizyczny, na którym zostanie zainstalowana brama Microsoft Tunnel Gateway.Set up a Linux based virtual machine or a physical server on which Microsoft Tunnel Gateway will install.

  • Dystrybucja systemu Linux — obsługiwane są następujące dystrybucje:Linux distribution - The following are supported:

    • CentOS 7.4+ (CentOS 8+ nie jest obsługiwana)CentOS 7.4+(CentOS 8+ isn’t supported)
    • Red Hat (RHEL) 7.4+ (RHEL 8+ nie jest obsługiwana)Red Hat (RHEL) 7.4+ (RHEL 8+ isn't supported)
    • Ubuntu 18.04Ubuntu 18.04
    • Ubuntu 20.04Ubuntu 20.04
  • Rozmiar serwera z systemem Linux: Skorzystaj z poniższych wskazówek, aby określić oczekiwane użycie:Size the Linux server: Use the following guidance to meet your expected use:

    Liczba urządzeń# Devices Liczba procesorów CPU# CPUs Pamięć (GB)Memory GB Liczba serwerów# Servers Liczba lokacji# Sites Miejsce na dysku (GB)Disk Space GB
    10001,000 44 44 11 11 3030
    20002,000 44 44 11 11 3030
    50005,000 88 88 22 11 3030
    10 00010,000 88 88 33 11 3030
    20 00020,000 88 88 44 11 3030
    40 00040,000 88 88 88 11 3030

    Obsługa zmienia się liniowo.Support scales linearly. Podczas gdy każde rozwiązanie Microsoft Tunnel obsługuje maksymalnie 64 000 połączeń współbieżnych, poszczególne urządzenia mogą otwierać wiele połączeń.While each Microsoft Tunnel supports up to 64,000 concurrent connections, individual devices can open multiple connections.

  • Procesor CPU: 64-bitowy procesor AMD/Intel.CPU: 64-bit AMD/Intel processor.

  • Zainstalowana platforma Docker: Zainstaluj platformę Docker w wersji 19.03 CE lub nowszej.Install Docker: Install Docker version 19.03 CE or later.

    Rozwiązanie Microsoft Tunnel wymaga platformy Docker na serwerze z systemem Linux, aby zapewnić obsługę kontenerów.Microsoft Tunnel requires Docker on the Linux server to provide support for containers. Kontenery zapewniają spójne środowisko wykonywania, monitorowanie kondycji i proaktywne korygowanie oraz czyste środowisko uaktualniania.Containers provide a consistent execution environment, health monitoring and proactive remediation, and a clean upgrade experience.

    Aby uzyskać informacje na temat instalowania i konfigurowania platformy Docker, zobacz:For information about installing and configuring Docker, see:

  • Certyfikat protokołu Transport Layer Security (TLS) : Serwer z systemem Linux wymaga zaufanego certyfikatu TLS, aby zabezpieczyć połączenie między urządzeniami a serwerem bramy Tunnel Gateway.Transport Layer Security (TLS) certificate: The Linux server requires a trusted TLS certificate to secure the connection between devices and the Tunnel Gateway server. Certyfikat TLS jest dodawany do serwera razem z pełnym łańcuchem zaufanych certyfikatów podczas instalacji bramy Tunnel Gateway.You’ll add the TLS certificate, including the full trusted certificate chain, to the server during installation of the Tunnel Gateway.

    • Certyfikat TLS służący do zabezpieczania punktu końcowego bramy Tunnel Gateway musi mieć adres IP lub nazwę FQDN serwera Tunnel Gateway w sieci SAN.The TLS certificate used to secure the Tunnel Gateway endpoint must have the IP address or FQDN of the Tunnel Gateway server in the SAN.

    • Certyfikat TLS nie może mieć daty wygaśnięcia dłuższej niż dwa lata.TLS certificate can't have an expiration date longer than two years. Jeśli ta data jest dłuższa niż dwa lata, taki certyfikat nie zostanie zaakceptowany na urządzeniach z systemem iOS.If the date is longer than two years, it won't be accepted on iOS devices.

    • Użycie symboli wieloznacznych ma ograniczoną obsługę.Use of wildcards has limited support. Na przykład nazwa *.contoso.com jest obsługiwana.For example, *.contoso.com is supported. Nazwa cont*.com nie jest obsługiwana.cont*.com isn’t supported.

    • Podczas instalacji serwera Tunnel Gateway należy skopiować cały łańcuch zaufanych certyfikatów na serwer z systemem Linux.During installation of the Tunnel Gateway server, you must copy the entire trusted certificate chain to your Linux server. Skrypt instalacji udostępnia lokalizację, do której należy skopiować pliki certyfikatów i monituje o to.The installation script provides the location where you copy the certificate files and prompts you to do so.

    • W przypadku korzystania z certyfikatu TLS, który nie jest zaufany publicznie, należy wypchnąć cały łańcuch zaufania do urządzeń za pomocą profilu Zaufany certyfikat usługi Intune.If you use a TLS certificate that's not publicly trusted, you must push the entire trust chain to devices using an Intune Trusted certificate profile.

    • Certyfikat TLS może być w formacie PEM lub pfx.The TLS certificate can be in PEM or pfx format.

  • Wersja protokołu TLS: Domyślnie połączenia między klientami i serwerami usługi Microsoft Tunnel są nawiązywane przy użyciu protokołu TLS 1.3.TLS version: By default, connections between Microsoft Tunnel clients and servers use TLS 1.3. Jeśli protokół TLS 1.3 nie jest dostępny, połączenie może zostać nawiązane przy użyciu protokołu TLS 1.2.When TLS 1.3 isn’t available, the connection can fallback to use TLS 1.2.

SiećNetwork

Zalecamy używanie dwóch kontrolerów interfejsu sieciowego (NIC) na serwerze z systemem Linux w celu zwiększenia wydajności, ale użycie dwóch kontrolerów jest opcjonalne.We recommend using two Network Interface controllers (NICs) per Linux server to improve performance, though use of two is optional.

  • Karta NIC 1 — ta karta interfejsu sieciowego obsługuje ruch z zarządzanych urządzeń i powinna znajdować się w sieci publicznej z publicznym adresem IP.NIC 1 - This NIC handles traffic from your managed devices and should be on a public network with public IP address.  Ten adres IP jest adresem skonfigurowanym w ramach *konfiguracji lokacji*.  This IP address is the address that you configure in the *Site configuration*. Ten adres może reprezentować pojedynczy serwer lub moduł równoważenia obciążenia.This address can represent a single server or a load balancer.

  • Karta NIC 2 — ta karta interfejsu sieciowego obsługuje ruch do zasobów lokalnych i powinna znajdować się w prywatnej sieci wewnętrznej bez segmentacji sieci.NIC 2 - This NIC handles traffic to your on-premises resources and should be on your private internal network without network segmentation.

Jeśli uruchamiasz system Linux jako maszynę wirtualną w chmurze, musisz upewnić się, że serwer ma dostęp do sieci lokalnej.If you run Linux as a VM in a cloud, you’ll need to ensure the server can access to your on-premises network. Przykładowo jeśli maszyna wirtualna działa na platformie Azure, do zapewnienia dostępu możesz użyć usługi Azure ExpressRoute lub podobnego rozwiązania.For example, if your VM runs in Azure, you can use Azure ExpressRoute or something similar to provide access. Jeśli serwer działa na lokalnej maszynie wirtualnej, użycie usługi ExpressRoute nie jest konieczne.If you run the server in a VM on-premises, ExpressRoute isn't necessary.

Jeśli zdecydujesz się dodać moduł równoważenia obciążenia, zapoznaj się ze szczegółami jego konfiguracji dostępnymi w dokumentacji uzyskanej od dostawcy.If you choose to add a load balancer, consult your vendors documentation for configuration details. Weź pod uwagę ruch sieciowy i porty zapory specyficzne dla usługi Intune i rozwiązania Microsoft Tunnel.Take into consideration network traffic and firewall ports specific to Intune and the Microsoft Tunnel.

FirewallFirewall

Domyślnie rozwiązanie Microsoft Tunnel i serwer korzystają z następujących portów:By default, the Microsoft Tunnel and server use the following ports:

Porty wejściowe:Inbound ports:

  • TCP 443 — wymagany przez rozwiązanie Microsoft Tunnel.TCP 443 – Required by Microsoft Tunnel.
  • UDP 443 — wymagany przez rozwiązanie Microsoft Tunnel.UDP 443 – Required by Microsoft Tunnel.
  • TCP 22 — opcjonalny.TCP 22 – Optional. Jest on używany na potrzeby protokołów SSH/SCP serwera z systemem Linux.Used for SSH/SCP to the Linux server.

Porty wyjściowe:Outbound ports:

  • TCP 443 — wymagany w celu uzyskania dostępu do usług Intune.TCP 443 – Required to access Intune services. Wymagany przez platformę Docker do ściągania obrazów.Required by Docker to pull images.
  • TCP 80 — wymagany w celu uzyskania dostępu do usług Intune.TCP – 80 – Required to access Intune services.

Podczas tworzenia konfiguracji serwera dla tunelu można określić inny port niż domyślny port 443.When you create a Server configuration for the tunnel, you can specify a different port than the default of 443. Jeśli określisz inny port, pamiętaj o odpowiednim skonfigurowaniu zapór, aby obsługiwały tę konfigurację.If you specify a different port, be sure to configure firewalls to support your configuration.

Wymagania dodatkowe:Additional requirements:

Serwer proxyProxy

Rozwiązanie Microsoft Tunnel obsługuje możliwość użycia serwera proxy.You can use a proxy server with Microsoft Tunnel. Poniższe zagadnienia mogą pomóc w pomyślnym skonfigurowaniu serwera z systemem Linux i środowiska:The following considerations can help you configure the Linux server and your environment for success:

  • W przypadku korzystania z wewnętrznego serwera proxy może być konieczne skonfigurowanie hosta z systemem Linux do korzystania z serwera proxy przy użyciu zmiennych środowiskowych.If you use an internal proxy, you might need to configure the Linux host to use your proxy server by using environment variables. Aby używać zmiennych, zmodyfikuj plik /etc/environment na serwerze z systemem Linux, dodając następujące wiersze:To use the variables, edit the /etc/environment file on the Linux server, and adding the following lines:

    http_proxy=[address]
    https_proxy=[address]

  • Uwierzytelnione serwery proxy nie są obsługiwane.Authenticated proxies aren't supported.

  • Serwer proxy nie może korzystać z metody przerywania i inspekcji.The proxy can’t perform break and inspect. Wynika to z faktu, że serwer z systemem Linux używa wzajemnego uwierzytelniania TLS podczas nawiązywania połączenia z usługą Intune.This is because the Linux server uses TLS mutual authentication when connecting to Intune.

  • Skonfiguruj platformę Docker do korzystania z serwera proxy w celu ściągania obrazów.Configure Docker to use the proxy to pull images. W tym celu zmodyfikuj plik /etc/systemd/system/docker.service.d/http-proxy.conf na serwerze z systemem Linux, dodając do niego następujące wiersze:To do so, edit the /etc/systemd/system/docker.service.d/http-proxy.conf file on the Linux server and add the following lines:

    [Service]
    Environment="HTTP_PROXY=http://your.proxy:8080/"
    Environment="HTTPS_PROXY=http://your.proxy:8080/"
    Environment="NO_PROXY=127.0.0.1,localhost
    

    Uwaga

    Rozwiązanie Microsoft Tunnel nie obsługuje serwera proxy aplikacji usługi Azure AD ani podobnych rozwiązań serwera proxy.Microsoft Tunnel doesn’t support Azure AD App Proxy, or similar proxy solutions.

PlatformyPlatforms

Rozwiązanie Microsoft Tunnel obsługuje tylko urządzenia zarejestrowane w usłudze Intune.Only devices that are enrolled to Intune are supported with Microsoft Tunnel. Obsługiwane są następujące platformy urządzeń:The following device platforms are supported:

  • Android Enterprise (w pełni zarządzane, należący do firmy profil służbowy, profil służbowy)Android Enterprise (Fully managed, Corporate-Owned Work Profile, Work profile)
  • iOS/iPadOSiOS/iPadOS

Następujące funkcje są obsługiwane przez wszystkie platformy:The following functionality is supported by all platforms:

  • Uwierzytelnianie aplikacji Tunnel za pomocą usługi Azure Active Directory (Azure AD) przy użyciu nazwy użytkownika i hasła lub certyfikatów.Azure Active Directory (Azure AD) authentication to the Tunnel using either username and password, or certificates.
  • Obsługa poszczególnych aplikacji.Per-app support.
  • Ręczny tunel pełnego urządzenia uzyskiwany za pośrednictwem aplikacji Tunnel, gdzie użytkownik uruchamia sieć VPN i wybiera pozycję Połącz.Manual full-device tunnel through a Tunnel app, where the user launches VPN and selects Connect.
  • Tunelowanie podzielone.Split tunneling. Jednak w systemie iOS reguły tunelowania podzielonego są ignorowane, jeśli profil sieci VPN korzysta z sieci VPN dla aplikacji.However, on iOS split tunneling rules are ignored when your VPN profile uses per app VPN.

Obsługa serwera proxy jest ograniczona do następujących platform:Support for a Proxy is limited to the following platforms:

  • Android 10 lub nowszyAndroid 10 and later
  • iOS/iPadOSiOS/iPadOS

Uruchamianie narzędzia do sprawdzania gotowościRun the readiness tool

Przed rozpoczęciem instalacji serwera zalecamy pobranie i uruchomienie narzędzia mst-readiness.Before you start a server install, we recommend you download and run the mst-readiness tool. To narzędzie to skrypt uruchamiany na serwerze z systemem Linux i wykonujący następujące działania:The tool is a script that runs on your Linux server and does the following actions:

  • Potwierdza, że konfiguracja sieci umożliwia rozwiązaniu Microsoft Tunnel dostęp do wymaganych punktów końcowych firmy Microsoft.Confirms that your network configuration allows Microsoft Tunnel to access the required Microsoft endpoints.
  • Sprawdza, czy konto usługi Azure Active Directory (Azure AD), które będzie używane do instalacji rozwiązania Microsoft Tunnel, ma wymagane role do ukończenia rejestracji.Validates that the Azure Active Directory (Azure AD) account you’ll use to install Microsoft Tunnel has the required roles to complete enrollment.

Ważne

Narzędzie do sprawdzania gotowości nie weryfikuje portów przychodzących, co jest częstym błędem w konfiguracji.The readiness tool doesn't validate inbound ports, which is a common misconfiguration. Po uruchomieniu narzędzia do sprawdzania gotowości zapoznaj się z wymaganiami wstępnymi zapory i ręcznie sprawdź, czy zapory przepuszczają ruch przychodzący.After the readiness tool runs, review the firewall prerequisites and manually validate your firewalls pass inbound traffic.

Narzędzie mst-readiness jest zależne od procesora JSON wiersza polecenia jq.The mst-readiness tool has a dependency on jq, a command-line JSON processor. Przed uruchomieniem narzędzia do sprawdzania gotowości upewnij się, że zainstalowano procesor jq.Before you run the readiness tool, ensure jq is installed. Aby uzyskać informacje na temat pobierania i instalowania procesora jq, zobacz dokumentację dotyczącą używanej wersji systemu Linux.For information about how to get and install jq, see the documentation for the version of Linux that you use.

Aby skorzystać z narzędzia do sprawdzania gotowości:To use the readiness tool:

  1. Pobierz narzędzie do sprawdzania gotowości, korzystając z jednej z następujących metod:Get the readiness tool by using one of the following methods:

    • Pobierz narzędzie bezpośrednio za pomocą przeglądarki internetowej.Download the tool directly by using a web browser. Przejdź do strony https://aka.ms/microsofttunnelready, aby pobrać plik o nazwie mst-readiness.Go to https://aka.ms/microsofttunnelready to download a file named mst-readiness.

    • Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager > Administracja dzierżawą > Microsoft Tunnel Gateway, wybierz kartę Serwery, wybierz pozycję Utwórz, aby otworzyć okienko Utwórz serwer, a następnie wybierz pozycję Pobierz narzędzie do sprawdzania gotowości.Sign in to Microsoft Endpoint Manager admin center > Tenant administration > Microsoft Tunnel Gateway, select the Servers tab, select Create to open the Create a server pane, and then select Download readiness tool.

    • Użyj polecenia systemu Linux, aby bezpośrednio uzyskać narzędzie do sprawdzania gotowości.Use a Linux command to get the readiness tool directly. Przykładowo możesz użyć polecenia wget lub curl w celu otwarcia linku https://aka.ms/microsofttunnelready.For example, you can use wget or curl to open the link https://aka.ms/microsofttunnelready.

      Na przykład, aby użyć programu wget i zarejestrować szczegóły w dokumencie mst-readiness podczas pobierania, uruchom polecenie wget --output-document=mst-readiness https://aka.ms/microsofttunnelreadyFor example, to use wget and log details to mst-readiness during the download, run wget --output-document=mst-readiness https://aka.ms/microsofttunnelready

    Skrypt można uruchomić z dowolnego serwera z systemem Linux znajdującego się w tej samej sieci co serwer, który ma zostać zainstalowany. Dzięki temu administratorzy sieci mogą niezależnie uruchamiać skrypt i rozwiązywać problemy z siecią.You can run the script from any Linux server that is on the same network as the server you plan to install, allowing network admins to run it and troubleshoot network issues independently.

  2. Aby sprawdzić poprawność konfiguracji sieci, uruchom skrypt jako użytkownik root.To validate your network configuration, run the script as root. Na przykład możesz użyć następującego polecenia: sudo chmod +x ./mst-readiness networkFor example, you might use the following command line: sudo chmod +x ./mst-readiness network

    Skrypt uruchamia następujące akcje i raportuje dla każdej z nich, czy zakończyła się powodzeniem, czy błędem:The script runs the following actions and reports on success or error for both:

    • Próbuje połączyć się z każdym punktem końcowym firmy Microsoft, który będzie używany przez tunel.Tries to connect to each Microsoft endpoint the tunnel will use.
    • Sprawdza, czy wymagane porty są otwarte w zaporze.Checks that the required ports are open in your firewall.
  3. Aby sprawdzić, czy konto, które będzie używane do instalacji rozwiązania Microsoft Tunnel, ma wymagane role i uprawnienia do ukończenia rejestracji, uruchom skrypt z następującym wierszem polecenia: ./mst-readiness accountTo validate that the account you’ll use to install Microsoft Tunnel has the required roles and permissions to complete enrollment, run the script with the following command line: ./mst-readiness account

    Skrypt poprosi o użycie innego komputera z przeglądarką internetową w celu uwierzytelnienia się w usługach Azure AD i Intune.The script prompts you to use a different machine with a web browser, which you use to authenticate to Azure AD and to Intune. Narzędzie zgłosi powodzenie lub błąd.The tool will report success or an error.

Aby uzyskać więcej informacji na temat tego narzędzia, zobacz sekcję Dokumentacja narzędzia mst-cli w artykule dotyczącym rozwiązania Microsoft Tunnel.For more information about this tool, see Reference for mst-cli in the reference article for Microsoft Tunnel article.

Korzystanie z dostępu warunkowego w rozwiązaniu Microsoft TunnelUse Conditional Access with the Microsoft Tunnel

Jeśli korzystasz z dostępu warunkowego w usłudze Intune, możesz tworzyć zasady ograniczające dostęp urządzenia do bramy Microsoft Tunnel Gateway.When you use Conditional Access with Intune, you can create policies to gate device access to Microsoft Tunnel Gateway.

Aprowizowanie dzierżawyProvision your tenant

Przed skonfigurowaniem zasad dostępu warunkowego dla tunelu należy włączyć obsługę rozwiązania Microsoft Tunnel w dzierżawie na potrzeby dostępu warunkowego.Before you can configure Conditional Access policies for the tunnel, you must enable your tenant to support Microsoft Tunnel for Conditional Access. Aby włączyć dzierżawę, uruchom skrypt programu PowerShell modyfikujący dzierżawę w celu dodania bramy Microsoft Tunnel Gateway jako aplikacji w chmurze, którą można następnie wybrać jako część zasad dostępu warunkowego.To enable your tenant, you run a PowerShell script that modifies your tenant to add Microsoft Tunnel Gateway as a cloud app that you can then select as part of a Conditional Access policy. Ten proces wymaga użycia modułu Azure Active Directory PowerShell.This process requires the use of the Azure Active Directory PowerShell module.

  1. Pobierz i zainstaluj moduł AzureAD PowerShell.Download and install the AzureAD PowerShell module.

  2. Pobierz skrypt programu PowerShell o nazwie mst-CA-readiness.ps1 z witryny aka.ms/mst-ca-provisioning.Download the PowerShell script named mst-CA-readiness.ps1 from aka.ms/mst-ca-provisioning.

  3. Przy użyciu poświadczeń, które mają uprawnienia roli platformy Azure równoważne roli administratora aplikacji, uruchom skrypt z dowolnej lokalizacji w środowisku, aby zaaprowizować dzierżawę.Using credentials that have the Azure Role permissions equivalent to Application Administrator, run the script from any location in your environment, to provision your tenant.

    Przestroga

    W wersji zapoznawczej rozwiązania Microsoft Tunnel skrypt mst-CA-readiness.ps1 jest skryptem niepodpisanym.During the Microsoft Tunnel preview, mst-CA-readiness.ps1 is an unsigned script. Aby umożliwić uruchamianie niepodpisanych skryptów, użyj następującego polecenia: Set-ExecutionPolicy -executionPolicy Unrestricted.To enable an unsigned script to run, use the following command: Set-ExecutionPolicy -executionPolicy Unrestricted. Użycie tego polecenia może obniżyć poziom bezpieczeństwa w Twoim środowisku.Use of this command can reduce security in your environment. W związku z tym, jeśli używasz tego polecenia, aby umożliwić uruchamianie skryptu mst-CA-readiness.ps1, zaplanuj przywrócenie wyższego poziomu zabezpieczeń programu PowerShell w środowisku po zakończeniu korzystania ze skryptu do sprawdzania gotowości.Therefore, if you use the command to enable use of mst-CA-readiness.ps1, plan to restore a stronger level of PowerShell security to your environment after the your use of the readiness script is complete. Aby uzyskać więcej informacji, zobacz opis polecenia set-executionpolicy w dokumentacji programu PowerShell.For more information, see set-executionpolicy in the PowerShell documentation.

    W przyszłej aktualizacji skrypt mst-CA-readiness.ps1 zostanie podpisany, dzięki czemu nie będzie już konieczne ustawianie parametru ExecutionPolicy na wartość Unrestricted.In a future update, mst-CA-readiness.ps1 will be signed, which will remove the need to set ExecutionPolicy to Unrestricted.

    Skrypt modyfikuje dzierżawę, tworząc jednostkę usługi z następującymi danymi:The script modifies your tenant by creating a service principle with the following details:

    • Identyfikator aplikacji: 3678c9e9-9681-447a-974d-d19f668fcd88App ID: 3678c9e9-9681-447a-974d-d19f668fcd88
    • Nazwa: Microsoft Tunnel GatewayName: Microsoft Tunnel Gateway

    Dodanie tej jednostki usługi jest wymagane, aby można było wybrać aplikację tunelu w chmurze podczas konfigurowania zasad dostępu warunkowego.The addition of this service principle is required so you can select the tunnel cloud app while configuring Conditional Access policies. Dodanie informacji o jednostce usługi do dzierżawy jest również możliwe za pomocą funkcji Graph.It's also possible to use Graph to add the service principle information to your tenant.

  4. Po zakończeniu działania skryptu można w normalny sposób tworzyć zasady dostępu warunkowego.After the script completes, you can use your normal process to create Conditional Access policies.

Aby utworzyć zasady dostępu warunkowego, zobacz Tworzenie zasad dostępu warunkowego opartego na urządzeniach.To create policies for Conditional Access, see Create a device-based Conditional Access policy.

Tworzenie zasad dostępu warunkowego w celu ograniczenia dostępu do rozwiązania Microsoft TunnelCreate Conditional Access policy to limit access to Microsoft Tunnel

Jeśli zdecydujesz się skonfigurować zasady dostępu warunkowego w celu ograniczenia dostępu użytkowników, zalecamy skonfigurowanie tych zasad po zaaprowizowaniu dzierżawy do obsługi aplikacji w chmurze Microsoft Tunnel Gateway, ale przed zainstalowaniem bramy Tunnel Gateway.If you choose to configure Conditional Access policy to limit user access, we recommend configuring this policy after you provision your tenant to support the Microsoft Tunnel Gateway cloud app, but before you install the Tunnel Gateway.

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager > Zabezpieczenia punktu końcowego > Dostęp warunkowy > Nowe zasady.Sign in to Microsoft Endpoint Manager admin center > Endpoint Security > Conditional access > New policy.
  2. Określ nazwę dla tych zasad.Specify a name for this policy.
  3. Aby skonfigurować dostęp użytkowników i grup, w obszarze Przypisania wybierz pozycję Użytkownicy i grupy.To configure user and group access, below Assignments, select Users and groups.
    1. Wybierz pozycję Uwzględnij > Wszyscy użytkownicy.Select Include > All users.
    2. Następnie wybierz pozycję Wyklucz i skonfiguruj grupy, dla których chcesz udzielić dostępu, a następnie zapisz konfigurację użytkowników i grup.Next, select Exclude and configure the groups you want to grant access to, and then save the user and Group configuration.
  4. W obszarze Aplikacje w chmurze lub akcje > Wybierz aplikacje wybierz aplikację Microsoft Tunnel Gateway.Under Cloud apps or actions > Select apps, select the Microsoft Tunnel Gateway app.
  5. W obszarze Kontrole dostępu wybierz pozycję Udziel, wybierz pozycję Blokuj dostęp, a następnie zapisz konfigurację.Below Access controls, select Grant, select Block access, and then save the configuration.
  6. Ustaw przełącznik Włącz zasady na wartość Włączone.Set Enable policy to On.
  7. Wybierz pozycję Utwórz.Select Create.

ArchitekturaArchitecture

Brama Microsoft Tunnel Gateway działa w kontenerach platformy Docker działających na serwerach z systemem Linux.The Microsoft Tunnel Gateway runs in Docker containers that run on Linux servers.

Schemat architektury bramy Microsoft Tunnel Gateway

Składniki:Components:

  • A — Microsoft Intune.A – Microsoft Intune.
  • B — Azure Active Directory (AD).B- Azure Active Directory (AD).
  • C — serwer z systemem Linux i platformą Docker.C – Linux server with Docker.
    • Ci — Microsoft Tunnel Gateway.Ci - Microsoft Tunnel Gateway.
    • Cii — agent zarządzania.Cii – Management Agent.
    • Ciii — wtyczka uwierzytelniania — wtyczka autoryzacji, która uwierzytelnia w usłudze Azure AD.Ciii – Authentication plugin – Authorization plugin, which authenticates with Azure AD.
  • D — publiczny adres IP lub nazwa FQDN rozwiązania Microsoft Tunnel.D – Public facing IP or FQDN of the Microsoft Tunnel. Może on reprezentować moduł równoważenia obciążenia.This can represent a load balancer.
  • E — zarejestrowane urządzenie na potrzeby zarządzania urządzeniami mobilnymi (MDM).E – Mobile Device Management (MDM) enrolled device.
  • F — zaporaF – Firewall
  • G — wewnętrzny serwer proxy (opcjonalny).G – Internal Proxy Server (optional).
  • H — sieć firmowa.H – Corporate Network.
  • I — publiczny Internet.I – Public internet.

Akcje:Actions:

  • 1 — administrator usługi Intune ustawia konfiguracje serwera i lokacje. Konfiguracje serwera są skojarzone z lokacjami.1 - Intune administrator configures Server configurations and Sites, Server configurations are associated with Sites.
  • 2 — administrator usługi Intune instaluje bramę Microsoft Tunnel Gateway, a wtyczka uwierzytelniania uwierzytelnia bramę Microsoft Tunnel Gateway w usłudze Azure AD.2 - Intune administrator installs Microsoft Tunnel Gateway and the authentication plugin authenticates Microsoft Tunnel Gateway with Azure AD. Serwer Microsoft Tunnel Gateway jest przypisany do lokacji.Microsoft Tunnel Gateway server is assigned to a site.
  • 3 — agent zarządzania komunikuje się z usługą Intune w celu pobierania zasad konfiguracji serwera i wysyłania dzienników telemetrii do usługi Intune.3 - Management Agent communicates to Intune to retrieve your server configuration policies, and to send telemetry logs to Intune.
  • 4 — administrator usługi Intune tworzy profile sieci VPN i wdraża aplikację Tunnel na urządzeniach.4 - Intune administrator creates and deploys VPN profiles and the Tunnel app to devices.
  • 5 — urządzenie uwierzytelnia się w usłudze Azure AD.5 - Device authenticates to Azure AD. Zasady dostępu warunkowego są oceniane.Conditional Access policies are evaluated.
  • 6 — dzięki tunelowaniu podzielonemu:6 - With split tunnel:
    • 6a — część ruchu jest kierowana bezpośrednio do publicznej sieci Internet.6a - Some traffic goes directly to the public internet.
    • 6B — część ruchu jest kierowana do publicznego adresu IP aplikacji Tunnel.6b - Some traffic goes to your public facing IP address for the Tunnel.
  • 7 — aplikacja Tunnel kieruje ruch do wewnętrznego serwera proxy (opcjonalnie) i sieci firmowej.7 - The Tunnel routes traffic to your internal proxy (optional) and your corporate network.

Dodatkowe informacje szczegółowe:Additional details:

  • Dostęp warunkowy jest realizowany w kliencie sieci VPN i oparty na aplikacji w chmurze Microsoft Tunnel Gateway.Conditional Access is done in the VPN client and based on the cloud app Microsoft Tunnel Gateway. Niezgodne urządzenia nie będą otrzymywać tokenu dostępu z usługi Azure AD i nie będą mogły uzyskiwać dostępu do serwera sieci VPN.Non-compliant devices won’t receive an access token from Azure AD and can't access the VPN server. Aby uzyskać więcej informacji na temat korzystania z dostępu warunkowego z rozwiązaniem Microsoft Tunnel, zobacz Korzystanie z dostępu warunkowego w rozwiązaniu Microsoft Tunnel.For more information about using Conditional Access with Microsoft Tunnel, see Use Conditional Access with the Microsoft Tunnel.

  • Agent zarządzania jest autoryzowany względem usługi Azure AD przy użyciu identyfikatora aplikacji platformy Azure lub kluczy tajnych.The Management Agent is authorized against Azure AD using Azure app ID/secret keys.

  • Serwer Tunnel Gateway używa translatora adresów sieciowych w celu udostępniania adresów klientom sieci VPN łączącym się z siecią firmową.The Tunnel Gateway server uses NAT to provide addresses to VPN clients that are connecting to the corporate network.

Następne krokiNext steps

Instalowanie i konfigurowanie aplikacji Microsoft TunnelInstall and configure Microsoft Tunnel