Microsoft Tunnel: accesso alle risorse on-prem da device Android o iOS – Parte 2

Davide SalsiEnterprise Mobility, Microsoft Intune

Nel precedente articolo legato alla soluzione Microsoft Tunnel, abbiamo parlato dei vantaggi che questa soluzione può portare alle aziende ed ai propri dipendenti nell’accesso a dati e servizi basati su risorse on-premise attraverso dispositivi mobile; abbiamo inoltre visto la procedura di installazione di Microsoft Tunnel Gateway in un container eseguito su un server Linux.

Figura 1 – Architettura Microsoft Tunnel

Nell’immagine sopra riportata, abbiamo la possibilità di vedere quello che è il flusso di comunicazione dai device verso le risorse interne: come descritto nella prima parte dell’articolo, una volta eseguita la configurazione del server, il management agent presente sul sistema Linux comunica con Intune per recuperare i criteri di configurazione del server e per inviare i log di telemetria.

A questo punto, i device appositamente configurati saranno in grado di comunicare con la rete aziendale; in questa seconda parte dell’articolo, vedremo appunto come configurare sui dispositivi Android e iOS l’apposito profilo VPN e l’app utilizzata per instaurare il tunnel VPN.

Distribuzione app Microsoft Defender for Endpoint

Per poter sfruttare la funzionalità Microsoft Tunnel, è necessario che sui device risulti presente l’applicazione dedicata; a partire da Giugno 2021, l’app Microsoft Tunnel è stata sostituita dall’applicazione Microsoft Defender for Endpoint come soluzione lato client per instaurare la connessione VPN con il server Microsoft Tunnel. Vediamo ora come procedere con il deploy dell’app e relativa configurazione per le piattaforme Android e iOS attraverso la console Microsoft Endpoint Manager admin center:

Android

  • Accedere alla sezione Apps – All apps;
  • Premere sul pulsante Add
  • Dal menu a tendina App type, selezionare l’opzione Managed Google Play app e premere sul pulsante Select;
  • All’interno del campo di ricerca disponibile sul Managed Google Play, cercare l’app Microsoft Defender for Endpoint;
  • Selezionare l’app e premere sul pulsante Approve;
  • Autorizzare le permission richieste dall’app sempre attraverso il pulsante Approve;
  • Mantenere invariata l’opzione Keep approved when app requests new permissions e premere sul pulsante Save;
  • Eseguire una sync tra il portale Google e Microsoft Intune attraverso l’apposito pulsante Sync;
  • Dall’elenco delle applicazioni, selezionare l’app Microsoft Defender for Endpoint;
  • Dal ribbon di sinistra, selezionare la voce Properties presente nella sezione Manage;
  • Premere sulla voce Edit presente nella sezione Assignements;
  • Premendo la voce Add group nella sezione Required e selezionando il gruppo Azure AD user-based dedicato, andremo a distribuire l’applicazione agli utenti coinvolti nella modalità interessata;
  • Per confermare la distribuzione, premere sul pulsante Review+save;

iOS

  • Accedere alla sezione Apps – All apps;
  • Premere sul pulsante Add
  • Dal menu a tendina App type, selezionare l’opzione iOS store app e premere sul pulsante Select;
  • Premere sulla voce Search the App Store e, all’interno del campo di ricerca disponibile, cercare l’app Microsoft Defender for Endpoint
    • Dal menu a tendina presente a destra, ricordarsi di selezionare la region di appartenenza;
  • Selezionare l’app e premere sul pulsante Select;
  • Premere sul pulsante Next per proseguire con il wizard;
  • Assegnare eventuali Scope tags e premere nuovamente sul pulsante Next;
  • Premere sulla voce Add group nella sezione Required e selezionare il gruppo Azure AD user-based dedicato alla distribuzione dell’app;
  • Per confermare la distribuzione, premere sul pulsante Create;

Creazione profilo VPN

Attraverso l’utilizzo di un Configuration Profile, è possibile predisporre i device ad utilizzare l’app Microsoft Defender for Endpoint ed instaurare così la connessione VPN desiderata; durante la fase di creazione del profilo VPN sarà possibile definire dei settings per configurare l’app. In base alla tipologia del device, è possibile impostare i seguenti settings:

Android

Configuration key Tipo Valori Descrizione
vpn Integer 1 – Enable
0 – Disable		 Valorizzato a 1 (Enable) consente alla funzionalità anti-phishing di Microsoft Defender for Endpoint di usare la VPN
antiphishing Integer 1 – Enable
0 – Disable		 Valorizzato a 1 (Enable) consente di attivare la funzionalità anti-phishing di Microsoft Defender for Endpoint
defendertoggle Integer 1 – Enable
0 – Disable		 Valorizzato a 1 (Enable) consente di attivare Microsoft Defender for Endpoint.

iOS

Configuration key Valori Descrizione
TunnelOnly True
False		 Valorizzato a True consente di attivare la sola funzionalità di tunneling su Microsoft Defender for Endpoint
WebProtection True
False		 Valorizzato a True consente di attivare la funzionalità di anti-phishing su Microsoft Defender for Endpoint
AutoOnboard True
False		 Valorizzato a True consente di attivare la funzionalità di Web Protection su Microsoft Defender for Endpoint senza richiedere l’autorizzazione all’utente

A questo punto, è possibile procedere con la creazione di un Configuration Profile:

  • Eseguire l’accesso alla console Microsoft Endpoint Manager con un account amministrativo;
  • Selezionare Devices – Configuration Profiles;
  • Premere sul pulsante Add;
  • Dal menu a tendina Platform, selezionare la piattaforma interessata (es: Android o iOS/iPadOS);
  • Selezionare il profilo VPN dall’elenco delle configurazioni disponibili e premere sul pulsante Create;
  • Inserire il nome ed una eventuale descrizione del profilo di configurazione;
  • Dal menù a tendina Connection Type selezionare l’opzione Microsoft Tunnel (per device Android) o Microsoft Tunnel (preview) (per device iOS/iPadOS);
  • All’interno della sezione Base VPN assegnare un nome alla connessione VPN e selezionare, attraverso la voce Select a site, il site Microsoft Tunnel creato in precedenza;
Figura 2 – Configurazione profilo VPN
  • Nel caso in cui si voglia utilizzare la soluzione Microsoft Tunnel solamente nel contesto di una singola applicazione, espandere la sezione Per-app VPN e configurare i seguenti settings:
    • Per device Android, premere sul pulsante Add e selezionare l’app che utilizzerà la funzionalità Tunnel;
    • Per device iOS, spostare il toggle su Enable (durante il deploy dell’app che dovrà utilizzare la funzionalità, sarà possibile definire il profilo VPN interessato – vedi link);
  • Sui dispositivi Android è possibile, espandendo la sezione Always-on VPN e spostando il toggle Always-on VPN su Enable, permettere al client VPN di connettersi/riconnettersi quando possibile;
Figura 3 – Configurazione Always-ON VPN
  • All’interno del menu Custom settings, è possibile impostare i vari settings indicati nelle tabelle riportate qui sopra all’inizio del paragrafo;
Figura 4 – Configurazione Custom Settings (Android)
Figura 5 – Configurazione Custom Settings (iOS)
  • Premere sul pulsante Next per proseguire con il wizard;
  • Assegnare eventuali Scope tags e premere nuovamente sul pulsante Next;
  • Premere sulla voce Add group e selezionare il gruppo Azure AD user-based dedicato alla distribuzione;
  • Per confermare la creazione della policy, premere sul pulsante Create;

Riferimenti

Si riportano alcuni utili riferimenti alla documentazione ufficiale Microsoft:

Conclusioni

In questo secondo articolo, sono stati riportati i vari step per permettere la distribuzione ai nostri utenti dell’applicazione Microsoft Defender for Endpoint e del profilo di configurazione per la predisposizione della VPN; attraverso Microsoft Endpoint Manager, abbiamo visto come sia semplice configurare dispositivi Android e iOS il tutto attraverso un’unica console di gestione.