Benutzer können globalprotect "Options Verhalten auf IOS-Geräten" deaktivieren

Benutzer können globalprotect "Options Verhalten auf IOS-Geräten" deaktivieren

39832
Created On 09/26/18 13:51 PM - Last Modified 06/07/23 17:09 PM


Resolution


 

Übersicht

Die globalprotect-Portal Konfiguration ermöglicht es dem Benutzer zu definieren, ob der globalprotect-Benutzer den globalprotect-Agent auf dem lokalen Rechner "deaktivieren" kann.

 

Von der WebGui, gehen Sie zum Netzwerk > globalprotect > Portale > Client-Konfiguration.

 

65709_pic_01. jpg

 

Symptom

Wenn die Option auf "deaktiviert" gesetzt ist, erlauben Sie dem Benutzer nur, auf die Option "deaktivieren" innerhalb des globalprotect-Agenten zu klicken. Diese Konfiguration funktioniert auf PC, Mac und Android-Plattformen einwandfrei.

 

Für diese Option gibt es eine Einschränkung auf IOS-Geräten (iPhone, iPad), die eine Arbeitsweise verhindert. Dies ist das erwartete Verhalten und es ist da aufgrund einer Einschränkung der Interaktion mit dem Betriebssystem. Der Benutzer kann die VPN-Verbindung aus dem globalen Einstellungsmenü jederzeit deaktivieren, unabhängig von der globalprotect-Konfiguration.

 

In der globalprotect-Version 2,2 und höher gibt es eine Verhaltensänderung, bei der der Benutzer die VPN-Verbindung vom globalprotect-Client trennen kann, aber der nachfolgende Traffic wird die Verbindung wieder einleiten, wenn wir die genannte Option auf "deaktivieren" setzen. Allerdings kann der Nutzer das VPN noch über Systemeinstellungen deaktivieren.

 

Dieses Problem zu umgehen

Erstellen Sie verschiedene Proxy-Richtlinien innerhalb. PAC-Dateien, die an die Benutzer gedrückt werden:

  • Erstellen Sie eine URL, die eine. PAC-Datei beherbergt, zum Beispiel: http://
  • Der <server_name>sollte sich auf eine private IP innerhalb des Unternehmensnetzwerks auflösen (oder wenn der Client mit globalprotect Gateway verbunden ist)</server_name>
  • <server_name>sollte sich zu einer öffentlichen IP auflösen, wenn der Client nicht innerhalb des Unternehmensnetzwerks ist (über öffentliche DNS-Server, die nicht vom globalprotect Gateway gedrückt werden)</server_name>
  • Abhängig von der DNS-Auflösung wird die. PAC-Datei von verschiedenen Servern abgeholt und wird eine andere Konfiguration bieten.
  • Intern abgeholt. PAC wird dem Kunden sagen, dass er alle HTTP (s)-Anfragen direkt an das Internet weiterleiten soll, und extern abgeholt wird. PAC wird den Client zwingen, den gesamten Traffic auf eine Seite umzuleiten, die den Benutzer auffordert, die globalprotect Client VPN-Verbindung zu aktivieren, um , einen Internetzugang zu haben.
  • Die aproxy-Konfiguration kann mit einer MDM-Lösung an die Clients gedrückt werden.

 

Besitzer: nmarkovic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CluYCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language