Túnel da Microsoft para Microsoft Intune
O Microsoft Tunnel é uma solução de gateway VPN para Microsoft Intune que funciona num contentor Docker no Linux e permite o acesso a recursos no local a partir de dispositivos iOS/iPadOS e Android Enterprise utilizando a autenticação moderna e acesso condicional.
Este artigo introduz o túnel, como funciona e a sua arquitetura.
Se estiver pronto para implantar o Túnel da Microsoft, consulte pré-requisitos para o túnel da Microsofte, em seguida, configuure o túnel da Microsoft.
Visão geral do Túnel da Microsoft
O Microsoft Tunnel Gateway instala-se num contentor Docker que funciona num servidor Linux. O servidor Linux pode ser uma caixa física no seu ambiente no local ou uma máquina virtual que funciona no local ou na nuvem. Irá implementar uma aplicação de clientes do Microsoft Tunnel e perfis VPN Intune para os seus dispositivos iOS e Android para permitir que utilizem o túnel para se conectarem aos recursos corporativos. Quando o túnel estiver alojado na nuvem, terá de usar uma solução como a Azure ExpressRoute para estender a sua rede no local à nuvem.
Através do centro de administração Microsoft Endpoint Manager, você:
- Descarregue o script de instalação do Microsoft Tunnel que irá executar nos servidores Linux.
- Configure aspetos do Microsoft Tunnel Gateway como endereços IP, servidores DNS e portas.
- Implemente perfis VPN em dispositivos para direcioná-los para a utilização do túnel.
- Implemente as aplicações de clientes do Microsoft Tunnel para os seus dispositivos.
Através de uma aplicação de clientes do Microsoft Tunnel, dispositivos iOS/iPadOS e Android Enterprise:
- Utilize Azure Ative Directory (Azure AD) para autenticar no túnel.
- São avaliados contra as suas políticas de Acesso Condicional. Se o dispositivo não estiver em conformidade, não terá acesso ao seu servidor VPN ou à sua rede no local.
Para se ligarem ao túnel, os dispositivos utilizam uma das seguintes aplicações de clientes do Microsoft Tunnel, dependendo da plataforma do dispositivo. As aplicações estão disponíveis em cada loja de aplicações de plataformas:
- Android: Microsoft Defender for Endpoint, que inclui suporte para o Túnel da Microsoft.
- iOS/iPadOS: App autónoma do Túnel da Microsoft.
Pode instalar vários servidores Linux para suportar o Túnel do Microsoft e combinar servidores em grupos lógicos chamados Sites. Cada servidor pode juntar-se a um único Site. Ao configurar um Site, está a definir um ponto de ligação para os dispositivos utilizarem quando acedem ao túnel. Os sites requerem uma configuração do Servidor que definirá e atribuirá ao Site. A configuração do Servidor é aplicada a cada servidor que adiciona a esse Site, simplificando a configuração de mais servidores.
Para direcionar os dispositivos para utilizar o túnel, cria e implementa uma política VPN para o Túnel da Microsoft. Esta política é um perfil VPN de configuração de dispositivo que utiliza o Túnel da Microsoft para o seu tipo de ligação.
Importante
Antes de apoiar a utilização do Microsoft Defender para Endpoint como aplicação de clientes de túnel em dispositivos Android, uma aplicação de cliente de túnel autónomo estava disponível na pré-visualização e utilizou um tipo de ligação do Microsoft Tunnel (cliente autónomo). A partir de 14 de junho de 2021, tanto a app de túneis autónomos como o tipo de ligação autónoma ao cliente são depreciadas e retiradas do suporte após 26 de outubro de 2021.
O iOS/iPadOS continua a utilizar a aplicação de clientes autónomos, que permanece em pré-visualização, e um tipo de ligação do Túnel microsoft (cliente autónomo).
As características dos perfis VPN para o túnel incluem:
- Um nome amigável para a ligação VPN que os seus utilizadores finais verão.
- O site a que o cliente VPN se conecta.
- Configurações VPN por aplicação que definem para que aplicações o perfil VPN é usado, e se é sempre ligado ou não. Quando sempre ligado, a VPN liga-se automaticamente e é usada apenas para as aplicações que define. Se não forem definidas aplicações, a ligação always-on proporciona acesso ao túnel para todo o tráfego de rede a partir do dispositivo.
- Ligações manuais ao túnel quando um utilizador lança a VPN e seleciona Ligação.
- Regras VPN a pedido que permitem a utilização da VPN quando as condições são satisfeitas para fQDNs específicos ou endereços IP. (iOS/iPadOS)
- Suporte proxy (iOS/iPadOS, Android 10+)
As configurações do servidor incluem:
- Gama de endereços IP – Os endereços IP atribuídos a dispositivos que se ligam a um Túnel da Microsoft.
- Servidores DNS – Os dispositivos do servidor DNS devem ser utilizados quando se ligam ao servidor.
- DNS sufixo pesquisa.
- Regras de túneis divididas – Até 500 regras partilhadas incluem e excluem rotas. Por exemplo, se criar 300 regras, pode então ter até 200 regras de exclusão.
- Porta – A porta que o Microsoft Tunnel Gateway ouve.
A configuração do site inclui:
- Um endereço IP público ou FQDN, que é o ponto de ligação para dispositivos que utilizam o túnel. Este endereço pode ser para um servidor individual ou ip ou FQDN de um servidor de equilíbrio de carga.
- A configuração do Servidor que é aplicada a cada servidor no Site.
Atribua um servidor a um Site no momento em que instala o software do túnel no servidor Linux. A instalação utiliza um script que pode descarregar a partir do centro de administração. Após o início do script, será solicitado que configufique o seu funcionamento para o seu ambiente, o que inclui especificar o Site que o servidor irá aderir.
Para utilizar o Túnel da Microsoft, os dispositivos terão de instalar uma aplicação de clientes do Microsoft Tunnel. Obtém a aplicação aplicável nas lojas de aplicações iOS/iPadOS ou Android e implementa-a para os utilizadores.
Arquitetura
O Microsoft Tunnel Gateway funciona em contentores Docker que funcionam em servidores Linux.
Componentes:
- A – Microsoft Intune.
- B- Azure Ative Directory (AD).
- C – Servidor Linux com Docker.
- C.1 - Microsoft Tunnel Gateway.
- C.2 - Agente de Gestão.
- C.3 – Plugin de autenticação – Plugin de autorização, que autentica com Azure AD.
- D – Ip ou FQDN virados para o público do Túnel da Microsoft, que pode representar um equilibrador de carga.
- E – Dispositivo matriculado em Gestão de Dispositivos Móveis (MDM).
- F – Firewall
- G – Servidor Interno de Procuração (opcional).
- H – Rede Corporativa.
- I – Internet pública.
Ações:
- 1 - O administrador intune configura as configurações do Servidor e os Sites, as configurações do servidor estão associadas aos Sites.
- 2 - O administrador intune instala o Microsoft Tunnel Gateway e o plugin de autenticação autentica o Microsoft Tunnel Gateway com Azure AD. O servidor Microsoft Tunnel Gateway é atribuído a um site.
- 3 - O Agente de Gestão comunica ao Intune para recuperar as suas políticas de configuração do servidor e enviar registos de telemetria para o Intune.
- 4 - Administrador intune cria e implementa perfis VPN e a aplicação Tunnel para dispositivos.
- 5 - O dispositivo autentica-se no Azure AD. As políticas de acesso condicional são avaliadas.
- 6 - Com túnel dividido:
- 6a - Algum tráfego vai diretamente para a internet pública.
- 6b - Algum tráfego vai para o seu endereço IP virado para o público para o Túnel.
- 7 - O Túnel encaminha o tráfego para o seu representante interno (opcional) e para a sua rede corporativa.
Detalhes adicionais:
O Acesso Condicional é feito no cliente VPN e baseado na aplicação cloud Microsoft Tunnel Gateway. Os dispositivos não conformes não receberão um token de acesso a partir do Azure AD e não podem aceder ao servidor VPN. Para obter mais informações sobre a utilização do Acesso Condicional com o Túnel da Microsoft, consulte utilizar o Acesso Condicional com o Túnel da Microsoft.
O Management Agent é autorizado contra a Azure AD usando iD/chaves secretas da aplicação Azure.
O servidor Tunnel Gateway utiliza o NAT para fornecer endereços a clientes VPN que estão a ligar-se à rede corporativa.