المقدمة
يوضح هذا المستند كيفية تكوين VPN لكل App على أجهزة Apple iOS المدارة بواسطة Meraki Mobile Device Manager (MDM)، System Manager (SM).
المتطلبات الأساسية
المتطلبات
- ترخيص AnyConnect v4. 0 Plus أو Apex.
- ASA 9.3.1 أو إصدار أحدث لدعم الشبكة الخاصة الظاهرية (VPN) لكل تطبيق.
- أداة إختيار تطبيقات المؤسسات من Cisco متوفرة على موقع الويب Cisco.com
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:
- ASA 5506W-X، الإصدار 9.15(1)10
- نظام التشغيل iPad، الإصدار 15.1
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
لا يتضمن هذا المستند العمليات المدرجة:
- تكوين SCEP CA على Systems Manager لإنشاء شهادة العميل
- إنشاء شهادة عميل PKCS12 لعملاء نظام التشغيل iOS
التكوين
الخطوة 1. تسجيل جهاز نظام التشغيل iOS إلى Meraki Systems Manager
1.1. انتقل إلى مدير الأنظمة > إضافة أجهزة
![SM - Dashboard](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-00.png)
1.2. انقر فوق خيار نظام التشغيل iOS لبدء التسجيل.
![Device enrollment type](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-01.png)
1.3. قم بتسجيل الجهاز عبر مستعرض الإنترنت أو قم بمسح رمز QR باستخدام الكاميرا. في هذا المستند، تم إستخدام الكاميرا لعملية التسجيل.
![Enrollment menu for iOS device](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-02.png)
1.4. عند التعرف على رمز QR بواسطة الكاميرا، حدد Open "meraki.com" في إعلام Safari الذي يظهر.
![Enrollment menu view from iPad](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-03.png)
1.5. عند المطالبة، حدد التسجيل.
![Enrollment process](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-04.png)
1.6. حدد السماح للسماح للجهاز بتنزيل ملف تعريف MDM.
![Enrollment process to grant access to download](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-05.jpeg)
1.7. حدد إغلاق لإكمال التنزيل.
![Enrollment process - download complete](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-06.jpeg)
1.8. انتقل إلى تطبيق إعدادات نظام التشغيل iOS وحدد خيار تنزيل ملف التعريف في الجزء الأيسر وحدد قسم إدارة Meraki.
![Enrollment process - profile selection](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-07.jpeg)
1.9. حدد خيار التثبيت لتثبيت ملف تعريف MDM.
![Enrollment process - profile installation](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-08.jpeg)
1.10. يجب منح حق الوصول لتثبيت تطبيق SM.
![SM approval](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-09.jpeg)
1.11. افتح التطبيق الذي تم تنزيله مؤخرا ويسمى Meraki MDM الموجود في الشاشة الرئيسية.
![SM view from iOS main menu](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-10.jpeg)
1.12. تأكد من أن جميع الحالات تحتوي على علامة خضراء تؤكد اكتمال التسجيل.
![SM compliance](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-11.jpeg)
الخطوة 2. إعداد التطبيقات المدارة
لإعداد التطبيقات التي يتم إنشاء قنوات لها ل PerApp لاحقا في هذا المستند، يلزمك إدارة هذه التطبيقات نفسها عبر SM. في مثال التكوين هذا، تم تصميم Firefox ليتم إنشاء قنوات لها عبر كل تطبيق، ومن ثم تتم إضافته إلى التطبيقات المدارة.
2.1. انتقل إلى مدير الأنظمة > إدارة > تطبيقات لإضافة التطبيقات التي تتم إدارتها.
![SM device configuration](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-12.png)
2.2. حدد خيار إضافة تطبيق.
![SM add managed apps](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-13.png)
2.3. حدد نوع التطبيق (تطبيق متجر التطبيقات، مخصص، B2B) استنادا إلى مكان تخزين التطبيق. حدد التالي بمجرد تحديده.
في هذا المثال، يتم تخزين التطبيق بشكل عام في "متجر التطبيقات".
![SM add managed app](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-14.png)
2.4. عند المطالبة، ابحث عن التطبيق المطلوب واختر المنطقة التي يتم تنزيل التطبيق منها. حدد حفظ بمجرد تحديد التطبيق.
ملاحظة: إذا لم تتطابق الدولة مع منطقة حساب Apple، فقد يواجه المستخدم مشاكل مع التطبيق.
![SM select managed ap](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-15.png)
2.5. انقر فوق حفظ بمجرد تحديد جميع التطبيقات المطلوبة.
الخطوة 3. تكوين ملف تعريف PerApp VPN
3.1. انتقل إلى إدارة الأنظمة > إدارة > إعدادات
![SM - add new device](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-16.png)
3.2. حدد خيار إضافة ملف تعريف.
![SM - policy add new device](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-17.png)
3.3. حدد ملف تعريف الجهاز (الافتراضي) وانقر فوق متابعة.
![SM - search for type of policy](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-18.png)
3.4. بمجرد عرض قائمة تكوين ملف التعريف، اكتب الاسم وحدد الأجهزة الهدف ضمن النطاق.
![Configure scope of perapp policy](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-19.png)
3.5. حدد إضافة إعدادات وتصفية أنواع ملف التعريف بواسطة نظام التشغيل iOS لكل تطبيق VPN، وحدد الخيار كما هو موضح أدناه.
![Menu to select PerApp policy](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-20.png)
3.6. بمجرد عرض القائمة، اكتب معلومات الاتصال استنادا إلى المثال التالي.
تدعم "إدارة الأنظمة" عمليتي تسجيل شهادات لهذه الاتصالات و SCEP والتسجيل اليدوي. في هذا المثال، تم إستخدام التسجيل اليدوي.
ملاحظة: حدد إضافة بيانات الاعتماد بمجرد تعبئة مربعات النص حيث أن هذا الخيار ينقلك إلى قائمة جديدة لإضافة ملف ترخيص.
![Menu to configure PerApp parameters](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-21.png)
3.7. بمجرد النقر فوق إضافة بيانات اعتماد والحصول على إعادة التوجيه إلى القائمة "شهادة"، اكتب اسم الشهادة، واستعرض في الكمبيوتر وابحث عن كلمة المرور التي تحمي ملف .pfx (ملف الشهادة المشفر).
![Menu to configure credentials (certificate)](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-22.png)
3.8. بعد تحديد الشهادة، يتم عرض اسم ملف الشهادة.
![Menu to confirm credentials](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-23.png)
3.9. بمجرد تحديد الشهادة، انتقل إلى ملف تعريف الشبكة الخاصة الظاهرية (VPN) الذي كنت عليه من قبل وحدد بيانات الاعتماد التي تم إستيرادها مؤخرا وحدد التطبيق الذي تم إنشاء قنوات له (Firefox في هذه الحالة).
طقطقة حفظ ما إن يتم هذا.
![Menu to confirm PerApp parameters prior to deployment](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-24.png)
3.10. تحقق من تثبيت ملف التعريف على الأجهزة الهدف.
![Confirm installation of profile](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-25.png)
الخطوة 4. تكوين محدد التطبيق
4.1. تنزيل محدد التطبيق من موقع Cisco على الويب https://software.cisco.com/download/home/286281283/type/282364313/release/AppSelector-2.0
تحذير: تشغيل التطبيق على جهاز Windows. النتائج المعروضة غير متوقعة عند إستخدام الأداة على أجهزة MacOS.
4.2. افتح تطبيق جافا. حدد iOS من القائمة المنسدلة، وقم بإضافة اسم مألوف وتأكد من كتابة *.* في معرف التطبيق.
![AppSelector wildcard](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-26.png)
4.3. انتقل إلى النهج وحدد عرض النهج
![AppSelector wildcard - view policy](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-27.png)
4.4. انسخ السلسلة المعروضة. (يتم إستخدام هذا فيما بعد في تكوين وحدة الاستقبال والبث الخاصة بشبكة VPN).
![AppSelector wildcard - view policy - export value](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-28.png)
الخطوة 5. عينة ASA لكل تكوين تطبيق VPN
conf t
webvpn
anyconnect-custom-attr perapp description PerAppVPN
anyconnect-custom-data perapp wildcard eJyrVnLOLE7Od84vqCzKTM8oUbJSgrMVNJI1FYwMDEwUwGoUgiuLS1Jzi3UUPPOS9ZR0lFxSyzKTU30yi4G6oquh3JDKglSgIYkFBTmpupn5xUB1jgUFcEVA8cwUoLyWnhZQJi0vMRekujwzJyU5sShFqTYWCAFHcjDB
ip local pool vpnpool 10.204.201.20-10.204.201.30 mask 255.255.255.0
access-list split standard permit 172.168.0.0 255.255.0.0
access-list split standard permit 172.16.0.0 255.255.0.0
group-policy GP-perapp internal
group-policy GP-perapp attributes
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
split-tunnel-all-dns disable
anyconnect-custom perapp value wildcard
tunnel-group perapp type remote-access
tunnel-group perapp general-attributes
address-pool vpnpool
default-group-policy GP-perapp
tunnel-group perapp webvpn-attributes
authentication certificate
group-alias perapp enable
group-url https://vpn.cisco.com/perapp enable
التحقق من الصحة
6. التحقق من تثبيت ملف التعريف على تطبيق AnyConnect
6.1. افتح تطبيق AnyConnect وحدد الاتصالات في الجزء الأيسر. يجب عرض ملف تعريف PerApp VPN ضمن قسم جديد يسمى PER-APP VPN.
حدد i لعرض الإعدادات المتقدمة.
![Verify VPN connection profile](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-29.png)
6.2. حدد الخيار متقدم.
![Verify VPN advanced parameters](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-30.png)
6.3. حدد خيار قواعد التطبيق.
![Verify app rules](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-31.png)
6.4. وأخيرا، تأكد من تثبيت قاعدة التطبيق. (Mozilla هو التطبيق الذي يتم إنشاء قنوات له المطلوب في هذا المستند، لذلك نجح تثبيت التطبيق).
![App Rules from perapp](/c/dam/en/us/support/docs/security/anyconnect-secure-mobility-client-v4x/220259-configure-anyconnect-perapp-vpn-for-ios-32.png)
استكشاف الأخطاء وإصلاحها
لا توجد حاليا أي خطوات محددة لاستكشاف أخطاء هذا المستند وإصلاحها.