允许用户禁用 GlobalProtect "iOS 设备上的选项行为"

概述

GlobalProtect 门户配置允许用户定义 GlobalProtect 用户是否可以在本地计算机上 "禁用" GlobalProtect 代理。

从 WebGUI, 转到网络 >> GlobalProtect > 门户 > 客户端配置。

症状

如果该选项设置为 "禁用", 则只允许用户在 GlobalProtect 代理中单击 "禁用" 选项。此配置在 PC、MAC 和 Android 平台上工作正常。

在 iOS 设备 (iPhone, iPad) 上有一个限制, 它阻止了它的工作。这是预期的行为, 它是由于与操作系统交互的限制而存在的。无论 GlobalProtect 配置如何, 用户都可以从全局设置菜单中禁用 VPN 连接。

在 GlobalProtect 2.2 版和更高版本中, 有一个行为更改, 用户可以从 GlobalProtect 客户端断开 VPN 连接, 但如果将上述选项设置为 "禁用", 后续通信将重新启动连接。但是, 用户仍然可以通过系统设置禁用 VPN。

解决方法

在将被推送到用户的. pac 文件中创建不同的代理策略:

• 创建承载. pac 文件的 URL, 例如: http://
• <server_name>应解析为企业网络内的专用 IP (或者当客户端连接到 GlobalProtect 网关时)</server_name>
• <server_name>如果客户端不在企业网络中 (使用不由 GlobalProtect 网关推送的公用 DNS 服务器), 则应解析为公共 IP。</server_name>
• 根据 DNS 解析,. pac 文件将从不同的服务器回迁, 并将提供不同的配置。
• 内部提取. pac 将告诉客户端直接将所有 http 请求转发到 Internet, 而外部回迁. pac 将强制客户端将所有通信量重定向到页面, 该页要求用户启用 GlobalProtect 客户端 VPN 连接, 以便上网。
• 可以使用 MDM 解决方案将 Aproxy 配置推送到客户端。

所有者: nmarkovic