Настройка правил сетевого трафика в консоли Workspace ONE UEM

Чтобы клиент Workspace ONE Tunnel направлял трафик на веб-прокси для устройств Android, необходимо настроить правила маршрутизации сетевого трафика.

Для этого в них следует указать список приложений Android, которые настроены с использованием параметра «Отдельные сети VPN для приложений», а также настроить адрес прокси-сервера и имя узла назначения.

Настройте правила маршрутизации трафика устройства, чтобы управлять на устройствах способом обработки трафика от указанных приложений. В соответствии с правилами маршрутизации трафика устройства приложение Workspace ONE Tunnel обеспечивает отправку трафика через туннель, блокировку всего трафика на указанные домены, обход внутренней сети и подключение к Интернету напрямую или отправку трафика на сайт веб-прокси.

Список доступных сред SaaS для Workspace ONE Access с соответствующими доменами см. в статье Диапазоны IP-адресов SaaS для Workspace ONE Access и служб Hub, которые используются для настройки сети (68035).

Подробные сведения по созданию правил маршрутизации сетевого трафика см. в руководстве по VMware Tunnel.

Необходимые условия

VMware Tunnel настраивается с активированным компонентом для туннелирования на каждое приложение.
Приложение «Корпоративный портал Microsoft Intune», настроенное для использования правил маршрутизации трафика устройства с единым входом на мобильных устройствах Android.
Создан профиль VPN для Android.
Для каждого приложения Android, добавленного к правилам сетевого трафика, включен параметр «Отдельные сети VPN для приложений».

Процедура

В консоли Workspace ONE UEM выберите Система > Интеграция предприятий > VMware Tunnel > Правила сетевого трафика.

На вкладке Правила маршрутизации трафика устройства настройте параметры правил маршрутизации трафика устройства, как описано в руководстве по VMware Tunnel. Для конфигурации единого входа для мобильных устройств с Android настройте следующие параметры.

а. Действие по умолчанию. Это правило автоматически настраивается и применяется ко всем приложениям, кроме Safari. Действие по умолчанию всегда применяется в последнюю очередь.

Параметр	Описание
Tunnel	Установите для действия значение Tunnel, если для единого входа с мобильных устройств Android требуется доступ к VPN. Все приложения (кроме Safari) на устройстве, настроенные с использованием отдельного профиля VPN для каждого приложения, отправляют сетевой трафик через туннель.
Bypass	Задайте действие для параметра Обход, если для единого входа с мобильных устройств Android не требуется доступ к VPN. Все приложения (кроме Safari) на устройстве, настроенные с использованием отдельного профиля VPN для каждого приложения, обходят туннель и подключаются напрямую к Интернету. Важно!: При этом трафик не отправляется на сервер Tunnel, если клиент Tunnel используется только для единого входа.

Параметр

Описание

Tunnel

Установите для действия значение Tunnel, если для единого входа с мобильных устройств Android требуется доступ к VPN. Все приложения (кроме Safari) на устройстве, настроенные с использованием отдельного профиля VPN для каждого приложения, отправляют сетевой трафик через туннель.

Bypass

Задайте действие для параметра Обход, если для единого входа с мобильных устройств Android не требуется доступ к VPN. Все приложения (кроме Safari) на устройстве, настроенные с использованием отдельного профиля VPN для каждого приложения, обходят туннель и подключаются напрямую к Интернету.

Важно!: При этом трафик не отправляется на сервер Tunnel, если клиент Tunnel используется только для единого входа.

После обновления правила по умолчанию и установки в качестве действия параметра Обход правила маршрутизации сетевого трафика добавляются и настраиваются для единого входа с мобильных устройств Android.

б. Нажмите Добавить, чтобы при необходимости создать дополнительные правила.
в. Используйте стрелки ВВЕРХ и ВНИЗ, чтобы изменить порядок ранжирования правил маршрутизации сетевого трафика. Правило по умолчанию является последним правилом в ранжировании.
г. В столбце «Приложение» добавьте приложения Android, которые настроены с использованием профиля VPN для каждого отдельного приложения.

Примечание: В случае развертывания Microsoft Office 365 с помощью приложения «Корпоративный портал Microsoft Intune» необходимо добавить приложение «Корпоративный портал Microsoft Intune» в список приложений в правилах маршрутизации трафика устройства.
д. Для арендаторов, размещенных в облаке, в столбце «Действие» выберите прокси-сервер и укажите сведения о веб-прокси. Введите certproxy.domain. Например, certproxy.workspaceoneaccess.com:5262.
В столбце «Имя узла назначения» введите имя узла назначения Workspace ONE Access. Требуемый формат ввода: <арендатор>.workspaceoneaccess.com. Например, myco.workspaceoneaccess.com. Клиент VMware Tunnel направляет трафик на прокси-сервер HTTPS с узла Workspace ONE Access.
е. Для локальной среды в столбце «Действие» выберите прокси-сервер и укажите сведения о веб-прокси. Введите имя узла Workspace ONE Access и порт. Например, страница_входа.example.com:5262.

Примечание: Для локальных сред в случае предоставления внешнего доступа к узлу Workspace ONE Access порт брандмауэра 5262 (настраиваемый) необходимо открыть между устройствами в Интернете и узлом Workspace ONE Access, разрешая сквозной режим SSL по протоколу TCP (уровень 4) в подсистеме балансировки нагрузки или на обратном прокси-сервере.

Нажмите кнопку Сохранить.

Дальнейшие действия

Опубликуйте эти правила. После публикации правил устройство получает обновленный профиль VPN, а в приложении Workspace ONE Tunnel включается единый вход.

Перейдите в консоль Workspace ONE Access и настройте единый вход для мобильных устройств Android на странице «Встроенный поставщик удостоверений».