GlobalProtect VPN

SonomaとVenturaのMacノートパソコンでGPのテストを始めました。Jamfを使用したインストール/設定についてのガイドに従い、拡張機能、フィルター、承認、通知、TCC/PPPC、ログインアイテムなどを設定し、VPNに接続できました。 私のチームは本番前に最終決定を下す必要がありますが、少なくとも最終調整を行う間に製品を少し操作できます。

いくつか奇妙な点があり、原因がわかりません:

1 VPNペイロードは必要ですか? GPのドキュメントは、スプリットトンネルを使用する場合にのみVPNペイロードが必要と示唆しています。これは正しいですか?URLや基本設定はとにかく/Library/Preferences/com.paloaltonetworks.GlobalProtect.settings.plistにありますよね。

2 GPを問題なく接続できますが、切断するたびにローカルアカウントで認証を求められます。不思議なことに、認証しなくても切断されてしまいます。なぜ切断を促されるのか、考えられる理由は何ですか?

3 macOSのネットワークペインで見かける「透過プロキシ」とは何ですか?これはメインのGP DNSプロキシペイロードの一部ですか、それとも別のコンポーネントですか?すでにmacOSのネットワークペインに「DNSプロキシ」が表示されています。2つのプロキシがありますか?

4 macOSのネットワークペインを見ると、すべての拡張機能はエンドユーザの改ざんを防ぐためにロックされています(予想通りです)が、ただ1つだけ例外があります。上記の#3で言及した「透過プロキシ」です。なぜかこの設定だけは手動で切り替えることができるのです(スクリーンショット参照)

5 /Library/Preferences/com.paloaltonetworks.GlobalProtect.settings.plistのコア設定がMDMプロフィールで管理されていないのはなぜですか?

6 IvantiからGPに移行します。両方のVPNを一時的に併用できますか?Ivantiを削除してGPを展開したいのですが、チームはこれを望んでいません(移行に問題があった場合にVPNを利用できるようにしたい)。

ご助言に感謝します。

ogxt0afj0aod1

VPNペイロードは不要です。 それはmacOSの内蔵VPNクライアント専用です。

GPCSは通常の設定プロファイルペイロードでは構成されていません。 それは古くて時代遅れのやり方です。 配信できるのはシステム拡張とネットワーク拡張のペイロードです。

私たちはパッケージとポリシーを展開し、必要な設定をインストールしています。それは文字通りカスタムの.plistでVPNゲートウェイを設定するものでした。