Configure o AnyConnect PerApp VPN para iOS com o Meraki System Manager

Opções de download

  • PDF     (3.6 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (3.2 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.7 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:28 de fevereiro de 2023
ID do documento:220259

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar a VPN PerApp em dispositivos Apple iOS gerenciados pelo Meraki Mobile Device Manager (MDM), System Manager (SM).

    Prerequisites

    Requirements

    • Licença do AnyConnect v4.0 Plus ou Apex.
    • ASA 9.3.1 ou posterior para oferecer suporte à VPN por aplicativo.
    • Ferramenta Cisco Enterprise Application Seletor disponível em Cisco.com

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • ASA 5506W-X versão 9.15(1)10
    • iPad iOS versão 15.1

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Este documento não inclui os processos listados:

    • Configuração SCEP CA no gerenciador de sistemas para geração de certificado de cliente
    • Geração de certificado de cliente PKCS12 para clientes iOS

    Configurar

    Etapa 1. Registre o dispositivo iOS no Meraki Systems Manager

    1.1. Navegue até Gerenciador de sistemas > Adicionar dispositivos

    SM - Dashboard

    1.2. Clique na opção iOS para iniciar a inscrição.

    Device enrollment type

    1.3. Registre o dispositivo através de um navegador de Internet ou digitalize o código QR com a câmera. Neste documento, a câmera foi usada no processo de inscrição.

    Enrollment menu for iOS device

    1.4. Quando o código QR for reconhecido pela câmera, selecione a notificação Abrir "meraki.com" no Safari exibida.

    Enrollment menu view from iPad

    1.5. Quando solicitado, selecione Registrar.

    Enrollment process

    1.6. Selecione Allow para permitir que o dispositivo baixe o perfil MDM.

    Enrollment process to grant access to download

    1.7. Selecione Close para concluir o download.

    Enrollment process - download complete

    1.8. Navegue até o aplicativo iOS Settings e localize a opção Profile Downloaded no painel esquerdo e selecione a seção Meraki Management.

    Enrollment process - profile selection

    1.9. Selecione a opção Install para instalar o perfil MDM.

    Enrollment process - profile installation

    1.10. Você deve conceder o acesso para Instalar o aplicativo SM.

    SM approval

    1.11. Abra o aplicativo recém-baixado chamado Meraki MDM localizado na tela inicial.

    SM view from iOS main menu

    1.12. Verifique se todos os status têm um sinal verde que confirme que a inscrição está concluída.

    SM compliance

    Etapa 2. Configurar Aplicativos Gerenciados

    Para configurar os aplicativos em túnel para PerApp mais adiante neste documento, você precisa gerenciar esses mesmos aplicativos via SM. Neste exemplo de configuração, o Firefox foi projetado para ser encapsulado por aplicativo e, portanto, é adicionado aos aplicativos gerenciados.

    2.1. Navegue para Systems Manager > Manage > Apps para adicionar os aplicativos gerenciados.

    SM device configuration

    2.2. Selecione a opção Add app.

    SM add managed apps

    2.3. Selecione o tipo de aplicativo (App Store app, Custom, B2B) com base no local em que o aplicativo está armazenado. Selecione Avançar depois de selecionado.

    Neste exemplo, o aplicativo é armazenado publicamente na App Store.

    SM add managed app

    2.4. Quando solicitado, procure o aplicativo desejado e selecione a região de onde o aplicativo é baixado. Selecione Save depois que o aplicativo for selecionado.

    Observação: se o país não corresponder à região da conta da Apple, o usuário poderá ter problemas com o aplicativo.

    SM select managed ap

    2.5. Clique em Salvar depois de selecionar todos os aplicativos desejados.

    Etapa 3. Configurar perfil VPN PerApp

    3.1. Navegue até Systems Manager > Manage > Settings

    SM - add new device

    3.2. Selecione a opção Adicionar perfil.

    SM - policy add new device

    3.3. Selecione Perfil do dispositivo (padrão) e clique em Continuar.

    SM - search for type of policy

    3.4. Quando o menu Profile Configuration for exibido, escreva o Name e selecione os dispositivos de destino em Scope.

    Configure scope of perapp policy

    3.5. Selecione Add settings e filtre os tipos de perfil por iOS Per App VPN, selecione a opção como visto abaixo.

    Menu to select PerApp policy

    3.6. Quando o menu for exibido, escreva as informações de conexão com base no exemplo abaixo.

    O gerenciador de sistemas suporta duas inscrições de certificado para essas conexões, SCEP e inscrição manual. Neste exemplo, foi usada a inscrição manual.

    Observação: selecione Adicionar credencial depois de preencher as caixas de texto, já que essa opção o leva a um novo menu para adicionar um arquivo de certificado.

    Menu to configure PerApp parameters

    3.7. Depois de clicar em Adicionar credencial e você for redirecionado para o menu Certificado, escreva o Nome do Certificado, navegue em seu computador e procure a Senha que protege o arquivo .pfx (arquivo de certificado criptografado).

    Menu to configure credentials (certificate)

    3.8. Depois que o certificado é selecionado, o nome de arquivo do certificado é exibido.

    Menu to confirm credentials

    3.9. Depois de selecionar o certificado, navegue até o perfil VPN em que você estava anteriormente e selecione a credencial importada recentemente e selecione o aplicativo em túnel (Firefox, neste caso).

    Clique em Save quando isso estiver concluído.

    Menu to confirm PerApp parameters prior to deployment

    3.10. Verifique se o perfil está instalado nos dispositivos de destino.

    Confirm installation of profile

    Etapa 4. Configuração do Seletor de Aplicativos

    4.1. Baixe o seletor de aplicativos do site da cisco https://software.cisco.com/download/home/286281283/type/282364313/release/AppSelector-2.0

    Cuidado: execute o aplicativo em uma máquina com Windows. Os resultados exibidos não serão os esperados quando a ferramenta for usada em dispositivos MacOS.

    4.2. Abra o aplicativo java. Selecione iOS no menu suspenso, adicione um nome amigável e certifique-se de digitar *.* no ID do aplicativo.

    AppSelector wildcard

    4.3. Navegue até Policy e selecione View Policy

    AppSelector wildcard - view policy

    4.4. Copie a string exibida. (Isso é usado mais tarde na configuração do headend da VPN).

    AppSelector wildcard - view policy - export value

    Etapa 5. Exemplo de ASA por configuração de VPN de aplicativo

    conf t
    webvpn
    anyconnect-custom-attr perapp description PerAppVPN
    anyconnect-custom-data perapp wildcard eJyrVnLOLE7Od84vqCzKTM8oUbJSgrMVNJI1FYwMDEwUwGoUgiuLS1Jzi3UUPPOS9ZR0lFxSyzKTU30yi4G6oquh3JDKglSgIYkFBTmpupn5xUB1jgUFcEVA8cwUoLyWnhZQJi0vMRekujwzJyU5sShFqTYWCAFHcjDB


    ip local pool vpnpool 10.204.201.20-10.204.201.30 mask 255.255.255.0

    access-list split standard permit 172.168.0.0 255.255.0.0 
    access-list split standard permit 172.16.0.0 255.255.0.0

    group-policy GP-perapp internal
    group-policy GP-perapp attributes
    vpn-tunnel-protocol ssl-client 
    split-tunnel-policy tunnelspecified
    split-tunnel-network-list value split
    split-tunnel-all-dns disable
    anyconnect-custom perapp value wildcard

    tunnel-group perapp type remote-access
    tunnel-group perapp general-attributes
    address-pool vpnpool
    default-group-policy GP-perapp
    tunnel-group perapp webvpn-attributes
    authentication certificate
    group-alias perapp enable
    group-url https://vpn.cisco.com/perapp enable

    Verificar

    6. Verificar a instalação do perfil no aplicativo AnyConnect

    6.1. Abra o aplicativo AnyConnect e selecione Conexões no painel esquerdo. O perfil de VPN PerApp deve ser exibido em uma nova seção chamada VPN PER-APP.

    Selecione o i para exibir as configurações avançadas.

    Verify VPN connection profile

    6.2. Selecione a opção Avançado.

    Verify VPN advanced parameters

    6.3. Selecione a opção Regras de Aplicativo.

    Verify app rules

    6.4. Por último, confirme se a regra de aplicativo está instalada. (O Mozilla é o aplicativo em túnel desejado neste documento, portanto, a instalação do aplicativo foi bem-sucedida).

    App Rules from perapp

    Troubleshoot

    No momento, não há etapas de Troubleshooting específicas para este documento.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    27-Feb-2023
    Versão inicial

    Colaboração de

    • Hugo Olguin

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos