Guide de L'Administrateur Globalprotect

Guide de l'administrateur GlobalProtect
Version 6.2
Coordonnées de contact
Siège social :
Palo Alto Networks

4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
À propos de ce guide
Ce guide vous assiste tout au long de la configuration et de la maintenance de votre infrastructure GlobalProtect. Pour
plus d'informations, reportez-vous aux sources qui suivent :
 Pour des informations sur les capacités supplémentaires et pour les instructions pour la configuration des
fonctionnalités sur le pare-feu, consultez le site https://www.paloaltonetworks.com/documentation.
 Pour accéder à la base de connaissances, aux documentations complètes, aux forums de discussion et aux vidéos,
reportez-vous à la page https://live.paloaltonetworks.com.
 Pour contacter le support, obtenir des informations sur les programmes de support ou gérer votre compte ou vos
périphériques, reportez-vous à la page https://support.paloaltonetworks.com.
 Pour obtenir les dernières notes de publication, rendez-vous sur la page des téléchargements logiciels
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Pour nous communiquer vos remarques sur la documentation, écrivez-nous à l'adresse :
documentation@paloaltonetworks.com.
Palo Alto Networks, Inc.

www.paloaltonetworks.com
© 2015 Palo Alto Networks. Tous droits réservés.
Palo Alto Networks et PAN-OS sont des marques déposées de Palo Alto Networks, Inc.
Date de révision : mai 22, 2015
ii
Table des matières
Vue d'ensemble de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

À propos des composants GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Portail GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Passerelles GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Client GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Gestionnaire de sécurité mobile GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Quelles sont les versions de système d'exploitation client prises en charge par GlobalProtect ?. . . . . . . . . . 6
À propos des Licences GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Configurer l'infrastructure GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

Créer des interfaces et des zones pour GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Activer SSL entre les composants GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
À propos du déploiement de certificats GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Procédures recommandées pour les certificats GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Déployer les certificats de serveur sur les composants GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . 15
Configurer l'authentification de l'utilisateur GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
À propos de l'authentification de l'utilisateur GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Configurer l'authentification externe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Configurer l'authentification du certificat client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Configurer l'authentification à deux facteurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Configurer l'authentification pour les clients strongSwan Ubuntu et CentOS . . . . . . . . . . . . . . . . . . . 32
Activer le mappage des groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Configurer les passerelles GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Tâches préalables à la configuration de la passerelle GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Configurer une passerelle GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Configurer le portail GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Tâches préalables à la configuration du portail GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Paramétrer l'accès au portail GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Définir les configurations de client GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Personnaliser l'agent GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Personnaliser les pages Ouverture de session, Bienvenue et Aide de GlobalProtect . . . . . . . . . . . . . . 58
Déployer le logiciel client GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Déployer l'agent logiciel GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Télécharger et installer l'application mobile GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Déployer les paramètres de l'agent de façon transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Paramètres de l'agent à personnaliser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Déployer les paramètres de l'agent sur des clients Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Déployer les paramètres de l'agent sur des clients Mac . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Utiliser l'application iOS GlobalProtect avec un MDM indépendant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Exemple de configuration de VPN au niveau périphérique de l'application iOS GlobalProtect . . . . . 79
Exemple de configuration de VPN au niveau application de l'application iOS GlobalProtect . . . . . . 80
Référence : Fonctions cryptographiques de l'agent GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Guide de l'administrateur GlobalProtect iii

Configurer le Gestionnaire de sécurité mobile GlobalProtect . . . . . . . . . . . . 83
Procédures recommandées pour le déploiement du Gestionnaire de sécurité mobile . . . . . . . . . . . . . . . . . 84
Paramétrer l'accès à la gestion du Gestionnaire de sécurité mobile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Enregistrer, Activer la licence et Mettre à jour le Gestionnaire de sécurité mobile . . . . . . . . . . . . . . . . . . . 89
Enregistrer l'appareil GP-100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Activer/Récupérer les licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Installer les mises à jour de contenu et du logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Configurer le Gestionnaire de sécurité mobile pour la gestion de périphériques . . . . . . . . . . . . . . . . . . . . . 93
Configurer le Gestionnaire de sécurité mobile pour l'archivage de périphérique . . . . . . . . . . . . . . . . . 93
Configurer le Gestionnaire de sécurité mobile pour le recrutement . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Activer l'accès passerelle au Gestionnaire de sécurité mobile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Définir les politiques de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
À propos du déploiement des politiques du Gestionnaire de sécurité mobile . . . . . . . . . . . . . . . . . . 106
Procédures recommandées pour les politiques du Gestionnaire de sécurité mobile . . . . . . . . . . . . . 110
Intégrer le Gestionnaire de sécurité mobile dans votre annuaire LDAP. . . . . . . . . . . . . . . . . . . . . . . 113
Définir les objets HIP et les profils HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Créer les profils de configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Créer des politiques de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Vérifier la configuration du gestionnaire de sécurité mobile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
Paramétrer l'accès administrateur au Gestionnaire de sécurité mobile . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Configurer l'authentification de l'administrateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Création d'un compte administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Gérer les périphériques mobiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Groupes de périphériques par étiquette pour l'administration simplifiée des périphériques . . . . . . . . . . . 156
Étiqueter les périphériques à la main. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Pré-étiqueter les périphériques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Surveiller les périphériques mobiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Administrer les périphériques à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Interagir avec les périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
Prendre des mesures pour un périphérique perdu ou volé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Supprimer des périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Créer des politiques de sécurité pour la mise en œuvre du trafic des périphériques mobiles . . . . . . . . . . 167
Gérer les applications et données de l'entreprise avec un App Store

d'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Vue d'ensemble de l'App Store d'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Concepts de l'App Store d'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Applications gérées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Applications requises et facultatives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Programme d'achats en volume (VPP) Apple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
Ajouter des applications gérées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Ajouter une application d'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Ajouter des applications Google Play ou Apple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Ajouter des applications VPP en tant qu'applications gérées. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
iv Guide de l'administrateur GlobalProtect

Configurer l'App Store . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Gérer et surveiller des applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Isoler le trafic de l'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Isoler les données de l'entreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Activer le mode d'application unique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Utiliser les informations sur l'hôte pour la mise en œuvre des politiques. . . 193
À propos des informations sur l'hôte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Quelles sont les données que l'agent GlobalProtect collecte ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Comment la passerelle utilise-t-elle les informations sur l'hôte pour la mise
en œuvre des politiques ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
De quelle manière les utilisateurs savent-ils si leurs systèmes sont conformes ? . . . . . . . . . . . . . . . . . 197
Comment obtenir une visibilité de l'état des clients finaux ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Configurer la mise en œuvre des politiques basées sur HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Collecter des données d'application et de processus sur des clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Configurations rapides GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

VPN d'accès à distance (Profil d'authentification) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
VPN d'accès à distance (profil de certificat) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
VPN d'accès à distance avec l'authentification à deux facteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Configuration de VPN toujours active . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
VPN d'accès à distance avec pré-ouverture de session. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Configuration de plusieurs passerelles GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
GlobalProtect pour l'archivage HIP interne et l'accès basé sur l'utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . 234
Configuration mixte de passerelles internes et externes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Guide de l'administrateur GlobalProtect v

vi Guide de l'administrateur GlobalProtect
Vue d'ensemble de GlobalProtect
Que ce soit en effectuant une vérification du courrier électronique depuis le domicile ou une mise à jour des
documents de l'entreprise depuis l'aéroport, la majorité des employés d'aujourd'hui travaillent à l'extérieur du
périmètre physique de l'entreprise. La mobilité accrue de cette main-d'œuvre offre une productivité et une
flexibilité amplifiées tout en introduisant simultanément des risques significatifs pour la sécurité. Chaque fois
que des utilisateurs quittent le bâtiment avec leurs ordinateurs portables ou leurs périphériques mobiles, ils
contournent le pare-feu de l'entreprise et les politiques associées, qui sont conçus pour protéger aussi bien
l'utilisateur que le réseau. GlobalProtect résout les défis de sécurité introduits par les utilisateurs nomades en
élargissant les mêmes politiques basées sur pare-feu de nouvelle génération qui sont mises en œuvre à l'intérieur
du périmètre physique à tous les utilisateurs, quelle que soit leur localisation.
Les sections suivantes fournissent des informations conceptuelles sur l'offre promotionnelle GlobalProtect de
Palo Alto Networks et décrivent les composants de GlobalProtect et les différents scénarios de déploiement :
 À propos des composants GlobalProtect
 Quelles sont les versions de système d'exploitation client prises en charge par GlobalProtect ?
 À propos des Licences GlobalProtect
Guide de l'administrateur GlobalProtect 1

À propos des composants GlobalProtect Vue d'ensemble de GlobalProtect
À propos des composants GlobalProtect

GlobalProtect propose une infrastructure complète pour la gestion de votre main-d'œuvre mobile pour
permettre un accès sécurisé à tous vos utilisateurs, indépendamment des périphériques qu'ils utilisent ou de
l'endroit où ils se trouvent. L'infrastructure inclut les composants suivants :
 Portail GlobalProtect
 Passerelles GlobalProtect
 Client GlobalProtect
 Gestionnaire de sécurité mobile GlobalProtect
Portail GlobalProtect
Le portail GlobalProtect fournit les fonctions de gestion de votre infrastructure GlobalProtect. Chaque système
client qui fait partie du réseau GlobalProtect reçoit des informations de configuration du portail, notamment
des informations sur les passerelles disponibles, ainsi que les certificats clients pouvant être requis pour se
connecter aux passerelles GlobalProtect et/ou au gestionnaire de sécurité mobile. De plus, le portail contrôle le
comportement et la distribution du logiciel GlobalProtect sur les ordinateurs portables Windows et Mac (sur les
périphériques mobiles, l'application GlobalProtect est distribuée via l'App Store d'Apple pour les
périphériques iOS et via Google Play pour les périphériques Android). Si vous utilisez la fonction Profil
d'informations sur l'hôte (HIP), le portail définit aussi les informations qui devront être collectées auprès de
l'hôte, notamment les informations personnalisées dont vous avez besoin. Vous pouvez Configurer le portail
GlobalProtect sur une interface sur n'importe quel pare-feu Palo Alto Networks de dernière génération.
Passerelles GlobalProtect
Les passerelles GlobalProtect permettent la mise en œuvre de la sécurité du trafic depuis les agents/applications
GlobalProtect. En outre, si la fonction HIP est activée, la passerelle génère un rapport HIP à partir des données
brutes sur l'hôte que les clients soumettent et peut utiliser ces informations dans la mise en œuvre des politiques.
 Passerelles externes : Permettent la mise en œuvre de la sécurité et/ou un accès à un réseau privé virtuel
(VPN) réservé à vos utilisateurs distants.
 Passerelles internes : Une interface sur le réseau interne configurée en tant que passerelle GlobalProtect
pour appliquer une politique de sécurité pour l'accès aux ressources internes. Lorsqu'elle est utilisée en
association avec l'ID utilisateur et/ou les archivages HIP, une passerelle interne peut être utilisée pour fournir
une méthode sécurisée et précise d'identification et de contrôle du trafic par utilisateur et/ou état du
périphérique. Les passerelles internes sont utiles dans des environnements fragiles où l'accès authentifié aux
ressources vitales est requis. Vous pouvez configurer une passerelle interne dans l'un des deux modes de
tunnel ou dans le mode non-tunnel.
Vous pouvez Configurer les passerelles GlobalProtect sur une interface sur n'importe quel pare-feu Palo
Alto Networks de dernière génération. Vous pouvez utiliser à la fois une passerelle et un portail sur le même
pare-feu, ou vous pouvez avoir plusieurs passerelles distribuées partout dans votre entreprise.
2 Guide de l'administrateur GlobalProtect

Vue d'ensemble de GlobalProtect À propos des composants GlobalProtect
Client GlobalProtect
Le logiciel client GlobalProtect fonctionne sur les systèmes des utilisateurs finaux et permet l'accès à vos
ressources réseau via les portails et passerelles GlobalProtect que vous avez déployés. Il existe deux types de
clients GlobalProtect :
 Agent logiciel GlobalProtect : Fonctionne sur les systèmes Windows et Mac OS et se déploie depuis le portail
GlobalProtect. Vous configurez le comportement de l'agent, par exemple, les onglets que les utilisateurs
peuvent voir, si les utilisateurs peuvent ou non désinstaller l'agent, dans la ou les configuration(s) du client que
vous définissez sur le portail. Reportez-vous aux sections Définir les configurations de client GlobalProtect,
Personnaliser l'agent GlobalProtect et Déployer l'agent logiciel GlobalProtect pour plus de détails.
 Application GlobalProtect : Fonctionne sur les périphériques iOS et Android. Les utilisateurs doivent
obtenir l'application GlobalProtect dans l'App Store d'Apple (pour iOS) ou Google Play (pour Android).
Pour plus d'informations, reportez-vous à la section Quelles sont les versions de système d'exploitation client
prises en charge par GlobalProtect ?.
Le schéma suivant illustre la façon dont les portails, passerelles et agents/applications GlobalProtect
fonctionnent ensemble pour activer l'accès sécurisé à tous vos utilisateurs, indépendamment des périphériques
qu'ils utilisent ou de l'endroit où ils se trouvent.

À propos des composants GlobalProtect Vue d'ensemble de GlobalProtect
Gestionnaire de sécurité mobile GlobalProtect
Le Gestionnaire de sécurité mobile GlobalProtect permet la gestion, la visibilité, et le déploiement automatisé

de la configuration pour les périphériques mobiles, soit provisionnés par la société soit appartenant aux
employés, sur votre réseau. Comme le Gestionnaire de sécurité mobile fait partie de la solution mobile
GlobalProtect intégrée, la passerelle GlobalProtect peut exploiter des informations sur les périphériques gérés
et l'utilisation des informations étendues sur l'hôte collectées par le Gestionnaire de sécurité mobile pour
permettre la mise en œuvre des politiques de sécurité renforcées pour les périphériques gérés. Les passerelles
récupèrent les profils HIP étendus sur le Gestionnaire de sécurité mobile et utilisent les informations pour
mettre en œuvre les politiques de sécurité pour les périphériques qui se connectent à votre réseau. Le
Gestionnaire de sécurité mobile GlobalProtect étend la sécurité aux périphériques mobiles afin que les
utilisateurs puissent accéder et utiliser en toute sécurité des applications d'entreprise sur leurs périphériques. Les
données d'entreprise sont contenues dans les applications et comptes d'entreprise sur les périphériques mobiles,
alors que l'expérience de l'utilisateur est préservée et que les données personnelles de l'utilisateur sont séparées
et protégées.
 Les politiques de déploiement que vous créez sur le Gestionnaire de sécurité mobile permettent un
provisionnement de compte simplifié des utilisateurs de périphériques mobiles pour l'accès à vos
applications d'entreprise (telles que le courrier électronique et la configuration de VPN). Vous pouvez aussi
effectuer certaines actions comme verrouiller le périphérique, faire sonner une alarme pour permettre de
localiser le périphérique, ou même effacer un périphérique qui a été compromis.
 Pour communiquer avec un périphérique, le Gestionnaire de sécurité mobile envoie une notification poussée
par liaison radio. Pour les périphériques iOS, il envoie des notifications poussées sur le service Apple Push
Notification (APN) et pour les périphériques Android, il les envoie via la messagerie Google Cloud
Messaging (GCM). Lorsqu'un périphérique reçoit une notification poussée, il l'archive en établissant une
connexion HTTPS à l'interface d'archivage du périphérique sur le Gestionnaire de sécurité mobile.
 Approuvez les applications que vos utilisateurs peuvent utiliser sur leurs périphériques mobiles à des fins
professionnelles. Les applications que vous approuvez et ajoutez au Gestionnaire de sécurité mobile en tant
qu'applications gérées peuvent être transmises à vos utilisateurs via un déploiement de politiques. Les
utilisateurs peuvent rechercher puis installer des applications qui leur sont assignées via l'App Store
d'entreprise de l'application GlobalProtect.
 Activez des paramètres de sécurité pour les applications gérées via le Gestionnaire de sécurité mobile de
sorte que les données d'entreprise soient uniquement contenues dans des applications et comptes gérés sur
un périphérique mobile et que le trafic des applications gérées soit acheminé via le VPN de l'entreprise (alors
que le trafic personnel sur le périphérique mobile ne l'est pas).
 Lorsqu'un périphérique effectue l'archivage via le Gestionnaire de sécurité mobile, il soumet les informations
sur l'hôte qui incluent des informations supplémentaires dépassant le cadre de ce que la passerelle
GlobalProtect collecte, notamment une liste des applications installées qui sont gérées, une liste des
applications installées qui ne sont pas gérées (celle-ci peut être désactivée), l'emplacement du périphérique
au moment de l'archivage (celui-ci peut être désactivé), si un code d'activation du périphérique a été défini
et/ou s'il est avec racine/débridé. En outre, si le Gestionnaire de sécurité mobile est doté d'un abonnement
WildFire, il peut détecter si un périphérique contient des logiciels malveillants (périphériques Android
uniquement).

Vue d'ensemble de GlobalProtect À propos des composants GlobalProtect
 En exploitant les données HIP étendues que le Gestionnaire de sécurité mobile collecte, vous pouvez créer
une politique de sécurité très granulaire pour les utilisateurs de périphériques mobiles sur vos passerelles
GlobalProtect.
Pour plus d'informations, reportez-vous à la section Configurer le Gestionnaire de sécurité mobile

GlobalProtect.

Quelles sont les versions de système d'exploitation client prises en Vue d'ensemble de GlobalProtect
charge par GlobalProtect ?
Quelles sont les versions de système d'exploitation client

prises en charge par GlobalProtect ?
Le tableau suivant présente un résumé des systèmes d'exploitation d'ordinateur de bureau, d'ordinateur portable
et de système d'exploitation de périphérique mobile GlobalProtect pris en charge et les versions minimales
d'agent/application GlobalProtect et PAN-OS requises pour prendre en charge chacun d'eux.
Versions de système d'exploitation client prises Version minimale Version PAN-OS minimale
en charge d'agent/application
Apple Mac OS 10.6 1.1 4.1.0 ou version ultérieure

Apple Mac OS 10.7 1.1
Apple Mac OS 10.8 1.1.6
Windows XP (32 bits) 1.0 4.0 ou supérieur

Windows Vista (32 bits et 64 bits) 1.0
Windows 7 (32 bits et 64 bits) 1.0
Windows 8 (32 bits et 64 bits) 1.2
Windows 8,1 (32 bits et 64 bits) 1.2
Windows Surface Pro 1.2
Apple iOS 6.0* Appli 1.3 4.1.0 ou version ultérieure

Apple iOS 7.0* Appli 1.3
Apple iOS 8.0* Appli 2.1
Google Android 4.0.3 ou supérieur* Appli 1.3 4.1.6 ou version ultérieure
Clients X-Auth IPsec indépendants : N/D 5.0 ou supérieur

• Client IPsec intégré dans iOS
• Client IPsec intégré dans Android
• VPNC sur Ubuntu Linux 10.04 et CentOS 6
• strongSwan sur Ubuntu Linux et CentOS** N/D 6.1 ou supérieur
* L'application 2.x est requise pour qu'un périphérique soit géré par le Gestionnaire de sécurité mobile GlobalProtect et
le pare-feu doit exécuter PAN-OS 6.0 ou une version ultérieure.
** Pour plus de détails sur l'autorisation de l'accès de clients strongSwan Ubuntu et CentOS au VPN GlobalProtect,
reportez-vous à la section Configurer l'authentification pour les clients strongSwan Ubuntu et CentOS.
Les utilisateurs doivent obtenir l'application GlobalProtect dans l'App Store d'Apple (pour iOS) ou Google Play
(pour Android). Pour plus d'informations sur la distribution de l'agent GlobalProtect, reportez-vous à la section
Déployer l'agent logiciel GlobalProtect.

Vue d'ensemble de GlobalProtect À propos des Licences GlobalProtect
À propos des Licences GlobalProtect

Si vous souhaitez simplement utiliser GlobalProtect pour fournir une solution d'accès à distance sécurisé ou de
réseau privé virtuel (VPN) via une unique passerelle externe, vous n'avez pas besoin de disposer de licences pour
GlobalProtect. Toutefois, pour utiliser certaines des fonctions plus avancées, comme les multiples passerelles,
les applications mobiles, la gestion de sécurité mobile, les archivages d'informations sur l'hôte, ou les passerelles
internes, vous devrez peut-être acheter une ou plusieurs des licences suivantes :
 Licence de portail : Il s'agit d'une licence perpétuelle à usage unique qui doit être installée sur le pare-feu
exécutant le portail pour activer le support de passerelle interne, les multiples passerelles (internes ou
externes), et/ou les archivages HIP.
 Abonnement de passerelle : Il s'agit d'un abonnement annuel qui active les archivages HIP et les mises à
jour de contenus associées. Cette licence doit être installée sur chaque pare-feu exécutant une ou des
passerelle(s) qui effectue(nt) des archivages HIP. En outre, la licence de passerelle active le support pour
l'application mobile GlobalProtect pour iOS et Android.
 Licence des capacités du Gestionnaire de sécurité mobile GlobalProtect sur l'appareil GP-100 :
Il s'agit d'une licence perpétuelle à usage unique pour le Gestionnaire de sécurité mobile basée sur le nombre
de périphériques mobiles à gérer. Cette licence est uniquement requise si vous envisagez de gérer plus de
500 périphériques mobiles. Les licences perpétuelles sont disponibles pour un maximum de 1 000, 2 000,
5 000, 10 000, 25 000, 50 000, ou 100 000 périphériques mobiles.
 Abonnement WildFire du Gestionnaire de sécurité mobile GlobalProtect sur l'appareil GP-100 :

Il est utilisé avec le Gestionnaire de sécurité mobile GlobalProtect pour détecter les logiciels malveillants
APK sur les périphériques Android gérés. Pour activer la détection de logiciel malveillant à utiliser avec le
Gestionnaire de sécurité mobile GlobalProtect, vous devez acheter un abonnement WildFire qui correspond
à la capacité de votre licence de Gestionnaire de sécurité mobile GlobalProtect.

À propos des Licences GlobalProtect Vue d'ensemble de GlobalProtect
Reportez-vous à la section Activer les licences pour plus d'informations sur l'installation de licences sur le
pare-feu. Reportez-vous à la section Activer/Récupérer les licences pour plus d'informations sur l'installation
de licences sur le Gestionnaire de sécurité mobile.

Configurer l'infrastructure GlobalProtect
Pour que GlobalProtect fonctionne, vous devez configurer l'infrastructure de base qui permet à tous les
composants de communiquer. Au niveau de base, cela signifie configurer les interfaces et les zones auxquelles
les utilisateurs finaux de GlobalProtect se connecteront afin d'accéder au portail et aux passerelles. Comme les
composants GlobalProtect communiquent sur des canaux sécurisés, vous devez acquérir et déployer tous les
certificats SSL requis sur les différents composants. Les sections suivantes vous guident tout au long des étapes
de base pour configurer l'infrastructure GlobalProtect :
 Créer des interfaces et des zones pour GlobalProtect
 Activer SSL entre les composants GlobalProtect
 Configurer l'authentification de l'utilisateur GlobalProtect
 Activer le mappage des groupes
 Configurer les passerelles GlobalProtect
 Configurer le portail GlobalProtect
 Déployer le logiciel client GlobalProtect
 Déployer les paramètres de l'agent de façon transparente
 Utiliser l'application iOS GlobalProtect avec un MDM indépendant
 Référence : Fonctions cryptographiques de l'agent GlobalProtect

Créer des interfaces et des zones pour GlobalProtect Configurer l'infrastructure GlobalProtect
Créer des interfaces et des zones pour GlobalProtect

Vous devez configurer les interfaces et les zones suivantes pour votre infrastructure GlobalProtect :
 Portail GlobalProtect : Exige une interface avec couche 3 ou retour de boucle pour que les clients GlobalProtect
s'y connectent. Si le portail et la passerelle se trouvent sur le même pare-feu, ils peuvent utiliser la même interface.
Le portail doit être dans une zone qui est accessible depuis l'extérieur de votre réseau, par exemple : non approuvée.
 Passerelles GlobalProtect : Les conditions d'interface et de zone pour la passerelle varient selon que vous
configurez une passerelle externe ou une passerelle interne de la manière suivante :
– Passerelles externes : Exige une interface avec couche 3 ou retour de boucle et une interface de tunnel
logique pour que le client s'y connecte pour établir un tunnel VPN. L'interface avec couche 3/retour de
boucle doit être dans une zone externe, telle que non approuvée. Soit l'interface de tunnel peut être dans la
même zone que l'interface connectée à vos ressources internes, par exemple de confiance, soit, pour
davantage de sécurité et une meilleure visibilité, vous pouvez créer une zone séparée, telle que corp-vpn. Si
vous créez une zone séparée pour votre interface de tunnel, vous devrez créer des politiques de sécurité pour
autoriser le trafic à circuler entre la zone VPN et la zone de confiance.
– Passerelles internes : Exige une interface avec couche 3 ou retour de boucle dans votre zone de confiance.
Vous pouvez aussi créer une interface de tunnel pour l'accès à vos passerelles internes, mais cela n'est pas
obligatoire.
Pour des astuces concernant l'utilisation d'une interface avec retour de boucle pour permettre
l'accès à GlobalProtect sur différents ports et adresses, consultez le document Can
GlobalProtect Portal Page be Configured to be Accessed on any Port?
Pour plus d'informations sur les portails et les passerelles, reportez-vous à la section À propos des composants
GlobalProtect.
Paramétrage des interfaces et des zones pour GlobalProtect
Étape 1 Configurez une interface avec 1. Sélectionnez Réseau > Interfaces > Ethernet ou Réseau >
couche 3 pour chaque portail et/ou Interfaces > Retour de boucle puis sélectionnez l'interface que
passerelle que vous envisagez de déployer. vous souhaitez configurer pour GlobalProtect. Dans cet exemple,
nous configurons Ethernet1/1 en tant qu'interface de portail.
Si la passerelle et le portail sont sur le
même pare-feu, vous pouvez utiliser 2. (Ethernet uniquement) Sélectionnez Couche3 dans la liste
une seule interface pour les deux. déroulante Type d'interface.
3. Dans l'onglet Config, sélectionnez la zone à laquelle l'interface de
Selon la procédure recommandée,
portail ou de passerelle appartient de la manière suivante :
utilisez des adresses IP statiques pour
le portail et la passerelle. • Placez les portails et les passerelles externes dans une zone non
approuvée pour l'accès par des hôtes à l'extérieur de votre réseau,
tel que l3-non approuvée.
• Placez les passerelles internes dans une zone interne, telle que
l3-de confiance.
• Si vous n'avez pas encore créé la zone, sélectionnez Nouvelle
zone dans la liste déroulante Zone de sécurité. Dans la boîte de
dialogue Zone, donnez un Nom à la nouvelle zone, puis cliquez
sur OK.
4. Dans la liste déroulante Routeur virtuel, sélectionnez Par défaut.
5. Pour assigner une adresse IP à l'interface, cliquez sur l'onglet IPv4,
puis sur Ajouter dans la section IP et saisissez l'adresse IP, ainsi que
le masque réseau à assigner à l'interface, par exemple :
208.80.56.100/24.
6. Pour enregistrer la configuration de l'interface, cliquez sur OK.

Configurer l'infrastructure GlobalProtect Créer des interfaces et des zones pour GlobalProtect
Paramétrage des interfaces et des zones pour GlobalProtect (suite)
Étape 2 Sur les pare-feu hébergeant les passerelles 1. Sélectionnez Réseau > Interfaces > Tunnel, puis cliquez sur
GlobalProtect, configurez l'interface de Ajouter.
tunnel logique qui terminera les tunnels 2. Dans le champ Nom de l'interface, spécifiez un suffixe numérique
VPN établis par les agents GlobalProtect. tel que .2.
Les adresses IP ne sont pas 3. Dans l'onglet Configuration, développez la liste déroulante Zone
obligatoires sur l'interface de tunnel de sécurité pour définir la zone comme suit :
sauf si vous exigez un routage • Pour utiliser votre zone approuvée comme point de terminaison
dynamique. En outre, l'attribution du tunnel, sélectionnez la zone dans la liste déroulante.
d'une adresse IP à l'interface de tunnel
peut être utile pour le dépannage des • (Recommandé) Pour créer une zone distincte pour le point de
problèmes de connectivité. terminaison du tunnel VPN, cliquez sur Nouvelle zone. Dans
la boîte de dialogue Zone, définissez un Nom pour la nouvelle
Veillez à activer User-ID dans la zone zone (par exemple vpn-corp), cochez la case Activer
dans laquelle les tunnels VPN se l'identification de l'utilisateur, puis cliquez sur OK.
terminent.
4. Dans la liste déroulante Routeur virtuel, sélectionnez Par défaut.
5. (Facultatif) Si vous souhaitez affecter une adresse IP à l'interface du
tunnel, sélectionnez l'onglet IPv4, cliquez sur Ajouter dans la
section IP, puis saisissez l'adresse IP, ainsi que le masque réseau à
affecter à l'interface, par exemple : 10.31.32.1/32.
6. Pour enregistrer la configuration de l'interface, cliquez sur OK.
Étape 3 Si vous avez créé une zone distinct pour la Par exemple, la règle de politique suivante active le trafic entre la zone
terminaison du tunnel de connexions corp-vpn et la zone l3-de confiance.
VPN, créez une politique de sécurité afin
d'autoriser le flux de trafic entre la zone
VPN et votre zone approuvée.
Étape 4 Enregistrez la configuration. Cliquez sur Valider.

Si vous avez activé l'accès à la
gestion sur l'interface hébergeant le
portail, vous devez ajouter : 4443 à l'URL.
Par exemple, pour accéder à l'interface
Web pour le portail configuré dans cet
exemple, vous devrez saisir l'URL
suivante :
https://208.80.56.100:4443
Ou, si vous avez configuré un dossier

DNS pour le nom de domaine complet
(FQDN), tel que gp.acme.com, vous
devrez saisir :
https://gp.acme.com:4443

Activer SSL entre les composants GlobalProtect Configurer l'infrastructure GlobalProtect
Activer SSL entre les composants GlobalProtect

Toutes les interactions entre les composants GlobalProtect se produisent sur une connexion SSL. C'est
pourquoi vous devez générer et/ou installer les certificats requis avant de configurer chaque composant pour
que vous puissiez référencer les certificats appropriés dans la configuration. Les sections suivantes décrivent les
méthodes de déploiement de certificat prises en charge, les descriptions et les meilleures pratiques relatives aux
divers certificats GlobalProtect, et fournissent des instructions sur la génération et le déploiement des certificats
nécessaires :
 À propos du déploiement de certificats GlobalProtect
 Procédures recommandées pour les certificats GlobalProtect
 Déployer les certificats de serveur sur les composants GlobalProtect
À propos du déploiement de certificats GlobalProtect
Il existe trois approches de base pour Déployer les certificats de serveur sur les composants GlobalProtect :
 (Recommandé) Combinaison de certificats indépendants et de certificats auto-signés : Comme les

clients finaux accèderont au portail avant la configuration de GlobalProtect, le client doit faire confiance au
certificat pour établir une connexion HTTPS. Et, si vous utilisez le Gestionnaire de sécurité mobile
GlobalProtect, il en va de même pour les périphériques mobiles ayant accès au Gestionnaire de sécurité
mobile pour le recrutement. C'est pourquoi, l'approche recommandée consiste à acheter le certificat de
serveur du portail et le certificat de serveur pour l'interface d'archivage de périphérique du Gestionnaire de
sécurité mobile auprès d'une AC de confiance à laquelle la plupart des clients finaux font déjà confiance afin
de prévenir les erreurs de certificat. Dès que le client est connecté, le portail peut pousser tous les autres
certificats requis (par exemple, le certificat AC racine pour la passerelle) au client final.
 Autorité de certification d'entreprise : Si vous avez déjà votre propre autorité de certification d'entreprise,
vous pouvez utiliser cette AC interne pour générer des certificats pour chacun des composants
GlobalProtect puis les importer sur les pare-feu hébergeant votre portail et vos passerelles et sur le
Gestionnaire de sécurité mobile. Dans ce cas, vous devez aussi veiller à ce que les systèmes des utilisateurs
finaux/périphériques mobiles fassent confiance au certificat AC racine utilisé pour générer les certificats
pour les services GlobalProtect auxquels ils doivent se connecter.
 Certificats auto-signés : Vous pouvez générer un certificat AC auto-signé sur le portail et l'utiliser pour
générer des certificats pour tous les composants GlobalProtect. Toutefois, cette solution est moins sécurisée
que les autres options et par conséquent, elle n'est pas recommandée. Si vous choisissez néanmoins cette
option, les utilisateurs finaux verront une erreur de certificat la première fois qu'ils se connecteront au
portail. Pour empêcher l'affichage de cette erreur, vous pouvez déployer le certificat AC racine auto-signé
sur tous les systèmes des utilisateurs finaux manuellement ou avoir recours à certaines fonctions de
déploiement centralisé, par exemple une stratégie de groupe Active Directory Group Policy Object (GPO).

Configurer l'infrastructure GlobalProtect Activer SSL entre les composants GlobalProtect
Procédures recommandées pour les certificats GlobalProtect
Le tableau suivant résume les certificats SSL dont vous aurez besoin, selon les fonctions que vous envisagez
d'utiliser :
Tableau : Conditions exigées pour les certificats GlobalProtect
Certificat Usage Génération de processus/procédures recommandées
Certificat de l'autorité Utilisé pour signer les certificats Si vous envisagez d'utiliser les certificats auto-signés, selon la
de certification générés pour les composants procédure recommandée, vous devez générer un certificat AC
GlobalProtect. sur le portail puis utiliser ce certificat pour générer les certificats
GlobalProtect requis.
Certificat du serveur de Autorise les agents/applications • Selon la procédure recommandée, utilisez un certificat généré
portail GlobalProtect à établir une par une autorité de certification indépendante reconnue. C'est
connexion HTTPS avec le l'option la plus sécurisée et elle garantit que les clients finaux
portail. pourront établir une relation de confiance avec le portail sans
Le champ Nom commun (CN) impliquer que vous déployiez le certificat AC racine.
et, le cas échéant, le champ • Si vous n'utilisez pas une autorité de certification publique
Autre nom de l'objet (SAN) du reconnue, vous devrez exporter le certificat AC racine utilisé
certificat doivent correspondre pour générer le certificat de serveur du portail sur tous les
exactement à l'adresse IP ou au systèmes clients qui exécuteront GlobalProtect pour
nom de domaine complet empêcher l'affichage sur les systèmes des utilisateurs finaux
(FQDN) de l'interface des avertissements de certificat durant la connexion initiale au
hébergeant le portail. portail.
• Si vous déployez une seule passerelle et un seul portail sur la
même interface/adresse IP pour l'accès VPN de base, vous
devez utiliser un seul certificat de serveur pour les deux
composants.
Certificat du serveur de Autorise les agents/applications • Chaque passerelle doit avoir son propre certificat de serveur.
passerelle GlobalProtect à établir une • Selon la procédure recommandée, vous devez générer un
connexion HTTPS avec la certificat AC sur le portail et utiliser ce certificat AC pour
passerelle. générer tous les certificats de passerelle.
Le champ Nom commun (CN)
• Le portail distribue les certificats AC racines de passerelles
et, le cas échéant, le champ
aux agents dans la configuration de client, pour que les
Autre nom de l'objet (SAN) du
certificats de passerelle n'aient pas besoin d'être générés par
certificat doivent correspondre
une AC publique.
exactement à l'adresse IP ou au
nom de domaine complet • Si vous ne déployez pas les certificats AC racines pour les
(FQDN) de l'interface sur passerelles GlobalProtect dans la configuration de client,
laquelle vous envisagez de l'agent/application ne vérifiera pas le certificat à la connexion,
configurer la passerelle. rendant ainsi la connexion vulnérable aux attaques de type
« intermédiaire ».
• Si vous déployez une seule passerelle et un seul portail sur la
même interface/adresse IP pour l'accès VPN de base, vous
devez utiliser un seul certificat de serveur pour les deux
composants. Selon la procédure recommandée, vous devez
utiliser un certificat généré par une autorité de certification
publique.

(Facultatif) Certificat Utilisé pour activer • Pour un déploiement simplifié des certificats clients,
client l'authentification mutuelle entre configurez le portail pour déployer le certificat client sur les
les agents GlobalProtect et les agents dès que l'ouverture de session est effectuée. Dans cette
passerelles/le portail. configuration, un seul certificat client est partagé par
En plus d'autoriser l'ensemble des agents GlobalProtect dotés de la même
l'authentification mutuelle en configuration ; le rôle de ce certificat est de garantir que seuls
établissant une session HTTPS les clients de votre organisation sont autorisés à se connecter.
entre le client et le portail/la • Vous pouvez utiliser d'autres mécanismes pour déployer des
passerelle, vous pouvez aussi certificats clients uniques sur chaque système client à utiliser
utiliser des certificats clients pour authentifier l'utilisateur final.
pour authentifier les utilisateurs
• Songez à tester votre configuration sans le certificat client
finaux.
d'abord, puis ajoutez le certificat client après avoir vérifié que
les autres paramètres de configuration sont corrects.
(Facultatif) Certificats Garantit que seules les machines Si vous envisagez d'utiliser la fonction de pré-connexion, vous
machines de confiance peuvent se devez utiliser votre propre infrastructure PKI pour déployer les
connecter à GlobalProtect. En certificats machines sur chaque système client avant d'activer
outre, les certificats machines l'accès à GlobalProtect. Pour plus d'informations, consultez la
sont obligatoires pour utiliser la section VPN d'accès à distance avec pré-ouverture de session.
méthode de pré-connexion, qui
autorise l'établissement des
tunnels VPN avant que
l'utilisateur ouvre une session.
Certificat(s) de serveur • Autorise les périphériques • Comme les périphériques mobiles doivent faire confiance au
du Gestionnaire de mobiles à établir des sessions Gestionnaire de sécurité mobile pour le recrutement, selon la
sécurité mobile HTTPS avec le Gestionnaire procédure recommandée, vous devez acheter un certificat
de sécurité mobile, pour le pour l'interface d'archivage de périphérique du Gestionnaire
recrutement et l'archivage. de sécurité mobile auprès d'une AC de confiance reconnue. Si
vous n'utilisez pas une AC de confiance pour générer des
• Autorise les passerelles à se
certificats pour l'interface d'archivage de périphérique du
connecter au Gestionnaire de
Gestionnaire de sécurité mobile, vous devrez déployer le
sécurité mobile pour
certificat AC racine du Gestionnaire de sécurité mobile sur les
récupérer les rapports HIP
périphériques mobiles via la configuration du portail (pour
pour les périphériques
autoriser le périphérique à établir une connexion SSL avec le
mobiles gérés.
Gestionnaire de sécurité mobile pour le recrutement).
• Le champ Nom commun
• Si l'interface d'archivage de périphérique est sur une interface
(CN) et, le cas échéant, le
différente de l'interface sur laquelle les passerelles se
champ Autre nom de l'objet
connectent pour la récupération HIP, vous devrez séparer les
(SAN) du certificat doivent
certificats de serveur pour chaque interface.
correspondre exactement à
l'adresse IP ou au nom de Pour des instructions détaillées, reportez-vous à la section
domaine complet (FQDN) de Configurer le Gestionnaire de sécurité mobile GlobalProtect.
l'interface.

Certificat du Autorise le Gestionnaire de • Vous devez générer la demande de signature de certificat

Gestionnaire de sécurité mobile à envoyer des (CSR) pour ce certificat sur le Gestionnaire de sécurité mobile
sécurité mobile pour le notifications poussées sur les puis l'envoyer au portail Apple iOS Provisioning Portal
service de notifications périphériques iOS gérés. (ouverture de session obligatoire) pour la signature.
poussées Apple Push
Notification (APN) • Apple prend en charge uniquement les demandes de
signature de certificat signées utilisant le recueil de messages
SHA 1 et des clés 2048 bits.
Pour plus d'informations sur cette configuration, reportez-vous
à la section Configurer le Gestionnaire de sécurité mobile pour
l'archivage de périphérique.
Certificats d'identité Autorise le Gestionnaire de Le Gestionnaire de sécurité mobile gère le déploiement des
sécurité mobile et certificats d'identité pour les périphériques qu'il gère. Pour plus
facultativement la passerelle à d'informations sur cette configuration, reportez-vous à la
établir des sessions SSL par section Configurer le Gestionnaire de sécurité mobile pour le
authentification mutuelle avec recrutement.
les périphériques mobiles.
Pour plus de détails sur les types de clés utilisées pour établir une communication sécurisée entre l'agent
GlobalProtect et les portails et passerelles, reportez-vous à la section Référence : Fonctions cryptographiques
de l'agent GlobalProtect.
Déployer les certificats de serveur sur les composants GlobalProtect
Le flux de travail suivant décrit les étapes de la procédure recommandée pour déployer les certificats SSL sur les
composants GlobalProtect :
Déploiement de certificats serveur SSL sur les composants du LSVPN GlobalProtect
• Importez un certificat de serveur depuis une AC Pour importer un certificat et une clé privée d'une AC publique, vérifiez
indépendante reconnue. que le certificat et les fichiers de clé sont accessibles depuis votre système
de gestion et que vous avez la phase secrète pour décoder la clé privée,
Utilisez un certificat de serveur d'une une AC
puis exécutez les étapes suivantes :
indépendante reconnue pour le portail
GlobalProtect et le Gestionnaire de sécurité 1. Sélectionnez Périphérique > Gestion des certificats >
mobile. Cela garantit que les clients finaux Certificats > Certificats de périphérique.
pourront établir une connexion HTTPS sans 2. Cliquez sur Importer et saisissez un Nom de certificat.
recevoir d'avertissements de certificat. 3. Saisissez le chemin et le nom du Fichier du certificat envoyé par
Le champ Nom commun (CN) et, le cas l'AC, ou Naviguez pour trouver le fichier.
échéant, le champ Autre nom de l'objet 4. Sélectionnez Clé privée et certificat cryptés (PKCS12) comme
(SAN) du certificat doivent correspondre Format du fichier.
exactement à l'adresse IP ou au nom de 5. Cochez la case Importer clé privée.
domaine complet (FQDN) de l'interface sur
6. Saisissez le chemin et le nom du fichier PKCS#12 dans le champ
laquelle vous envisagez de configurer le
Fichier de clé ou Naviguez pour le trouver.
portail et/ou l'interface d'archivage de
périphérique sur le Gestionnaire de sécurité 7. Saisissez à deux reprises la Phase secrète qui a été utilisée pour
mobile. Les correspondances Wildcard sont coder la clé privée puis cliquez sur OK pour importer le certificat et
prises en charge. la clé.

Déploiement de certificats serveur SSL sur les composants du LSVPN GlobalProtect (suite)
• Créer le certificat AC racine pour générer les Pour utiliser des certificats auto-signés, vous devez tout d'abord créer le
certificats AC auto-signés pour les composants certificat AC racine qui sera utilisé pour signer les certificats des
GlobalProtect. composants GlobalProtect comme suit :
Créez le certificat AC racine sur le portail et 1. Pour créer un certificat AC racine, sélectionnez Périphérique >
utilisez-le pour générer les certificats de Gestion des certificats > Certificats > Certificats de
serveur pour les passerelles et facultativement périphérique, puis cliquez sur Générer.
pour les clients. 2. Saisissez un nom de certificat, tel que GlobalProtect_CA. Le nom
du certificat ne peut pas contenir d'espaces.
3. Ne sélectionnez pas de valeur dans le champ Signé par (ceci
indique qu'il est auto-signé).
4. Cochez la case Autorité de certification, puis cliquez sur OK pour
générer le certificat.
• Générez un certificat de serveur auto-signé. 1. Sélectionnez Périphérique > Gestion des certificats >
Certificats > Certificats de périphérique, puis cliquez sur
Utilisez l'AC racine sur le portail pour
Générer.
générer les certificats de serveur pour
chaque passerelle que vous envisagez de 2. Saisissez un Nom de certificat. Le nom du certificat ne doit pas
déployer et facultativement pour l'interface contenir d'espace.
de gestion du Gestionnaire de sécurité 3. Dans le champ Nom commun, saisissez le nom de domaine
mobile (s'il s'agit de l'interface que les complet, FQDN (recommandé) ou l'adresse IP de l'interface sur
passerelles utiliseront pour récupérer les laquelle vous envisagez de configurer la passerelle.
rapports HIP). 4. Dans le champ Signé par, sélectionnez le GlobalProtect_CA
Dans les certificats de serveur de passerelle, créé précédemment.
les valeurs dans le champ Nom commun
5. Dans la section Attributs du certificat, cliquez sur Ajouter et
(CN) et le champ Autre nom de l'objet
définissez les attributs afin de différencier de manière unique la
(SAN) du certificat doivent être identiques
passerelle. N'oubliez pas que si vous ajoutez un attribut Nom
ou l'agent GlobalProtect détectera le
d'hôte (qui renseigne le champ Autre nom de l'objet (SAN) du
désaccord lorsqu'il contrôlera la chaîne du
certificat), il doit correspondre exactement à la valeur définie
certificat de confiance et ne validera pas le
pour le Nom commun.
certificat. Les certificats AC auto-signés
contiendront un champ SAN uniquement 6. Cliquez sur OK pour générer le certificat.
si vous ajoutez un attribut Nom de l'hôte au 7. Validez les modifications.
certificat.

Déploiement de certificats serveur SSL sur les composants du LSVPN GlobalProtect (suite)
• Déployez les certificats de serveur auto-signés. 1. Sur le portail, sélectionnez Périphérique > Gestion des
certificats > Certificat > Certificats de périphérique,
Meilleures pratiques :
sélectionnez le certificat de passerelle que vous souhaitez
• Exportez les certificats de serveur déployer, puis cliquez sur Exporter.
auto-signés générés par l'AC racine sur le
portail et importez-les sur les passerelles. 2. Sélectionnez Clé privée et certificat cryptés (PKCS12) dans la
liste déroulante Format du fichier.
• Veillez à générer un certificat serveur
3. Saisissez (à deux reprises) une Phase secrète pour coder la clé
unique pour chaque passerelle.
privée puis cliquez sur OK pour télécharger le fichier PKCS12
• Lors de l'utilisation des certificats AC sur votre ordinateur.
auto-signés, vous devez distribuer le 4. Sur la passerelle, sélectionnez Périphérique > Gestion des
certificat AC racine aux clients finaux dans certificats > Certificats > Certificats de périphérique, puis
les configurations de client du portail. cliquez sur Importer.
5. Saisissez un Nom de certificat.
6. Saisissez le chemin et nommez le Fichier du certificat que vous
venez télécharger du portail, ou cliquez sur Parcourir pour
rechercher le fichier.
7. Sélectionnez Clé privée et certificat cryptés (PKCS12) comme
Format du fichier.
8. Saisissez le chemin et nommez le fichier PKCS12 dans le champ
Fichier de clé ou cliquez sur Parcourir pour le rechercher.
9. Saisissez et confirmez la Phrase secrète que vous avez utilisée
pour crypter la clé privée lors de son exportation du portail, puis
cliquez sur OK pour importer le certificat et la clé.
10. Validez les modifications de la passerelle.

Configurer l'authentification de l'utilisateur GlobalProtect Configurer l'infrastructure GlobalProtect
Configurer l'authentification de l'utilisateur GlobalProtect

Le portail et la passerelle exigent les informations d'identification pour l'authentification de l'utilisateur final
avant que l'agent/l'application GlobalProtect ne soit autorisé(e) à accéder aux ressources GlobalProtect.
Comme les configurations de portail et de passerelle exigent que vous indiquiez les mécanismes
d'authentification qui doivent être utilisés, vous devez configurer l'authentification avant de continuer la
configuration du portail et de la passerelle. Les sections suivantes décrivent les mécanismes d'authentification
pris en charge et les procédures pour les configurer :
 À propos de l'authentification de l'utilisateur GlobalProtect
 Configurer l'authentification externe
 Configurer l'authentification du certificat client
 Configurer l'authentification à deux facteurs
 Configurer l'authentification pour les clients strongSwan Ubuntu et CentOS
À propos de l'authentification de l'utilisateur GlobalProtect
La première fois qu'un agent ou une application GlobalProtect se connecte au portail, l'utilisateur est invité à
s'authentifier sur le portail afin de télécharger la configuration GlobalProtect, qui inclut la liste des passerelles
auxquelles l'agent peut se connecter, l'emplacement du Gestionnaire de sécurité mobile, et, facultativement un
certificat client pour la connexion aux passerelles. Dès la fin du téléchargement et de la mise en cache de la
configuration, l'agent/l'application tente de se connecter à l'une des passerelles indiquées dans la configuration
et/ou au Gestionnaire de sécurité mobile indiqué. Comme ces composants donnent accès à vos ressources et
paramètres réseau, ils exigent aussi que l'utilisateur final s'authentifie.
Le niveau de sécurité requis sur le portail, le Gestionnaire de sécurité mobile, et les passerelles (et même de
passerelle à passerelle) varie en fonction de la sensibilité des ressources que chacun protège ; GlobalProtect
fournit une infrastructure d'authentification flexible qui vous autorise à choisir le profil d'authentification et/ou
le profil de certificat qui est approprié sur chaque composant.
Les sections suivantes décrivent les fonctions d'authentification disponibles sur le portail et la
passerelle. Pour plus d'informations sur la configuration de l'authentification sur le Gestionnaire
de sécurité mobile, reportez-vous à la section Configurer le Gestionnaire de sécurité mobile pour
le recrutement.

Configurer l'infrastructure GlobalProtect Configurer l'authentification de l'utilisateur GlobalProtect
Méthodes d'authentification GlobalProtect prises en charge
Méthode Description
d'authentification
Authentification locale Les informations d'identification du compte utilisateur et les mécanismes d'authentification se
trouvent tous localement sur le pare-feu. Ce mécanisme d'authentification n'est pas évolutif parce
qu'il exige un compte pour chaque utilisateur final GlobalProtect et est, par conséquent,
uniquement recommandé dans les très petits déploiements.
Authentification externe Les fonctions d'authentification de l'utilisateur sont transférées sur un service LDAP, Kerberos, ou
RADIUS existant (incluant le support pour les mécanismes d'authentification basée sur jeton à
deux facteurs tels que l'authentification du mot de passe à usage unique (OTP)). Pour activer
l'authentification externe, vous devez d'abord créer un profil de serveur qui définit les paramètres
d'accès pour le service d'authentification externe puis créer un profil d'authentification pour le
référencement du profil de serveur. Vous référencez ensuite le profil d'authentification dans les
configurations du portail, de la passerelle, et/ou du Gestionnaire de sécurité mobile. Vous pouvez
utiliser des profils d'authentification différents pour chaque composant GlobalProtect.
Reportez-vous à la section Configurer l'authentification externe pour obtenir des instructions
sur cette configuration. Reportez-vous à la section VPN d'accès à distance (Profil
d'authentification) pour un exemple de configuration.
Authentification du certificat Le portail ou la passerelle utilise un certificat client pour obtenir le nom d'utilisateur et authentifier
du client l'utilisateur avant d'accorder l'accès au système. Avec ce type d'authentification, vous devez générer
un certificat client pour chaque utilisateur final ; les certificats que vous générez doivent contenir
le nom d'utilisateur dans l'un des champs du certificat, tels que le champ Nom de l'objet. Si un
profil de certificat est configuré sur le portail GlobalProtect, le client doit présenter un certificat
pour se connecter. Cela signifie que les certificats doivent être pré-déployés sur les clients finaux
avant leur connexion initiale au portail.
En outre, le profil de certificat indique le champ du certificat à partir duquel le nom d'utilisateur
peut être obtenu. Si le profil de certificat indique Sujet dans le champ Nom d'utilisateur, le certificat
présenté par le client doit contenir un nom commun pour la connexion. Si le profil de certificat
indique Sujet-Alt avec un Email ou un nom principal (Principal Name) pour le champ Nom d'uti-
lisateur, le certificat présenté par le client doit contenir les champs correspondants, qui seront
utilisés pour le nom d'utilisateur lorsque l'agent GlobalProtect s'authentifie sur le portail ou la pas-
serelle.
GlobalProtect prend aussi en charge la carte d'accès commun (CAC) et l'authentification basée sur
carte à puce intelligente, qui reposent sur un profil de certificat. Dans ce cas, le profil de certificat
doit contenir le certificat AC racine qui a généré le certificat dans la carte à puce intelligente/CAC.
Si vous utilisez l'authentification du certificat client, vous ne devez pas configurer un certificat
client dans la configuration du portail car le système client le fournit lorsque l'utilisateur final se
connecte. Pour un exemple de procédure permettant de configurer l'authentification du certificat
client, reportez-vous à la section VPN d'accès à distance (profil de certificat).

Méthode Description
d'authentification
Authentification à deux Vous pouvez activer l'authentification à deux facteurs en configurant à la fois un profil de certificat
facteurs et un profil d'authentification et en les ajoutant à la configuration du portail et/ou de la passerelle.
N'oubliez pas qu'avec l'authentification à deux facteurs, le client doit réussir à s'authentifier via les
deux mécanismes afin d'obtenir l'accès au système.
En outre, si le profil de certificat indique un champ Nom d'utilisateur à partir duquel il est possible
d'obtenir le nom d'utilisateur dans le certificat, le nom d'utilisateur sera automatiquement utilisé
pour l'authentification sur le service d'authentification externe indiqué dans le profil d'authentifi-
cation. Par exemple, si le champ Nom d'utilisateur dans le profil de certificat est défini sur Sujet,
la valeur dans le champ Nom commun du certificat sera utilisée par défaut pour le nom d'utilisa-
teur lorsque l'utilisateur tentera de s'authentifier sur le serveur d'authentification. Si vous ne
souhaitez pas forcer les utilisateurs à s'authentifier avec un nom d'utilisateur provenant du certifi-
cat, vérifiez que le profil de certificat est défini sur Aucun pour le champ Nom d'utilisateur. Re-
portez-vous à la section VPN d'accès à distance avec l'authentification à deux facteurs pour un
exemple de configuration.
Comment l'agent sait-il quelles sont les informations d'identification qu'il doit fournir au
portail et à la passerelle ?
Par défaut, l'agent GlobalProtect tente d'utiliser les mêmes informations d'identification d'ouverture de session
pour la passerelle qui est utilisée pour la connexion au portail. Dans le cas le plus simple, où la passerelle et le
portail utilisent les mêmes profils d'authentification et/ou profil de certificat, l'agent se connectera à la passerelle
de façon transparente. Toutefois, si le portail et la passerelle exigent des informations d'identification différentes
(telles que des mots de passe à usage unique (OTP) qui sont uniques), ce comportement par défaut devrait
entraîner des retards dans la connexion à la passerelle parce que la passerelle ne devrait pas inviter l'utilisateur à
s'authentifier avant d'avoir essayé de s'authentifier, mais sans succès, en utilisant les informations d'identification
du portail fournies par l'agent.
Vous disposez de deux options pour modifier le comportement d'authentification de l'agent par défaut sur la
base d'une configuration par client :
 Authentification sur le portail par témoin de connexion (Cookie) : L'agent utilise un témoin de
connexion codé pour s'authentifier sur le portail lors de l'actualisation d'une configuration qui a déjà été mise
en cache (l'utilisateur devra toujours obligatoirement s'authentifier pour le téléchargement de la
configuration initiale et dès l'expiration du témoin de connexion). Cela simplifie le processus
d'authentification pour les utilisateurs finaux parce qu'ils n'auront plus besoin de se connecter au portail ainsi
qu'à la passerelle successivement ou de saisir plusieurs mots de passe à usage unique pour l'authentification
sur chacun. Cela permet également d'utiliser un mot de passe temporaire afin de réactiver l'accès VPN après
l'expiration du mot de passe.
 Désactiver le transfert des informations d'identification vers certaines ou toutes les passerelles :
L'agent ne tentera pas d'utiliser ses informations d'identification de portail pour l'ouverture de session sur la
passerelle, autorisant la passerelle à immédiatement demander son propre jeu d'informations d'identification.
Cette option accélère le processus d'authentification lorsque le portail et la passerelle exigent des
informations d'identification différentes (soit des mots de passe à usage unique différents soit des
informations d'identification d'ouverture de session différentes, entièrement). Ou, vous pouvez choisir
d'utiliser un mot de passe différent sur les passerelles manuelles uniquement. Grâce à cette option, l'agent
transfèrera les informations d'identification vers des passerelles automatiques mais pas vers des passerelles
manuelles, vous autorisant à avoir la même sécurité sur vos portails et passerelles automatiques, tout en
nécessitant un second facteur Mot de passe à usage unique ou un mot de passe différent pour l'accès aux
passerelles qui fournissent l'accès à vos ressources les plus sensibles.
Pour un exemple d'utilisation de ces options, reportez-vous à la section Activer l'authentification à deux facteurs
basée sur les mots de passe à usage unique (OTP).

Configurer l'authentification externe
Le flux de travail suivant décrit la configuration du portail et/ou de la passerelle pour authentifier les utilisateurs
sur un service d'authentification existant. GlobalProtect prend en charge l'authentification externe par LDAP,
Kerberos, ou RADIUS.
GlobalProtect prend aussi en charge l'authentification locale. Pour utiliser cette méthode
d'authentification, créez une base de données d'utilisateurs locaux qui contient les utilisateurs et
les groupes que vous souhaitez autoriser dans le VPN (Périphérique > Base de données
d'utilisateurs locaux) puis référencez-la dans le profil d'authentification.
Pour plus d'informations, reportez-vous à la section Méthodes d'authentification GlobalProtect prises en charge
ou regardez une vidéo.
Configurer l'authentification de l'utilisateur externe
Étape 1 Créez un profil de serveur. 1. Sélectionnez Périphérique > Profils de serveur, puis
sélectionnez le type de profil (LDAP, Kerberos ou RADIUS).
Le profil de serveur indique au pare-feu
comment se connecter à un service 2. Cliquez sur Ajouter et saisissez un Nom pour le profil, par
d'authentification externe et accéder aux exemple GP-User-Auth.
informations d'identification 3. (LDAP uniquement) Sélectionnez le Type de serveur LDAP
d'authentification pour vos utilisateurs. auquel vous vous connectez.
Si vous utilisez LDAP pour vous 4. Cliquez sur Ajouter dans la section Serveurs, puis fournissez les
connecter à Active Directory (AD), informations nécessaires pour se connecter au service
vous devez créer un profil de d'authentification, notamment le Nom, l'Adresse IP (ou nom de
serveur LDAP distinct pour chaque domaine complet, FQDN) et le Port du serveur.
domaine AD. 5. (RADIUS et LDAP uniquement) Définissez des paramètres
permettant au pare-feu de s'authentifier auprès du service
d'authentification comme suit :
• RADIUS : saisissez le Secret partagée lors de l'ajout de
l'entrée de serveur.
• LDAP : saisissez le Nom distinctif Bind et le Mot de passe
Bind.
6. (LDAP et Kerberos uniquement) Indiquez l'emplacement de la
recherche pour les utilisateurs dans le service d'annuaires :
• LDAP : le nom distinctif (DN) Base indique où
l'arborescence LDAP commence à rechercher des utilisateurs
et des groupes. Ce champ doit être automatiquement
renseigné lorsque vous saisissez l'adresse et le port du
serveur. Si ce n'est pas le cas, vérifiez l'itinéraire de service en
direction du serveur LDAP.
• Kerberos : saisissez le nom de la Zone Kerberos.
7. Indiquez le nom du Domaine (sans points, par exemple acme, et
non acme.com). Cette valeur sera annexée au nom d'utilisateur
dans l'adresse IP pour les mappages de nom d'utilisateur pour
les ID utilisateurs.
8. Cliquez sur OK pour enregistrer le profil de serveur.

Configurer l'authentification de l'utilisateur externe (suite)
Étape 2 Créez un profil d'authentification. 1. Sélectionnez Périphérique > Profil d'authentification puis
cliquez sur Ajouter un nouveau profil.
Le profil d'authentification indique le
profil de serveur à utiliser pour 2. Saisissez un Nom pour le profil puis sélectionnez le type
authentifier les utilisateurs. Vous pouvez d'authentification (LDAP, Kerberos, ou RADIUS).
associer un profil d'authentification à une 3. Sélectionnez le Profil de serveur que vous avez créé à l'Étape 1.
configuration de portail ou de passerelle. 4. (AD LDAP) Saisissez sAMAccountName comme Attribut de
Meilleures pratiques : connexion.
•Pour permettre aux utilisateurs de 5. (LDAP) Définissez l'Avertissement d'expiration du mot de
se connecter et de modifier leur passe, qui indique le nombre de jours avant l'expiration du mot
propre mot de passe expiré sans de passe auquel les utilisateurs sont informés. Par défaut, les
l'intervention d'un administrateur, utilisateurs sont informés sept jours avant l'expiration du mot de
utilisez la méthode de connexion passe. Étant donné que les utilisateurs doivent modifier leur mot
avec pré-ouverture de session. de passe avant qu'ils n'arrive à expiration pour garantir un accès
Reportez-vous à la section VPN permanent au VPN, veillez à indiquer une période de
d'accès à distance avec notification appropriée à votre parc d'utilisateurs.
pré-ouverture de session pour plus 6. Cliquez sur OK.
de détails.
•Si les utilisateurs autorisent
l'expiration de leur mot de passe,
vous pouvez affecter un mot de
passe LDAP temporaire afin de leur
permettre de se connecter au VPN.
Dans ce cas, le mot de passe
temporaire peut être utilisé pour
l'authentification sur le portail, mais
la connexion de la passerelle peut
échouer car le même mot de passe
temporaire ne peut pas être
réutilisé. Pour éviter cela, définissez
le Modificateur d'authentification
dans la configuration du portail
(Réseau > GlobalProtect > Portail)
sur Authentification basée sur
témoin de connexion pour
l'actualisation de la configuration
pour permettre à l'agent d'utiliser
un témoin de connexion pour
s'authentifier sur le portail et le mot
de passe temporaire pour
s'authentifier sur la passerelle.
Étape 3 Enregistrez la configuration. Cliquez sur Valider

Configurer l'authentification du certificat client
Avec l'authentification du certificat client, l'agent/l'application doit présenter un certificat client pour se
connecter au portail et/ou à la passerelle GlobalProtect. Le flux de travail suivant décrit comment paramétrer
cette configuration. Pour plus d'informations, consultez la section À propos de l'authentification de l'utilisateur
GlobalProtect. Pour un exemple de configuration, reportez-vous à la section VPN d'accès à distance (profil de
certificat).
Configurer l'authentification du certificat client
Étape 1 Générez des certificats clients sur les Pour générer des certificats uniques pour des clients individuels ou
machines des utilisateurs GlobalProtect. des machines, utilisez votre AC d'entreprise ou une AC publique.
Toutefois, si vous souhaitez utiliser des certificats clients pour valider
La méthode pour générer des certificats
le fait que l'utilisateur appartient à votre organisation, générez un
clients dépend de votre utilisation de
certificat client auto-signé de la manière suivante :
l'authentification du client :
1. Créer le certificat AC racine pour générer les certificats AC
• Pour authentifier les utilisateurs auto-signés pour les composants GlobalProtect.
individuels : Vous devez générer un
2. Sélectionnez Périphérique > Gestion des certificats >
certificat client unique pour chaque
utilisateur GlobalProtect et les
Générer.
déployer sur les systèmes clients avant
d'activer GlobalProtect. 3. Saisissez un Nom de certificat. Le nom du certificat ne peut pas
• Pour valider le fait que le système contenir d'espaces.
client appartient à votre 4. Dans le champ Nom commun, saisissez un nom pour identifier
organisation : Utilisez votre propre ce certificat en tant que certificat d'agent, par exemple
infrastructure à clés publiques (PKI) GP_Windows_clients. Comme ce même certificat sera déployé
pour générer et distribuer les certificats sur tous les agents dotés de cette même configuration, il n'a pas
machines sur chaque système client besoin d'identifier de façon unique un utilisateur final ou un
(recommandé) ou générez un certificat système spécifique.
de machine auto-signé pour l'exporter. 5. (Facultatif) Dans la section Attributs de certificat, cliquez sur
Cette étape est obligatoire pour la Ajouter et définissez les attributs pour identifier les clients
pré-connexion. Cette option implique GlobalProtect comme appartenant à votre organisation si cela
que vous configuriez aussi un profil est requis dans le cadre de vos conditions de sécurité.
d'authentification afin d'authentifier
6. Dans le champ Signé par, sélectionnez votre AC racine.
l'utilisateur. Reportez-vous à la section
Authentification à deux facteurs. 7. Cliquez sur OK pour générer le certificat.
• Pour valider le fait qu'un utilisateur
appartient à votre organisation :
Dans ce cas, vous pouvez utiliser un
seul certificat client pour tous les
agents, ou générer des certificats
distincts à déployer avec une
configuration de client particulière.
Utilisez la procédure dans cette étape
pour générer des certificats clients
auto-signés à cet effet.

Configurer l'authentification du certificat client (suite)
Étape 2 Installez les certificats dans la boutique des Par exemple, pour installer un certificat sur un système Windows utilisant
certificats personnels sur les systèmes la Console de gestion Microsoft :
clients. 1. Depuis l'invite de commande, saisissez mmc pour lancer la console.
Si vous utilisez des certificats clients ou des 2. Sélectionnez Fichier > Ajouter/Supprimer le jeu d'outils
certificats machines uniques, chaque intégrable.
certificat doit être installé dans la boutique 3. Sélectionnez Certificats, cliquez sur Ajouter puis sélectionnez
des certificats personnels sur le système l'une des options suivantes, en fonction du type de certificat que
client avant la première connexion au vous importez :
portail/à la passerelle. Installez les certificats • Compte ordinateur : Sélectionnez cette option si vous
machines dans la boutique des certificats de importez un certificat machine.
l'ordinateur local sur Windows et dans
System Keychain sur Mac OS. Installez les • Mon compte utilisateur : Sélectionnez cette option si vous
certificats utilisateurs dans la boutique des importez un certificat utilisateur.
certificats des utilisateurs actuels sur
Windows et dans Personal Keychain sur
Mac OS.
4. Développez Certificats et sélectionnez Personnel puis dans la

colonne Actions, sélectionnez Personnel > Plus d'actions >
Toutes les tâches > Importer, et suivez les étapes dans la fenêtre
Assistant d'importation de certificat pour importer le fichier PKCS
que vous avez obtenu auprès de l'AC.
5. Naviguez jusqu'au fichier de certificat .p12 pour l'importer

(sélectionnez Échange d'informations personnelles pour le
type de fichier recherché par la navigation) et saisissez le Mot de
passe que vous avez utilisé pour coder la clé privée. Sélectionnez
Personnel pour la Boutique de certificats.

Configurer l'authentification du certificat client (suite)
Étape 3 Vérifiez que le certificat a été ajouté au Vérifiez que le certificat que vous venez d'installer est bien présent.
magasin de certificats personnels.
Étape 4 Importez le certificat AC racine utilisé 1. Téléchargez le certificat AC racine utilisé pour générer les
pour générer les certificats clients sur le certificats clients (au format Base64).
pare-feu. 2. Importez le certificat AC racine à partir de l'AC ayant généré les
Cette étape est obligatoire uniquement si certificats clients sur le pare-feu :
des certificats clients ont été générés par a. Sélectionnez Périphérique > Gestion des certificats >
une AC externe, telle qu'une AC publique Certificats > Certificats de périphérique, puis cliquez sur
ou une AC PKI d'entreprise. Si vous Importer.
utilisez des certificats auto-signés, l'AC
b. Saisissez un nom de certificat identifiant le certificat comme
racine a déjà été validée par le portail/la
étant votre certificat AC client.
passerelle comme AC de confiance.
c. Accédez au Fichier du certificat que vous avez téléchargé de
l'AC.
d. Sélectionnez Certificat codé en base-64 (PEM) comme
Format du fichier, puis cliquez sur OK.
e. Sélectionnez le certificat que vous venez d'importer dans
l'onglet Certificats de périphérique pour l'ouvrir.
f. Sélectionnez AC racine de confiance, puis cliquez sur OK.
Étape 5 Créez un profil de certificat client. 1. Sélectionnez Périphérique > Certificats > Gestion des
certificats > Profil de certificat, puis cliquez sur Ajouter pour
Si vous configurez le portail et/ou
saisir un nom de profil.
la passerelle pour l'authentification
à deux facteurs, le nom d'utilisateur 2. Sélectionnez une valeur pour le Champ Nom d'utilisateur pour
figurant sur le certificat client sera indiquer le champ dans le certificat qui contiendra les
utilisé comme nom d'utilisateur lors informations d'identité de l'utilisateur.
de l'authentification de l'utilisateur 3. Dans le champ Certificats de l'autorité de certification,
sur votre service d'authentification cliquez sur Ajouter, sélectionnez le certificat AC racine de
externe. Cela garantit que confiance que vous avez importé à l'Étape 4, puis cliquez sur
l'utilisateur qui ouvre une session OK.
est effectivement l'utilisateur pour
lequel le certificat a été généré.

Configurer l'authentification à deux facteurs
Si vous exigez une puissante authentification afin de protéger vos ressources sensibles et/ou de respecter les
conditions réglementaires, telles que PCI, SDX, ou HIPAA, configurez GlobalProtect pour utiliser un service
d'authentification qui utilise un schéma d'authentification à deux facteurs tel que des mots de passe à usage
unique (OTP), des jetons, des cartes à puce intelligentes, ou une combinaison de l'authentification externe et de
l'authentification du certificat client. Un schéma d'authentification à deux facteurs implique deux éléments : un
élément que l'utilisateur final connaît (tel qu'un numéro d'identification personnel (PIN) ou un mot de passe) et
un élément que l'utilisateur final possède (un jeton matériel ou logiciel /OTP, une carte à puce intelligente, ou
un certificat).
Les sections suivantes fournissent des exemples de la configuration de l'authentification à deux facteurs sur
GlobalProtect:
 Activer l'authentification à deux facteurs
 Activer l'authentification à deux facteurs basée sur les mots de passe à usage unique (OTP)
 Activer l'authentification à deux facteurs basée sur les cartes à puce intelligentes
Activer l'authentification à deux facteurs
Le flux de travail suivant décrit comment configurer l'authentification du client GlobalProtect exigeant que
l'utilisateur s'authentifie à la fois sur un profil de certificat et sur un profil d'authentification. L'utilisateur doit
réussir à s'authentifier en utilisant les deux méthodes pour se connecter au portail/à la passerelle. Pour plus
d'informations sur cette configuration, reportez-vous à la section VPN d'accès à distance avec l'authentification
à deux facteurs.

Activer l'authentification à deux facteurs
Étape 1 Créez un profil de serveur. 1. Sélectionnez Périphérique > Profils de serveur, puis
sélectionnez le type de profil (LDAP, Kerberos ou RADIUS).
comment se connecter à un service 2. Cliquez sur Ajouter et saisissez un Nom pour le profil, par
d'authentification externe et accéder aux exemple GP-User-Auth.
informations d'identification 3. (LDAP uniquement) Sélectionnez le Type de serveur LDAP
d'authentification pour vos utilisateurs. auquel vous vous connectez.
Si vous utilisez LDAP pour vous 4. Cliquez sur Ajouter dans la section Serveurs, puis fournissez les
connecter à Active Directory (AD), informations nécessaires pour se connecter au service
vous devez créer un profil de d'authentification, notamment le Nom, l'Adresse IP (ou nom de
serveur LDAP distinct pour chaque domaine complet, FQDN) et le Port du serveur.
domaine AD. 5. (RADIUS et LDAP uniquement) Définissez des paramètres
permettant au pare-feu de s'authentifier auprès du service
d'authentification comme suit :
• RADIUS : saisissez le Secret partagée lors de l'ajout de
l'entrée de serveur.
• LDAP : saisissez le Nom distinctif Bind et le Mot de passe
Bind.
6. (LDAP et Kerberos uniquement) Indiquez l'emplacement de la
recherche pour les utilisateurs dans le service d'annuaires :
• LDAP : le nom distinctif (DN) Base indique où
l'arborescence LDAP commence à rechercher des utilisateurs
et des groupes. Ce champ doit être automatiquement
renseigné lorsque vous saisissez l'adresse et le port du
serveur. Si ce n'est pas le cas, vérifiez l'itinéraire de service en
direction du serveur LDAP.
• Kerberos : saisissez le nom de la Zone Kerberos.
7. Indiquez le nom du Domaine (sans points, par exemple acme, et
non acme.com). Cette valeur sera annexée au nom d'utilisateur
dans l'adresse IP pour les mappages de nom d'utilisateur pour
les ID utilisateurs.
Étape 2 Créez un profil d'authentification 1. Sélectionnez Périphérique > Profil d'authentification puis
cliquez sur Ajouter un nouveau profil.
Le profil d'authentification indique le
profil de serveur à utiliser pour 2. Saisissez un Nom pour le profil puis sélectionnez le type
authentifier les utilisateurs. Vous pouvez d'authentification (LDAP, Kerberos, ou RADIUS).
associer un profil d'authentification à une 3. Sélectionnez le Profil de serveur que vous avez créé à l'Étape 1.
configuration de portail ou de passerelle. 4. (AD LDAP) Saisissez sAMAccountName comme Attribut de
connexion.
5. Cliquez sur OK.

Activer l'authentification à deux facteurs (suite)
Étape 3 Créer un profil de certificat client. 1. Sélectionnez Périphérique > Certificats > Gestion des
Si vous configurez le portail et/ou
saisir un nom de profil.
la passerelle pour l'authentification
à deux facteurs, si le certificat client 2. Sélectionnez une valeur pour le Champ Nom d'utilisateur :
contient un champ Nom • Si vous déployez le certificat client depuis le portail, laissez ce
d'utilisateur, la valeur de nom champ défini sur Aucun.
d'utilisateur figurant sur le certificat
• Si vous configurez un profil de certificat à utiliser avec la
sera utilisée comme nom
pré-connexion, laissez ce champ défini sur Aucun.
d'utilisateur lors de
l'authentification de l'utilisateur sur • Si vous utilisez le certificat client pour authentifier les
votre service d'authentification utilisateurs individuels (incluant les utilisateurs de carte à
externe. Cela garantit que puce intelligente), sélectionnez le champ du certificat qui
l'utilisateur qui ouvre une session contiendra les informations d'identité de l'utilisateur.
est effectivement l'utilisateur pour 3. Dans le champ Certificats AC, cliquez sur Ajouter, sélectionnez
lequel le certificat a été généré. le certificat AC racine de confiance que vous avez importé puis
cliquez sur OK.
Étape 4 (Facultatif) Générez des certificats clients 1. Utilisez votre PKI d'entreprise ou une AC publique pour
sur les machines des utilisateurs générer un certificat client unique pour chaque utilisateur
GlobalProtect. GlobalProtect.
2. Installez les certificats dans la boutique des certificats
personnels sur les systèmes clients.
Étape 5 Enregistrez la configuration Cliquez sur Valider

GlobalProtect.
Activer l'authentification à deux facteurs basée sur les mots de passe à usage unique (OTP)
Sur le pare-feu, le processus pour la configuration de l'accès à un service d'authentification à deux facteurs est
similaire à la configuration de tous les autres types d'authentification : créez un profil de serveur (généralement
sur un serveur RADIUS), ajoutez le profil de serveur à un profil d'authentification, puis référencez ce profil
d'authentification dans la configuration pour le périphérique qui mettra en œuvre l'authentification, dans ce cas,
le portail et/ou la passerelle GlobalProtect.
Par défaut, l'agent fournira les mêmes informations d'identification qu'il a utilisées pour ouvrir une session sur
le portail et la passerelle. Dans le cas de l'authentification basée sur le mot de passe à usage unique, ce
comportement provoquera initialement l'échec de l'authentification sur la passerelle et, compte tenu du retard
que cela cause pour inviter l'utilisateur à effectuer une ouverture de session, le mot de passe à usage unique de
l'utilisateur peut expirer. Pour empêcher cela, le portail autorise la modification de ce comportement sur la base
d'une configuration par client, soit en autorisant le portail à s'authentifier en utilisant un témoin de connexion
codé soit en empêchant l'agent d'utiliser les mêmes informations d'identification qu'il a utilisées pour le portail
sur la passerelle. Ces deux options résolvent ce problème en autorisant la passerelle à immédiatement demander
les informations d'identification appropriées.

Activer la prise en charge du mot de passe à usage unique
Étape 1 Configurez votre serveur RADIUS pour Pour obtenir des instructions spécifiques, consultez la
qu'il interagisse avec le pare-feu. documentation de votre serveur RADIUS. Dans la plupart des cas,
vous devrez configurer un agent d'authentification et une
Cette procédure présume que votre
configuration de client sur le serveur RADIUS pour activer la
service RADIUS est déjà configuré pour
communication entre le pare-feu et le serveur RADIUS. Vous
l'authentification basée sur le mot de
définirez aussi le secret partagé qui sera utilisé pour coder les sessions
passe à usage unique ou sur un jeton et
entre le pare-feu et le serveur RADIUS.
que les périphériques nécessaires (tels que
le jetons matériels) ont été déployés chez
les utilisateurs.
Étape 2 Sur le pare-feu qui agira comme votre 1. Sélectionnez Périphérique > Profils de serveur > RADIUS,
passerelle et/ou portail, créez un profil de cliquez sur Ajouter et saisissez un Nom pour le profil.
serveur RADIUS. 2. Saisissez le nom de Domaine RADIUS.
Recommandation : 3. Pour ajouter une entrée de serveur RADIUS, cliquez sur
Ajouter dans la section Serveurs puis saisissez les informations
Lors de la création du profil de
suivantes :
serveur RADIUS, saisissez
toujours un nom de domaine parce • Un nom descriptif pour identifier ce Serveur RADIUS.
que cette valeur sera utilisée • L'adresse IP du serveur RADIUS
comme domaine par défaut pour
• Le Secret partagé utilisé pour coder les sessions entre le
le mappage de l'ID utilisateur si les
pare-feu et le serveur RADIUS
utilisateurs n'en fournissent pas un
dès l'ouverture de session. • Le numéro du Port que le serveur RADIUS utilisera pour
l'écoute des demandes d'authentification (par défaut 1812)
4. Cliquez sur OK pour enregistrer le profil.
Étape 3 Créez un profil d'authentification. 1. Sélectionnez Périphérique > Profil d'authentification, cliquez
sur Ajouter, et saisissez un Nom pour le profil. Le nom du profil
d'authentification ne doit pas contenir d'espace.
2. Sélectionnez RADIUS dans la liste déroulante Authentification.
3. Sélectionnez le Profil de serveur que vous avez créé pour
accéder à votre serveur RADIUS.
4. Cliquez sur OK pour enregistrer le profil d'authentification.
Étape 4 Assignez le profil d'authentification au(x) 1. Sélectionnez Réseau > GlobalProtect > Passerelles ou
passerelle(s) et/ou portail GlobalProtect. Portails et sélectionnez la configuration (ou Ajoutez-en une).
Cette section décrit uniquement 2. Dans l'onglet Général (sur la passerelle) ou dans l'onglet
comment ajouter le profil Configuration du portail (sur le portail), sélectionnez le Profil
d'authentification à la configuration de la d'authentification que vous avez créé.
passerelle ou du portail. Pour obtenir des 3. Saisissez un Message d'authentification pour orienter les
informations sur la configuration de ces utilisateurs sur les informations d'identification
composants, reportez-vous à la section d'authentification à utiliser.
Configurer les passerelles GlobalProtect 4. Cliquez sur OK pour enregistrer la configuration.
et Configurer le portail GlobalProtect.

Activer la prise en charge du mot de passe à usage unique (suite)
Étape 5 (Facultatif) Modifiez le comportement 1. Sélectionnez Réseau > GlobalProtect > Passerelles ou
d'authentification par défaut sur le portail. Portails et sélectionnez la configuration (ou Ajoutez-en une).
Cette section décrit uniquement 2. Cliquez sur l'onglet Configuration de client puis sélectionnez
comment modifier le comportement ou Ajoutez une configuration de client.
d'authentification du portail. Pour plus 3. Dans l'onglet Général, sélectionnez l'une des valeurs suivantes
d'informations, consultez la section dans le champ Modificateur d'authentification :
Définir les configurations de client • Authentification basée sur témoin de connexion pour
GlobalProtect. l'actualisation de la configuration : Autorise le portail à
utiliser un témoin de connexion codé pour authentifier les
utilisateurs pour qu'ils ne soient pas obligés de saisir plusieurs
mots de passe à usage unique ou informations
d'identification.
• Mot de passe différent pour la passerelle externe :
Empêche l'agent de transférer les informations
d'identification de l'utilisateur qu'il a utilisées pour
l'authentification du portail vers la passerelle afin d'empêcher
les échecs d'authentification par le mot de passe à usage
unique.
4. Cliquez deux fois sur OK pour enregistrer la configuration.
Étape 7 Vérifiez la configuration. Depuis un système client exécutant l'agent GlobalProtect, essayez de
vous connecter à une passerelle ou un portail sur lesquels vous avez
Cette étape présume que vos passerelles et
activé l'authentification par le mot de passe à usage unique. Vous
portails sont déjà configurés. Pour obtenir
devez voir deux messages de commande similaires aux suivants
des informations sur la configuration de
s'afficher :
ces composants, reportez-vous à la
section Configurer les passerelles Le premier vous invitera à fournir votre numéro d'identification
GlobalProtect et Configurer le portail personnel (PIN) (soit un PIN utilisateur soit un PIN généré par le
GlobalProtect. système) :
Le second message vous invitera à fournir votre jeton ou mot de

passe à usage unique :

Activer l'authentification à deux facteurs basée sur les cartes à puce intelligentes
Si vous souhaitez autoriser vos utilisateurs finaux à s'authentifier par une carte à puce intelligente ou une carte
d'accès commun (CAC), vous devez importer le certificat AC racine qui a généré les certificats figurant sur la
CAC/carte à puce intelligente de l'utilisateur final sur le portail/la passerelle. Vous pouvez ensuite créer un profil
de certificat qui inclut cette AC racine et l'appliquer à vos configurations de portail et/ou de passerelle pour
activer l'utilisation de la carte à puce intelligente dans le processus d'authentification.
Activer l'authentification par la carte à puce intelligente
Étape 1 Configurez votre infrastructure de carte à Pour obtenir des instructions spécifiques, consultez la
puce intelligente. documentation du logiciel du fournisseur de l'authentification de
l'utilisateur. Dans la plupart des cas, la configuration de
Cette procédure présume que vous avez
l'infrastructure de carte à puce intelligente exige la génération de
déployé les cartes à puce intelligentes et
certificats pour les utilisateurs finaux et pour les serveurs participant
les lecteurs de cartes à puce intelligentes
au système, qui sont le portail et/ou les passerelles GlobalProtect
chez vos utilisateurs finaux.
dans ce cas.
Étape 2 Importez le certificat AC racine qui a Vérifiez que le certificat est accessible depuis votre système de
généré les certificats clients figurant sur gestion, puis exécutez les étapes suivantes :
les cartes à puce intelligentes de 1. Sélectionnez Périphérique > Gestion des certificats >
l'utilisateur final. Certificats > Certificats de périphérique.
2. Cliquez sur Importer et saisissez un Nom de certificat.
3. Saisissez le chemin et le nom du Fichier du certificat envoyé
par l'AC, ou Naviguez pour trouver le fichier.
4. Sélectionnez Certificat codé en base-64 (PEM) comme
Format du fichier, puis cliquez sur OK pour importer le
certificat.
Étape 3 Créez le profil de certificat. Créez le profil de certificat sur chaque portail/passerelle sur lesquels
vous envisagez d'utiliser l'authentification activée par la CAC/carte
Pour plus d'informations sur les
à puce intelligente :
autres champs du profil de
1. Sélectionnez Périphérique > Certificats > Gestion des
certificat, notamment l'utilisation
de CRL ou d'OCSP, reportez-vous à
l'aide en ligne. saisir un Nom de profil.
2. Dans le champ Nom d'utilisateur, sélectionnez le certificat
utilisé par PAN-OS pour faire correspondre l'adresse IP pour le
User-ID, soit Objet pour utiliser un nom commun, soit Autre
objet : E-mail pour utiliser une adresse électronique, soit Autre
objet : Nom principal pour utiliser le nom principal.
3. Dans le champ Certificats AC, cliquez sur Ajouter, sélectionnez
le Certificat AC racine de confiance que vous avez importé à
l'Étape 2 puis cliquez sur OK.
4. Cliquez sur OK pour enregistrer le profil de certificat.

Activer l'authentification par la carte à puce intelligente (suite)
Étape 4 Assignez le profil de certificat au(x) 1. Sélectionnez Réseau > GlobalProtect > Passerelles ou
passerelle(s) et/ou portail GlobalProtect. Portails et sélectionnez la configuration (ou cliquez sur
Ajouter pour en ajouter une).
Cette section décrit uniquement
comment ajouter le profil de certificat à la 2. Dans l'onglet Général (sur la passerelle) ou dans l'onglet
configuration de la passerelle ou du Configuration du portail (sur le portail), sélectionnez le Profil
portail. Pour obtenir des informations sur de certificat que vous avez créé.
la configuration de ces composants, 3. Saisissez un Message d'authentification pour orienter les
reportez-vous à la section Configurer les utilisateurs sur les informations d'identification
passerelles GlobalProtect et Configurer le d'authentification à utiliser.
portail GlobalProtect. 4. Cliquez sur OK pour enregistrer la configuration.
Étape 6 Vérifiez la configuration. Depuis un système client exécutant l'agent GlobalProtect, essayez
de vous connecter à une passerelle ou un portail sur lesquels vous
avez configuré l'authentification activée par la carte à puce
intelligente. Lorsque vous y êtes invité, insérez votre carte à puce
intelligente et vérifiez que vous pouvez vous authentifier sur
GlobalProtect.
Configurer l'authentification pour les clients strongSwan Ubuntu et CentOS
Pour étendre l'accès à distance au VPN GlobalProtect aux clients strongSwan Ubuntu et CentOS, configurez
l'authentification pour les clients strongSwan. Utilisez les paramètres recommandés suivants pour la
configuration de client strongSwan. L'une des trois méthodes suivantes peut être activée pour permettre aux
clients strongSwan de se connecter à GlobalProtect et authentifier des clients strongSwan : certificats, serveurs
d'authentification ou les deux (authentification à deux facteurs).
Pour connaître la version GlobalProtect minimale prenant en charge strongSwan sur Ubuntu
Linux et CentOS, reportez-vous à la section Quelles sont les versions de système d'exploitation
client prises en charge par GlobalProtect ?.
Activer l'authentification pour les clients strongSwan Ubuntu et CentOS
Étape 1 Démarrez les services IPsec strongSwan. Clients Ubuntu :

ipsec start
Clients CentOS :
strongswan start
Étape 2 Connectez-vous au tunnel IPsec que le client Clients Ubuntu :

strongSwan doit utiliser pour s'authentifier sur la ipsec up <nom>
passerelle GlobalProtect.
Clients CentOS :
Utilisez la variable config name pour donner un
nom à la configuration de tunnel que vous strongswan up <nom>
souhaitez paramétrer ou modifier.

Activer l'authentification pour les clients strongSwan Ubuntu et CentOS (suite)
Étape 3 Vérifiez que les paramètres de connexion par ipsec.conf

défaut du fichier de configuration de tunnel IPsec conn %default
(/etc/ipsec.conf) sont correctement définis
ikelifetime=20
dans la section conn %default du fichier
ipsec.conf. reauth=yes
rekey=yes
keylife=10m
rekeymargin=3m
rekeyfuzz=0%
keyingtries=1
type=tunnel
Étape 4 Autorisez l'authentification du client strongSwan à

l'aide d'un profil de certificat, d'un profil
d'authentification ou d'une authentification à
deux facteurs (profil de certificat et profil
d'authentification). Configurez ensuite l'une des
trois options d'authentification suivantes :
Étape 4 (Option 1) Utilisez un profil de certificat. ipsec.conf
Configurez un profil de certificat afin de définir conn <nom du certificat>

l'authentification de client strongSwan pour keyexchange=ikev1
GlobalProtect. Les profils de certificat indiquent
authby-rsasig
les certificats qui doivent être utilisés pour
l'authentification, comment vérifier l'état de ike=aes-sha1-modp1024,aes256#esp=aes-sha1
révocation du certificat et de quelle façon cet état
left=<adresse IP du client strongSwan/Linux>
détermine l'accès à GlobalProtect.
leftcert=<certificat client avec le nom
Avec cette méthode d'authentification, utilisez le
d'utilisateur du client strongSwan utilisé
nom d'utilisateur du client strongSwan comme
comme nom commun du certificat>
nom commun du certificat.
leftsourceip=%config
Cette étape nécessite que vous configuriez ou
modifiez des paramètres dans le fichier de leftauth2=xauth
configuration IPsec (ipsec.conf) et dans le
right=<adresse IP de GlobalProtect>
fichier de mot de passe IPsec du client strongSwan
(ipsec.secrets). rightid=<adresse IP de passerelle
GlobalProtect>
rightsubnet=0.0.0.0/0
auto=add
ipsec.secrets
:RSA <fichier de clés privées>

Étape 4 (Option 2) Utilisez un profil ipsec.conf

d'authentification. conn <nom du serveur>
Configurez un profil d'authentification pour keyexchange=ikev1

spécifier le profil de serveur à utiliser pour
ikelifetime=1440m
authentifier des clients strongSwan.
keylife=60m
modifiez des paramètres dans le fichier de aggressive=yes
configuration IPsec (ipsec.conf) et dans le
ike=aes-sha1-modp1024,aes256
(ipsec.secrets). esp=aes-sha1
xauth=client
left=<adresse IP du client strongSwan/Linux>
leftid=@#<nom du groupe>
leftsourceip=%modeconfig
leftauth=psk
rightauth=psk
leftauth2=xauth
right=<adresse IP de passerelle
GlobalProtect>
xauth_identity=<nom d'utilisateur LDAP>
auto=add
ipsec.secrets
:PSK <secret>
<nom d'utilisateur> :XAUTH <mot de passe>

Étape 4 (Option 3) Utilisez l'authentification à ipsec.conf

deux facteurs. conn certldap
Avec l'authentification à deux facteurs, le client keyexchange=ikev1
strongSwan doit s'authentifier à l'aide d'un profil
authby=xauthrsasig
de certificat et d'un profil d'authentification pour
se connecter au portail et/ou à la passerelle ike=aes-sha1-modp1024
GlobalProtect.
esp=aes-sha1
xauth=client
modifiez des paramètres dans le fichier de
configuration IPsec (ipsec.conf) et dans le left=<adresse IP du client strongswan/Linux>
leftcert=<certificat client sans mots de passe>
(ipsec.secrets).
leftsourceip=%config
right=<adresse IP de passerelle
GlobalProtect>
rightid=%any
leftauth2=xauth
xauth_identity=<nom d'utilisateur LDAP>
auto=add
ipsec.secrets
<nom d'utilisateur> :XAUTH <mot de passe>
Étape 5 (Facultatif) Ajoutez ou modifiez ensuite d'autres

paramètres pour les clients strongSwan :
• Transmettez les itinéraires d'accès et itinéraires Définissez le paramètre suivant sur yes dans le fichier de
configurés sur la passerelle GlobalProtect au configuration strongSwan :
client strongSwan. Utilisez cette option pour charon.cisco_unity = yes
autoriser une segmentation de sorte que le
client puisse accéder à Internet sans recourir au
tunnel VPN.
Ignorez cette option si vous souhaitez que
toutes les requêtes soient acheminées via le
tunnel et qu'elles traversent le pare-feu.
Le fichier de configuration strongSwan
se trouve à l'emplacement suivant :
/etc/strongswan.d/charon.conf.

• Recherchez les certificats et clés privées des Clients Ubuntu :

clients strongSwan. Fichiers .CRT et .PEM :
/etc/ipsec.d/certs
Certificats d'autorité de certification (AC) :

/etc/ipsec.d/cacerts
Fichiers de clés de certificats client :

/etc/ipsec.d/private
Clients CentOS :
Fichiers .CRT et .PEM :
/etc/strongswan/ipsec.d/certs
Certificats d'autorité de certification (AC) :

/etc/strongswan/ipsec.d/cacerts
Fichiers de clés de certificats client :

/etc/strongswan/ipsec.d/private
• Consultez les informations d'état détaillées Clients Ubuntu :

d'une connexion spécifique (en nommant la ipsec statusall [<nom de la connexion>]
connexion) ou les informations d'état de toutes
les connexions. Clients CentOS :
strongswan statusall [<nom de la connexion>]
• Arrêtez les services IPsec strongSwan. Clients Ubuntu :

ipsec stop
Clients CentOS :
strongswan stop
• Mettez fin à la connexion avec le tunnel IPsec Clients Ubuntu :

strongSwan. ipsec down <nom de la connexion>
Clients CentOS :
strongswan down <nom de la connexion>

Configurer l'infrastructure GlobalProtect Activer le mappage des groupes
Activer le mappage des groupes

Comme l'agent ou l'application fonctionnant sur les systèmes de vos utilisateurs finaux exige que l'utilisateur se
soit authentifié avant d'obtenir l'accès à GlobalProtect, l'identité de chaque utilisateur GlobalProtect est connue.
Toutefois, si vous souhaitez avoir la possibilité de définir les configurations GlobalProtect et/ou les politiques
de sécurité basées sur l'appartenance à un groupe, le pare-feu doit récupérer la liste des groupes et la liste
correspondante des membres sur votre serveur d'annuaires. Cela s'appelle mappage de groupe.
Pour activer cette fonctionnalité, vous devez créer un profil de serveur LDAP qui indique au pare-feu comment
se connecter et s'authentifier sur le serveur d'annuaires, et comment rechercher les informations relatives à
l'utilisateur et au groupe dans l'annuaire. Dès que le pare-feu a établi la connexion avec le serveur LDAP et
récupéré les mappages de groupe, vous pouvez sélectionner les groupes lors de la définition de vos
configurations de client et politiques de sécurité. Le pare-feu prend en charge divers serveurs d'annuaires LDAP,
notamment Microsoft Active Directory (AD), Novell eDirectory et Sun ONE Directory Server.
Procédez comme suit pour vous connecter à votre annuaire LDAP afin d'activer le pare-feu pour qu'il récupère
les informations de mappage utilisateur/groupe :

Activer le mappage des groupes Configurer l'infrastructure GlobalProtect
Mappage d'utilisateurs à des groupes
Étape 1 Créez un profil de serveur LDAP qui 1. Sélectionnez Périphérique > Profils de serveur > LDAP.
précise comment se connecter aux serveurs 2. Cliquez sur Ajouter, puis donnez un nom au profil.
d'annuaires auxquels le pare-feu devra se
3. (Facultatif) Sélectionnez le système virtuel auquel ce profil
connecter pour obtenir les informations de
s'applique dans la liste déroulante Emplacement.
mappage de groupe.
4. Cliquez sur Ajouter pour ajouter une nouvelle entrée de serveur
LDAP, puis saisissez un nom de serveur pour l'identifier (1 à
31 caractères) ainsi que l'Adresse IP et le numéro de Port que le
pare-feu utilisera pour se connecter au serveur LDAP (par défaut :
389 pour LDAP ; 636 pour LDAP via SSL). Vous pouvez ajouter
jusqu'à quatre serveurs LDAP au profil. Tous les serveurs que vous
ajoutez à un profil doivent toutefois être du même type. Pour
disposer de la fonction de redondance, vous devez ajouter
deux serveurs minimum.
5. Saisissez le nom de Domaine LDAP pour l'ajout de tous les objets
reconnus sur le serveur. La valeur saisie dans ce champ dépend de
votre déploiement :
• Si vous utilisez Active Directory, saisissez le nom de domaine
NetBIOS ; il ne s'agit PAS d'un FQDN (par exemple, saisissez
acme, et non acme.com). Notez que si vous devez collecter des
données de plusieurs domaines, vous devez créer un profil de
serveur distinct pour chaque domaine. Bien que le nom de
domaine puisse être déterminé automatiquement, il convient de
saisir, lorsque cela est possible, le nom de domaine.
• Si vous utilisez un serveur de catalogues global, ne renseignez
pas ce champ.
6. Sélectionnez le Type de serveur LDAP auquel vous vous
connectez. Les valeurs de mappage de groupe sont
automatiquement renseignées en fonction de votre sélection.
Toutefois, si vous avez personnalisé votre schéma LDAP, il est
possible que vous deviez modifier les paramètres par défaut.
7. Dans le champ Base, indiquez le point auquel le pare-feu doit
commencer sa recherche d'informations relatives à l'utilisateur et au
groupe dans l'arborescence LDAP.
8. Saisissez les informations d'identification d'authentification
associées à l'arborescence LDAP dans les champs Nom distinctif
Bind, Mot de passe Bind et Confirmer le mot de passe Bind. Le
nom distinctif Bind peut être au format UPN (User Principal
Name, nom principal de l'utilisateur) (par exemple,
administrator@acme.local) ou un nom LDAP complet (par
exemple, cn=administrator,cn=users,dc=acme,dc=local).
9. Si le pare-feu doit communiquer avec le ou les serveurs LDAP via
une connexion sécurisée, cochez la case SSL. Si vous activez la
fonction SSL, veillez à bien préciser également le numéro de port
correspondant.

Configurer l'infrastructure GlobalProtect Activer le mappage des groupes
Mappage d'utilisateurs à des groupes (suite)
Étape 2 Ajoutez le profil de serveur LDAP à la 1. Sélectionnez Périphérique > Identification utilisateur >
configuration du mappage d'ID Paramètres de mappage de groupe, puis cliquez sur Ajouter.
utilisateur, de groupe.
2. Saisissez un Nom pour la configuration.

3. Sélectionnez le Profil de serveur que vous venez de créer.
4. Vérifiez que la case Activé est cochée.
5. (Facultatif) Pour limiter les groupes affichés dans une politique
de sécurité, sélectionnez l'onglet Liste d'inclusion de groupes,
puis parcourez l'arborescence LDAP pour rechercher les
groupes à utiliser dans la politique. Pour chaque groupe à
inclure, sélectionnez-le dans la liste Groupes disponibles, puis
cliquez sur l'icône d'ajout pour le déplacer dans la liste
Groupes inclus. Répétez cette étape pour chaque groupe à
utiliser dans vos politiques.
6. Cliquez sur OK pour enregistrer les paramètres.

Configurer les passerelles GlobalProtect Configurer l'infrastructure GlobalProtect
Configurer les passerelles GlobalProtect

Comme la configuration GlobalProtect que le portail délivre aux agents inclut la liste des passerelles auxquelles
le client peut se connecter, il est conseillé de configurer les passerelles avant de configurer le portail.
Les Passerelles GlobalProtect peuvent être configurées pour fournir deux principales fonctions :
 Mise en œuvre d'une politique de sécurité pour les agents et les applications GlobalProtect qui s'y
connectent. Vous pouvez aussi activer la collecte de données HIP sur la passerelle pour affiner la granularité
de la politique de sécurité. Pour plus d'informations sur l'activation des archivages HIP, reportez-vous à la
section Utiliser les informations sur l'hôte pour la mise en œuvre des politiques.
 Accès du réseau privé virtuel (VPN) à votre réseau interne. L'accès VPN est établi via un tunnel IPSec ou
SSL entre le client et une interface de tunnel sur le pare-feu de la passerelle.
Vous pouvez également configurer les passerelles GlobalProtect sur des pare-feu VM-Series
déployés dans le cloud AWS. En déployant le pare-feu VM-Series dans le cloud AWS, vous
pouvez déployer rapidement et facilement des passerelles GlobalProtect dans n'importe quelle
région sans les coûts ou la logistique informatique généralement liés à la configuration de cette
infrastructure avec vos propres ressources. Pour plus de détails, reportez-vous à la section Cas
pratique : Pare-feu VM-Series en tant que passerelles GlobalProtect dans AWS.
Tâches préalables à la configuration de la passerelle GlobalProtect
Avant de configurer la passerelle GlobalProtect, vous devez avoir effectué les tâches suivantes :
 Création des interfaces (et zones) de l'interface dans laquelle vous envisagez de configurer chaque
passerelle. Pour les passerelles qui exigent des connexions en tunnel, vous devez configurer à la fois
l'interface physique et l'interface de tunnel virtuelle. Reportez-vous à la section Créer des interfaces et des
zones pour GlobalProtect.
 Configuration des certificats de serveur de passerelle requis pour que l'agent GlobalProtect puisse établir
une connexion SSL avec la passerelle. Reportez-vous à la section Activer SSL entre les composants
GlobalProtect.
 Définition des profils d'authentification et/ou des profils de certificat qui seront utilisés pour authentifier
les utilisateurs GlobalProtect. Reportez-vous à la section Configurer l'authentification de l'utilisateur
GlobalProtect.
Configurer une passerelle GlobalProtect
Après avoir exécuté les tâches préalables, configurez les Passerelles GlobalProtect de la manière suivante :

Configurer l'infrastructure GlobalProtect Configurer les passerelles GlobalProtect
Configurer la passerelle
Étape 1 Ajoutez une passerelle. 1. Sélectionnez Réseau > GlobalProtect > Passerelles, puis
cliquez sur Ajouter.
2. Dans l'onglet Général, donnez un Nom à la passerelle. Le nom
de passerelle ne doit pas contenir d'espace et, selon la procédure
recommandée, il doit inclure l'emplacement ou d'autres
informations descriptives qui permettront aux utilisateurs et
autres administrateurs d'identifier la passerelle.
3. (Facultatif) Sélectionnez le système virtuel auquel cette
passerelle appartient dans le champ Emplacement.
Étape 2 Indiquez les informations réseau pour 1. Sélectionnez l'Interface que les agents utiliseront pour l'accès
autoriser les agents à se connecter à la entrant à la passerelle.
passerelle. 2. Sélectionnez l'Adresse IP pour le service Web de passerelle.
Si vous n'avez pas déjà créé l'interface 3. Sélectionnez le Certificat serveur de la passerelle dans la liste
réseau de la passerelle, reportez-vous à la déroulante.
section Créer des interfaces et des zones Le champ Nom commun (CN) et, le cas échéant, le champ
pour GlobalProtect pour obtenir des Autre nom de l'objet (SAN) doivent correspondre
instructions. Si vous n'avez pas déjà créé exactement à l'adresse IP ou au nom de domaine complet
un certificat serveur pour la passerelle, (FQDN) de l'interface sur laquelle vous configurez la
reportez-vous à la section Déployer les passerelle.
certificats de serveur sur les composants
GlobalProtect.
Étape 3 Indiquez comment la passerelle • Pour authentifier les utilisateurs en ayant recours à une base de
authentifiera les utilisateurs finaux. données d'utilisateurs locaux ou un service d'authentification
externe tel que LDAP, Kerberos, ou RADIUS (incluant le mot de
Si vous n'avez pas encore configuré les
passe à usage unique), sélectionnez le Profil d'authentification
profils d'authentification et/ou les profils
correspondant.
de certificat, reportez-vous à la section
Configurer l'authentification de • Pour aider les utilisateurs en ce qui concerne les informations
l'utilisateur GlobalProtect pour obtenir d'identification d'ouverture de session à fournir, saisissez un
les instructions. Message d'authentification.
• Pour authentifier les utilisateurs par un certificat client ou une carte
à puce intelligente, sélectionnez le Profil de certificat
correspondant.
• Pour utiliser l'authentification à deux facteurs, sélectionnez à la fois
un profil d'authentification et un profil de certificat. N'oubliez pas
que l'utilisateur doit s'être authentifié par les deux méthodes pour
obtenir l'accès.

Configurer la passerelle (suite)
Étape 4 Configurez les paramètres du tunnel et 1. Dans la boîte de dialogue Passerelles GlobalProtect,
activez la tunnelisation. sélectionnez Configuration de client > Paramètres de tunnel.
Les paramètres de tunnel doivent être 2. Cochez la case Mode tunnel pour activer la mise sous tunnel.
définis si vous configurez une passerelle 3. Sélectionnez l'Interface de tunnel que vous avez définie à
externe. Ils sont facultatifs pour une l'Étape 2 dans la section Créer des interfaces et des zones pour
passerelle interne. GlobalProtect.
Si vous souhaitez forcer l'utilisation 4. (Facultatif) Sélectionnez Activer la prise en charge X-Auth si
du mode tunnel VPN-SSL, vous avez des clients finaux qui ont besoin de se connecter à la
décochez la case Activer IPSec. passerelle en utilisant un client VPN indépendant, tel qu'un
Par défaut, VPN-SSL sera utilisé client VPNC fonctionnant sur Linux. Si vous activé X-Auth,
uniquement si le client échoue à vous devez aussi fournir le nom du Groupe et le Mot de passe
établir un tunnel IPSec. du groupe s'ils sont exigés par le client.
L'authentification étendue Même si l'accès X-Auth est pris en charge sur les
(X-Auth) est prise en charge périphériques iOS et Android, il offre des fonctionnalités
uniquement sur les tunnels IPSec. GlobalProtect limitées. Songez à utiliser
l'application GlobalProtect pour un accès simplifié à
l'ensemble des fonctions de sécurité offertes par
GlobalProtect sur les périphériques iOS et Android.
L'application GlobalProtect pour iOS est disponible via
l'AppStore Apple et l'application GlobalProtect pour
Android est disponible via Google Play.
5. (Facultatif) Modifiez les paramètres de délai d'attente par défaut
des clients GlobalProtect :
• Modifiez la Durée de vie de connexion d'une session de
connexion d'une passerelle. La durée de vie de connexion par
défaut est actuellement de 30 jours, après quoi la session de
connexion est automatiquement déconnectée.
• Modifiez la durée après laquelle une session inactive est
déconnectée automatiquement. La période de Déconnexion
en cas d'inactivité par défaut est de 3 heures. Un client est
déconnecté de GlobalProtect si la passerelle ne reçoit pas une
vérification HIP du client dans le délai imparti configuré.
• Modifiez le nombre de minutes après lesquelles les
utilisateurs inactifs sont déconnectés de GlobalProtect. La
période de Déconnexion en cas d'inactivité par défaut est de
180 minutes. Les clients sont déconnectés de GlobalProtect
si l'application GlobalProtect n'a pas acheminé du trafic via le
tunnel VPN dans le délai imparti configuré.

Étape 5 (Mode tunnel uniquement) Configurez les 1. Dans la boîte de dialogue Passerelles GlobalProtect,
paramètres réseau pour assigner la carte sélectionnez Configuration de client > Paramètres réseau.
réseau virtuel des clients lorsqu'un agent 2. Indiquez les paramètres de configuration réseau pour les clients
établit un tunnel avec la passerelle. d'une des façons suivantes :
Les paramètres réseau ne sont pas • Vous pouvez manuellement assigner le(s) serveur(s) DNS et
requis dans les configurations de le suffixe, et les serveurs WINS en remplissant les champs
passerelle interne en mode correspondants.
non-tunnel parce que, dans ce cas,
• Si le pare-feu comprend une interface qui est configurée
les agents utilisent les paramètres
comme un client DHCP, vous pouvez définir la Source
réseau assignés à la carte réseau
d'héritage pour cette interface et l'agent GlobalProtect sera
physique.
assigné aux mêmes paramètres que ceux reçus par le client
DHCP.
3. Pour indiquer la Réserve IP à utiliser pour assigner les adresses
IP de client, cliquez sur Ajouter puis indiquez la plage
d'adressage IP à utiliser. Selon la procédure recommandée, vous
devez utiliser une plage d'adresses IP différentes de celles
assignées aux clients qui sont physiquement connectés à votre
LAN pour garantir un routage approprié de retour vers la
passerelle.
4. Pour définir les sous-réseaux de destination d'acheminement via
le tunnel, cliquez sur Ajouter dans la zone Itinéraire d'accès,
puis saisissez les itinéraires comme suit :
• Pour acheminer tout le trafic de clients via GlobalProtect
(tunnelisation complète), saisissez 0.0.0.0/0 comme itinéraire
d'accès. Vous devrez ensuite utiliser une politique de sécurité
pour définir les zones auxquelles le client peut accéder
(incluant les zones non approuvées). L'avantage de cette
configuration est que vous disposez d'une visibilité sur
l'ensemble du trafic de clients et que vous pouvez garantir
que les clients sont sécurisés conformément à votre politique
même lorsqu'ils ne sont pas physiquement connectés au
LAN. Veuillez noter que, dans cette configuration, le trafic
destiné au sous-réseau local passe par l'adaptateur physique
plutôt que d'être tunnellisé vers la passerelle.
• Pour router uniquement une partie du trafic, par exemple le
trafic destiné à votre LAN, sur GlobalProtect (mise sous
tunnel fractionnée), indiquez les sous-réseaux de destination
qui doivent être mis sous tunnel. Dans ce cas, le trafic qui
n'est pas destiné à un itinéraire d'accès précisé sera routé via
la carte physique du client à la place de la carte virtuelle (le
tunnel).
Le pare-feu prend en charge jusqu'à 100 itinéraires
d'accès.

Étape 6 (Facultatif) Ce sous-onglet vous permet 1. Dans l'onglet Configuration de client > Notification HIP,
de définir les messages de notification cliquez sur Ajouter.
destinés aux utilisateurs finaux lorsqu'une 2. Sélectionnez le Profil HIP que ce message applique dans la liste
règle de sécurité dotée d'un déroulante.
profil d'informations sur l'hôte (HIP) est
3. Sélectionnez Faire correspondre message ou Ne pas Faire
mise en œuvre.
correspondre message, si vous souhaitez afficher le message
Cette étape s'applique uniquement si vous lorsque le profil HIP correspondant trouve une correspondance
avez créé des profils d'informations sur dans la politique ou lorsqu'il n'en trouve pas. Dans certains cas,
l'hôte et les avez ajoutés à vos politiques vous pourriez créer des messages à la fois pour une
de sécurité. Pour plus d'informations sur correspondance et pour une non-correspondance, en fonction
la configuration de la fonction HIP et des objets que vous souhaitez faire correspondre et des objectifs
pour obtenir des informations détaillées que vous avez définis pour la politique.
sur la création des messages de 4. Cochez la case Activer et choisissez si vous souhaitez afficher le
notification HIP, reportez-vous à la message comme un Message en incrustation ou comme une
section Utiliser les informations sur l'hôte Bulle de la zone de notification.
pour la mise en œuvre des politiques.
5. Saisissez le texte de votre message dans la zone de texte Modèle
puis cliquez sur OK.
6. Répétez ces étapes pour chaque message que vous souhaitez
définir.
Étape 7 Enregistrez la configuration de la Cliquez sur OK pour enregistrer les paramètres et fermer la boîte de
passerelle. dialogue de la passerelle GlobalProtect.

Étape 8 (Facultatif) Paramétrez l'accès au 1. Sélectionnez Réseau > GlobalProtect > MDM, puis cliquez sur
Gestionnaire de sécurité mobile. Ajouter.
Cette étape est obligatoire si vous utilisez 2. Saisissez un Nom pour le Gestionnaire de sécurité mobile.
le Gestionnaire de sécurité mobile 3. (Facultatif) Sélectionnez le système virtuel auquel la
GlobalProtect pour gérer les configuration du Gestionnaire de sécurité mobile appartient
périphériques de l'utilisateur final et si dans le champ Emplacement.
vous utilisez la mise en œuvre des 4. Saisissez l'adresse IP ou le nom de domaine complet de
politiques activées par HIP. Cette l'interface du Serveur Gestionnaire de sécurité mobile sur
configuration autorise la passerelle à laquelle la passerelle se connectera pour récupérer les rapports
communiquer avec le Gestionnaire de HIP.
sécurité mobile pour récupérer les
5. (Facultatif) Définissez le Port de connexion pour l'écoute des
rapports HIP pour les périphériques
demandes de récupération HIP par le Gestionnaire de sécurité
mobiles gérés. Pour plus d'informations,
mobile. Cette valeur doit correspondre à la valeur définie sur le
consultez la section Activer l'accès
Gestionnaire de sécurité mobile. Par défaut, la valeur de ce port,
passerelle au Gestionnaire de sécurité
qui est le port d'écoute du gestionnaire de sécurité mobile
mobile.
GlobalProtect, est définie sur 5008.
6. Si le Gestionnaire de sécurité mobile exige que la passerelle
présente un certificat pour établir une connexion HTTPS,
sélectionnez le Certificat client à utiliser.
7. Si la passerelle ne valide pas le certificat du Gestionnaire de
sécurité mobile pour l'interface à laquelle elle se connecte,
cliquez sur Ajouter dans la section AC racine de confiance et
sélectionnez ou Importez le certificat AC racine qui a été utilisé
pour générer le certificat de serveur du Gestionnaire de sécurité
mobile.
8. Cliquez sur OK pour enregistrer les paramètres du gestionnaire
de sécurité mobile.
Étape 9 Enregistrez la configuration. Validez les modifications.

Configurer le portail GlobalProtect Configurer l'infrastructure GlobalProtect
Configurer le portail GlobalProtect

Le Portail GlobalProtect fournit les fonctions de gestion de votre infrastructure GlobalProtect. Chaque système
client qui fait partie du réseau GlobalProtect reçoit des informations de configuration du portail, notamment
des informations sur les passerelles disponibles, ainsi que les certificats clients pouvant être requis pour se
connecter aux passerelles. De plus, le portail contrôle le comportement et la distribution du
logiciel GlobalProtect sur les ordinateurs portables Windows et Mac
Le portail ne distribue pas l'application GlobalProtect à utiliser sur les périphériques mobiles.
Pour obtenir l'application GlobalProtect pour iOS, les utilisateurs finaux doivent la télécharger
depuis App Store. Pour obtenir l'application GlobalProtect pour Android, les utilisateurs finaux
doivent la télécharger depuis Google Play. Toutefois, les configurations de client qui seront
déployées pour les utilisateurs d'applications mobiles contrôlent les passerelles auxquelles les
périphériques mobiles ont accès et le fait que le recrutement par le Gestionnaire de sécurité
mobile GlobalProtect du périphérique mobile soit requis ou non. Pour plus d'informations sur les
versions prises en charge, reportez-vous à la section Quelles sont les versions de système
d'exploitation client prises en charge par GlobalProtect ?.
Les sections suivantes décrivent les procédures de paramétrage du portail :

 Tâches préalables à la configuration du portail GlobalProtect
 Paramétrer l'accès au portail GlobalProtect
 Définir les configurations de client GlobalProtect
 Personnaliser l'agent GlobalProtect
 Personnaliser les pages Ouverture de session, Bienvenue et Aide de GlobalProtect
Tâches préalables à la configuration du portail GlobalProtect
Avant de configurer le Portail GlobalProtect, vous devez avoir effectué les tâches suivantes :
 Création des interfaces (et zones) de l'interface de pare-feu dans laquelle vous envisagez de configurer le
portail. Reportez-vous à la section Créer des interfaces et des zones pour GlobalProtect.
 Configuration du certificat de serveur du portail, du certificat de serveur de passerelle, et, facultativement,
de certains certificats clients à déployer pour les utilisateurs finaux afin d'activer les connexions SSL
mutuelles avec les services GlobalProtect. Reportez-vous à la section Activer SSL entre les composants
GlobalProtect.
 Définition des profils d'authentification et/ou des profils de certificat qui seront utilisés pour authentifier
les utilisateurs GlobalProtect. Reportez-vous à la section Configurer l'authentification de l'utilisateur
GlobalProtect.
 Configuration des passerelles GlobalProtect. Reportez-vous à la section Configurer les passerelles
GlobalProtect.

Configurer l'infrastructure GlobalProtect Configurer le portail GlobalProtect
Paramétrer l'accès au portail GlobalProtect
Après avoir exécuté les tâches préalables, configurez le Portail GlobalProtect de la manière suivante :
Paramétrage de l'accès au portail
Étape 1 Ajoutez le portail. 1. Sélectionnez Réseau > GlobalProtect > Portails, puis cliquez
sur Ajouter.
2. Dans l'onglet Configuration du portail, donnez un Nom au
portail. Le nom du portail ne doit pas contenir d'espaces.
3. (Facultatif) Sélectionnez le système virtuel auquel ce portail
appartient dans le champ Emplacement.
Étape 2 Indiquez les informations réseau pour 1. Sélectionnez l'Interface que les agents utiliseront pour l'accès
autoriser les agents à se connecter au entrant au portail.
portail. 2. Sélectionnez l'Adresse IP pour le service Web de portail.
Si vous n'avez pas déjà créé l'interface 3. Sélectionnez le Certificat de serveur pour le portail dans la liste
réseau du portail, reportez-vous à la déroulante.
section Créer des interfaces et des zones Le champ Nom commun (CN) et, le cas échéant, le champ
pour GlobalProtect pour obtenir des Autre nom de l'objet (SAN) du certificat doivent
instructions. Si vous n'avez pas déjà créé correspondre exactement à l'adresse IP ou au nom de
un certificat serveur pour le portail et domaine complet (FQDN) de l'interface sur laquelle vous
généré des certificats de passerelle, configurez le portail. Sinon, les connexions HTTPS au
reportez-vous à la section Déployer les portail ne pourront pas être établies.
certificats de serveur sur les composants
GlobalProtect.
Étape 3 Indiquez comment le portail authentifiera • Pour authentifier les utilisateurs en ayant recours à une base de
les utilisateurs finaux. données d'utilisateurs locaux ou un service d'authentification
externe (incluant l'authentification par le mot de passe à usage
Si vous n'avez pas encore configuré les
unique), sélectionnez le Profil d'authentification correspondant.
profils d'authentification et/ou les profils
de certificat, reportez-vous à la section • Saisissez un Message d'authentification pour orienter les
Configurer l'authentification de utilisateurs sur les informations d'identification d'authentification à
l'utilisateur GlobalProtect pour obtenir utiliser.
les instructions. • Pour authentifier les utilisateurs par un certificat client ou une carte
à puce intelligente/CAC, sélectionnez le Profil de certificat
correspondant.
• Pour utiliser l'authentification à deux facteurs, sélectionnez à la fois
un profil d'authentification et un profil de certificat. N'oubliez pas
que l'utilisateur doit s'être authentifié par les deux méthodes pour
obtenir l'accès.
Étape 4 Enregistrez la configuration du portail. 1. Cliquez sur OK pour enregistrer les paramètres et fermer la boîte
de dialogue de la passerelle GlobalProtect.
2. Validez les modifications.

Définir les configurations de client GlobalProtect
Lorsqu'un agent ou une application GlobalProtect se connecte et s'est authentifié(e) sur le portail GlobalProtect,
le portail fournit la configuration de client GlobalProtect à l'agent ou à l'application en fonction des paramètres
que vous avez définis. Si vous disposez de différentes classes d'utilisateurs nécessitant différentes configurations,
vous pouvez créer une configuration de client distincte pour chacune. Le portail utilise ensuite le nom
d'utilisateur/de groupe et ou le système d'exploitation du client pour déterminer la configuration du client à
déployer. Comme avec l'évaluation des règles de sécurité, le portail recherche une correspondance en
commençant par le sommet de la liste. Lorsqu'il trouve une correspondance, il fournit la configuration
correspondante à l'agent/application.
La configuration peut inclure notamment :
 Une liste de passerelles auxquelles l'agent/application peut se connecter, et indiquant si l'utilisateur peut
établir des connexions manuelles avec ces mêmes passerelles.
 Le certificat AC racine requis pour activer l'agent/application pour établir une connexion SSL avec les
passerelles GlobalProtect et/ou le Gestionnaire de sécurité mobile.
 Le certificat client que l'agent doit présenter à la passerelle lorsqu'il se connecte. Il est uniquement requis si
l'authentification mutuelle est requise entre l'agent et la passerelle.
 Les paramètres que l'agent utilise pour déterminer s'il est connecté au réseau local ou à un réseau externe.
 Les paramètres de configuration de l'agent, tels que les informations qui sont affichées pour l'agent et que
les utilisateurs finaux peuvent voir, si les utilisateurs peuvent enregistrer leurs mots de passe GlobalProtect,
et si les utilisateurs sont invités à mettre à niveau le logiciel.
Si le portail est arrêté ou inaccessible, l'agent utilise la version mise en cache de sa configuration
de client de sa dernière connexion au portail pour obtenir les paramètres, notamment les
passerelles auxquelles se connecter, les certificats AC racines à utiliser pour établir une
communication sécurisée avec les passerelles, et la méthode de connexion à utiliser.
Utilisez la procédure suivante pour créer une configuration de client.

Créer une configuration de client GlobalProtect
Étape 1 Ajoutez les certificats AC racines de 1. Si vous êtes encore dans la boîte de dialogue Passerelles
confiance que l'agent/application utilisera GlobalProtect, sélectionnez l'onglet Configuration de client.
pour vérifier les certificats lors de la Sinon, sélectionnez Réseau > GlobalProtect > Portails et
connexion aux passerelles GlobalProtect sélectionnez la configuration du portail pour laquelle vous
et/ou au Gestionnaire de sécurité mobile. souhaitez ajouter une configuration de client puis sélectionnez
Si vous n'ajoutez pas un certificat AC racine l'onglet Configuration de client.
de confiance à la configuration de client, les 2. Dans le champ AC racine de confiance, cliquez sur Ajouter puis
agents/applications associés ne vérifieront sélectionnez le certificat AC qui a été utilisé pour générer les
pas le certificat à la connexion. certificats de serveur de passerelle. Il est recommandé que toutes
Il est recommandé de toujours vos passerelles utilisent le même émetteur.
déployer les certificats AC racines 3. (Facultatif) Si votre certificat de serveur de Gestionnaire de sécurité
de confiance dans la configuration mobile n'a pas été généré par une AC reconnue (à savoir qui n'est
de client pour s'assurer que les pas validée par les périphériques qui auront besoin de s'y connecter
agents/applications vérifient le pour le recrutement), cliquez sur Ajouter dans le champ AC racine
certificat afin de valider l'identité de de confiance puis sélectionnez le certificat AC qui a été utilisé pour
la passerelle avant d'établir une générer le certificat de serveur de Gestionnaire de sécurité mobile.
connexion. Ceci empêche les Si le certificat AC racine utilisé pour générer vos certificats de
agents/applications de faire l'objet serveur de passerelle et/ou de Gestionnaire de sécurité
d'attaques de type « intermédiaire ». mobile ne se trouve pas sur le portail, vous pouvez
l'importer maintenant. Pour les procédures recommandées
SSL, reportez-vous à la section Activer SSL entre les
composants GlobalProtect.
Étape 2 Ajouter une configuration de client. Dans la section Configuration de client, cliquez sur Ajouter et saisissez
un Nom pour la configuration.
La configuration de client décrit les
paramètres de configuration de Si vous envisagez de créer plusieurs configurations, veillez à ce que le
GlobalProtect à déployer sur les nom que vous définissez pour chacune est suffisamment explicite pour
agents/applications connectés. Vous devez vous permettre de les distinguer.
définir au moins une configuration de client.
Étape 3 Si vous n'exigez pas que l'agent 1. Cochez la case Détection d'hôte interne.
GlobalProtect établisse des connexions 2. Saisissez l'Adresse IP d'un hôte qui peut être trouvé uniquement
tunnel lorsque vous êtes sur le réseau depuis le réseau interne.
interne, activez la détection d'hôte interne.
3. Saisissez le Nom d'hôte DNS qui correspond à l'adresse IP que
vous avez saisie. Les agents qui tentent de se connecter à
GlobalProtect essaieront d'effectuer une consultation de table DNS
inverse de l'adresse indiquée ; si la consultation de table échoue,
l'agent déterminera qu'elle se trouve sur le réseau externe et
commencera à essayer d'établir des connexions tunnel avec les
passerelles externes figurant sur sa liste.

Créer une configuration de client GlobalProtect (suite)
Étape 4 Indiquez comment l'agent se connectera à 1. Sélectionnez une Méthode de connexion :

GlobalProtect. • À la demande : Les utilisateurs devront lancer l'agent
Meilleures pratiques : manuellement pour se connecter à GlobalProtect. Utilisez
cette méthode de connexion pour les passerelles externes
•N'utilisez l'option à la demande
uniquement.
que si vous utilisez GlobalProtect
pour l'accès VPN aux passerelles • Connexion de l'utilisateur : GlobalProtect se connecte
externes. automatiquement aussitôt que l'utilisateur ouvre une session
•N'utilisez pas l'option à la demande sur la machine (ou le domaine). Lorsqu'elle est utilisée en
si vous envisagez d'utiliser l'agent association avec l'ouverture de session unique (utilisateurs
GlobalProtect en mode masqué. Windows uniquement), l'ouverture de session sur
Reportez-vous à la section GlobalProtect est transparente pour l'utilisateur final.
Personnaliser l'agent GlobalProtect. • Pré-ouverture de session : Permet à l'utilisateur de
•Pour des temps de raccordement s'authentifier et d'établir le tunnel VPN vers la
plus rapides, utilisez la détection passerelle GlobalProtect à l'aide d'un certificat de machine
d'hôte interne dans les pré-installé avant que l'utilisateur ne se connecte à la machine.
configurations dans lesquelles vous Cette option implique que vous déployiez les certificats
avez activé l'ouverture de session machines sur chaque système d'utilisateur final doté d'une
unique (SSO). solution PKI externe. Pour plus d'informations sur la
configuration de cette option, reportez-vous à la section
VPN d'accès à distance avec pré-ouverture de session.
2. (Configurations pour les utilisateurs Windows uniquement)
Sélectionnez Utiliser l'ouverture de session unique pour
autoriser GlobalProtect à utiliser les informations
d'identification d'ouverture de session Windows pour
authentifier automatiquement l'utilisateur dès l'ouverture de
session sur Active Directory.
Lorsque l'ouverture de session unique est activée, l'agent
GlobalProtect utilise les informations d'identification de
connexion Windows de l'utilisateur pour s'authentifier et
se connecter automatiquement au portail GlobalProtect
et à la passerelle. GlobalProtect avec l'ouverture de session
unique activée permet également à l'agent GlobalProtect
d'englober des informations d'identification
indépendantes afin de garantir l'authentification et la
connexion des utilisateurs Windows, même si un
fournisseur d'informations d'identification indépendantes
est utilisé pour englober les informations d'identification
de connexion Windows.

Étape 5 Paramétrez l'accès au Gestionnaire de 1. Saisissez l'adresse IP ou le nom de domaine complet (FQDN)
sécurité mobile. de l'interface d'archivage de périphérique du Gestionnaire de
sécurité mobile. La valeur que vous saisissez ici doit
Cette étape est obligatoire si les
correspondre exactement à la valeur dans le champ Nom
périphériques mobiles dotés de cette
commun (CN) du certificat de serveur du Gestionnaire de
configuration doivent être gérés par le
sécurité mobile associé à l'interface d'archivage de périphérique.
Gestionnaire de sécurité mobile
GlobalProtect. Tous les périphériques se 2. Définissez le Port de recrutement pour l'écoute des demandes
connecteront initialement au portail et, si de recrutement par le Gestionnaire de sécurité mobile. Cette
le Gestionnaire de sécurité mobile est valeur doit correspondre à la valeur définie sur le Gestionnaire
configuré sur la configuration de client du de sécurité mobile (par défaut = 443). Pour plus d'informations,
portail correspondante, le périphérique consultez la section Configurer le Gestionnaire de sécurité
sera redirigé vers lui pour le recrutement. mobile pour la gestion de périphériques.
Pour plus d'informations, consultez la
section Configurer le Gestionnaire de
sécurité mobile GlobalProtect.
Étape 6 Indiquez les utilisateurs pour lesquels Sélectionnez l'onglet Utilisateur/Groupe d'utilisateurs puis
cette configuration doit être déployée. Il indiquez l'utilisateur/les groupes d'utilisateurs et/ou les systèmes
existe deux façons d'indiquer qui recevra d'exploitation auxquels cette configuration doit s'appliquer :
la configuration : par nom • Pour déployer cette configuration exclusivement pour un
d'utilisateur/groupe et/ou par système utilisateur ou groupe spécifique, cliquez sur Ajouter dans la
d'exploitation utilisé par l'agent. section Utilisateur/Groupe d'utilisateurs de la fenêtre puis
Le portail utilise les paramètres sélectionnez l'utilisateur ou le groupe auquel vous souhaitez
Utilisateur/Groupe d'utilisateurs que fournir cette configuration dans la liste déroulante. Répétez cette
vous avez indiqués pour déterminer la étape pour chaque utilisateur/groupe que vous souhaitez ajouter.
configuration qui doit être fournie aux • Pour déployer cette configuration exclusivement pour les
agents GlobalProtect qui se connectent. utilisateurs qui n'ont pas encore ouvert de session sur leurs
Par conséquent, si vous avez plusieurs systèmes, sélectionnez pré-ouverture de session dans la liste
configurations, vous devez vous assurer déroulante Utilisateur/Groupe d'utilisateurs.
de les commander conformément. Dès
que le portail trouve une correspondance, • Pour fournir cette configuration aux agents ou applications
il envoie la configuration. Ainsi, des fonctionnant sur des systèmes d'exploitation spécifiques, cliquez
sur Ajouter dans la section Système d'exploitation de la fenêtre
configurations plus spécifiques doivent
puis sélectionnez le système d'exploitation (Android, iOS, Mac, ou
précéder les configurations plus générales.
Windows) auquel cette configuration s'applique.
Reportez-vous à l'Étape 11 pour obtenir
des instructions sur les commandes de la
liste des configurations de client.
Avant de pouvoir limiter la
configuration à des groupes
spécifiques, vous devez mapper des
utilisateurs et des groupes comme
décrit dans la section Activer le
mappage des groupes.
Étape 7 Personnalisez le comportement de l'agent Sélectionnez l'onglet Agent puis modifiez les paramètres de l'agent
GlobalProtect pour les utilisateurs dotés selon vos besoins. Pour plus d'informations sur chaque option,
de cette configuration. reportez-vous à la section Personnaliser l'agent GlobalProtect.

Étape 8 Indiquez les passerelles auxquelles les 1. Dans l'onglet Passerelles, cliquez sur Ajouter dans la section
utilisateurs dotés de cette configuration Passerelles internes ou Passerelles externes, en fonction du type
peuvent se connecter. de passerelle que vous ajoutez.
Meilleures pratiques : 2. Donnez un Nom descriptif à la passerelle. Le nom que vous
saisissez ici doit correspondre au nom que vous avez défini
•Si vous ajoutez à la fois des
lorsque vous avez configuré la passerelle et doit être
passerelles internes et externes à la
suffisamment descriptif pour que les utilisateurs sachent
même configuration, veillez à
l'emplacement de la passerelle à laquelle ils sont connectés.
activer la détection d'hôte interne.
Reportez-vous à l'Étape 3 de la 3. Saisissez le nom de domaine complet ou l'adresse IP de
section Définir les configurations l'interface sur laquelle la passerelle est configurée dans le champ
de client GlobalProtect pour les Adresse. L'adresse que vous spécifiez doit correspondre
instructions. exactement au nom commun (CN) dans le certificat serveur de
•Veillez à ne pas utiliser l'option à la passerelle.
demande comme méthode de 4. (Passerelles externes uniquement) Définissez la Priorité de la
connexion si votre configuration passerelle en cliquant dans le champ et en sélectionnant une
inclut des passerelles internes. valeur :
• Si vous avez une seule passerelle externe, vous pouvez laisser
la valeur définie sur La plus grande (valeur par défaut).
• Si vous avez de multiples passerelles externes, vous pouvez
modifier les valeurs de priorité (allant de La plus grande à La
plus basse) pour indiquer une préférence pour le groupe
d'utilisateurs spécifique auquel cette configuration s'applique.
Par exemple, si vous préférez que le groupe d'utilisateurs se
connecte à une passerelle locale, vous devez définir la priorité
à un niveau plus élevé que celui des passerelles plus éloignées
géographiquement. La valeur de priorité est ensuite utilisée
pour pondérer l'algorithme de sélection de passerelle de
l'agent.
• Si vous ne souhaitez pas que les agents établissent
automatiquement des connexions tunnel avec la passerelle,
sélectionnez Manuelle uniquement. Ce paramètre est utile
pour tester les environnements.
5. (Passerelles externes uniquement) Cochez la case Manuelle si
vous souhaitez autoriser les utilisateurs à passer manuellement
sur la passerelle.

Étape 9 (Facultatif) Définissez toutes les données • Sélectionnez Collecte de données > Vérification personnalisée
de profil d'informations personnalisées puis définissez toutes les données personnalisées que vous
sur l'hôte (HIP) que l'agent devra collecter souhaitez collecter auprès des hôtes dotés de cette configuration de
et/ou exclure des catégories HIP de la client. Pour plus d'informations, reportez-vous à l'étape 2 de la
collecte. section Utiliser les informations sur l'hôte pour la mise en œuvre
des politiques.
Cette étape s'applique uniquement si vous
envisagez d'utiliser la fonction HIP et qu'il • Sélectionnez Collecte de données > Exclure les catégories puis
existe des informations que vous cliquez sur Ajouter pour exclure les catégories spécifiques et/ou
souhaitez collecter qui ne peuvent pas être les fournisseurs, les applications, ou les versions au sein d'une
collectées en utilisant les objets HIP catégorie. Pour plus d'informations, reportez-vous à l'étape 3 de la
standard ou s'il existe des informations section Configurer la mise en œuvre des politiques basées sur HIP.
que vous ne souhaitez pas collecter. Pour
plus d'informations sur la configuration et
l'utilisation de la fonction HIP,
reportez-vous à la section Utiliser les
informations sur l'hôte pour la mise en
œuvre des politiques.
Étape 10 Enregistrez la configuration de client. 1. Cliquez sur OK pour enregistrer les paramètres puis fermez la
boîte de dialogue Configurations.
2. Si vous souhaitez ajouter une autre configuration de client,
répétez l'opération de l'Étape 2 à l'Étape 10.
Étape 11 Arrangez les configurations de client pour • Pour faire remonter une configuration de client dans la liste des
que la configuration appropriée soit configurations, sélectionnez la configuration et cliquez sur
déployée sur chaque agent. Remonter.
Dès qu'un agent se connecte, le portail • Pour faire descendre une configuration de client dans la liste des
compare les informations sources dans le configurations, sélectionnez la configuration et cliquez sur
paquet aux configurations de client que Descendre.
vous avez définies. Comme avec
l'évaluation des règles de sécurité, le
portail recherche une correspondance en
commençant par le sommet de la liste.
Lorsqu'il trouve une correspondance, il
fournit la configuration correspondante à
l'agent/application.
Étape 12 Enregistrez la configuration du portail. 1. Cliquez sur OK pour enregistrer les paramètres et fermer la boîte
de dialogue du portail GlobalProtect.

Personnaliser l'agent GlobalProtect
La configuration de client de portail vous autorise à personnaliser les conditions selon lesquelles vos utilisateurs
finaux interagissent avec les agents GlobalProtect installés sur leurs systèmes ou l'application GlobalProtect
installée sur leurs périphériques mobiles. Vous pouvez définir différents paramètres d'agent pour les différentes
configurations du client GlobalProtect que vous avez créées. Pour plus d'informations sur la configuration
système minimale du client, reportez-vous à la section Quelles sont les versions de système d'exploitation client
Vous pouvez personnaliser :
 Les menus et les affichages auxquels les utilisateurs peuvent accéder.
 Si les utilisateurs peuvent ou non enregistrer leurs mots de passe au sein de l'agent.
 Si les utilisateurs peuvent désactiver l'agent (s'applique à la méthode de pré-connexion par connexion de
l'utilisateur uniquement).
 Si une page d'accueil doit être affichée dès l'ouverture de session. Vous pouvez aussi créer des pages d'accueil
personnalisées et présenter des pages qui orientent vos utilisateurs sur l'utilisation de GlobalProtect au sein
de votre environnement. Reportez-vous à la section Personnaliser les pages Ouverture de session, Bienvenue
et Aide de GlobalProtect.
 Si les mises à niveau logicielles doivent être effectuées automatiquement ou si les utilisateurs doivent être
invités à procéder à la mise à niveau.
Vous pouvez aussi définir les paramètres d'agent directement dans le registre Windows ou le
Plist Mac global. Pour les clients Windows, vous pouvez aussi définir les paramètres d'agent
directement dans le programme d'installation Windows (MSIEXEC). Les paramètres définis dans
les configurations de client de portail sur l'interface Web ont priorité sur les paramètres définis
dans le registre Windows/MSIEXEC ou le Plist Mac. Pour plus d'informations, consultez la
section Déployer les paramètres de l'agent de façon transparente.
Personnaliser l'agent GlobalProtect
Étape 1 Cliquez sur l'onglet Agent dans la 1. Sélectionnez Réseau > GlobalProtect > Portails et sélectionnez la
configuration de client que vous configuration du portail à laquelle vous souhaitez ajouter une
souhaitez personnaliser. configuration de client (ou ajoutez une nouvelle configuration).
2. Sélectionnez Configuration de client, puis sélectionnez la
configuration de client que vous souhaitez modifier (ou ajoutez une
nouvelle configuration).
3. Sélectionnez Agent.

Personnaliser l'agent GlobalProtect (suite)
Étape 2 Définissez ce que les utilisateurs Par défaut, la fonctionnalité de l'agent est complètement activée (ce qui signifie
finaux dotés de cette configuration que toutes les cases sont cochées). Pour supprimer la fonctionnalité, décochez
peuvent faire depuis l'agent. la case correspondant à certaines ou à la totalité des options suivantes :
• Si vous souhaitez que les utilisateurs ne puissent voir que les informations
Les paramètres dans l'onglet
d'état de base provenant de l'intérieur de l'application, décochez la case
Agent peuvent aussi être Activer l'affichage avancé. Par défaut, l'affichage avancé est activé et
configurés dans le client final permet aux utilisateurs finaux de voir des informations détaillées
via la politique de groupe en statistiques, sur l'hôte, et de dépannage et d'effectuer des tâches telles que la
ajoutant les paramètres au modification de leurs mots de passe.
registre Windows/Mac plist.
• Si vous souhaitez masquer l'agent GlobalProtect sur les systèmes des
Sur les systèmes Windows, utilisateurs finaux, décochez la case Afficher l'icône GlobalProtect.
vous pouvez aussi les définir Lorsque cette icône est masquée, les utilisateurs ne peuvent pas effectuer
avec l'utilitaire msiexec par la d'autres tâches, telles que la modification des mots de passe, la redétection
ligne de commande au cours de du réseau, le renvoi des informations sur l'hôte, l'affichage des informations
l'installation de l'agent. de dépannage ou la connexion à la demande. Cependant, les messages de
Toutefois, les paramètres notification HIP, les invites de connexion et les boîtes de dialogue de
définis sur l'interface Web ou la certificat continueront de s'afficher lorsqu'ils sont nécessaires pour
CLI ont priorité sur les l'interaction avec le client.
paramètres du registre/plist. • Décochez la case Autoriser l'utilisateur à modifier le portail de
Reportez-vous à la section l'adresse pour désactiver le champ Portail dans l'onglet Paramètres de
Déployer les paramètres de l'agent GlobalProtect. Comme l'utilisateur peut ensuite définir un portail
l'agent de façon transparente auquel se connecter, vous devez fournir l'adresse du portail par défaut dans
pour plus de détails. le Registre Windows
(HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto
Une autre option pour indiquer Networks\GlobalProtect\PanSetup avec la clé Portal)
si l'agent doit inviter l'utilisateur ou le Plist Mac (/Library/Preferences/com.
final à fournir les informations paloaltonetworks.GlobalProtect.pansetup.plist
d'identification en cas d'échec avec la clé Portal sous le dictionnaire PanSetup). Pour plus
de l'ouverture de session d'informations, consultez la section Déployer les paramètres de l'agent de
unique Windows, est façon transparente.
disponible via la ligne de • Si vous ne souhaitez pas que les utilisateurs puissent enregistrer leurs mots
commande Windows de passe sur l'agent (c'est-à-dire que vous souhaitez les forcer à fournir le
(MSIEXEC) ou le registre mot de passe, soit de façon transparente via l'agent de l'utilisateur soit en en
Windows uniquement. Par saisissant un manuellement, à chaque connexion), décochez la case
défaut, ce paramètre de registre, Autoriser l'utilisateur à enregistrer le mot de passe.
—can-prompt-user- • Pour empêcher les utilisateurs d'effectuer la redétection du réseau, décochez
credential—, est défini la case Activer l'option de redétection du réseau.
sur yes. Pour modifier ce • Pour empêcher les utilisateurs de renvoyer manuellement les données HIP
comportement, vous devez à la passerelle, décochez la case Activer l'option de renvoi du profil de
changer la valeur dans l'hôte. Cette option est activée par défaut, et est utile dans les cas où la
le registre ou pendant politique de sécurité basée sur HIP empêche les utilisateurs d'accéder aux
l'installation de l'agent via ressources, parce qu'elle autorise l'utilisateur à régler les problèmes liés à la
MSIEXEC: conformité sur l'ordinateur et à renvoyer le HIP.
msiexec.exe / • Si vous ne souhaitez pas que l'agent établisse une connexion avec le portail
i GlobalProtect.msi si le certificat du portail n'est pas valide, décochez la case Autoriser
CANPROMPTUSERCREDE l'utilisateur à continuer si le certificat du portail n'est pas valide.
NTIAL="no" N'oubliez pas que le portail fournit la configuration de l'agent uniquement ;
il ne fournit pas l'accès réseau et, par conséquent, la sécurité vers le portail
est moins critique que la sécurité vers la passerelle. Toutefois, si vous avez
déployé un certificat de serveur de confiance pour le portail, la désactivation
de cette option permet d'empêcher les attaques de l'homme du
milieu(HDM).

Étape 3 Indiquez si les utilisateurs peuvent • Pour empêcher les utilisateurs en mode connexion de l'utilisateur de se
se déconnecter de GlobalProtect. déconnecter, sélectionnez désactivé dans la liste déroulante Annuler
l'utilisateur de l'agent.
Cette option s'applique uniquement
aux configurations de client dont la Une autre option spécifiant si l'utilisateur est autorisé à désactiver
Méthode de connexion (dans GlobalProtect sans préciser de motif, est disponible via le Plist
l'onglet Général) est définie sur Mac
connexion de l'utilisateur. En (/Library/Preferences/com.paloaltonetworks.GlobalProtect.setti
mode connexion de l'utilisateur, ngs.plist), la ligne de commande Windows (MSIEXEC) ou le
l'agent se connecte registre Windows. Par défaut, ce paramètre, désactiver-autorisé,
automatiquement à GlobalProtect est défini sur non. Pour modifier ce comportement, vous devez
aussitôt que l'utilisateur ouvre une changer la valeur dans le Plist Mac ou le registre. Vous pouvez
session sur le système. Ce mode est également changer la valeur pendant l'installation de l'agent via
parfois désigné par « connexion MSIEXEC: msiexec.exe /i GlobalProtect.msi
toujours active », c'est pourquoi disable-allowed="yes"
l'utilisateur doit annuler ce • Pour autoriser les utilisateurs à se déconnecter s'ils fournissent un code
comportement afin de se d'activation, sélectionnez avec-code d'activation dans la liste déroulante
déconnecter. Annuler l'utilisateur de l'agent puis saisissez (et confirmez) le Code
Par défaut, les utilisateurs en mode d'activation que les utilisateurs finaux doivent fournir.
connexion de l'utilisateur seront • Pour autoriser les utilisateurs à se déconnecter s'ils fournissent un ticket,
invités à fournir un commentaire sélectionnez avec-ticket dans la liste déroulante Annuler l'utilisateur
afin de se déconnecter (Annuler de l'agent. Dans ce cas, l'action de déconnexion déclenche la génération
l'utilisateur de l'agent défini sur par l'agent d'un numéro de demande. L'utilisateur final doit ensuite
avec commentaire). communiquer le numéro de demande à l'administrateur.
L'administrateur clique alors sur Générer un ticket dans Réseau >
Si l'icône de l'agent n'est pas
GlobalProtect > Portails et saisit le numéro de demande de l'utilisateur
affichée, les utilisateurs ne
pourront pas se déconnecter. final pour générer le ticket. L'administrateur fournit ensuite le ticket à
Reportez-vous à la section l'utilisateur final, qui le saisit dans la boîte de dialogue Désactiver
Étape 2 pour plus de détails. GlobalProtect afin d'activer la déconnexion de l'agent.
• Pour limiter la durée pendant laquelle l'utilisateur peut être déconnecté,

saisissez une valeur (en minutes) dans le champ Délai d'attente pour
annuler l'utilisateur de l'agent. Une valeur (par défaut) de 0 indique
qu'il n'y a pas de restriction de la durée pendant laquelle l'utilisateur peut
rester déconnecté.
• Pour limiter le nombre de fois que l'utilisateur peut se déconnecter,
saisissez une valeur dans le champ Annulations d'utilisateur de l'agent.
Une valeur (par défaut) de 0 indique que la durée de déconnexion de
l'utilisateur n'est pas limitée.

Étape 4 Indiquez comment les mises à niveau Par défaut, le champ Mise à niveau logicielle est défini sur inviter
logicielles GlobalProtect sont l'utilisateur final à procéder à la mise à niveau. Pour modifier ce comportement,
effectuées. sélectionnez l'une des options suivantes :
Si vous souhaitez contrôler le • Si vous souhaitez que les mises à niveau soient exécutées automatiquement
moment où les utilisateurs peuvent sans interaction de l'utilisateur, sélectionnez transparent.
procéder à la mise à niveau, par • Pour empêcher les mises à niveau logicielles, sélectionnez désactiver.
exemple si vous souhaitez tester une
version sur un petit groupe • Pour autoriser les utilisateurs finaux à initier les mises à niveau logicielles,
d'utilisateurs avant de la déployer sur sélectionnez manuel. Dans ce cas, l'utilisateur doit sélectionner Vérifier la
version dans l'agent pour déterminer s'il existe une nouvelle version puis le
tout votre parc d'utilisateurs, vous
pouvez personnaliser le mettre à niveau le cas échéant. Notez que cette option ne fonctionnera pas
comportement de mise à niveau si l'agent GlobalProtect est masqué pour l'utilisateur. Reportez-vous à la
logicielle sur la base d'une section Étape 2 pour plus de détails.
configuration par client. Dans ce cas,
vous pouvez créer une configuration
qui s'applique aux utilisateurs de votre
groupe TI uniquement pour les
autoriser à procéder à la mise à niveau
et à tester et désactiver la mise à
niveau dans toutes les autres
configurations d'utilisateur/groupe.
Puis, après avoir complètement testé
la nouvelle version, vous pouvez
modifier les configurations logicielles
pour le reste de vos utilisateurs et les
autoriser à procéder à la mise à
niveau.
Étape 5 Indiquez si une page d'accueil doit Par défaut, l'indication « uniquement lorsque la connexion de l'agent avec
être affichée dès l'ouverture de GlobalProtect est établie » est un message bulle qui s'affiche dans la zone de
session. notification/barre de menus. Vous pouvez aussi opter pour l'affichage d'une
page d'accueil dans le navigateur du client dès l'ouverture de session de la
Une page d'accueil peut être une
manière suivante :
étape utile pour diriger les utilisateurs
1. Cochez la case Afficher la page d'accueil.
vers les ressources internes auxquelles
ils peuvent accéder uniquement 2. Sélectionnez la Page d'accueil à afficher dans la liste déroulante. Par
lorsqu'ils sont connectés à défaut, il n'existe pas de page d'accueil nommée Page interne par
GlobalProtect, telles que votre défaut. Toutefois, vous pouvez définir une ou plusieurs pages d'accueil
Intranet ou d'autres serveurs internes. personnalisées qui fournissent des informations spécifiques à vos
utilisateurs, ou à un groupe spécifique d'utilisateurs (en fonction de la
configuration du portail qui sera déployée). Pour plus d'informations sur
la création de pages personnalisées, reportez-vous à la section
Personnaliser les pages Ouverture de session, Bienvenue et Aide de
GlobalProtect.
Étape 6 Enregistrez les paramètres de 1. Si vous avez fini la création des configurations de client, cliquez sur OK
configuration logicielle. pour fermer la boîte de dialogue Configurations. Sinon, pour obtenir des
instructions pour terminer les configurations de client, retournez à la
section Définir les configurations de client GlobalProtect.
2. Si vous avez fini de configurer le portail, cliquez sur OK pour fermer la
boîte de dialogue Portail GlobalProtect.
3. Lorsque vous avez terminé la configuration du portail, Validez les
modifications.

Personnaliser les pages Ouverture de session, Bienvenue et Aide de

GlobalProtect
GlobalProtect fournit les pages Ouverture de session, Accueil, et/ou Aide par défaut. Toutefois, vous pouvez
créer vos propres pages personnalisées avec votre marque d'entreprise, les politiques d'utilisation acceptables, et
les liens vers vos ressources internes.
Vous pouvez également Désactiver l'accès navigateur à la page d'ouverture de session

du portail pour empêcher les tentatives non autorisées d'authentification au portail
GlobalProtect (Réseau > GlobalProtect > Portails > Configuration de portail). Lorsque la
page d'ouverture de session du portail est désactivée, vous pouvez alors utiliser un outil de
distribution logicielle tel que System Center Configuration Manager (SCCM) de Microsoft, pour
permettre aux utilisateurs de télécharger et d'installer l'agent GlobalProtect.
Personnaliser la page Ouverture de session sur le portail
Étape 1 Exportez la page d'ouverture de session 1. Sélectionnez Device > Pages de réponse.
du portail par défaut. 2. Sélectionnez le lien Page d'ouverture de session sur le portail
GlobalProtect.
3. Sélectionnez la page prédéfinie Par défaut et cliquez sur
Exporter.
Étape 2 Modifiez la page exportée. 1. À l'aide de l'éditeur de texte HTML de votre choix, modifiez la
page.
2. Si vous souhaitez modifier le logo qui est affiché, hébergez le
nouveau logo sur le serveur Web qui est accessible par les clients
GlobalProtect distants. Par exemple, modifiez la ligne suivante
dans l'éditeur HTML pour pointer le nouveau logo :
<img src="http://cdn.slidesharecdn.com/
Acme-logo-96x96.jpg?1382722588"/>
3. Enregistrez la page modifiée avec un nouveau nom de fichier.
Veillez à ce que la page conserve son codage UTF-8.
Étape 3 Importez la nouvelle page d'ouverture de 1. Sélectionnez Device > Pages de réponse.
session. 2. Sélectionnez le lien Page d'ouverture de session sur le portail
GlobalProtect.
3. Cliquez sur Importer puis saisissez le chemin et le nom de
fichier dans le champ Importer le fichier ou Naviguez pour
trouver le fichier.
4. (Facultatif) Sélectionnez le système virtuel sur lequel cette page
d'ouverture de session sera utilisée dans la liste déroulante
Destination ou sélectionnez Partagée pour la rendre disponible
pour tous les systèmes virtuels.
5. Cliquez sur OK pour importer le fichier.

Personnaliser la page Ouverture de session sur le portail (suite)
Étape 4 Configurez le portail pour utiliser la 1. Sélectionnez Réseau > GlobalProtect > Portails et sélectionnez
nouvelle page d'ouverture de session. le portail auquel vous souhaitez ajouter la page d'ouverture de
session.
2. Dans l'onglet Configuration du portail, sélectionnez la nouvelle
page dans la liste déroulante Page d'ouverture de session
personnalisée.
3. Cliquez sur OK pour enregistrer la configuration de client.
Étape 5 Vérifiez que la nouvelle page d'ouverture Dans le navigateur, accédez à l'URL de votre portail (assurez-vous
de session s'affiche. d'ajouter le numéro de port 4443 à la fin de l'URL ; sinon, vous serez
dirigé vers l'interface Web pour le pare-feu). Par exemple, saisissez
https://myportal à la place de https://myportal:4443.
La page d'ouverture de session du portail s'affiche.

Déployer le logiciel client GlobalProtect Configurer l'infrastructure GlobalProtect
Déployer le logiciel client GlobalProtect

Pour se connecter à GlobalProtect, un hôte final doit utiliser le logiciel client GlobalProtect. La méthode de
déploiement du logiciel dépend des types de client suivants :
 Hôtes Mac OS et Microsoft Windows : Exige le logiciel GlobalProtect, qui est distribué par le portail
GlobalProtect. Pour activer la distribution du logiciel, vous devez télécharger la version que les hôtes dans
votre réseau devront utiliser pour le pare-feu hébergeant votre portail GlobalProtect, puis activer le logiciel
à télécharger. Pour obtenir des instructions sur le téléchargement et l'activation du logiciel sur le pare-feu,
reportez-vous à la section Déployer l'agent logiciel GlobalProtect.
 Périphériques iOS et Android : Exige l'application GlobalProtect. Comme avec les autres applications sur
les périphériques mobiles, l'utilisateur final doit télécharger l'application GlobalProtect soit via Apple
AppStore (périphériques iOS) soit via Google Play (périphériques Android). Télécharger et installer
l'application mobile GlobalProtect.
Pour plus d'informations, reportez-vous à la section Quelles sont les versions de système d'exploitation client
Déployer l'agent logiciel GlobalProtect
Il existe plusieurs modes pour déployer le logiciel GlobalProtect :
 Directement via le portail : Téléchargez le logiciel sur le pare-feu hébergeant le portail et activez-le pour
que les utilisateurs finaux puissent installer les mises à jour logicielles lorsqu'ils se connectent au portail. Cette
option procure une grande flexibilité en ce qu'elle vous autorise à contrôler comment et à quel moment les
utilisateurs finaux reçoivent les mises à jour basées sur les paramètres de configuration de client que vous
définissez pour chaque utilisateur, groupe, et/ou système d'exploitation. Toutefois, si un grand nombre
d'agents exigent des mises à jour, cela pourrait alourdir la charge confiée à votre portail. Pour obtenir des
instructions, reportez-vous à la section Héberger les mises à jour logicielles sur le portail.
 Sur un serveur Web : Si un grand nombre de vos hôtes ont besoin de mettre à niveau l'agent simultanément,
songez à héberger les mises à jour logicielles sur un serveur Web pour réduire la charge confiée au pare-feu.
Pour obtenir des instructions, reportez-vous à la section Héberger les mises à jour de l'agent logiciel sur un
serveur Web.
 Mode transparent par la ligne de commande : Pour les clients Windows, vous pouvez déployer
automatiquement les paramètres d'agent dans le programme d'installation Windows (MSIEXEC). Toutefois,
pour mettre à niveau avec une version logicielle ultérieure à l'aide de MSIEXEC, vous devez d'abord
désinstaller l'agent existant. En outre, MSIEXEC autorise le déploiement des paramètres logiciels
directement sur les systèmes clients en définissant les valeurs dans le registre Windows ou le Plist Mac.
Reportez-vous à la section Déployer les paramètres de l'agent de façon transparente.
 Utilisation de règles de politique de groupe : Dans les environnements Active Directory, l'Agent
GlobalProtect peut aussi être distribué chez les utilisateurs finaux, en ayant recours à une stratégie de groupe
Active Directory. Les stratégies de groupe AD autorisent la modification des paramètres de l'ordinateur hôte
et du logiciel Windows automatiquement. Consultez l'article disponible à l'adresse
http://support.microsoft.com/kb/816102 pour obtenir d'autres informations sur l'utilisation des stratégies
de groupe AD pour distribuer automatiquement des programmes à des ordinateurs hôtes ou utilisateurs.

Configurer l'infrastructure GlobalProtect Déployer le logiciel client GlobalProtect
Héberger les mises à jour logicielles sur le portail
Le moyen le plus simple pour déployer l'agent logiciel GlobalProtect consiste à télécharger la nouvelle offre
groupée d'installation logicielle sur le pare-feu qui héberge votre portail puis à activer le logiciel pour le
télécharger sur les agents qui se connectent au portail. Pour procéder automatiquement, le pare-feu doit avoir
un itinéraire de service qui l'autorise à accéder au serveur de mise à jour Palo Alto Networks. Si le pare-feu n'a
pas accès à Internet, vous pouvez télécharger manuellement le progiciel sur le site de support Mises à jour
logicielles de Palo Alto Networks en utilisant un ordinateur connecté à Internet puis le transférer sur le pare-feu.
Vous définissez les conditions selon lesquelles les mises à jour logicielles sont déployées dans les configurations
de client que vous définissez sur le portail : si elles doivent arriver automatiquement quand l'agent logiciel se
connecte au portail, si l'utilisateur doit être invité à mettre à niveau l'agent, ou si l'utilisateur final peut
manuellement vérifier et télécharger une nouvelle version logicielle. Pour plus d'informations sur la création
d'une configuration de client, reportez-vous à la section Définir les configurations de client GlobalProtect.
Héberger l'agent GlobalProtect sur le portail
Étape 1 Lancez l'interface Web sur le pare-feu Sélectionnez Périphérique > Client GlobalProtect.
hébergeant le portail GlobalProtect et
accédez à la page Client GlobalProtect.
Étape 2 Vérifiez les nouvelles images du logiciel. • Si le pare-feu a accès au serveur de mises à jour, cliquez sur Vérifier
maintenant pour rechercher les dernières mises à jour. Si la valeur
figurant dans la colonne Action est Télécharger, une mise à jour
est disponible.
• Si le pare-feu n'a pas accès au serveur de mises à jour, accédez au
site de support Palo Alto Networks Mises à jour logicielles et
téléchargez le fichier sur votre ordinateur. Puis retournez au
pare-feu pour Télécharger manuellement le fichier.
Étape 3 Téléchargez l'image de l'agent logiciel. Localisez la version logicielle souhaitée, puis cliquez sur
Télécharger. Une fois le téléchargement terminé, la valeur figurant
Si votre pare-feu ne dispose d'aucun
dans la colonne Action passe à Activer.
accès Internet à partir du port de
gestion, vous pouvez télécharger la mise à Si vous avez téléchargé manuellement l'agent logiciel comme
jour logicielle sur le site de support de décrit en détail à l'Étape 2, la colonne Action ne sera pas mise
Palo Alto Networks à jour. Continuez jusqu'à l'étape suivante pour obtenir les
(https://support.paloaltonetworks.com). instructions sur l'activation d'une image qui a été
Vous pouvez ensuite Télécharger manuellement téléchargée.
manuellement la mise à jour sur votre
pare-feu puis l'activer en cliquant sur
Activer depuis le fichier.

Héberger l'agent GlobalProtect sur le portail (suite)
Étape 4 Activez l'image de l'agent logiciel pour • Si vous avez téléchargé l'image automatiquement depuis le serveur
que les utilisateurs finaux puissent la de mises à jour, cliquez sur Activer.
télécharger depuis le portail.
• Si vous avez téléchargé manuellement l'image sur le pare-feu,
Une seule version de l'image du cliquez sur Activer depuis le fichier puis sélectionnez le Client de
logiciel peut être activée à la fois. Si fichier GlobalProtect que vous avez téléchargé depuis la liste
vous activez une nouvelle version, déroulante. Cliquez sur OK pour activer l'image sélectionnée. Vous
mais que certains de vos agents aurez peut-être besoin de rafraîchir l'écran avant que la version
exigent une version précédemment s'affiche comme étant Actuellement activée.
activée, vous devrez réactiver la
version requise afin d'autoriser son
téléchargement.
Héberger les mises à jour de l'agent logiciel sur un serveur Web
Si un grand nombre de vos systèmes clients ont besoin d'installer et/ou de mettre à jour l'agent logiciel
GlobalProtect, songez à héberger les images de l'agent logiciel GlobalProtect sur un serveur Web externe. Cela
permet de réduire la charge confiée au pare-feu quand les utilisateurs se connectent pour télécharger l'agent
logiciel. Pour utiliser cette fonction, le pare-feu hébergeant le portail doit utiliser PAN-OS 4.1.7 ou supérieur.
Héberger les images de l'agent logiciel GlobalProtect sur un serveur Web
Étape 1 Téléchargez la version de l'agent Suivez les étapes pour télécharger et activer l'agent logiciel sur le
GlobalProtect que vous envisagez pare-feu comme décrit dans la section Héberger l'agent
d'héberger sur le serveur Web sur le GlobalProtect sur le portail.
pare-feu et activez-la.
Étape 2 Téléchargez l'image de l'agent logiciel Dans le navigateur, accédez au site de support Palo Alto Networks
GlobalProtect que vous souhaitez Mises à jour logicielles et Téléchargez le fichier sur votre ordinateur.
héberger sur votre serveur Web.
Vous devrez télécharger cette même
image que vous avez activée sur le portail.
Étape 3 Publiez les fichiers sur votre serveur Web. Téléchargez le(s) fichier(s) d'image sur votre serveur Web.
Étape 4 Redirigez les utilisateurs finaux vers le Sur le pare-feu hébergeant le portail, ouvrez une session sur la CLI
serveur Web. et saisissez les commandes en mode opérationnel suivantes :
> set global-protect redirect on
> set global-protect redirect location <path>
où <path> est le chemin de l'URL jusqu'au dossier hébergeant
l'image, par exemple https://acme/GP.
Étape 5 Testez la redirection. 1. Lancez votre navigateur Web et accédez à l'URL suivante :
https://<portal address or name>
Par exemple, https://gp.acme.com.
2. Sur la page d'ouverture de session du portail, saisissez vos Nom
et Mot de passe d'utilisateur puis cliquez sur Ouvrir une
session. Dès l'ouverture de la session, le portail doit vous
rediriger pour le téléchargement.

Tester l'installation de l'agent
Utilisez la procédure suivante pour tester l'installation de l'agent.
Tester l'installation de l'agent
Étape 1 Créez une configuration de client pour Selon la procédure recommandée, vous créez une configuration de
tester l'installation de l'agent. client qui est limitée à un petit groupe d'utilisateurs, tel que les
administrateurs dans le service des technologies de l'information
Lors de l'installation initiale de
responsables de l'administration du pare-feu :
l'agent logiciel GlobalProtect sur le
1. Sélectionnez Réseau > GlobalProtect > Portails puis choisissez
système client, l'utilisateur final doit
la configuration du portail à modifier.
être connecté au système utilisant
un compte doté de privilèges 2. Sélectionnez l'onglet Configuration de client et soit
administratifs. Les mises à jour sélectionnez une configuration existante soit cliquez sur Ajouter
logicielles ultérieures n'exigent pas pour ajouter une nouvelle configuration à déployer sur le groupe
de privilèges administratifs. d'utilisateurs test.
3. Dans l'onglet Utilisateur/groupe d'utilisateurs, cliquez sur
Ajouter dans la section Utilisateur/Groupe d'utilisateurs puis
sélectionnez l'utilisateur ou le groupe qui procédera aux tests de
l'agent.
4. Dans l'onglet Agent logiciel, vérifiez que le champ Mise à
niveau logicielle est bien défini sur inviter puis cliquez sur OK
pour enregistrer la configuration.
5. (Facultatif) Sélectionnez la configuration de client que vous
venez juste de créer/modifier et cliquez sur Remonter pour
qu'elle se retrouve devant toutes les autres configurations plus
génériques que vous avez créées.
Étape 2 Connectez-vous au portail GlobalProtect. 1. Lancez votre navigateur Web et accédez à l'URL suivante :
https://<portal address or name>
Par exemple, https://gp.acme.com.
2. Sur la page d'ouverture de session du portail, saisissez vos Nom
et Mot de passe d'utilisateur puis cliquez sur Ouvrir une
session.

Tester l'installation de l'agent (suite)
Étape 3 Téléchargez l'agent. 1. Cliquez sur le lien qui correspond au système d'exploitation que
vous utilisez sur votre ordinateur pour commencer le
téléchargement.
2. Lorsque vous êtes invité à utiliser ou enregistrer le logiciel,

cliquez sur Utiliser.
3. Lorsque vous y êtes invité, cliquez sur Utiliser pour lancer
l'Assistant de configuration GlobalProtect.
Lors de l'installation initiale de l'agent logiciel
GlobalProtect sur le système client, l'utilisateur final doit
être connecté au système utilisant un compte doté de
privilèges administratifs. Les mises à jour logicielles
ultérieures n'exigent pas de privilèges administratifs.
Étape 4 Terminez la configuration de l'agent 1. Dans l'Assistant de configuration GlobalProtect, cliquez sur
logiciel GlobalProtect. Suivant.
2. Cliquez sur Suivant pour accepter le dossier d'installation par
défaut
(C:\Program Files\Palo Alto Networks\GlobalProtect)
ou Naviguez pour choisir un nouvel emplacement puis cliquez
sur Suivant deux fois.
3. Dès la fin de l'installation, cliquez sur Fermer. L'agent logiciel
GlobalProtect démarrera automatiquement.

Tester l'installation de l'agent (suite)
Étape 5 Ouvrez une session sur GlobalProtect. Lorsque vous y êtes invité, saisissez vos Nom d'utilisateur et Mot de
passe puis cliquez sur Appliquer. Si l'authentification est réussie,
l'agent logiciel se connectera à GlobalProtect. Utilisez l'agent logiciel
pour accéder aux ressources sur le réseau d'entreprise ainsi qu'aux
ressources externes, comme vous l'avez défini dans les politiques de
sécurité correspondantes.
Pour déployer l'agent logiciel chez les utilisateurs finaux, créez des
configurations de client pour les groupes d'utilisateurs pour lesquels
vous souhaitez autoriser l'accès et définissez les paramètres de Mise
à niveau logicielle conformément puis communiquez l'adresse du
portail. Pour plus d'informations sur le paramétrage des
configurations de client, reportez-vous à la section Définir les
configurations de client GlobalProtect.
Télécharger et installer l'application mobile GlobalProtect
L'application GlobalProtect fournit un moyen simple d'élargir les politiques de sécurité d'entreprise aux
périphériques mobiles. Comme avec les autres hôtes distants utilisant l'agent logiciel GlobalProtect, l'application
mobile fournit un accès sécurisé à votre réseau d'entreprise sur un tunnel IPSec ou VPN SSL. L'application se
connectera automatiquement à la passerelle qui est la plus proche de l'emplacement actuel de l'utilisateur final.
En outre, le trafic vers et depuis le périphérique mobile est automatiquement soumis à la mise en œuvre de la
même politique de sécurité que les autres hôtes sur votre réseau d'entreprise. Comme l'agent logiciel
GlobalProtect, l'application collecte des informations sur la configuration de l'hôte et peut utiliser ces
informations pour la mise en œuvre d'une politique de sécurité basée sur HIP renforcée.
Pour une solution de sécurité de périphérique mobile plus complète, vous pouvez également exploiter le
Gestionnaire de sécurité mobile GlobalProtect. Ce service permet le provisionnement automatisé des
configurations de périphérique mobile, la mise en œuvre de la conformité aux règles de sécurité des
périphériques, et la gestion centralisée et la visibilité de l'ensemble des périphériques mobiles qui accèdent à
votre réseau. En outre, le Gestionnaire de sécurité mobile GlobalProtect s'intègre de façon transparente avec
les autres services GlobalProtect sur votre réseau, autorisant un accès sécurisé à vos ressources réseau depuis
n'importe quel emplacement et la mise en œuvre d'une politique granulaire basée sur les profils HIP. Pour plus
de détails, reportez-vous à la section Configurer le Gestionnaire de sécurité mobile GlobalProtect.

Utilisez la procédure suivante pour installer l'application mobile GlobalProtect.
Tester l'installation de l'application
Étape 1 Créez une configuration de client pour Selon la procédure recommandée, vous créez une configuration de
tester l'installation de l'application. client qui est limitée à un petit groupe d'utilisateurs, tel que les
responsables de l'administration du pare-feu :
1. Sélectionnez Réseau > GlobalProtect > Portails puis choisissez
la configuration du portail à modifier.
2. Sélectionnez l'onglet Configuration de client et soit
sélectionnez une configuration existante soit cliquez sur Ajouter
pour ajouter une nouvelle configuration à déployer sur le groupe
d'utilisateurs test.
3. Dans l'onglet Utilisateur/groupe d'utilisateurs, cliquez sur
Ajouter dans la section Utilisateur/Groupe d'utilisateurs puis
sélectionnez l'utilisateur ou le groupe qui procédera aux tests de
l'agent.
4. Dans la section Système d'exploitation, sélectionnez
l'application que vous testez (iOS ou Android).
5. (Facultatif) Sélectionnez la configuration de client que vous
venez juste de créer/modifier et cliquez sur Remonter pour
qu'elle se retrouve devant toutes les autres configurations plus
Étape 2 Depuis le périphérique mobile, suivez les • Sur les périphériques Android, cherchez l'application sur
invites de commande pour télécharger et Google Play
installer l'application.
• Sur les périphériques iOS, cherchez l'application sur AppStore

Tester l'installation de l'application (suite)
Étape 3 Lancez l'application. Dès la fin de l'installation, l'icône de l'application GlobalProtect

s'affiche sur l'écran Accueil du périphérique. Pour lancer
l'application, effleurez l'icône. Lorsque vous êtes invité à activer la
fonctionnalité VPN GlobalProtect, effleurez le bouton OK.
Étape 4 Connectez-vous au portail. 1. Lorsque vous y êtes invité, saisissez le nom ou l'adresse du
Portail, le Nom d'utilisateur, et le Mot de passe. Le nom du
portail doit être un nom de domaine complet (FQDN) et il ne
doit pas inclure la partie https:// au début.
2. Effleurez la commande Connecter et vérifiez que l'application a

bien établi une connexion VPN avec GlobalProtect.
Si le Gestionnaire de sécurité mobile GlobalProtect est
configuré, l'application vous invitera au recrutement. Pour plus
d'informations sur la vérification de cette configuration,
reportez-vous à la section Vérifier la configuration du
gestionnaire de sécurité mobile.

Déployer les paramètres de l'agent de façon transparente Configurer l'infrastructure GlobalProtect
Déployer les paramètres de l'agent de façon transparente

Selon une autre procédure possible pour le déploiement des paramètres de l'agent logiciel à partir de la configuration
du portail, vous pouvez les définir directement dans le registre Windows ou le Plist Mac global ou, sur les clients
Windows uniquement, dans le programme d'installation MSIEXEC. L'avantage de cette procédure est qu'elle active
le déploiement des paramètres de l'agent GlobalProtect sur les systèmes clients avant leur première connexion au
portail GlobalProtect.
Les paramètres définis dans la configuration du portail annulent toujours les paramètres définis dans le registre
Windows ou le Plist Mac. Cela signifie que si vous définissez les paramètres dans le registre ou le Plist, mais que la
configuration du portail indique des paramètres différents, les paramètres que l'agent reçoit du portail annuleront les
paramètres définis sur le système client. Il s'agit notamment des paramètres d'ouverture de session tels que : faut-il se
connecter à la demande, faut-il utiliser l'ouverture de session unique, et l'agent peut-il se connecter si le certificat de
portail n'est pas valide. Par conséquent, veillez à ne pas définir de paramètres contradictoires. En outre, la
configuration du portail est mise en cache sur le système client et cette configuration mise en cache sera utilisée si
l'agent logiciel GlobalProtect est redémarré ou si la machine est réamorcée.
Les sections suivantes décrivent les paramètres de l'agent à personnaliser disponibles et comment déployer ces
paramètres en toute transparence sur des clients Windows et Mac :
 Paramètres de l'agent à personnaliser
 Déployer les paramètres de l'agent sur des clients Windows
 Déployer les paramètres de l'agent sur des clients Mac
Outre l'utilisation du registre Windows et du Plist Mac pour déployer des paramètres d'agent
GlobalProtect, vous pouvez autoriser l'agent GlobalProtect à collecter des informations de
registre Windows ou de Plist Mac spécifique sur les clients, notamment des données sur les
applications installées sur les clients, les processus exécutés sur les clients et les attributs ou
propriétés de ces applications et processus. Vous pouvez ensuite surveiller les données et les
ajouter à une règle de sécurité en tant que critères de correspondance. Le trafic de périphérique
correspondant à certains paramètres de registre que vous avez définis peut être mis en œuvre
conformément à la règle de sécurité. Configurez des vérifications personnalisées pour Collecter
des données d'application et de processus sur des clients.
Paramètres de l'agent à personnaliser
En plus de pré-déployer l'adresse du portail, vous pouvez aussi définir les paramètres de configuration de l'agent
logiciel. Le Tableau : Paramètres de l'agent à personnaliser décrit chaque paramètre de l'agent à personnaliser.
Les paramètres définis dans la configuration de client du portail GlobalProtect ont priorité sur les paramètres
définis dans le registre Windows ou le Plist Mac.
À l'exception du paramètre d'activation de l'ouverture de session unique, les autres paramètres

ne disposent pas de paramètres de configuration de portail correspondants sur l'interface Web,
et doivent être configurés à l'aide du registre Windows ou de MSIEXEC. Ces paramètres incluent
les suivants : disable-allowed, certificate-store-lookup,
can-prompt-user-credential, wrap-cp-guid et filter-non-gpcp.

Configurer l'infrastructure GlobalProtect Déployer les paramètres de l'agent de façon transparente
Tableau : Paramètres de l'agent à personnaliser
Configuration de client du Registre Windows/ Plist Mac Paramètre MSIEXEC Par défaut
portail
Activer la vue avancée enable-advanced-view yes | no ENABLEADVANCEDVIEW=”yes|no” oui
Afficher l'icône GlobalProtect show-agent-icon yes | no SHOWAGENTICON=”yes|no” oui
Autoriser l'utilisateur à can-change-portal yes | no CANCHANGEPORTAL=”yes|no” oui
modifier l'adresse du portail
Autoriser l'utilisateur à can-save-password yes | no CANSAVEPASSWORD=”yes|no” oui
enregistrer le mot de passe
Activer l'option de redétection rediscover-network yes | no REDISCOVERNETWORK=”yes|no” oui
des réseaux
Activer l'option Envoyer de resubmit-host-info yes | no RESUBMITHOSTINFO=”yes|no” oui
nouveau le profil de l'hôte
Autoriser l'utilisateur à can-continue-if-portal-cert- CANCONTINUEIFPORTALCERTINVALID= oui

invalid yes | no ”yes|no”
continuer si le certificat du
serveur de portail n'est pas
valide
Intervalle d'actualisation de la refresh-config-interval <hours> REFRESHCONFIGINTERVAL=”<hours>” 24
configuration (heures)
Connecter la méthode connect-method on-demand | CONNECTMETHOD=”on-demand|pre-logon user-logon

pre-logon | user-logon |user-logon”
Pas sur le portail disable-allowed yes | no DISABLEALLOWED="yes|no" non
Ce paramètre permet à
l'utilisateur de désactiver
GlobalProtect sans fournir de
commentaire.
Pas sur le portail certificate-store-lookup user | CERTIFICATESTORELOOKUP="user|machi user and

machine | user and machine | ne|user and machine|invalid" machine
Ce paramètre indique le type de invalid
certificat que GlobalProtect

recherchera dans le magasin de
certificats personnel et utilisera
pour s'authentifier et établir le
tunnel VPN vers la passerelle
GlobalProtect.
Utiliser l'ouverture de session use-sso yes | no USESSO=”yes|no” oui
unique
(Windows uniquement)

Configuration de client du Registre Windows/ Plist Mac Paramètre MSIEXEC Par défaut
portail
Windows uniquement/pas can-prompt-user-credential yes CANPROMPTUSERCREDENTIAL=”yes|no” oui

| no
sur le portail
Ce paramètre est utilisé en
association avec l'ouverture de
session unique et indique s'il faut
inviter l'utilisateur à fournir des
informations d'identification en
cas d'échec de l'ouverture de
session unique.
Windows uniquement/pas wrap-cp-guid {GUID de WRAPCPGUID=”{valeur_GUID]” non

fournisseur d'informations FILTERNONGPCP=”yes|no”
sur le portail d'identification indépendantes}
Ce paramètre filtre la fenêtre du

fournisseur d'informations
d'identification indépendantes
dans la page de connexion
Windows de sorte que seule la
fenêtre Windows native
s'affiche.*
Windows uniquement/pas filter-non-gpcp no
sur le portail
Ce paramètre est une option
supplémentaire pour le
paramètre wrap-cp-guid, et
autorise l'affichage de la fenêtre
du fournisseur d'informations
sur la page de connexion
Windows, en plus de la fenêtre de
connexion Windows native.*
* Pour des étapes plus détaillées sur l'activation de ces paramètres à l'aide du registre Windows ou de Windows Installer (MSIEXEC),
reportez-vous à la section Englobement de l'ouverture de session unique pour les fournisseurs d'informations d'identification indépen-
dantes sur les clients Windows.

Déployer les paramètres de l'agent sur des clients Windows
Utilisez le registre Windows ou Windows Installer (MSIEXEC) pour déployer l'agent GlobalProtect et ses
paramètres de manière transparente sur des clients Windows.
 Déployer les paramètres d'agent dans le registre Windows
 Déployer les paramètres de l'agent via MSIEXEC
 Englobement de l'ouverture de session unique pour les fournisseurs d'informations d'identification
indépendantes sur les clients Windows
Déployer les paramètres d'agent dans le registre Windows
Vous pouvez activer le déploiement des paramètres de l'agent GlobalProtect sur les systèmes clients Windows
avant leur première connexion au portail GlobalProtect à l'aide du registre Windows. Utilisez les options décrites
dans le tableau suivant pour personnaliser des paramètres de l'agent pour clients Windows à l'aide du registre
Windows.
Outre l'utilisation du registre Windows pour déployer les paramètres de l'agent GlobalProtect,
vous pouvez autoriser l'agent GlobalProtect à collecter des informations de registre Windows
spécifiques sur les clients Windows. Vous pouvez ensuite surveiller les données et les ajouter à
une règle de sécurité en tant que critères de correspondance. Le trafic de périphérique
correspondant à certains paramètres de registre que vous avez définis peut être mis en œuvre
conformément à la règle de sécurité. Configurez des vérifications personnalisées pour Collecter
des données d'application et de processus sur des clients.
Utiliser le registre Windows pour déployer les paramètres d'agent GlobalProtect
• Recherchez les paramètres de personnalisation de Ouvrez le registre Windows (saisissez regedit dans l'invite de
l'agent GlobalProtect dans le registre Windows. commande) et accédez à :
HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto
Networks\GlobalProtect\Settings\

Utiliser le registre Windows pour déployer les paramètres d'agent GlobalProtect
• Définissez le nom du portail. Si vous ne souhaitez pas que l'utilisateur puisse saisir manuellement
l'adresse du portail même pour la première connexion, vous pouvez
pré-déployer l'adresse du portail via le registre Windows :
(HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\
GlobalProtect\PanSetup with key Portal).
• Déployez divers paramètres sur le client Windows à Consultez le Tableau : Paramètres de l'agent à personnaliser pour la
partir du registre Windows, notamment la liste complète des commandes et des valeurs que vous pouvez définir à
configuration de la méthode de connexion de l'aide du registre Windows.
l'agent GlobalProtect et l'activation de l'ouverture
de session unique.
• Permettez à l'agent GlobalProtect d'englober des Activer l'englobement d'ouverture de session unique pour les
informations d'identification indépendantes sur le informations d'identification indépendantes avec le registre
client Windows, autorisant ainsi l'ouverture de Windows.
session unique même si un fournisseur
d'informations d'identification indépendantes est
utilisé.
Déployer les paramètres de l'agent via MSIEXEC
Sur les clients Windows, vous avez l'option de déployer à la fois l'agent logiciel et les paramètres
automatiquement depuis le programme d'installation Windows (MSIEXEC) en utilisant la syntaxe suivante :
msiexec.exe /i GlobalProtect.msi <SETTING>="<value>"
Par exemple, pour empêcher les utilisateurs de se connecter au portail si le certificat n'est pas valide, vous devez
modifier le paramétrage de la manière suivante :
msiexec.exe /i GlobalProtect.msi CANCONTINUEIFPORTALCERTINVALID="no"
Pour une liste complète des paramètres et des valeurs correspondantes par défaut, reportez-vous à la section
Tableau : Paramètres de l'agent à personnaliser.
Pour configurer l'agent GlobalProtect pour qu'il englobe les informations d'identification
indépendantes sur un client Windows à partir de MSIEXEC, reportez-vous à la section Activer
l'englobement d'ouverture de session unique pour les informations d'identification indépendantes
avec Windows Installer.

Englobement de l'ouverture de session unique pour les fournisseurs d'informations

d'identification indépendantes sur les clients Windows
Avec l'ouverture de session unique, l'agent GlobalProtect englobe les informations d'identification de
connexion Windows de l'utilisateur pour s'authentifier et se connecter automatiquement au
portail GlobalProtect et à la passerelle. L'ouverture de session unique a été améliorée dans cette version de sorte
que, lorsqu'un fournisseur d'informations d'identification indépendantes est utilisé pour englober les
informations d'identification de connexion Windows de l'utilisateur, l'agent GlobalProtect puisse également
englober les informations d'identification indépendantes. Lorsque cette fonction est activée, les utilisateurs
peuvent s'authentifier à Windows, à GlobalProtect et au fournisseur d'informations d'identification
indépendantes simultanément, à l'aide de leurs informations d'identification de connexion Windows qu'ils
utilisent pour se connecter à leur système Windows. Cette fonction d'ouverture de session unique étendue est
prise en charge sur les clients Windows 7 et Windows Vista.
Utilisez le registre Windows ou Windows Installer pour permettre à GlobalProtect d'englober les informations
d'identification indépendantes :
 Activer l'englobement d'ouverture de session unique pour les informations d'identification
indépendantes avec le registre Windows
 Activer l'englobement d'ouverture de session unique pour les informations d'identification
indépendantes avec Windows Installer
L'englobement d'ouverture de session unique de GlobalProtect pour les fournisseurs

d'informations d'identification (CP) indépendantes dépend des paramètres du CP indépendant
et, dans certains cas, il peut ne pas fonctionner correctement si la mise en œuvre du CP
indépendant ne permet pas à GlobalProtect d'englober son CP.
Activer l'englobement d'ouverture de session unique pour les informations d'identification

indépendantes avec le registre Windows
Utilisez les étapes suivantes dans le registre Windows pour permettre à l'ouverture de session unique d'englober
les informations d'identification indépendantes sur les clients Windows 7 et Windows Vista.

Utiliser le registre Windows pour activer l'englobement d'ouverture de session unique pour les informations
Étape 1 Ouvrez le registre Windows et 1. Dans l'invite de commande, saisissez la commande regedit
recherchez l'identifiant unique global pour ouvrir le registre Windows.
(GUID) du fournisseur d'informations 2. Recherchez les fournisseurs d'informations d'identification
d'identification indépendantes que vous actuellement installés à l'emplacement suivant :
souhaitez englober.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Authentication\Credential Providers.
3. Copiez la clé GUID du fournisseur d'informations
d'identification que vous souhaitez englober (accolades incluses,
{ et } , avant et après le GUID) :

d'identification indépendantes (suite)
Étape 2 Activez l'englobement d'ouverture de 1. Accédez à l'emplacement du registre Windows suivant :

session unique pour les fournisseurs HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\
d'informations d'identification GlobalProtect :
indépendantes en ajoutant le paramètre
wrap-cp-guid au registre GlobalProtect.
2. Ajoutez une nouvelle Valeur de chaîne :
3. Saisissez des valeurs pour la Valeur de chaîne :

• Nom : wrap-cp-guid
• Donnée de valeur : {GUID de fournisseur d'informations
d'identification indépendantes}
Pour le champ Donnée de valeur, la valeur de GUID
que vous saisissez doit être entre accolades : { et }.
Voici un exemple de ce à quoi un GUID de fournisseur
d'informations d'identification indépendantes dans le champ
Donné de valeur peut ressembler :
{A1DA9BCC-9720-4921-8373-A8EC5D48450F}
Pour la nouvelle valeur de chaîne, wrap-cp-guid s'affiche en

tant que nom de la valeur de chaîne et le GUID s'affiche en tant
que donnée.

d'identification indépendantes (suite)
Étapes suivantes... • La configuration de l'englobement d'ouverture de session unique

pour les fournisseurs d'informations d'identification
indépendantes passe par les étapes 1 et 2. Avec cette configuration,
la fenêtre de connexion Windows native est présentée aux
utilisateurs. Les utilisateurs cliquent sur la fenêtre et se connectent
au système avec leurs informations d'identification Windows.
L'ouverture de session unique authentifie les utilisateurs sur
Windows, GlobalProtect et le fournisseur d'informations
d'identification indépendantes.
• (Facultatif) Si vous souhaitez présenter deux fenêtres aux
utilisateurs à l'ouverture de session, la fenêtre Windows native et la
fenêtre du fournisseur d'informations d'identification
indépendantes, passez à l'Étape 3.
Étape 3 (Facultatif) Autorisez la présentation de la Ajoutez une seconde Valeur de chaîne avec le Nom
fenêtre du fournisseur d'informations filter-non-gpcp et saisissez no pour la Donnée de valeur de la
d'identification indépendantes aux chaîne :
utilisateurs à l'ouverture de session.
Lorsque cette valeur de chaîne est ajoutée aux paramètres de

GlobalProtect, les utilisateurs se voient présenter deux options
d'ouverture de session sur leur système Windows : la fenêtre
Windows native et la fenêtre du fournisseur d'informations
d'identification indépendantes.
Activer l'englobement d'ouverture de session unique pour les informations d'identification

indépendantes avec Windows Installer
Utilisez les étapes suivantes dans Windows Installer (MSIEXEC) pour permettre à l'ouverture de session unique
d'englober les fournisseurs d'informations d'identification indépendantes sur les clients Windows 7 et
Windows Vista.
Utiliser Windows Installer pour activer l'englobement d'ouverture de session unique pour les
informations d'identification indépendantes
• Englobez les informations d'identification indépendantes et présentez la fenêtre native aux utilisateurs à
l'ouverture de session. Les utilisateurs cliquent sur la fenêtre et se connectent au système avec leurs
informations d'identification Windows natives. L'ouverture de session unique authentifie les utilisateurs sur
Windows, GlobalProtect et le CP indépendant.
Utilisez la syntaxe suivante dans Windows Installer (MSIEXEC) :
msiexec.exe /i GlobalProtect.msi WRAPCPGUID=”{valeur_GUID}” FILTERNONGPCP=”yes”
Dans la syntaxe ci-dessus, le paramètre FILTERNONGPCP simplifie l'authentification pour l'utilisateur en filtrant
l'option d'ouverture de session sur le système à l'aide des informations d'identification indépendantes.

Utiliser Windows Installer pour activer l'englobement d'ouverture de session unique pour les
informations d'identification indépendantes (suite)
• Si vous souhaitez permettre aux utilisateurs de se connecter avec les informations d'identification
indépendantes, utilisez la syntaxe suivante dans MSIEXEC :
msiexec.exe /i GlobalProtect.msi WRAPCPGUID=”{valeur_GUID}” FILTERNONGPCP=”no”
Dans la syntaxe ci-dessus, le paramètre FILTERNONGPCP, qui exclut la fenêtre d'ouverture de session du
fournisseur d'informations d'identification indépendantes de sorte que seule la fenêtre Windows native
s'affiche, est défini sur “no”. Dans ce cas, la fenêtre Windows native et la fenêtre du fournisseur d'informations
d'identification indépendantes sont présentées aux utilisateurs lors de la connexion au système Windows.
Déployer les paramètres de l'agent sur des clients Mac
Vous pouvez définir les paramètres de personnalisation de l'agent GlobalProtect dans le fichier de plist Mac
global (liste de propriétés). Cela active le déploiement des paramètres de l'agent GlobalProtect sur les systèmes
clients Mac avant leur première connexion au portail GlobalProtect.
Sur les systèmes Mac, les fichiers plist se trouvent dans /Library/Preferences ou dans
~/Library/Preferences (le tilde, ~ , indique que l'emplacement se trouve dans le dossier racine de
l'utilisateur actuel). L'agent GlobalProtect sur un client Mac vérifie tout d'abord les paramètres de plist
GlobalProtect à utiliser dans /Library/Preferences. Si le plist n'existe pas à cet emplacement, l'agent
GlobalProtect recherche les paramètres de plist dans ~/Library/Preferences.
Outre l'utilisation du plist Mac pour déployer les paramètres de l'agent GlobalProtect, vous
pouvez autoriser l'agent GlobalProtect à collecter des informations de plist Mac spécifiques sur
les clients. Vous pouvez ensuite surveiller les données et les ajouter à une règle de sécurité en
tant que critères de correspondance. Le trafic de périphérique correspondant à certains
paramètres de registre que vous avez définis peut être mis en œuvre conformément à la règle
de sécurité. Configurez des vérifications personnalisées pour Collecter des données
d'application et de processus sur des clients.
Déployez des paramètres d'agent GlobalProtect à l'aide du Plist Mac.
• Recherchez les paramètres de personnalisation de Accédez à l'emplacement du fichier de plist Mac global suivant :
l'agent GlobalProtect dans la liste de propriétés /Library/Preferences/com.paloaltonetworks.
Mac. GlobalProtect.settings.plist
• Définissez le nom du portail. Si vous ne souhaitez pas que l'utilisateur puisse saisir manuellement
l'adresse du portail même pour la première connexion, vous pouvez
pré-déployer l'adresse du portail via le plist Mac. Accédez à /
Library/Preferences/com.paloaltonetworks.
GlobalProtect.settings.plist et configurez la clé Portal sous le
dictionnaire PanSetup.
• Déployez divers paramètres sur le client Mac à Accédez à l'emplacement du fichier de plist Mac global suivant :
partir du plist Mac, notamment la configuration de /Library/Preferences/com.paloaltonetworks.
la méthode de connexion de l'agent GlobalProtect GlobalProtect.settings.plist, puis accédez à /Palo Alto
et l'activation de l'ouverture de session unique. Networks/GlobalProtect/Settings. Si Settings n'existe pas,
créez un nouveau dictionnaire nommé Settings. Ajoutez ensuite chaque
clé au dictionnaire Settings en tant que chaîne.
Consultez le Tableau : Paramètres de l'agent à personnaliser pour la
liste complète des clés et des valeurs que vous pouvez configurer à l'aide
du plist Mac.

Utiliser l'application iOS GlobalProtect avec un MDM indépendant Configurer l'infrastructure GlobalProtect
Utiliser l'application iOS GlobalProtect avec un MDM

indépendant
Bien que le Gestionnaire de sécurité mobile GlobalProtect soit intégré à la plate-forme de sécurité Palo Alto de
dernière génération pour offrir un périmètre de sécurité sans faille à votre entreprise, l'application GlobalProtect
pour iOS peut également être utilisée avec des services MDM indépendant. Vous pouvez utiliser un MDM
indépendant pour déployer l'application GlobalProtect à partir de l'App Store iOS, puis utiliser le MDM pour
déployer un profil de configuration VPN afin de paramétrer automatiquement l'application GlobalProtect pour
l'utilisateur final.
Les rubriques suivantes illustrent des exemples de configurations XML et de charges utiles pour vous aider à
configurer l'application GlobalProtect à l'aide d'un MDM indépendant afin de permettre au MDM de proposer
des configurations VPN de niveau périphérique et application pour l'application GlobalProtect pour iOS :
 Exemple de configuration de VPN au niveau périphérique de l'application iOS GlobalProtect
 Exemple de configuration de VPN au niveau application de l'application iOS GlobalProtect

Configurer l'infrastructure GlobalProtect Utiliser l'application iOS GlobalProtect avec un MDM indépendant
Exemple de configuration de VPN au niveau périphérique de l'application

iOS GlobalProtect
Exemple : Configuration de VPN au niveau périphérique de l'application iOS GlobalProtect
<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadDescription</key>
<string>Configure les paramètres VPN, notamment l'authentification.</string>
<key>PayloadDisplayName</key>
<string>VPN (exemple de VPN au niveau périphérique)</string>
<key>PayloadIdentifier</key>
<string>Sample Device Level VPN.vpn</string>
<key>PayloadOrganization</key>
<string>Palo Alto Networks</string>
<key>PayloadType</key>
<string>com.apple.vpn.managed</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadUUID</key>
<string>5436fc94-205f-7c59-0000-011d</string>
<key>UserDefinedName</key>
<string>Exemple de VPN au niveau périphérique</string>
<key>Proxies</key>
<dict/>
<key>VPNType</key>
<string>VPN</string>
<key>VPNSubType</key>
<string>com.paloaltonetworks.GlobalProtect.vpnplugin</string>
<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
</dict>
<key>VPN</key>
<dict>
<key>RemoteAddress</key>
<string>cademogp.paloaltonetworks.com</string>
<key>AuthName</key>
<string></string>
<key>DisconnectOnIdle</key>
<key>OnDemandEnabled</key>
<key>OnDemandRules</key>
<array>
<dict>
<key>Action</key>
<string>Connexion</string>
</dict>
</array>
<key>AuthenticationMethod</key>
<string>Mot de passe</string>
</dict>
<key>VendorConfig</key>
<dict>
<key>AllowPortalProfile</key>
<key>FromAspen</key>
</dict>
</dict>
</array>
<string>Exemple de VPN au niveau périphérique</string>

Utiliser l'application iOS GlobalProtect avec un MDM indépendant Configurer l'infrastructure GlobalProtect
Exemple de configuration de VPN au niveau application de l'application iOS

GlobalProtect
Exemple : Configuration de VPN au niveau application de l'application iOS GlobalProtect
<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<string>Configure les paramètres VPN, notamment l'authentification.</string>
<string>VPN (exemple de VPN au niveau application)</string>
<string>Sample App Level VPN.vpn</string>
<string>com.apple.vpn.managed.applayer</string>
<key>VPNUUID</key>
<string>cGFuU2FtcGxlIEFwcCBMZXZlbCBWUE52cG5TYW1wbGUgQXBwIExldmVsIFZQTg==</string>
<key>SafariDomains</key>
<array>
<string>*.paloaltonetworks.com</string>
</array>
<string>54370008-205f-7c59-0000-01a1</string>
<key>UserDefinedName</key>
<string>Exemple de VPN au niveau application</string>
<key>Proxies</key>
<dict/>
<key>VPNType</key>
<string>VPN</string>
<key>VPNSubType</key>
<string>com.paloaltonetworks.GlobalProtect.vpnplugin</string>
<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
</dict>
<key>VPN</key>
<dict>
<key>RemoteAddress</key>
<string>cademogp.paloaltonetworks.com</string>
<key>AuthName</key>
<string></string>
<key>OnDemandMatchAppEnabled</key>
<key>OnDemandEnabled</key>
<key>DisconnectOnIdle</key>
<key>AuthenticationMethod</key>
<string>Mot de passe</string>
</dict>
<key>VendorConfig</key>
<dict>
<key>OnlyAppLevel</key>
<key>AllowPortalProfile</key>
<key>FromAspen</key>
</dict>
</dict>
</array>
<string>Description du profil</string>
<string>Configuration</string>

Configurer l'infrastructure GlobalProtect Utiliser l'application iOS GlobalProtect avec un MDM indépendant
Exemple : Configuration de VPN au niveau application de l'application iOS GlobalProtect (suite)
<string>5436fc94-205f-7c59-0000-011c</string>
<key>PayloadRemovalDisallowed</key>
<false/>
</dict>
</plist>

Référence : Fonctions cryptographiques de l'agent GlobalProtect Configurer l'infrastructure GlobalProtect
Référence : Fonctions cryptographiques de l'agent

GlobalProtect
L'agent GlobalProtect utilise la bibliothèque OpenSSL 0.9.8p pour établir une communication sécurisée avec le
portail GlobalProtect et les passerelles GlobalProtect. Le tableau suivant répertorie chaque fonction d'agent
GlobalProtect qui nécessite une fonction cryptographique et détaille les clés cryptographiques utilisées par
l'agent GlobalProtect :
Fonction crypto Clé Usage
Winhttp (Windows) et Clé dynamique négociée entre Utilisée pour établir la connexion
NSURLConnection (MAC) l'agent GlobalProtect et le portail HTTPS entre l'agent GlobalProtect et le
AES256-SHA et/ou la passerelle GlobalProtect portail et/ou la passerelle GlobalProtect
pour établir une connexion HTTPS. pour l'authentification.
OpenSSL Clé dynamique négociée entre Utilisée pour établir la connexion SSL
AES256-SHA l'agent GlobalProtect et le portail entre l'agent GlobalProtect et la
et/ou la passerelle GlobalProtect passerelle GlobalProtect pour l'envoi du
pendant la négociation SSL. rapport HIP, la négociation de tunnel
SSL et la découverte réseau.
Cryptage IPsec et authentification Clé de session envoyée par la Utilisée pour définir le tunnel IPsec entre
AES128-SHA1 passerelle GlobalProtect. l'agent GlobalProtect et la passerelle
GlobalProtect.

Configurer le Gestionnaire de sécurité
mobile GlobalProtect
À l'heure où les périphériques mobiles sont de plus en plus performants, les utilisateurs finaux comptent de plus en
plus sur eux pour exécuter les tâches de l'entreprise. Toutefois, ces mêmes périphériques qui accèdent à votre réseau
d'entreprise se connectent aussi à Internet sans protection contre les menaces et les vulnérabilités. Le Gestionnaire de
sécurité mobile GlobalProtect fournit des mécanismes pour configurer les paramètres de périphérique et les comptes
et exécuter des actions sur les périphériques, par exemple verrouiller et/ou effacer les périphériques mobiles perdus
ou volés. Le Gestionnaire de sécurité mobile publie également l'état du périphérique sur les passerelles GlobalProtect
(sous la forme de rapports HIP) pour que vous puissiez créer des politiques d'accès granulaires, par exemple, vous
permettant d'interdire l'accès aux périphériques qui sont avec racine/débridés.
Les rubriques suivantes décrivent le service Gestionnaire de sécurité mobile de GlobalProtect et vous guident tout au
long des étapes de base vous permettant de configurer votre Gestionnaire de sécurité mobile pour la gestion de
périphériques.
 Procédures recommandées pour le déploiement du Gestionnaire de sécurité mobile
 Paramétrer l'accès à la gestion du Gestionnaire de sécurité mobile
 Enregistrer, Activer la licence et Mettre à jour le Gestionnaire de sécurité mobile
 Configurer le Gestionnaire de sécurité mobile pour la gestion de périphériques
 Activer l'accès passerelle au Gestionnaire de sécurité mobile
 Définir les politiques de déploiement
 Vérifier la configuration du gestionnaire de sécurité mobile
 Paramétrer l'accès administrateur au Gestionnaire de sécurité mobile

Procédures recommandées pour le déploiement Configurer le Gestionnaire de sécurité mobile
du Gestionnaire de sécurité mobile GlobalProtect
Procédures recommandées pour le déploiement du

Le Gestionnaire de sécurité mobile de GlobalProtect (exécuté sur l'appareil GP-100) fonctionne de concert avec le
reste de l'infrastructure GlobalProtect afin de garantir une solution de sécurité mobile complète. Un déploiement de
Gestionnaire de sécurité mobile nécessite une connectivité entre les composants suivants :
 Mises à jour Palo Alto : Le Gestionnaire de sécurité mobile récupère les mises à jour de signature WildFire qui
l'activent pour détecter les logiciels malveillants sur les périphériques Android gérés. Par défaut, le Gestionnaire de
sécurité mobile récupère les mises à jour WildFire sur le serveur de mises à jour de Palo Alto Networks sur son
interface MGT. Toutefois, si votre réseau de gestion ne fournit pas l'accès à Internet, vous devrez modifier
l'itinéraire de service pour le service de mises à jour de Palo Alto pour utiliser l'interface ethernet1.
 Passerelles GlobalProtect : Pour Configurer la mise en œuvre des politiques basées sur HIP pour les
périphériques gérés, les passerelles GlobalProtect récupèrent les rapports HIP des périphériques mobiles sur le
Gestionnaire de sécurité mobile. La procédure recommandée pour le déploiement consiste à activer le service de
gestion des passerelles GlobalProtect sur ethernet1.
 Services de notifications poussées : Comme le Gestionnaire de sécurité mobile ne peut pas se connecter
directement aux périphériques mobiles qu'il gère, il doit envoyer des notifications poussées sur le service Apple
Push Notification (APN) ou les services Google Cloud Messaging (GCM) chaque fois qu'il doit interagir avec un
périphérique, par exemple pour envoyer une demande d'archivage ou exécuter une action telle qu'envoyer un
message ou pousser une nouvelle politique. La procédure recommandée consiste à configurer l'itinéraire de service
Notification poussée pour utiliser l'interface ethernet1.
 Périphériques mobiles : Les périphériques mobiles se connectent depuis le réseau externe initialement pour le
recrutement et ensuite pour l'archivage et la réception de la politique de déploiement. La procédure recommandée
consiste à utiliser ethernet1 pour le recrutement et l'archivage de périphérique, mais à utiliser des ports d'écoute
différents. Pour éviter l'affichage d'avertissements de certificat sur l'écran de l'utilisateur final, utilisez le port 443
(par défaut) pour le recrutement et utilisez un port différent (à configurer à 7443 ou 8443) pour l'archivage.
Comme le port d'archivage de périphérique est poussé sur le périphérique dès le recrutement, le fait de le
changer après la configuration initiale implique que le recrutement des périphériques par le Gestionnaire de
sécurité mobile soit renouvelé.

Configurer le Gestionnaire de sécurité mobile Procédures recommandées pour le déploiement
GlobalProtect du Gestionnaire de sécurité mobile
Figure : Procédure recommandée pour le déploiement du Gestionnaire de sécurité mobile

Paramétrer l'accès à la gestion du Gestionnaire de Configurer le Gestionnaire de sécurité mobile
sécurité mobile GlobalProtect
Paramétrer l'accès à la gestion du Gestionnaire de sécurité

mobile
Par défaut, le port de gestion (MGT) sur l'appareil GP-100 (également appelé Gestionnaire de sécurité mobile) a pour
adresse IP 192.168.1.1 et pour nom d'utilisateur/mot de passe admin/admin. Pour des raisons de sécurité, vous devez
modifier ces paramètres avant de passer aux autres tâches de configuration du Gestionnaire de sécurité mobile. Ces
tâches de configuration initiales doivent être effectuées via une connexion physique directe à l'appareil (soit une
connexion série au port de Console soit une connexion RJ-45 à l'interface MGT). Durant la configuration initiale, vous
devrez assigner les paramètres d'accès réseau qui vous permettront de vous connecter à l'interface Web de l'appareil
pour toutes les tâches ultérieures de configuration.
Paramétrer l'accès réseau à l'appareil GP-100
Étape 1 Montez l'appareil GP-100 dans une baie. Pour consulter les instructions, reportez-vous au Guide de référence
du matériel de l'appareil GP-100.
Étape 2 Obtenez les paramètres d'accès réseau • Adresse IP du port MGT

pour l'interface MGT.
• Masque réseau
• Passerelle par défaut
• Adresse du serveur DNS
Étape 3 Connectez votre ordinateur à l'appareil Connectez-vous à l'appareil GP-100 d'une des façons suivantes :
GP-100. • Connectez un câble série de votre ordinateur au port de console
et connectez-vous à l'appareil à l'aide d'un logiciel d'émulation de
terminal (9600-8-N-1). Attendez quelques minutes jusqu'à la fin
de la séquence de démarrage ; lorsque l'appareil est prêt, l'invite de
connexion s'affiche.
• Connectez un câble Ethernet RJ-45 de votre ordinateur au port
MGT de l'appareil. Depuis un navigateur, accédez à
https://192.168.1.1. Veuillez noter qu'il se peut que vous deviez
modifier l'adresse IP de votre ordinateur par une adresse du réseau
192.168.1.0/24, tel que 192.168.1.2, afin d'accéder à cette URL.
Étape 4 Lorsque vous y êtes invité, Connectez-vous en utilisant le nom d'utilisateur et le mot de passe
connectez-vous à l'appareil. par défaut (admin/admin). L'appareil commence son initialisation.
Étape 5 Définissez les paramètres d'accès réseau 1. Sélectionnez Configuration > Paramètres et modifiez les
et les services à autoriser sur l'interface paramètres de l'interface de gestion. Saisissez l'Adresse IP, le
MGT. Masque réseau, et la Passerelle par défaut pour activer l'accès
réseau sur l'interface MGT.
2. Vérifiez que la valeur Vitesse est définie sur auto-négocier.
3. Sélectionnez les services de gestion à autoriser sur l'interface. Au
minimum, sélectionnez HTTPS, SSH et Ping.
4. (Facultatif) Pour restreindre l'accès à la gestion du Gestionnaire
de sécurité mobile à des adresses IP spécifiques, saisissez les
Adresses IP autorisées.
5. Cliquez sur OK.

Configurer le Gestionnaire de sécurité mobile Paramétrer l'accès à la gestion du Gestionnaire de
GlobalProtect sécurité mobile
Paramétrer l'accès réseau à l'appareil GP-100 (suite)
Étape 6 (Facultatif) Configurez les paramètres 1. Sélectionnez Configuration > Paramètres > Gestion et
généraux de l'appareil. modifiez les paramètres généraux.
2. Saisissez un Nom d'hôte pour l'appareil, puis le nom de
domaine de votre réseau. Le nom de domaine est un simple
intitulé; il ne sera pas utilisé pour y accéder.
3. Saisissez un texte d'information que vous souhaitez afficher à
l'ouverture de session des administrateurs dans le champ Page
d'ouverture de session.
4. Sélectionnez la Zone Date/Heure et, si vous n'envisagez pas
d'utiliser un serveur NTP, entrez la Date et l'Heure.
5. Cliquez sur OK.
Étape 7 Configurez un serveur DNS et 1. Sélectionnez Configuration > Paramètres > Services et
facultativement configurez l'accès à un modifiez les services.
serveur NTP. 2. Saisissez l'adresse IP de votre serveur DNS principal et,
facultativement, de votre serveur DNS secondaire.
3. Pour utiliser le cluster virtuel des serveurs de temps sur Internet,
saisissez le nom d'hôte ntp.pool.org comme serveur NTP
principal ou ajoutez l'adresse IP de votre serveur NTP
principal et, facultativement, de votre serveur NTP
secondaire.
4. Cliquez sur OK.
Étape 8 Définissez un mot de passe sécurisé pour 1. Sélectionnez Configuration > Administrateurs.
le compte administrateur. 2. Sélectionnez le rôle admin.
Pour obtenir des instructions sur 3. Saisissez le mot de passe par défaut actuel et le nouveau mot de
l'ajout de comptes administrateur, passe.
reportez-vous à la section 4. Cliquez sur OK pour sauvegarder vos paramètres.
Paramétrer l'accès administrateur au
Gestionnaire de sécurité mobile.
Étape 9 Validez les modifications. Cliquez sur Valider L'enregistrement de vos modifications par
l'appareil peut prendre jusqu'à 90 secondes.
Une fois que les modifications de
configuration sont enregistrées,
vous perdez la connexion à
l'interface Web car l'adresse IP a
changé.
Étape 10 Connectez l'appareil à votre réseau. 1. Déconnectez l'appareil de votre ordinateur.

2. Connectez le port MGT à un port de commutateur sur votre
réseau de gestion à l'aide d'un câble Ethernet RJ-45.
Assurez-vous que le port de commutateur câblé à l'appareil est
configuré pour la négociation automatique.

Paramétrer l'accès à la gestion du Gestionnaire de Configurer le Gestionnaire de sécurité mobile
Paramétrer l'accès réseau à l'appareil GP-100 (suite)
Étape 11 Ouvrez une session de gestion SSH sur À l'aide d'un logiciel d'émulation de terminal, tel que PuTTY, lancez
l'appareil GP-100. une session SSH sur l'appareil à l'aide de la nouvelle adresse IP
affectée à celui-ci.
1. Saisissez l'adresse IP que vous avez assignée au port MGT sur le
client SSH.
2. Utilisez le port 22.
3. Saisissez vos informations d'accès administratif à l'invite. Une
fois connecté, l'écran d'interface de ligne de commande s'affiche
en mode opérationnel Par exemple :
admin@GP-100>
Étape 12 Vérifiez l'accès réseau aux services Vérifiez que vous disposez d'un accès à destination et en provenance
externes nécessaire à la gestion de de l'appareil à l'aide de l'utilitaire Ping de la CLI. Vérifiez votre
l'appareil, notamment au serveur de mises connexion à la passerelle par défaut, au serveur DNS et au serveur
à jour de Palo Alto Networks. de mises à jour de Palo Alto Networks, tel qu'indiqué dans l'exemple
suivant :
admin@GP-100> ping host updates.paloaltonetworks.com
PING updates.paloaltonetworks.com (67.192.236.252) 56(84)
bytes of data.
64 bytes from 67.192.236.252 : icmp_seq=1 ttl=243 time=40.5 ms
Une fois que vous avez vérifié votre connexion, appuyez sur
Ctrl+C pour arrêter les requêtes ping.
Étape 13 Connectez-vous à l'interface Web 1. Ouvrez une fenêtre de navigateur et naviguez jusqu'à l'URL
Gestionnaire de sécurité mobile suivante :
Pour obtenir des instructions sur https://<IP_Address>
l'ajout de comptes administrateur, où <IP_Address> est l'adresse que vous venez juste d'assigner à
reportez-vous à la section l'interface MGT.
Paramétrer l'accès administrateur au Si vous activez l'archivage de périphérique sur l'interface
Gestionnaire de sécurité mobile. MGT, vous devez inclure le numéro de port 4443 dans
l'URL afin d'accéder à l'interface Web de la manière
suivante :
https://<IP_Address>:4443
2. Ouvrez une session en utilisant le nouveau mot de passe que
vous avez assigné au compte admin.

Configurer le Gestionnaire de sécurité mobile Enregistrer, Activer la licence et Mettre à jour le
GlobalProtect Gestionnaire de sécurité mobile
Enregistrer, Activer la licence et Mettre à jour le Gestionnaire

de sécurité mobile
Avant que vous puissiez commencer à utiliser le Gestionnaire de sécurité mobile pour gérer les périphériques mobiles,
vous devez enregistrer l'appareil GP-100 et récupérer les licences. Si vous envisagez de gérer plus de 500 périphériques
mobiles, vous devez acheter une licence perpétuelle à usage unique pour le Gestionnaire de sécurité mobile
GlobalProtect basée sur le nombre de périphériques mobiles à gérer. En outre, l'appareil est fourni avec un support
gratuit pendant 90 jours. Toutefois, à la fin de la période de 90 jours, vous devez acheter une licence de support pour
activer le Gestionnaire de sécurité mobile pour qu'il récupère les mises à jour logicielles et les mises à jour de contenus
dynamiques. Les sections suivantes décrivent les procédures d'enregistrement, de licence et de mise à jour :
 Enregistrer l'appareil GP-100
 Activer/Récupérer les licences
 Installer les mises à jour de contenu et du logiciel
Enregistrer l'appareil GP-100
Pour gérer les éléments que vous achetez à Palo Alto Networks, vous devez créer un compte et enregistrer les numéros
de série avec le compte, de la manière suivante.
Enregistrer l'appareil GP-100
Étape 1 Connectez-vous à l'interface Web En utilisant une connexion sécurisée (https) depuis un navigateur
Gestionnaire de sécurité mobile Web, ouvrez une session avec l'adresse IP et le mot de passe assignés
lors de la configuration initiale (https://<adresse IP> ou
https://<adresse IP>:4443 si l'archivage de périphérique est activé
sur l'interface).
Étape 2 Localisez le numéro de série et copiez-le Le numéro de série de l'appareil GP-100 s'affiche sur le Tableau de
dans le Presse-papiers. bord ; localisez le Numéro de série dans la section Informations
générales de l'écran.
Étape 3 Rendez-vous sur le site de support de Palo Sélectionnez Configuration > Support > Liens puis cliquez sur le lien
Alto Networks. vers Accueil Support.
Si votre appareil n'a pas de connectivité Internet depuis
l'interface MGT, dans un nouvel onglet ou une nouvelle
fenêtre de navigateur, accédez à
https://support.paloaltonetworks.com.

Enregistrer, Activer la licence et Mettre à jour le Configurer le Gestionnaire de sécurité mobile
Enregistrer l'appareil GP-100 (suite)
Étape 4 Enregistrez l'appareil GP-100. La façon • S'il s'agit du premier appareil Palo Alto Networks que vous
dont vous vous enregistrez dépend du fait enregistrez et si vous n'avez pas encore de connexion, cliquez sur
que vous ayez déjà ou non une connexion Enregistrer sur le côté droit de la page. Pour procéder à
au site de support. l'enregistrement, fournissez votre adresse de messagerie et le
numéro de série du Gestionnaire de sécurité mobile (que vous
pouvez copier-coller depuis votre presse-papiers). Lorsque vous y
êtes invité, configurez un nom d'utilisateur et un mot de passe pour
accéder à la communauté de support de Palo Alto Networks.
• Si vous disposez déjà d'un compte de support, connectez-vous,
puis cliquez sur Mes périphériques. Faites défiler la section
Enregistrer le périphérique en bas de l'écran, et saisissez le numéro
de série de Gestionnaire de sécurité mobile (que vous pouvez coller
depuis le presse-papiers), votre ville et votre code postal, puis
cliquez sur Enregistrer le périphérique.
Activer/Récupérer les licences
Le Gestionnaire de sécurité mobile nécessite une licence de support valide, et l'active pour récupérer les mises à jour
logicielles et les mises à jour de contenus dynamiques. L'appareil est fourni avec un support gratuit pendant 90 jours ;
toutefois, vous devez acheter une licence de support pour continuer à recevoir les mises à jour à la fin de cette période
d'introduction. Si vous envisagez de gérer plus de 500 périphériques mobiles, une licence est requise pour le
Gestionnaire de sécurité mobile GlobalProtect. La licence perpétuelle à usage unique permet la gestion d'un
maximum de 1 000, 2 000, 5 000, 10 000, 25 000, 50 000, ou 100 000 périphériques mobiles.
Vous pouvez souscrire à un abonnement WildFire pour le Gestionnaire de sécurité mobile pour activer les mises à
jour dynamiques contenant les signatures de logiciel malveillant créées à l'issue de l'analyse effectuée par le Cloud
WildFire. En maintenant les mises à jour de logiciel malveillant actualisées, vous pouvez empêcher les périphériques
Android gérés contenant des applications infectées par des logiciels malveillants de se connecter à vos ressources
réseau. Vous devez souscrire à un abonnement WildFire qui prend en charge le même nombre de périphériques que
votre licence du Gestionnaire de sécurité mobile accepte. Par exemple, si vous avez une licence perpétuelle de
Gestionnaire de sécurité mobile pour 10 000 périphériques et que vous souhaitiez activer le support pour la détection
des derniers logiciels malveillants, vous devriez souscrire à un abonnement WildFire pour 10 000 périphériques.
Pour acheter les licences, contactez les ingénieurs ou le revendeur Palo Alto Networks Systems. Pour plus
d'informations sur les conditions relatives aux licences, reportez-vous à la section À propos des Licences
GlobalProtect.
Après l'obtention de la licence, accédez à Configuration > Licences pour effectuer les tâches suivantes en fonction de
la façon dont vous recevez vos licences :
 Récupérer les clés de licence depuis le serveur de licences : Utilisez cette option si la licence a été activée
sur le portail d'assistance.
 Activer la fonction à l'aide du code d'autorisation : Utilisez le code d'autorisation pour activer une licence
qui n'a pas été activée sur le portail de support au préalable.

Configurer le Gestionnaire de sécurité mobile Enregistrer, Activer la licence et Mettre à jour le
GlobalProtect Gestionnaire de sécurité mobile
 Télécharger manuellement la clé de licence : Utilisez cette option si l'interface MGT de l'appareil GP-100
n'a pas de connectivité avec le serveur de mises à jour de Palo Alto Networks. Dans ce cas, commencez par
télécharger le fichier de clé de licence depuis le site de support vers un ordinateur connecté à Internet, puis
téléchargez-le dans l'appareil.
Activer les licences
Étape 1 Localisez les codes d'autorisation du Localisez le courrier électronique du service clientèle de Palo Alto
produit/de l'abonnement que vous avez Networks indiquant le code d'autorisation associé aux licences que
acheté. vous avez achetées. Si vous ne trouvez pas ce message électronique,
contactez le service clientèle pour obtenir vos codes avant de
continuer.
Étape 2 Activez la (les) licence(s). 1. Pour activer votre abonnement au support (requis après
90 jours), sélectionnez Configuration > Support.
Si le Gestionnaire de sécurité mobile doit
gérer plus 500 périphériques mobiles, une 2. Sélectionnez Activer la fonction à l'aide du code
licence perpétuelle est requise pour le d'autorisation. Saisissez le code d'autorisation, puis cliquez sur
Gestionnaire de sécurité mobile OK.
GlobalProtect. 3. Vérifiez que la configuration de périphérique a été activée avec
succès.
Si le port de gestion de MGY n'est
pas équipé d'un accès Internet,
téléchargez manuellement les
fichiers de licence depuis le site
d'assistance, et téléchargez-le dans
l'appareil en utilisant l'option 4. Dans l'onglet Configuration > Licences, sélectionnez Activer la
Télécharger manuellement la clé fonction avec le code d'autorisation.
de licence.
5. Lorsque vous y êtes invité, saisissez le Code d'autorisation de la
licence du gestionnaire de sécurité mobile, puis cliquez sur OK.
6. Vérifiez que la licence a bien été activée et qu'elle affiche le
support du nombre de périphériques approprié :
Étape 3 (Non requis si vous avez effectué Utilisez l'option Récupérer les clés de licence auprès du serveur
l'étape 2) Récupérez les clés de licence sur de licences si vous avez activé les clés de licence sur le portail
le serveur de licence. Support.
Sélectionnez Configuration > Support puis Récupérer les clés de
licence auprès du serveur de licences.

Enregistrer, Activer la licence et Mettre à jour le Configurer le Gestionnaire de sécurité mobile
Installer les mises à jour de contenu et du logiciel
Utilisez la procédure suivante pour télécharger les dernières mises à jour de logiciels malveillants au format Android
Package (APK) et/ou effectuer la mise à jour du logiciel Gestionnaire de sécurité mobile. En maintenant les mises à
jour APK actualisées, vous pouvez empêcher les périphériques Android gérés contenant des applications infectées par
des logiciels malveillants de se connecter à vos ressources réseau.
Récupérer les mises à jour de logiciel et de contenu
Étape 1 Lancez l'interface Web Gestionnaire de 1. En utilisant une connexion sécurisée (https) depuis un
sécurité mobile et accédez aux pages de navigateur Web, ouvrez une session avec l'adresse IP et le mot
mises à jour dynamiques. de passe assignés lors de la configuration initiale
(https://<adresse IP> ou https://<adresse IP>:4443 si
Avant de mettre à jour le logiciel, installez
l'archivage de périphérique est activé sur l'interface).
les dernières mises à jour dynamiques
prises en charge dans la version. 2. Sélectionnez Configuration > Mises à jour dynamiques.
Étape 2 Vérifiez, téléchargez et installez les 1. Cliquez sur Vérifier maintenant pour rechercher les dernières
dernières mises à jour de contenus du mises à jour. Si la valeur figurant dans la colonne Action est
Gestionnaire de sécurité mobile. Télécharger, une mise à jour est disponible.
Les mises à jour de contenus du 2. Cliquez sur Télécharger pour obtenir la version souhaitée.
Gestionnaire de sécurité mobile incluent 3. Cliquez sur le lien Installer dans la colonne Action. Une fois
toutes les signatures de logiciel malveillant l'installation terminée, une coche s'affiche dans la colonne
au format Android Application Package Actuellement installé.
(APK), y compris un nouveau logiciel
malveillant détecté par WildFire.
Étape 3 Recherchez les mises à jour logicielles. 1. Sélectionnez Configuration > Logiciel.
2. Cliquez sur Vérifier maintenant pour rechercher les dernières
mises à jour. Si la valeur figurant dans la colonne Action est
Télécharger, une mise à jour est disponible.
Étape 4 Téléchargez la mise à jour. Localisez la version vers laquelle vous souhaitez effectuer la mise à
niveau, puis cliquez sur Téléchargez. Une fois le téléchargement
Si le Gestionnaire de sécurité
terminé, la valeur se trouvant dans la colonne Action passe à
mobile ne dispose pas d'un accès
Installer.
Internet depuis le port de gestion,
vous pouvez télécharger la mise à
jour logicielle à partir du Site de
support de Palo Alto Networks.
Vous pouvez ensuite la télécharger
manuellement dans le Gestionnaire
de sécurité mobile.
Étape 5 Installez la mise à jour. 1. Cliquez sur Installer.

2. Redémarrez l'appareil :
• Si vous êtes invité à redémarrer, cliquez sur Oui.
• Si vous n'êtes pas invité à redémarrer, sélectionnez
Configuration > Paramètres > Opérations et cliquez sur
Redémarrer le périphérique dans la section Opérations
périphérique de l'écran.

Configurer le Gestionnaire de sécurité mobile Configurer le Gestionnaire de sécurité mobile pour
GlobalProtect la gestion de périphériques
Configurer le Gestionnaire de sécurité mobile pour la gestion

de périphériques
Avant que vous puissiez commencer à utiliser le Gestionnaire de sécurité mobile pour gérer les périphériques mobiles,
vous devez configurer l'infrastructure de gestion de périphérique. Cela inclut la configuration d'une interface pour
l'archivage de périphérique, l'obtention des certificats requis pour le Gestionnaire de sécurité mobile pour qu'il envoie
des notifications poussées sur les périphériques par liaison radio, la définition des procédures pour authentifier les
utilisateurs/périphériques avant d'autoriser le recrutement, et pour générer les certificats d'identité sur chaque
périphérique.
 Configurer le Gestionnaire de sécurité mobile pour l'archivage de périphérique
 Configurer le Gestionnaire de sécurité mobile pour le recrutement
Configurer le Gestionnaire de sécurité mobile pour l'archivage de périphérique
Chaque heure (par défaut), le Gestionnaire de sécurité mobile envoie un message de notification aux périphériques
qu'il gère pour leur demander d'archiver. Pour envoyer ces messages, appelés notifications poussées, le Gestionnaire de
sécurité mobile doit se connecter aux périphériques par liaison radio. Pour envoyer des notifications poussées aux
périphériques iOS, le Gestionnaire de sécurité mobile doit utiliser le service Apple Push Notification (APN) ; pour les
périphériques Android, il doit utiliser le service Google Cloud Messaging (GCM).
La procédure recommandée consiste à configurer l'interface ethernet1 sur le Gestionnaire de sécurité mobile en tant
qu'interface côté externe pour l'accès périphérique mobile et passerelle. Par conséquent, pour configurer le
Gestionnaire de sécurité mobile pour l'archivage de périphérique, vous devez configurer l'interface ethernet1 et
l'activer pour l'archivage de périphérique. En outre, vous devez configurer le Gestionnaire de sécurité mobile pour
envoyer une notification poussée via APN/GCM.
La procédure suivante décrit en détail comment paramétrer la configuration recommandée :
Configurer le Gestionnaire de sécurité mobile pour l'archivage de périphérique
Étape 1 Configurez l'interface d'archivage de 1. Sélectionnez Configuration > Réseau > ethernet1 pour ouvrir
périphérique. la boîte de dialogue des paramètres Interface réseau.
Même si vous pouvez utiliser 2. Définissez les paramètres d'accès réseau pour l'interface, y
l'interface MGT pour l'archivage de compris l'Adresse IP, le Masque réseau, et la Passerelle par
périphérique, la configuration d'une défaut.
interface séparée vous permet de 3. Activez les services à autoriser sur cette interface en cochant les
séparer le trafic de gestion du trafic cases correspondantes. Au minimum, sélectionnez Archivage
de données. Si vous utilisez de périphérique mobile. Vous pourrez aussi sélectionner Ping
l'interface MGT pour l'archivage de pour permettre de tester la connectivité.
périphérique, passez à l'Étape 4. 4. Pour enregistrer les paramètres de l'interface, cliquez sur OK.
5. Connectez le port ethernet1 (numéroté 1 sur le panneau avant
de l'appareil) à votre réseau avec un câble RJ-45 Ethernet.
Assurez-vous que le port de commutateur câblé à l'interface est
configuré pour la négociation automatique.
6. (Facultatif) Ajoutez un dossier « A » DNS à votre serveur DNS
pour associer l'adresse IP de cette interface à un nom d'hôte.

Configurer le Gestionnaire de sécurité mobile pour Configurer le Gestionnaire de sécurité mobile
la gestion de périphériques GlobalProtect
Configurer le Gestionnaire de sécurité mobile pour l'archivage de périphérique (suite)
Étape 2 (Facultatif) Modifiez les paramètres 1. Sélectionnez Configuration > Paramètres > Serveur et
d'archivage de périphérique. modifiez les paramètres d'archivage de périphérique.
Par défaut, le port d'écoute 443 du 2. Définissez le Port d'archivage pour l'écoute du gestionnaire de
Gestionnaire de sécurité mobile est utilisé sécurité mobile pour les demandes d'archivage de périphérique.
à la fois pour les demandes de Par défaut, ce champ est défini sur 443. Toutefois, selon la
recrutement et les demandes d'archivage. procédure recommandée, vous devez changer la valeur du port
Selon la procédure recommandée, vous d'archivage de périphérique à 7443 ou 8443 et le recrutement
devez maintenir la valeur du port de pour éviter que les utilisateurs soient parfois invités à présenter
recrutement définie sur 443 et utiliser un un certificat client lors du recrutement.
numéro de port différent pour l'archivage 3. Par défaut, le Gestionnaire de sécurité mobile enverra des
de périphérique. Le processus d'archivage notifications poussées aux périphériques qu'il gère toutes les
de périphérique nécessite un certificat 60 minutes pour demander l'archivage. Pour changer cet
client pour établir la session SSL alors que intervalle, entrez un nouvel Intervalle de notification
ce n'est pas le cas pour le recrutement. Si d'archivage de périphérique (intervalle : 30 minutes à
les deux services fonctionnent sur le 1 440 minutes).
même port, le périphérique mobile 4. Cliquez sur OK pour enregistrer les paramètres.
générera à tort des messages de certificat
dans des fenêtres contextuelles durant le
processus de recrutement, ce qui peut
s'avérer perturbant pour les utilisateurs
finaux.
Étape 3 (Facultatif) Si le port MGT sur le 1. Sélectionnez Configuration > Paramètres > Services >
Gestionnaire de sécurité mobile n'a pas Configuration de l'itinéraire de service.
accès au réseau Internet, configurez les 2. Sélectionnez le bouton radio Sélectionner.
itinéraires de service pour activer l'accès
3. Cliquez dans la colonne Interface qui correspond au service
depuis l'interface d'archivage de
pour lequel vous souhaitez changer l'itinéraire de service puis
périphérique aux ressources externes
sélectionnez l'interface ethernet1.
requises, comme le service Apple Push
Notification (APN) et le service Google
Cloud Messaging (GCM) pour envoyer
des notifications poussées.
4. Répétez ces étapes pour chaque service que vous souhaitez

modifier. Pour les besoins de la configuration de l'interface
ethernet1 pour l'archivage de périphérique, vous devrez changer
l'itinéraire de service pour la Notification poussée. Si vous ne
disposez d'aucun accès Internet sur l'interface MGT, vous devez
modifier tous les itinéraires de service sur cette interface.

Étape 4 Importer un certificat de serveur pour Pour importer un certificat et une clé privée, téléchargez le certificat
l'interface d'archivage de périphérique du et le fichier de clé depuis l'AC puis assurez-vous qu'ils sont
Gestionnaire de sécurité mobile. accessibles depuis votre système de gestion et que vous avez la phase
secrète pour décrypter la clé privée. Ensuite, exécutez les étapes
Le champ Nom commun (CN) et, le cas
suivantes sur le Gestionnaire de sécurité mobile :
échéant, le champ Autre nom de l'objet
1. Sélectionnez Configuration > Gestion des certificats >
(SAN) du certificat du Gestionnaire de
Certificats > Certificats de périphérique.
sécurité mobile doivent correspondre à
l'adresse IP ou au nom de domaine 2. Cliquez sur Importer et saisissez un Nom de certificat.
complet (FQDN) de l'interface 3. Saisissez le chemin et le nom du Fichier du certificat envoyé par
d'archivage de périphérique (les certificats l'AC, ou Naviguez pour trouver le fichier.
pour les caractères de remplacement sont 4. Sélectionnez Clé privée et certificat cryptés (PKCS12) comme
acceptés). Format du fichier.
Même si vous pouvez générer un 5. Cochez la case Importer clé privée.
certificat de serveur auto-signé pour 6. Saisissez le chemin et le nom du fichier PKCS#12 dans le
l'interface d'archivage de périphérique du champ Fichier de clé ou Naviguez pour le trouver.
(Configuration > Gestion des certificats 7. Saisissez à deux reprises la Phase secrète qui a été utilisée pour
> Certificats > Générer), la procédure
coder la clé privée puis cliquez sur OK pour importer le certificat
et la clé.
recommandée consiste à utiliser un
certificat d'une AC publique, comme 8. Pour configurer le Gestionnaire de sécurité mobile pour utiliser
VeriSign ou Go Daddy, pour garantir que ce certificat pour l'archivage de périphérique :
les périphériques terminaux pourront se a. Sélectionnez Configuration > Paramètres > Serveur et
connecter pour le recrutement. Si vous modifiez les paramètres du serveur SSL.
n'utilisez pas un certificat de confiance
b. Sélectionnez le certificat que vous venez juste d'importer
reconnu par les périphériques, vous devez
depuis la liste déroulante Certificat de serveur MDM.
ajouter le certificat AC racine à la fois à la
configuration du Gestionnaire de sécurité c. (Facultatif) Si le certificat n'a pas été généré par une AC
mobile et à la configuration de client du reconnue, sélectionnez le certificat AC racine de l'émetteur
portail correspondant afin que le portail depuis la liste déroulante Autorité de certification, ou
puisse déployer le certificat sur les Importez-le maintenant.
périphériques comme décrit dans la d. Cliquez sur OK pour enregistrer les paramètres.
section Définir les configurations de
client GlobalProtect.

Étape 5 Obtenez un certificat pour le service 1. Pour créer la demande de signature de certificat (CSR), sélectionnez
Apple Push Notification (APN). Configuration > Gestions des certificats > Certificats puis
cliquez sur Générer.
Le certificat du service APN est requis
pour que le Gestionnaire de sécurité 2. Saisissez un Nom de certificat et un Nom commun pour identifier
mobile puisse envoyer des notifications votre entreprise.
poussées aux périphériques iOS qu'il gère. 3. Dans le champ Nombre de bits, sélectionnez 2048.
Pour obtenir le certificat, vous devez créer 4. Dans le champ Signé par, sélectionnez Autorité externe
une demande de signature de certificat (demande de signature de certificat).
(CSR) sur le Gestionnaire de sécurité
5. Pour le Recueil, sélectionnez sha1 puis cliquez sur Générer.
mobile, l'envoyer au serveur de signature
de Palo Alto Networks pour la signature 6. Sélectionnez le CSR dans la liste de certificats, puis cliquez sur
puis envoyer la demande à Apple. Exporter.
7. Dans la boîte de dialogue Exporter CSR, sélectionnez Signer CSR
Créez une ID Apple partagée pour
pour le service Apple Push Notification dans la liste déroulante
votre organisation pour garantir que
Format de fichier puis cliquez sur OK. Le Gestionnaire de sécurité
vous aurez toujours accès à vos
mobile envoie automatiquement la demande de signature de
certificats.
certificat (CSR) au serveur de signature de Palo Alto Networks, qui
renvoie une CSR signée (.csr), que vous devrez enregistrer sur votre
disque local.
Lorsque le certificat expire, renouvelez-le à l'aide de la même
CSR plutôt que d'en créer un nouveau. Vous ne devez ainsi
pas re-recruter des périphériques à l'aide du Gestionnaire de
sécurité mobile.
8. Ouvrez une fenêtre de navigateur et naviguez jusqu'au portail de
certificats poussés Apple Push Certificates Portal à l'URL suivante :
https://identity.apple.com/pushcert
9. Ouvrez une session en utilisant vos ID et mot de passe Apple puis
cliquez sur Créer un certificat. Lors de votre première ouverture
de session, vous devez Accepter les Termes et conditions
d'utilisation pour pouvoir créer un certificat.
10. Cliquez sur Télécharger pour accéder à l'emplacement de la
demande CSR que vous avez générée puis cliquez sur Télécharger.
Dès que le certificat a été généré avec succès, la confirmation
s'affiche.
11. Cliquez sur Télécharger pour enregistrer le certificat sur votre
ordinateur local.
12. Dans le Gestionnaire de sécurité mobile, sélectionnez

Configuration > Gestion des certificats > Certificats >
Certificats de périphérique, puis cliquez sur Importer.

Étape 5 13. Dans le champ Nom de certificat, saisissez le nom que vous avez
utilisé lorsque vous avez créé la demande CSR.
14. Dans le champ Fichier du certificat, saisissez le chemin et le nom
du certificat (.pem) que vous avez téléchargé sur Apple, ou
Naviguez pour localiser le fichier.
15. électionnez Certificat codé en base-64 (PEM) comme Format
du fichier, puis cliquez sur OK. L'entrée CSR dans la liste des certi-
ficats passe à un certificat avec l'Autorité de certification de l'in-
tégration des applications Apple de l'expéditeur et un Statut
valide.
Étape 6 Obtenez une clé et une ID expéditeur pour 1. Ouvrez une nouvelle fenêtre de navigateur et naviguez jusqu'à la
le service Google Cloud Messaging (GCM). console API Google à l'URL suivante :
La clé GCM et l'ID de l'expéditeur sont https://cloud.google.com/console
requis pour que le Gestionnaire de sécurité 2. Cliquez sur CRÉER PROJET. La page Nouveau projet s'affiche.
mobile envoie des notifications push aux 3. Saisissez un Nom de projet et une ID de projet puis cliquez sur
périphériques Android qu'il gère. Créer. Lors de la création de votre premier projet, vous devez
Accepter les Termes et conditions d'utilisation du Service API pour
pouvoir créer le projet.
4. Sélectionnez API et Autorité dans le menu à gauche de la page.
5. Sur la page API, faites défiler jusqu'à Google Cloud Messaging
pour Android et sélectionnez le paramètre ACTIVÉ.
6. Sélectionnez Informations d'identification dans le menu API et
Autorité à gauche.
7. Dans la section Accès API public de la page, cliquez sur CRÉER
NOUVELLE CLÉ.
8. Dans la boîte de dialogue Créer une nouvelle clé, cliquez sur Clé de
serveur.
9. Dans la zone de texte Accepter les demandes provenant de ces
adresses IP de serveur, saisissez l'adresse IP de l'interface d'archi-
vage de périphérique du Gestionnaire de sécurité mobile puis
cliquez sur Créer. La nouvelle Clé API s'affiche. Elle sert à identifier
votre application Gestionnaire de sécurité mobile. Cette clé est obli-
gatoire pour configurer les notifications poussées sur le Gestion-
naire de sécurité mobile.
10. Pour récupérer votre ID expéditeur, sélectionnez Vue d'ensemble

dans le menu à gauche de l'écran. L'ID expéditeur s'affiche aussi
sous la forme du Numéro de projet. Cette ID est obligatoire pour
configurer les notifications poussées sur le Gestionnaire de sécurité
mobile.

Étape 7 Configurez les paramètres de notification 1. Sélectionnez Configuration > Paramètres > Serveur et
poussée sur le Gestionnaire de sécurité modifiez les paramètres de notifications push.
mobile. 2. Pour activer les notifications poussées destinées aux
périphériques iOS, sélectionnez le Certificat iOS APN que vous
avez généré à l'Étape 5.
3. Pour activer les notifications poussées GCM, cochez la case
Google Cloud Messaging et saisissez la Clé API Android GCM et
l'ID de l'expéditeur Android GCM que vous avez obtenue à
l'étape 6. Étape 6.
Configurer le Gestionnaire de sécurité mobile pour le recrutement
Pour qu'un périphérique mobile soit géré par le Gestionnaire de sécurité mobile GlobalProtect, il doit être recruté par
le service. Le recrutement comprend deux phases :
 Authentification : Avant de pouvoir recruter un périphérique mobile, l'utilisateur du périphérique doit
s'authentifier sur le Gestionnaire de sécurité mobile afin que vous puissiez déterminer l'identité de l'utilisateur et
vérifier qu'il ou elle est un membre qui appartient à votre entreprise. Le Gestionnaire de sécurité mobile
GlobalProtect prend en charge les méthodes d'authentification qui sont prises en charge par les autres composants
GlobalProtect : authentification locale, authentification externe sur un service existant LDAP, Kerberos ou
RADIUS (incluant la prise en charge de l'authentification du mot de passe à usage unique à deux facteurs). Pour
plus d'informations sur ces modes, reportez-vous à la section À propos de l'authentification de l'utilisateur
GlobalProtect.
 Génération de certificat d'identité : Aussitôt qu'il a réussi l'authentification de l'utilisateur final, le

Gestionnaire de sécurité mobile génère un certificat d'identité sur le périphérique. Pour activer le Gestionnaire de
sécurité mobile pour qu'il génère les certificats d'identité, générez un certificat AC auto-signé à utiliser pour
l'ouverture de session. En outre, si vous disposez d'un serveur d'entreprise Simple Certificate Enrollment Protocol
(SCEP) tel que le serveur Microsoft SCEP, vous pouvez configurer le Gestionnaire de sécurité mobile pour utiliser
le serveur SCEP et générer les certificats pour les périphériques iOS. Après le recrutement, le Gestionnaire de
sécurité mobile utilisera le certificat d'identité pour authentifier le périphérique mobile au moment où il procédera
à son archivage.
Pour que les périphériques Android reçoivent des notifications push du Gestionnaire de sécurité
mobile, vous devez également vérifier la connectivité de votre pare-feu aux services GCM. Si
vous utilisez un pare-feu Palo Alto Networks, configurez une politique de sécurité pour autoriser
le trafic de l'application google-cloud-messaging (sur votre pare-feu, sélectionnez Politiques >
Sécurité). Si vous utilisez un pare-feu avec gestion des ports, ouvrez les ports 5228, 5229 et
5230 sur le pare-feu pour GCM et définissez également le pare-feu de sorte qu'il accepte les
connexions sortantes vers toutes les adresses IP contenues dans les blocs IP répertoriés dans
l'ASN 15169 de Google. Pour plus d'informations, reportez-vous à Google Cloud Messaging pour
Android.

Utilisez la procédure suivante pour configurer l'infrastructure de recrutement sur le Gestionnaire de sécurité mobile :
Configurer le Gestionnaire de sécurité mobile pour le recrutement
Étape 1 Créez un profil d'authentification pour 1. Configurez le Gestionnaire de sécurité mobile pour qu'il se
authentifier les utilisateurs de connecte au service d'authentification que vous envisagez
périphérique lorsqu'ils se connectent au d'utiliser afin qu'il puisse accéder aux informations
Gestionnaire de sécurité mobile pour le d'identification d'authentification.
recrutement. • Si vous envisagez d'authentifier via LDAP, Kerberos ou
Selon la procédure recommandée, vous RADIUS, vous devez créer un profil de serveur qui indique
devez utiliser le service d'authentification au Gestionnaire de sécurité mobile comment se connecter au
qui a été sollicité pour authentifier les service et accéder aux informations d'identification
utilisateurs finaux pour l'accès aux d'authentification de vos utilisateurs. Sélectionnez
ressources de l'entreprise, telles que le Configuration > Profils de serveur, puis ajoutez un nouveau
courrier électronique et la Wi-Fi. Cela profil pour le service auquel vous accéderez.
permet au Gestionnaire de sécurité • Si vous envisagez d'utiliser une authentification de base de
mobile de capturer les informations données locale, vous devez tout d'abord créer la base de
d'identification à utiliser dans les profils données locale. Sélectionnez Configuration > Base de
de configuration qu'il déploie sur les données d'utilisateurs > Utilisateurs locaux et ajoutez les
périphériques. Par exemple, le utilisateurs à authentifier.
Gestionnaire de sécurité mobile peut
automatiquement déployer les 2. Créez un profil d'authentification faisant référence au profil du
configurations qui incluent les serveur ou à la base de données d'utilisateurs locale que vous
informations d'identification requises venez de créer. Sélectionnez Configuration > Profil
d'authentification et ajoutez un nouveau profil. Le nom du
pour accéder aux ressources de
l'entreprise, telles que le courrier profil d'authentification ne doit pas contenir d'espace.
électronique et la Wi-Fi, via le
périphérique.
Étape 2 Configurez le gestionnaire de sécurité 1. Sélectionnez Configuration > Paramètres > Serveur et
mobile pour utiliser le profil modifiez les paramètres d'authentification.
d'authentification pour le recrutement de 2. Sélectionnez le Profil d'authentification dans le menu
périphérique. déroulant.
3. (Facultatif) Si vous souhaitez que le Gestionnaire de sécurité
mobile enregistre le mot de passe saisi par l'utilisateur du
périphérique mobile lors de son authentification, veillez à
cocher la case Enregistrer le mot de passe de l'utilisateur sur
le serveur . Si vous choisissez d'enregistrer le mot de passe, le
Gestionnaire de sécurité mobile sera capable de configurer
automatiquement les informations d'identification de
l'utilisateur dans les paramètres de configuration qu'il pousse sur
le périphérique. Par exemple, il peut utiliser les informations
d'identification enregistrées (le nom d'utilisateur est toujours
enregistré sur le serveur) pour configurer automatiquement le
profil du courrier électronique qui est poussé sur le périphérique
afin d'éviter à l'utilisateur final de les définir manuellement.

Configurer le Gestionnaire de sécurité mobile pour le recrutement (suite)
Étape 3 Configurez le Gestionnaire de sécurité Définissez quel certificat AC racine le Gestionnaire de sécurité
mobile pour l'émission de certificats mobile devra utiliser pour générer les certificats d'identité pour les
d'identité. périphériques Android et, s'ils n'utilisent pas le serveur SCEP, pour
les périphériques iOS. Si vous utilisez une AC d'entreprise, importez
Même si le Gestionnaire de sécurité
le certificat AC racine et la clé privée associée (Configuration >
mobile peut générer des certificats
Gestions des certificats > Certificats > Importer). Sinon, générez
d'identité pour tous les
un certificat AC racine auto-signé :
périphériques mobiles authentifiés,
vous pourrez choisir d'exploiter un 1. Pour créer un certificat AC racine auto-signé dans le
serveur SCEP existant pour générer gestionnaire de sécurité mobile, sélectionnez Configuration >
Gestion des certificats > Certificats > Certificats de
les certificats d'identité pour vos
périphérique, puis cliquez sur Générer.
périphériques iOS comme décrit
dans l'étape suivante. Les 2. Saisissez un nom de certificat, tel que Mobility_CA. Le nom du
périphériques Android ne peuvent certificat ne peut pas contenir d'espaces.
pas utiliser le serveur SCEP, c'est 3. Ne sélectionnez pas de valeur dans le champ Signé par (ceci
pourquoi vous devez configurer le indique qu'il est auto-signé).
Gestionnaire de sécurité mobile 4. Cochez la case Autorité de certification, puis cliquez sur OK
pour générer les certificats pour générer le certificat. Le Gestionnaire de sécurité mobile
d'identité pour tous les utilisera automatiquement ce certificat d'ouverture de session
périphériques Android. pour générer les certificats d'identité pour les périphériques lors
du recrutement.
Étape 4 (Facultatif) Configurer le Gestionnaire de 1. Configurez le Gestionnaire de sécurité mobile pour l'accès au
sécurité mobile pour l'intégrer dans un serveur SCEP et définissez les propriétés du certificat à utiliser
serveur SCEP d'entreprise existant pour lors de la génération des certificats d'identité comme décrit dans
la génération des certificats d'identité sur la section Paramétrer une configuration SCEP.
les périphériques iOS. 2. Activez SCEP sur le Gestionnaire de sécurité mobile :
L'avantage du SCEP est que la clé privée a. Sélectionnez Configuration > Paramètres > Serveur et
ne quitte jamais le périphérique mobile. modifiez les paramètres SCEP.
Si vous envisagez d'utiliser le b. Cochez la case SCEP pour activer le protocole SCEP.
serveur SCEP pour générer les c. Sélectionnez la configuration SCEP que vous avez créée dans
certificats d'identité, vérifiez que les la liste déroulante Recrutement.
périphériques iOS qui seront
recrutés ont les certificats AC racine d. (Facultatif) Si vous souhaitez que le Gestionnaire de sécurité
requis pour les activer et établir une mobile vérifie le certificat client que le serveur SCEP a généré
connexion avec votre serveur sur le périphérique avant d'achever le processus de
SCEP. recrutement, vous devez importer le certificat AC racine du
serveur SCEP et créer un Profil de certificat correspondant.
e. Cliquez sur OK pour enregistrer les paramètres.

Étape 5 Configurez les paramètres de 1. Sélectionnez Configuration > Paramètres > Serveur et
recrutement. modifiez les paramètres de recrutement.
2. Saisissez le Nom de l'hôte de l'interface d'archivage de
périphérique (FQDN ou adresse IP ; il doit correspondre à ce
qui se trouve dans le champ CN du certificat de Gestionnaire de
sécurité mobile associé à l'interface d'archivage de périphérique).
3. (Facultatif) Définissez le Port de recrutement pour l'écoute du
gestionnaire de sécurité mobile pour les demandes de
recrutement. Par défaut, sa valeur est définie sur 443 et il est
recommandé de garder cette valeur et d'utiliser un numéro de
port différent pour le port d'archivage de périphérique.
4. Saisissez l'Identifiant de l'organisation et facultativement un
Nom d'organisation à afficher sur les profils de configuration
que le Gestionnaire de sécurité mobile pousse sur les
périphériques.
5. (Facultatif) Saisissez un Message de consentement qui fait
savoir aux utilisateurs qu'ils sont recrutés dans votre service de
gestion de périphérique. Notez que ce message ne sera pas
affiché sur les périphériques utilisant iOS 5.1.
6. Sélectionnez le certificat AC que le Gestionnaire de sécurité
mobile doit utiliser pour générer les certificats dans le menu
déroulant Autorité de certification et modifiez facultativement
la valeur Expiration du certificat d'identité (par défaut
365 jours ; période de 60 à 3 650 jours).
Étape 6 (Facultatif) Forcer le renouvellement du Pour forcer les utilisateurs de périphérique mobile à être re-recrutés
recrutement des utilisateurs de à l'expiration des certificats :
périphérique dès l'expiration du certificat 1. Sélectionnez Configuration > Paramètres > Serveur et
d'identité. modifiez les paramètres de renouvellement de recrutement.
Par défaut, les utilisateurs de périphérique 2. Cochez la case Re-recrutement requis.
mobile ne sont pas obligés d'être 3. (Facultatif) Personnalisez le Message de renouvellement qui
re-recrutés manuellement à l'expiration s'affichera sur les périphériques mobiles pour alerter les
du certificat d'identité ; le Gestionnaire de utilisateurs finaux qu'ils auront besoin d'annuler leur
sécurité mobile renouvelle recrutement puis de renouveler leur recrutement avant
automatiquement les certificats d'identité l'expiration du certificat afin de continuer la prestation du
et renouvelle le recrutement des service de gestion de périphériques du Gestionnaire de sécurité
périphériques. mobile. La variable {JOURS} sera remplacée par le nombre réel
de jours restants jusqu'à l'expiration du certificat lorsque le
message est envoyé au périphérique.
4. Cliquez sur OK pour enregistrer les paramètres de
renouvellement.

Étape 8 Configurez le portail GlobalProtect pour Exécutez les étapes suivantes sur le pare-feu hébergeant votre portail
rediriger les périphériques mobiles sur le GlobalProtect :
Gestionnaire de sécurité mobile pour le 1. Sélectionnez Réseau > GlobalProtect > Portails puis choisissez
recrutement. la configuration du portail à modifier.
Pour plus d'instructions détaillées, 2. Cliquez sur l'onglet Configuration de client et sélectionnez la
reportez-vous à la section Configurer le configuration de client pour activer la gestion de sécurité
portail GlobalProtect. mobile.
3. Dans l'onglet Général, saisissez l'adresse IP ou le FQDN de
l'interface d'archivage de périphérique sur le Gestionnaire de
sécurité mobile MDM GlobalProtect.
4. (Facultatif) Définissez le Port de recrutement MDM
GlobalProtect pour l'écoute du gestionnaire de sécurité mobile
pour les demandes de recrutement. Cette valeur doit
correspondre à la valeur définie sur le Gestionnaire de sécurité
mobile.
5. Cliquez deux fois sur OK pour enregistrer la configuration du
portail.

Configurer le Gestionnaire de sécurité mobile Activer l'accès passerelle au Gestionnaire de
Activer l'accès passerelle au Gestionnaire de sécurité mobile

Si vous envisagez de Configurer la mise en œuvre des politiques basées sur HIP sur vos pare-feu, vous pouvez
configurer les passerelles GlobalProtect pour récupérer les rapports HIP pour les périphériques mobiles gérés par le
Pour activer la passerelle pour récupérer les rapports HIP depuis le Gestionnaire de sécurité mobile, vous devez activer
une interface pour l'accès passerelle, puis configurer les passerelles pour s'y connecter de la manière suivante :
Activer l'accès passerelle au Gestionnaire de sécurité mobile
Étape 1 Définissez l'interface de Gestionnaire de • (Recommandé) Pour utiliser l'interface ethernet1 pour l'accès
sécurité mobile à utiliser pour la passerelle, sélectionnez Configuration > Réseaux > ethernet1.
récupération HIP et activez le service de Cochez la case Passerelles GlobalProtect puis cliquez sur OK.
passerelle sur l'interface.
• Pour utiliser l'interface MGT pour l'accès à la passerelle,
Même si vous pouvez configurer les sélectionnez Configuration > Paramètres > Gestion puis modifiez
passerelles pour vous connecter soit à les paramètres de l'interface de gestion. Cochez la case
l'interface MGT soit à l'interface Passerelles GlobalProtect puis cliquez sur OK.
ethernet1, selon la procédure Si cette interface n'est pas encore configurée, vous devez
recommandée, vous devriez envisager fournir les paramètres d'accès réseau (adresse IP, masque
d'utiliser l'interface ethernet1 pour réseau, et passerelle par défaut) et connecter physiquement le
garantir que vos passerelles distantes port Ethernet à votre réseau. Reportez-vous à la section
auront accès à l'appareil. Configurer le Gestionnaire de sécurité mobile pour
l'archivage de périphérique pour plus de détails.
Étape 2 (Facultatif) Importez un certificat de Selon la procédure recommandée, utilisez le certificat AC utilisé pour
serveur pour l'interface MGT du générer les certificats auto-signés sur les autres composants
Gestionnaire de sécurité mobile afin de GlobalProtect. Reportez-vous à la section Déployer les certificats de
permettre aux passerelles GlobalProtect serveur sur les composants GlobalProtect pour les détails sur la
de se connecter à cette interface. Ce marche à suivre recommandée.
certificat est requis uniquement si les Après la génération d'un certificat de serveur pour le Gestionnaire de
passerelles doivent se connecter à sécurité mobile, importez-le de la manière suivante :
l'interface MGT au lieu de l'interface
1. Sélectionnez Configuration > Gestion des certificats >
ethernet1 pour la récupération HIP.
Le champ Nom commun (CN) et, le cas Importer.
échéant, le champ Autre nom de l'objet 2. Saisissez un Nom de certificat.
(SAN) du certificat du Gestionnaire de
3. Saisissez le chemin et le nom du Fichier du certificat ou
sécurité mobile doivent correspondre à
Naviguez pour trouver le fichier.
l'adresse IP ou au nom de domaine
complet (FQDN) de l'interface (les 4. Sélectionnez Clé privée et certificat cryptés (PKCS12) comme
certificats pour les caractères de Format du fichier.
remplacement sont acceptés). 5. Saisissez le chemin et nommez le fichier PKCS12 dans le champ
Fichier de clé ou cliquez sur Parcourir pour le rechercher.
6. Saisissez et confirmez la Phrase secrète que vous avez utilisée
pour crypter la clé privée lors de son exportation du portail, puis
cliquez sur OK pour importer le certificat et la clé.

Activer l'accès passerelle au Gestionnaire de Configurer le Gestionnaire de sécurité mobile
Activer l'accès passerelle au Gestionnaire de sécurité mobile (suite)
Étape 3 Précisez quel certificat de serveur le 1. Sélectionnez Configuration > Paramètres > Serveur et
Gestionnaire de sécurité mobile devra modifiez les paramètres de la passerelle GlobalProtect.
utiliser pour permettre à la passerelle 2. Cochez la case Récupération de rapports HIP pour activer l'accès
d'établir une connexion HTTPS pour la passerelle au Gestionnaire de sécurité mobile.
récupération HIP.
3. Sélectionnez le certificat que vous venez juste d'importer depuis la
liste déroulante Certificat de serveur MDM puis cliquez sur OK.
Étape 4 (Facultatif) Créez un profil de certificat sur Pour activer l'authentification mutuelle entre la passerelle et le
le Gestionnaire de sécurité mobile pour Gestionnaire de sécurité mobile, créez un certificat client pour la
activer la ou les passerelle(s) pour établir une passerelle puis importez l'AC racine ayant généré le certificat client sur le
connexion SSL mutuelle avec le Gestionnaire de sécurité mobile. Utilisez la procédure suivante pour
Gestionnaire de sécurité mobile pour la importer le certificat client sur le Gestionnaire de sécurité mobile et
récupération de rapports HIP. définissez un profil de certificat :
1. Téléchargez le certificat AC utilisé pour générer les certificats de
passerelles (dans la marche à suivre recommandée, le certificat AC
est sur le portail).
a. Sélectionnez Périphérique > Gestion des certificats >
Certificats > Certificats de périphérique.
b. Sélectionnez le certificat AC, puis cliquez sur Exporter.
c. Sélectionnez Certificat codé en base-64 (PEM) dans la liste
déroulante Format du fichier, puis cliquez sur OK pour
télécharger le certificat. (Vous n'avez pas besoin d'exporter la clé
privée.)
2. Sur le Gestionnaire de sécurité mobile, importez le certificat en
sélectionnant Périphérique > Gestions des certificats >
Certificats > Certificats de périphérique, en cliquant sur
Importer et en naviguant jusqu'au certificat que vous venez juste
de télécharger. Cliquez sur OK pour importer le certificat.
3. Sélectionnez Périphérique > Certificats > Gestion des
certificats > Profil de certificat et cliquez sur Ajouter puis
saisissez un Nom pour identifier de façon unique le profil, tel que
passerelles GP.
4. Dans le champ Certificats AC, cliquez sur Ajouter, sélectionnez le
certificat AC que vous avez importé puis cliquez sur OK.
6. Configurez le Gestionnaire de sécurité mobile pour utiliser ce profil
de certificat pour établir une connexion HTTPS avec les
passerelles :
a. Sélectionnez Configuration > Paramètres > Serveur et
modifiez les paramètres de la passerelle GlobalProtect.
b. Sélectionnez le profil du certificat que vous avez créé dans la liste
déroulante Profil du certificat.
c. Cliquez sur OK pour enregistrer les paramètres.
7. Validez les modifications du Gestionnaire de sécurité mobile.

Configurer le Gestionnaire de sécurité mobile Activer l'accès passerelle au Gestionnaire de
Activer l'accès passerelle au Gestionnaire de sécurité mobile (suite)
Étape 5 Configurez les passerelles pour l'accès au Depuis chaque pare-feu hébergeant une passerelle GlobalProtect,
Gestionnaire de sécurité mobile. exécutez les procédures suivantes :
1. Sélectionnez Réseau > GlobalProtect > MDM, puis cliquez sur
Ajouter pour ajouter le Gestionnaire de sécurité mobile.
2. Saisissez un Nom pour le Gestionnaire de sécurité mobile et
indiquez à quel système virtuel il appartient dans le champ
Emplacement (le cas échéant).
3. Saisissez l'adresse IP du Serveur ou le nom de domaine
complet de l'interface sur le gestionnaire de sécurité mobile où
la passerelle se connecte pour récupérer les rapports HIP. La
valeur doit correspondre au champ CN (et, le cas échéant, au
champ SAN) sur le certificat du Gestionnaire de sécurité mobile
associé à l'interface.
4. (Facultatif) Si vous souhaitez utiliser l'authentification mutuelle
entre la passerelle et le Gestionnaire de sécurité mobile,
sélectionnez le Certificat client que la passerelle présentera lors
de l'établissement d'une connexion au Gestionnaire de sécurité
mobile.
5. Dans le champ AC racine de confiance, cliquez sur Ajouter et
sélectionnez le certificat AC racine utilisé pour générer le
certificat de Gestionnaire de sécurité mobile pour l'interface sur
laquelle la passerelle se connectera pour récupérer les rapports
HIP.
6. Cliquez sur OK pour enregistrer les paramètres, puis sur Valider
pour valider les modifications.

Définir les politiques de déploiement Configurer le Gestionnaire de sécurité mobile
GlobalProtect
Définir les politiques de déploiement

Après le recrutement réussi d'un périphérique mobile par le Gestionnaire de sécurité mobile GlobalProtect, il l'archive
avec le Gestionnaire de sécurité mobile pour valider ses données d'hôte à des intervalles réguliers (toutes les heures
par défaut). Le Gestionnaire de sécurité mobile utilise les règles de politique de déploiement que vous avez définies pour
déterminer les profils de configuration à pousser sur le périphérique. Cela vous permet d'avoir un contrôle granulaire sur
les profils de configuration, le cas échéant, qui seront déployés sur le périphérique et/ou supprimés de celui-ci. Par
exemple, vous pourriez créer des configurations différentes pour différents groupes d'utilisateurs ayant des besoins en
accès variables. Ou vous pourriez créer des règles de politique qui autorisent uniquement les configurations à être
poussées sur les périphériques qui sont conformes aux règles de sécurité.
Les sections suivantes fournissent des informations concernant la planification de votre stratégie de gestion de sécurité
mobile et les instructions relatives à la configuration de vos politiques et profils :
 À propos du déploiement des politiques du Gestionnaire de sécurité mobile
 Procédures recommandées pour les politiques du Gestionnaire de sécurité mobile
 Intégrer le Gestionnaire de sécurité mobile dans votre annuaire LDAP
 Définir les objets HIP et les profils HIP
 Créer les profils de configuration
 Créer des politiques de déploiement
À propos du déploiement des politiques du Gestionnaire de sécurité mobile
Après le recrutement réussi d'un périphérique mobile par le Gestionnaire de sécurité mobile GlobalProtect, il l'archive
avec le Gestionnaire de sécurité mobile à des intervalles réguliers. Le processus d'archivage inclut quatre phases :
 Authentification : Pour se connecter au Gestionnaire de sécurité mobile pour l'archivage, le périphérique mobile
présente le certificat d'identité qui a été généré pour lui durant son recrutement. Si vous avez activé l'accès à votre
serveur LDAP, le Gestionnaire de sécurité mobile peut utiliser le nom d'utilisateur authentifié pour déterminer une
correspondance de politique basée sur l'utilisateur ou l'appartenance à un groupe. Reportez-vous à la section
Intégrer le Gestionnaire de sécurité mobile dans votre annuaire LDAP.
 Collecte de données de périphérique : Le périphérique mobile fournit des données HIP, que le Gestionnaire
de sécurité mobile analyse afin de créer un rapport HIP complet pour le périphérique. Le rapport HIP fournit des
informations d'identification sur le périphérique, des informations sur l'état du périphérique (par exemple, s'il est
débridé/avec racine, si le cryptage est activé, et si un code d'activation est défini), et une liste de toutes les
applications installées sur le périphérique. Pour les périphériques Android, le Gestionnaire de sécurité mobile
calcule une empreinte numérique pour chaque application et utilise ces données pour déterminer si certaines des
applications installées sont réputées pour avoir des logiciels malveillants en se basant sur les dernières mises à jour
de contenus APK. Pour plus d'informations sur la collecte de données HIP, reportez-vous à la section Collecte
de données de périphérique.

Configurer le Gestionnaire de sécurité mobile GlobalProtect Définir les politiques de déploiement
 Déploiement des politiques : Chaque règle de politique du Gestionnaire de sécurité mobile est composée de
deux parties : critères de correspondance et configurations. Lorsqu'un périphérique est archivé, le Gestionnaire de sécurité
mobile compare les informations de l'utilisateur associées au périphérique et aux données HIP collectées sur le
périphérique avec les critères de correspondance. Dès qu'il trouve la première règle de correspondance, il pousse
la configuration correspondante sur le périphérique.
– Critères de correspondance : Le Gestionnaire de sécurité mobile utilise le nom d'utilisateur de l'utilisateur
du périphérique et/ou la correspondance HIP pour déterminer une correspondance de politique.
L'utilisation du nom d'utilisateur vous permet de déployer une politique basée sur l'appartenance à un groupe.
Reportez-vous à la section À propos de la correspondance utilisateur et groupe. L'utilisation de la
correspondance HIP vous permet de pousser les politiques de déploiement basées sur la conformité à la
sécurité du périphérique et/ou l'utilisation d'autres caractéristiques d'identification du périphérique, comme
la version de système d'exploitation, l'étiquette, ou le modèle du périphérique. Reportez-vous à la section À
propos de la correspondance HIP.
– Configurations : Contient les paramètres de configuration, les certificats, les profils de provisionnement
(iOS uniquement), et les restrictions de périphérique à pousser sur les périphériques qui correspondent à la
règle de politique correspondante. Comme les systèmes d'exploitation iOS et Android prennent en charge
des paramètres différents et utilisent une syntaxe différente, vous devez créer des configurations distinctes à
pousser sur chaque système d'exploitation ; vous pouvez associer à la fois une configuration iOS et une
configuration Android à la même règle de politique et le Gestionnaire de sécurité mobile poussera
automatiquement la configuration appropriée sur le périphérique. Pour plus d'informations sur la création de
la configuration, reportez-vous à la section Créer les profils de configuration.
 Notification de non-conformité : Dans certains cas, un périphérique n'aura aucune correspondance avec la
règle de politiques que vous avez définie en raison de la non-conformité. Par exemple, supposons que vous créez
un profil HIP qui ne correspond qu'aux périphériques qui sont conformes aux règles de sécurité (c'est-à-dire qu'ils
sont codés et ne sont pas avec racine/débridés) et que vous l'associez à vos règles de politique de déploiement.
Dans ce cas, les configurations sont uniquement poussées sur les périphériques qui correspondent au profil HIP.
Vous pouvez ensuite définir un message de notification HIP à envoyer aux périphériques qui ne correspondent
pas au profil, en indiquant la raison pour laquelle ils ne reçoivent aucune configuration. Pour plus d'informations,
consultez la section À propos de la Notification HIP.

Définir les politiques de déploiement Configurer le Gestionnaire de sécurité mobile GlobalProtect
Collecte de données de périphérique
Le Gestionnaire de sécurité mobile collecte les informations suivantes (le cas échéant) auprès d'un périphérique
mobile chaque fois qu'il procède à l'archivage :
Catégorie Données collectées
Infos sur l'hôte Informations sur le périphérique lui-même, incluant le système d'exploitation et la version du
système d'exploitation, la version de l'application GlobalProtect, le nom et le modèle du
périphérique, et les informations d'identification incluant le numéro de téléphone, le numéro
d'identité internationale d'équipement mobile (IIEM), et le numéro de série. En outre, si vous
avez assigné toutes les étiquettes aux périphériques, ces informations sont également
rapportées.
Réglages Informations sur l'état de sécurité du périphérique, notamment s'il est avec racine/débridé,
si la date du périphérique est codée, et si l'utilisateur a défini un code d'activation sur le
périphérique.
Applis Inclut une liste de tous les progiciels qui sont installés sur le périphérique, indique si le
périphérique contient des applications qui sont réputées pour contenir des logiciels
malveillants (périphériques Android uniquement), et, facultativement, la localisation GPS du
périphérique. Vous pouvez choisir de collecter ou d'exclure une liste d'applications installées
sur le périphérique qui ne sont pas gérées par le Gestionnaire de sécurité mobile.
Localisation GPS Inclut la localisation GPS du périphérique si les services de localisation sont activés dessus.
Toutefois, pour des raisons de confidentialité, vous pouvez configurer le Gestionnaire de
sécurité mobile pour exclure ces informations de la collecte.
À propos de la correspondance utilisateur et groupe
Pour définir des politiques de déploiement de périphérique mobile basées sur un utilisateur ou un groupe, le
Gestionnaire de sécurité mobile doit récupérer la liste des groupes et la liste des membres correspondante sur votre
serveur d'annuaire. Pour activer cette fonctionnalité, vous devez créer un profil de serveur LDAP qui indique au
Gestionnaire de sécurité mobile comment se connecter et s'authentifier sur le serveur LDAP, et comment rechercher
les informations relatives à l'utilisateur et au groupe dans l'annuaire. Après l'intégration réussie du Gestionnaire de
sécurité mobile dans le serveur d'annuaire, vous serez en mesure de sélectionner les utilisateurs ou les groupes lors de
la définition des politiques de déploiement de périphérique mobile. Le Gestionnaire de sécurité mobile prend en
charge divers serveurs d'annuaires LDAP, notamment Microsoft Active Directory (AD), Novell eDirectory et Sun
ONE Directory Server. Pour obtenir des instructions sur le paramétrage de la correspondance utilisateur et groupe,
reportez-vous à la section Intégrer le Gestionnaire de sécurité mobile dans votre annuaire LDAP.

À propos de la correspondance HIP
Vous définissez les attributs de périphérique que vous souhaitez utiliser pour la surveillance et/ou pour le déploiement
des politiques en créant des objets HIP et des profils HIP sur le Gestionnaire de sécurité mobile :
 Objets HIP : Ils fournissent des critères de correspondance pour filtrer les informations sur l'hôte que vous
souhaitez utiliser pour mettre en œuvre la politique. Par exemple, si vous souhaitez identifier un périphérique qui
comporte une vulnérabilité, vous pourriez créer des objets HIP qui devraient correspondre à l'état de chaque
périphérique que vous considérez être une vulnérabilité. Par exemple, vous pourriez créer un objet HIP qui
correspond aux périphériques qui sont débridés/avec racine, un autre qui correspond aux périphériques qui ne
sont pas codés, et un troisième qui correspond aux périphériques qui contiennent des logiciels malveillants.
 Profils HIP : Une collection d'objets HIP qui doivent être évalués ensemble à l'aide d'une logique booléenne de
telle sorte que, lorsque les données HIP sont évaluées par rapport au profil HIP résultant, soit elles correspondent
soit elles ne correspondent pas. Par exemple, si vous souhaitez déployer des profils de configuration uniquement
sur les périphériques qui ne comportent pas de vulnérabilité, vous pourriez créer un profil HIP à associer à votre
politique qui correspond uniquement si le périphérique n'est pas avec racine/débridé et est codé et ne contient pas
de logiciel malveillant.
Pour obtenir des instructions sur le paramétrage de la correspondance HIP, reportez-vous à la section Définir les
objets HIP et les profils HIP.
À propos de la Notification HIP
Par défaut, aucune information n'est fournie aux utilisateurs finaux sur les décisions de politique qui ont été prises à
l'issue de la mise en œuvre d'une politique de déploiement activée par HIP. Toutefois, vous pouvez activer cette
fonctionnalité en définissant les messages de notification HIP à afficher lorsqu'une correspondance de profil HIP
particulier a été trouvée et/ou lorsqu'aucune correspondance n'a été trouvée.
La décision relative au moment propice pour l'affichage d'un message (c'est-à-dire faut-il l'afficher lorsque le
périphérique trouve une correspondance de profil HIP dans la politique ou lorsqu'aucune correspondance n'a été
trouvée), dépend en grande partie de la politique et de la signification pour l'utilisateur d'une correspondance de profil
HIP (ou non-correspondance). En effet, est-ce qu'une correspondance signifie que les profils de configuration
correspondants sont poussés sur le périphérique ? Ou est-ce que cela signifie que le périphérique ne recevra pas de
profil de configuration jusqu'à ce qu'il soit conforme aux règles de sécurité ?
Par exemple, examinez les scénarios suivants :
 Vous créez un profil HIP qui correspond si la version du système d'exploitation du périphérique est supérieure ou
égale à un numéro de version spécifique. Dans ce cas, vous pourriez créer un message de notification HIP pour
les périphériques qui ne correspondent pas au profil HIP indiquant aux utilisateurs de périphérique qu'ils doivent
mettre à niveau le système d'exploitation du périphérique pour recevoir les profils de configuration de l'entreprise.
 Vous créez un profil HIP qui correspond si la version du système d'exploitation du périphérique est inférieure à
un numéro de version spécifique. Dans ce cas, vous pourriez créer le message pour les périphériques qui
correspondent au profil.

Les politiques du Gestionnaire de sécurité mobile que vous déployez vous permettent de garantir que les
périphériques ayant accès à votre réseau sont conformes à vos politiques d'utilisation et de sécurité acceptables, de
fournir un mécanisme pour pousser ainsi que simplifier le déploiement des paramètres de configuration, les certificats,
et les profils de provisionnement requis pour accéder à vos ressources d'entreprise.
La méthode que vous choisissez pour gérer et configurer les périphériques mobiles dépend des conditions
particulières en vigueur au sein de votre société et de la sensibilité des ressources auxquelles les configurations donnent
accès. Pour obtenir des informations sur les messages de notification HIP, reportez-vous à la section Définir les
objets HIP et les profils HIP.
Procédures recommandées pour les politiques du Gestionnaire de sécurité

mobile
Avant de définir les profils de configuration, les profils de provisionnement, et les restrictions de périphérique à
pousser sur les périphériques gérés, songez à utiliser les procédures recommandées suivantes :
 Créer une règle

de politique par
défaut qui
contrôle les
vulnérabilités des
périphériques :
Compte tenu de leur
utilité, les
périphériques
mobiles, mêmes ceux qui appartiennent à l'entreprise, sont utilisés pour des usages très variés dépassant le cadre
professionnel, qui peuvent favoriser les vulnérabilités et le vol. Tout comme vous souhaitez garantir que les
ordinateurs portables et les ordinateurs ayant accès à votre réseau soient entretenus et sécurisés de façon
appropriée, vous devriez pouvoir également garantir que les périphériques mobiles ayant accès à vos systèmes
d'entreprise ne contiennent pas de vulnérabilités connues. L'utilisation des profils HIP qui contrôlent la
conformité du périphérique aux normes que vous définissez vous permet de garantir que les profils de
configuration qui activent l'accès à vos ressources d'entreprise sont poussés uniquement selon que le périphérique
contient ou non des vulnérabilités connues, par exemple s'il est débridé/avec racine ou s'il contient des applications
qui sont réputées pour contenir des logiciels malveillants. La meilleure solution pour y parvenir consiste à créer
une règle de politique par défaut qui correspond aux périphériques qui contient une vulnérabilité, en se basant sur
la correspondance HIP. Pour les périphériques qui correspondent à la règle, la politique devrait soit délivrer un
profil vide (c'est-à-dire que vous n'y associez aucun profil) soit délivrer un profil qui contient une condition de mot
de passe uniquement (dans le cas où le périphérique vulnérable contient des données d'entreprise ou a accès aux
systèmes d'entreprise). Dans ce cas, vous pourrez aussi veiller à bien créer une notification de correspondance HIP
pour informer les utilisateurs sur les raisons pour lesquelles ils ne reçoivent pas leurs paramètres de compte.
 Exigez le cryptage complexe des codes d'activation

et des données : Compte tenu de leur nature portable, les
périphériques mobiles sont faciles à perdre et à voler. Si un
périphérique sans code d'activation se retrouve dans de
mauvaises mains, les systèmes d'entreprise qui sont
accessibles sur le périphérique sont aussitôt exposés à des risques. C'est pourquoi vous devez toujours exiger un

code d'activation sur les périphériques que vous gérez. En outre, comme les périphériques Android ne codent pas
automatiquement les données dès la configuration d'un code d'activation comme c'est le cas avec les périphériques
iOS, vous devez aussi toujours exiger que le cryptage de données soit activé sur les périphériques Android gérés.
Même s'il existe deux façons pour mettre en œuvre ces conditions requises, la méthode la plus facile consiste à
inclure le code d'activation et les conditions de cryptage dans tous les profils de configuration que vous poussez.
L'inclusion des conditions du périphérique au sein des profils de configuration qui activent l'accès à vos ressources
d'entreprise, telles que le courrier électronique, le VPN ou la Wi-Fi, force l'utilisateur du périphérique mobile à
définir un code d'activation qui remplit vos conditions et à activer le cryptage des données avant que le profil ne
soit installé, ce qui empêche les utilisateurs finaux d'accéder au compte correspondant avant que le périphérique
soit en conformité.
Poussez un profil de configuration VPN GlobalProtect

pour simplifier le déploiement : Pour simplifier le
déploiement des paramètres de l'agent GlobalProtect sur les
périphériques iOS que vous gérez, créez un profil de configuration
iOS et configurez les paramètres VPN pour que le périphérique
puisse automatiquement se connecter à votre VPN GlobalProtect
dès le déploiement de la politique correspondante.
 Créer des profils de configuration

distincts pour l'accès à différents
comptes : Même si vous pouvez créer
des profils de configuration qui poussent
les paramètres pour plusieurs comptes,
vous pouvez simplifier l'administration et
améliorer la convivialité en créant des
profils de configuration distincts pour
chaque service. Cela permet aux
utilisateurs de supprimer les profils pour
les comptes dont ils n'ont pas besoin ou
qu'ils ne veulent pas. De même, lorsque l'accès utilisateur a besoin d'un changement de service particulier, vous
pouvez simplement modifier les paramètres de déploiement des politiques pour que le profil soit
automatiquement supprimé des périphériques de l'utilisateur ou ajouté à ces périphériques, le cas échéant. En
outre, en procédant par ségrégation des configurations de compte dans des fichiers séparés, vous pouvez plus
facilement créer des politiques qui sont personnalisées en fonction des besoins en matière d'accès de vos groupes
d'utilisateurs.
 Utiliser les profils de provisionnement iOS pour simplifier le déploiement des applications
d'entreprise : Les profils de provisionnement fournissent une méthode pratique et automatisée pour distribuer
les applications d'entreprise développées en interne sur les périphériques iOS gérés sur votre réseau. Même si le
Gestionnaire de sécurité mobile simplifie le déploiement des profils de provisionnement sur un grand nombre de
périphériques mobiles, vous devez prendre en compte certains facteurs de sécurité. Lors de la révocation de l'accès
à une application qui a été activée via un profil de provisionnement, l'application continuera de fonctionner sur le
périphérique jusqu'au prochain cycle de démarrage même si la politique du Gestionnaire de sécurité mobile
supprime le profil. En outre, comme les profils de provisionnement sont synchronisés avec iTunes, le profil peut
être réinstallé la prochaine fois que l'utilisateur final synchronise le périphérique avec iTunes. Songez à utiliser les
procédures recommandées suivantes :

– Exigez l'authentification pour utiliser l'application. Elle permet d'empêcher l'accès aux utilisateurs qui ne sont
plus autorisés à utiliser l'application, mais qui ont toujours le profil de provisionnement installé sur leurs
périphériques.
– Pour garantir que les données des applications d'entreprise ne soient pas sauvegardées sur iCloud ou iTunes
d'où elles pourraient être accessibles par des utilisateurs non autorisés, assurez-vous que les applications que
vous développez en interne utilisent les dossiers Cache de l'application pour conserver les données parce que
ce dossier est exclu de la sauvegarde.
– Lors de la suppression des privilèges d'accès d'un utilisateur à l'application, ne vous fiez pas exclusivement à
la suppression du profil de provisionnement de la politique du Gestionnaire de sécurité mobile, mais
désactivez également le compte de l'utilisateur sur vos serveurs internes.
– Vérifiez que vous avez la capacité d'effacer les données de l'application locale sur le périphérique mobile
lorsque l'accès utilisateur à l'application est supprimé.

Intégrer le Gestionnaire de sécurité mobile dans votre annuaire LDAP
Procédez comme suit pour vous connecter à votre annuaire LDAP afin d'activer le Gestionnaire de sécurité mobile
pour qu'il récupère les informations relatives à l'utilisateur et au groupe :
Intégration dans le serveur d'annuaire
Étape 1 Créez un profil de serveur LDAP qui précise comment se connecter aux serveurs d'annuaire sur lesquels le
Gestionnaire de sécurité mobile récupérera les informations relatives à l'utilisateur et au groupe.
1. Sélectionnez Configuration >
Profils de serveur > LDAP.
2. Cliquez sur Ajouter, puis donnez
un nom au profil.
3. Cliquez sur Ajouter pour ajouter
une nouvelle entrée de serveur
LDAP, puis saisissez un nom de
serveur pour l'identifier (1 à
31 caractères) ainsi que l'Adresse
IP et le numéro de Port que le
pare-feu utilisera pour se
connecter au serveur LDAP (par
défaut : 389 pour LDAP ; 636
pour LDAP via SSL). Vous pouvez ajouter jusqu'à quatre serveurs LDAP au profil. Tous les serveurs que vous
ajoutez à un profil doivent toutefois être du même type. Pour disposer de la fonction de redondance, vous
devez ajouter deux serveurs minimum.
4. Saisissez le nom de Domaine LDAP pour l'ajout de tous les objets reconnus sur le serveur. La valeur saisie
dans ce champ dépend de votre déploiement :
• Si vous utilisez Active Directory, saisissez le nom de domaine NetBIOS ; il ne s'agit PAS d'un FQDN (par
exemple, saisissez acme, et non acme.com). Notez que si vous devez collecter des données de plusieurs
domaines, vous devez créer des profils de serveurs distincts. Bien que le nom de domaine puisse être
déterminé automatiquement, il convient de saisir, lorsque cela est possible, le nom de domaine.
• Si vous utilisez un serveur de catalogues global, ne renseignez pas ce champ.
5. Sélectionnez le Type de serveur LDAP auquel vous vous connectez. Les valeurs de mappage de groupe sont
automatiquement renseignées en fonction de votre sélection. Toutefois, si vous avez personnalisé votre
schéma LDAP, il est possible que vous deviez modifier les paramètres par défaut.
6. Dans le champ Base, indiquez le point auquel le Gestionnaire de sécurité mobile doit commencer sa
recherche d'informations relatives à l'utilisateur et au groupe dans l'arborescence LDAP.
7. Saisissez les informations d'identification d'authentification associées à l'arborescence LDAP dans les champs
Nom distinctif Bind, Mot de passe Bind et Confirmer le mot de passe Bind. Le nom distinctif de liaison peut
être au format UPN (User Principal Name)
(par exemple, administrator@acme.local), ou un nom LDAP complet
(par exemple, cn=administrator,cn=users,dc=acme,dc=local).
8. Si le Gestionnaire de sécurité mobile doit communiquer avec le ou les serveurs LDAP via une connexion
sécurisée, cochez la case SSL. Si vous activez la fonction SSL, veillez à bien préciser également le numéro de
port correspondant.

Intégration dans le serveur d'annuaire (suite)
Étape 2 Ajoutez le profil de serveur LDAP à la configuration de l'intégration d'annuaire.

1. Sélectionnez Configuration > Base de
données d'utilisateurs > Intégration
d'annuaires et cliquez sur Ajouter.
2. Sélectionnez le Profil de serveur que vous
venez de créer.
3. Vérifiez que la case Activé est cochée.
4. (Facultatif) Pour limiter les groupes affichés
dans une politique de déploiement,
sélectionnez l'onglet Liste d'inclusion de
groupes, puis parcourez l'arborescence LDAP
pour rechercher les groupes à utiliser dans la
politique. Pour chaque groupe à inclure,
sélectionnez-le dans la liste Groupes
disponibles, puis cliquez sur l'icône d'ajout
pour le déplacer dans la liste Groupes inclus.
Répétez cette étape pour chaque groupe à utiliser dans vos politiques.
Étape 3 Cliquez sur Valider pour enregistrer la configuration.
Définir les objets HIP et les profils HIP
L'utilisation des profils HIP dans la politique du Gestionnaire de sécurité mobile active le déploiement granulaire de
configurations et vérifie que les périphériques mobiles sont en conformité avec les conditions de sécurité d'entreprise
pour pouvoir recevoir le(s) profil(s) de configuration qui activent l'accès à vos ressources d'entreprise. Par exemple,
avant de pousser les configurations qui activent l'accès à vos systèmes d'entreprise, vous pourrez vérifier que les
données des périphériques sont codées et que les périphériques ne sont pas débridés/avec racine. Pour y parvenir,
vous devez créer un profil HIP qui correspond aux périphériques qui remplissent ces critères et l'associer à vos règles
de politique de déploiement.

Créer les objets HIP et les profils HIP
Étape 1 Créez l'objet HIP pour filtrer les données 1. Sélectionnez Politiques > Informations sur l'hôte > Objets HIP
signalées par le périphérique. puis cliquez sur Ajouter.
La fonction étiquette vous permet de 2. Dans l'onglet Général, saisissez un Nom et éventuellement une
créer des étiquettes personnalisées Description pour l'objet.
pour les périphériques que vous gérez 3. Définissez les critères de correspondance pour l'objet HIP de la
pour un regroupement facile. Par manière suivante :
exemple, vous pouvez créer des • Pour faire correspondre les caractéristiques d'identification du
étiquettes pour différencier les périphérique mobile, comme le système d'exploitation, la version
périphériques personnels des de l'application GlobalProtect, ou le numéro de téléphone,
périphériques provisionnés par la cochez la case Infos sur l'hôte puis définissez les valeurs à faire
société. Vous pouvez ensuite créer un correspondre. Pour chaque élément à faire correspondre,
objet HIP qui correspond à des sélectionnez un opérateur dans la liste déroulante qui indique si
étiquettes spécifiques, offrant des la valeur indiquée Est, N'est pas, ou Contient la valeur que vous
possibilités illimitées de avez entrée ou sélectionnée. Par exemple, si vous devez utiliser
regroupement des périphériques cet objet pour concevoir un profil à utiliser dans les politiques qui
gérés que vous pouvez utiliser pour le seront déployées sur les périphériques iOS, sélectionnez Est et
déploiement de configuration. Pour iOS dans la liste déroulante dans le champ Système
plus d'informations sur la création d'exploitation.
d'étiquettes, reportez-vous à la section
Groupes de périphériques par • Pour faire correspondre l'état du périphérique, par exemple, s'il
étiquette pour l'administration est débridé/avec racine ou si un code d'activation est défini,
simplifiée des périphériques. sélectionnez l'onglet Paramètres puis cochez la case Oui ou
Non pour déterminer comment faire correspondre le paramètre.
Par exemple, si vous souhaitez que l'objet corresponde aux
Pour plus d'informations sur un
périphériques sur lesquels aucun code d'activation n'a été défini,
champ d'objet HIP spécifique,
sélectionnez Non dans le champ Code d'activation.
consultez la section Aide en ligne.
• Pour une correspondance basée sur des applications spécifiques
Une correspondance HIP sera installées sur le périphérique, sélectionnez Applications >
trouvée si l'une des applications Inclure et cliquez sur Ajouter pour indiquer un ou plusieurs
figurant sur la liste est installée sur le progiciels à faire correspondre. La liste des applications que vous
périphérique. définissez peut être soit une liste noire soit une liste blanche, en
fonction de la configuration que vous avez définie pour le profil
HIP à faire correspondre à l'objet. Par exemple, pour créer une
liste noire d'applications, vous devez ajouter une liste
d'applications ici puis configurer le profil HIP pour qu'il ne
corresponde PAS à l'objet.
• (Périphériques Android uniquement) Pour une correspondance
concernant l'installation ou non sur le périphérique
d'applications infectées par des logiciels malveillants,
sélectionnez Applications > Critères puis sélectionnez une
valeur dans la liste déroulante Contient un logiciel malveillant.
Ou, pour autoriser des applications spécifiques pour lesquelles
WildFire a déterminé qu'elles contiennent des logiciels
malveillants, sélectionnez Oui et cliquez sur Ajouter puis
indiquez les logiciels à exclure de la qualification de logiciel
malveillant.
4. Cliquez sur OK pour enregistrer l'objet HIP.
5. Répétez ces étapes pour créer chaque objet HIP supplémentaire
dont vous avez besoin.

Créer les objets HIP et les profils HIP (suite)
Étape 2 Créez les profils HIP que vous envisagez 1. Sélectionnez Politiques > Informations sur l'hôte > Profils HIP
d'utiliser dans vos politiques. puis cliquez sur Ajouter.
Lors de la création de profils HIP, vous 2. Saisissez un Nom descriptif pour le profil et facultativement une
pouvez combiner des objets HIP Description.
précédemment créés (ainsi que d'autres 3. Cliquez sur Ajouter un critère de correspondance pour ouvrir
profils HIP) à l'aide d'une logique le générateur de profils/d'objets HIP.
booléenne, notamment lorsqu'un flux de 4. Sélectionnez le premier profil ou objet HIP que vous souhaitez
trafic est évalué en fonction d'un utiliser comme critère de correspondance, puis cliquez sur
profil HIP auquel il correspond ou non. Ajouter pour le déplacer vers la zone de texte Faire
En cas de correspondance, la règle de correspondre de la boîte de dialogue Profil HIP. N'oubliez pas
politique correspondante est mise en que, si vous souhaitez que le profil HIP évalue l'objet comme
œuvre ; sinon, le flux est évalué en correspondance uniquement lorsque le critère de l'objet n'est
fonction de la règle suivante, comme avec pas vrai pour un flux, vous devez cocher la case NE PAS avant
tout autre critère de correspondance de d'ajouter l'objet.
politique.
5. Continuez d'ajouter des critères de correspondance appropriés

pour le profil que vous créez, en vous assurant de sélectionner
la case d'option de l'opérateur booléen correspondant (ET ou
OU) entre chaque ajout (et en cochant la case NE PAS, le cas
échéant).
6. Si vous créez une expression booléenne complexe, vous devez
ajouter manuellement les parenthèses aux bons endroits dans la
zone de texte Faire correspondre pour que le profil HIP soit
évalué à l'aide de la logique booléenne souhaitée.
7. Lorsque vous avez fini d'ajouter les critères de correspondance,
cliquez sur OK pour enregistrer le profil.
8. Répétez ces étapes pour créer chaque profil HIP supplémentaire
Étape 3 (Facultatif) Pour des raisons de 1. Sélectionnez Politiques > Informations sur l'hôte > Collecte
confidentialité, la localisation GPS du des données et modifiez la section Collecte des données.
périphérique mobile n'est pas incluse dans 2. Décochez la case Exclure la localisation GPS, puis cliquez sur
les données HIP que l'application signale OK.
par défaut. Toutefois, vous pouvez activer
la collecte des données de la localisation
GPS si vous avez besoin de ces
informations pour le déploiement des
politiques.
Étape 4 Vérifiez que l'objet HIP et les profils HIP Sélectionnez Surveillance > Journaux > Faire correspondre HIP.
que vous avez créés correspondent aux Ce journal présente toutes les correspondances que le Gestionnaire
périphériques gérés comme prévu. de sécurité mobile a identifiées lors de l'évaluation des données de
périphérique signalées par l'application par rapport à l'objet HIP et
aux profils HIP définis.

Créer les objets HIP et les profils HIP (suite)
Étape 5 Ce sous-onglet vous permet de définir les 1. Sélectionnez Politiques > Informations sur l'hôte >
messages de notification à afficher aux Notifications, puis cliquez sur Ajouter.
utilisateurs finaux lorsqu'une règle de 2. Sélectionnez le Profil HIP que ce message applique dans la liste
politique dotée d'un profil HIP est mise déroulante.
en œuvre.
La décision relative au moment propice correspondre message, si vous souhaitez afficher le message
pour l'affichage d'un message (c'est-à-dire lorsque le profil HIP correspondant trouve une correspondance
faut-il l'afficher lorsque la configuration dans la politique ou lorsqu'il n'en trouve pas. Dans certains cas,
de l'utilisateur correspond à un profil HIP vous pourriez créer des messages à la fois pour une
dans la politique ou lorsqu'elle ne correspondance et pour une non-correspondance, en fonction
correspond pas), dépend en grande partie des objets que vous souhaitez faire correspondre et des objectifs
de votre politique et de la signification que vous avez définis pour la politique.
pour l'utilisateur d'une correspondance de 4. (Correspondance messages uniquement) Cochez la case Inclure
profil HIP (ou non-correspondance). En la liste d'applications pour indiquer la ou les application(s) qui
effet, est-ce qu'une correspondance ont déclenché la correspondance HIP dans le message de
signifie qu'ils ont un accès complet à vos notification.
ressources réseau ? Ou est-ce que cela
5. Cochez la case Activer puis saisissez le texte de votre message
signifie qu'ils ont un accès limité en raison
dans la zone de texte Modèle.
de problèmes liés à la non-conformité ?
6. Cliquez sur OK pour enregistrer le message de notification HIP.
Par exemple, supposons que vous créez
7. Répétez cette procédure pour chaque message que vous
un profil HIP qui correspond si les
souhaitez définir.
données de périphérique ne sont pas
codées comme requis par la politique
d'entreprise. Dans ce cas, vous pourriez
créer un message de notification HIP
pour les utilisateurs qui correspondent au
profil HIP leur indiquant qu'ils doivent
activer le cryptage de disque pour recevoir
les profils de configuration qui activent
l'accès aux ressources d'entreprise.
Comme autre solution possible, si votre
profil HIP correspond aux périphériques
sur lesquels le cryptage de disque est
activé, vous pourriez créer le message
destiné aux utilisateurs qui ne
correspondent pas au profil.
Étape 6 Enregistrez la configuration HIP. Cliquez sur Valider

Créer les profils de configuration
Les profils de configuration du Gestionnaire de sécurité mobile fournissent un mécanisme simplifié de transmission
de configurations, de restrictions et d'applications aux groupes de périphériques gérés. Comme les profils de
configuration que vous définissez sont poussés sur les périphériques mobiles en fonction des correspondances de
politiques, vous pouvez définir des configurations très spécifiques ou très vastes et ensuite les déployer sur des
utilisateurs et groupes spécifiques et/ou en fonction de l'état du périphérique et de sa conformité avec vos conditions
de sécurité d'entreprise.
En outre, vous pouvez utiliser les profils de configuration pour mettre en œuvre des restrictions de sécurité pour un
périphérique ou des applications installées sur le périphérique, telles que forcer l'utilisation d'un code d'activation,
restreindre les fonctionnalités du périphérique (telles que l'utilisation de la caméra) ou désactiver une application iOS
pour la sauvegarde de données dans iCloud ou iTunes.
 Configurations SCEP : Configurations qui permettent aux périphériques iOS d'utiliser le protocole de
recrutement de certificat simple (SCEP) pour obtenir les certificats auprès d'une AC activée par SCEP, par
exemple un serveur SCEP Microsoft. Le protocole SCEP peut être utilisé pour générer les certificats d'identité que
le Gestionnaire de sécurité mobile exige, ou il peut être utilisé pour générer les certificats pour d'autres services
requis sur le périphérique. Pour plus de détails, reportez-vous à la section Paramétrer une configuration SCEP.
 Profils de configuration : Contient les paramètres de configuration, les restrictions, les applications et les clips
Web qui devront être transmis aux périphériques gérés dès l'archivage. Vous devez créer des profils de
configuration distincts pour les périphériques iOS et Android compte tenu des différences de fonctionnalité du
système d'exploitation. Pour plus d'informations sur la création de profils, reportez-vous à la section Créer un
profil de configuration iOS et Créer un profil de configuration Android. Vous pouvez également utiliser un
profil de configuration pour automatiser le processus de configuration des périphériques mobiles afin de les
connecter au VPN GlobalProtect. Pour obtenir des instructions spécifiques sur cette configuration, reportez-vous
à la section Définir une configuration VPN GlobalProtect.
 Icônes Clip Web : Si vous envisagez de déployer les clips Web pour fournir des raccourcis vers les sites Web ou
les applications Web, vous devez importer les icônes de clip Web associées avant de créer les politiques de
configuration correspondantes. Reportez-vous à la section Importer les icônes de clip Web.
 Profils de provisionnement iOS : Pour autoriser les utilisateurs iOS à lancer des applications d'entreprise
développées en interne, vous devez déployer un profil de provisionnement. Vous pouvez créer des configurations
qui vous permettent de déployer automatiquement des profils de provisionnement sur les périphériques comme
décrit dans la section Importer un profil de provisionnement iOS.
 Polices : Si vous envisagez de déployer des polices pouvant être utilisées dans des applications telles que Pages ou
Keynote, vous devez importer les polices TruType ou OpenType associées avant de créer les politiques de
configuration correspondantes. Reportez-vous à la section Importer des polices.
Après avoir créé les profils de configuration dont vous avez besoin pour les périphériques que le Gestionnaire de
sécurité mobile gère, vous devez créer les politiques de déploiement pour garantir que les configurations seront
effectivement poussées sur les périphériques appropriés. Reportez-vous à la section Créer des politiques de
déploiement pour plus de détails.

Paramétrer une configuration SCEP
Le protocole de recrutement de certificat simple (SCEP) fournit un mécanisme pour générer les certificats sur un
grand nombre de périphériques iOS. Sur le Gestionnaire de sécurité mobile, vous pouvez activer le protocole SCEP
pour la génération de certificats d'identité sur les périphériques durant le processus de recrutement. Vous pouvez aussi
utiliser le protocole SCEP pour obtenir les certificats requis pour d'autres configurations. Utilisez la procédure
suivante pour créer une configuration SCEP, soit à utiliser pour le recrutement par le Gestionnaire de sécurité mobile,
soit à utiliser avec d'autres configurations iOS.
Paramétrer une configuration SCEP
Étape 1 Configurez le Gestionnaire de sécurité 1. Sélectionnez Politiques > Configuration > SCEP, puis cliquez
mobile pour l'intégrer dans un serveur sur Ajouter.
SCEP d'entreprise existant pour la 2. Saisissez un Nom pour identifier l'AC, par exemple
génération des certificats d'identité sur les Recrutement_CA. Ce nom différencie cette instance de SCEP
périphériques iOS. des autres instances que vous pouvez utiliser dans les profils de
configuration.
Étape 2 Indiquez le type de défi à utiliser. Le défi Sélectionnez l'une des options de Défi SCEP suivantes :
est un mot de passe à usage unique qui est • Aucun : le serveur SCEP génère le certificat sans le mot de passe
partagé par le Gestionnaire de sécurité à usage unique.
mobile et le serveur SCEP. Le
Gestionnaire de sécurité mobile inclut le • Fixe : le Gestionnaire de sécurité mobile attribue un mot de passe
mot de passe à usage unique dans la à usage unique qui est utilisé pour tous les périphériques mobiles.
configuration SCEP qu'il envoie au Récupérez le mot de passe à usage unique sur le serveur SCEP et
périphérique mobile, et le périphérique saisissez-le dans la zone de texte. Vous devrez également définir la
l'utilise pour s'authentifier sur le serveur valeur de registre UseSinglePassword sur le serveur SCEP pour
SCEP. le forcer à utiliser un seul mot de passe pour tous les recrutements
de certificat client.
• Dynamique : Le Gestionnaire de sécurité mobile récupérera un
seul mot de passe à usage unique auprès du serveur SCEP pour
chaque périphérique mobile durant le recrutement en utilisant un
échange de réponse au défi NTLM entre les deux serveurs. Si vous
sélectionnez cette option, vous devez configurer le chemin de
serveur sur lequel le Gestionnaire de sécurité mobile peut se
connecter au serveur SCEP et saisir les informations
d'identification qu'il devra utiliser pour l'ouverture de session. En
outre, vous pouvez cocher la case SSL pour exiger une connexion
HTTPS pour la demande de défi. Si vous activez SSL, vous devez
sélectionner le Certificat AC racine du serveur SCEP. Activez en
option l'authentification SSL mutuelle entre le serveur SCEP et le
Gestionnaire de sécurité mobile en sélectionnant Certificat
client.
Étape 3 Indiquez comment se connecter au 1. Précisez l'URL Serveur que le périphérique mobile devra utiliser
serveur SCEP. pour se connecter au serveur SCEP. Par exemple,
http://<hostname>/certsrv/mscep_admin/mscep.dll
2. Saisissez une chaîne (longueur maximale de 255 caractères) pour
identifier le serveur SCEP dans le champ Nom IDENT-AC.

Paramétrer une configuration SCEP (suite)
Étape 4 Indiquez les attributs des certificats à 1. Saisissez un nom de Sujet pour les certificats générés par le
générer. serveur SCEP. Le sujet doit être un nom différent au format
<attribute>=<value> et doit inclure la clé du nom commun
(CN). Il existe deux façons d'indiquer le CN :
• (Recommandée) CN basé sur jeton : saisissez un des
jetons acceptés : $USERNAME ou $UDID à la place du segment
CN du nom de l'objet. Dès que le gestionnaire de sécurité
mobile transmet les paramètres SCEP au périphérique, le
segment CN du nom de l'objet est remplacé par le vrai nom
d'utilisateur ou UDID du périphérique du titulaire du
certificat. Cette méthode garantit que chaque certificat que le
serveur SCEP génère est propre à l'utilisateur ou au
périphérique spécifique. Par exemple,
O=acme,CN=$USERNAME.
• CN statique : Le CN que vous indiquez sera utilisé comme

sujet pour tous les certificats générés par le serveur SCEP. Par
exemple, O=acme,CN=acmescep.
2. (Facultatif) Définissez toutes les extensions de certificat que
vous souhaitez inclure dans les certificats :
• Type d'autre nom possible de l'objet : Si vous envisagez de
fournir un autre nom possible de l'objet (SAN), indiquez le
format du nom SAN en sélectionnant l'une des valeurs
suivantes : Nom rfc822, Nom DNS, ou Identifiant des
ressources uniformes.
• Valeur d'autre nom possible de l'objet : Il s'agit de la valeur
SAN à inclure dans le certificat, au format indiqué ci-dessus.
• Principal nom du réseau : Un objet utilisateur pour les
périphériques qui peut être utilisé pour faire correspondre le
certificat de l'utilisateur à un compte.
3. Paramétrez la Capacité de clé pour la faire correspondre à la
capacité de clé définie dans le modèle de certificat sur le serveur
SCEP.
4. (Facultatif) Si le périphérique mobile doit obtenir le certificat sur
HTTP, saisissez l'Empreinte digitale du certificat AC (SHA1 ou
MD5) pour le périphérique à utiliser pour authentifier le serveur
SCEP. L'Empreinte digitale doit correspondre à la valeur
Empreinte du pouce sur le serveur SCEP.
Étape 5 Enregistrez le profil SCEP. 1. Cliquez sur OK pour enregistrer les paramètres de configuration
que vous avez définis puis fermez la boîte de dialogue
Configuration iOS.

Créer un profil de configuration iOS
Le profil de configuration iOS contient les paramètres de configuration, les certificats, les clips Web, les polices et les
restrictions à transmettre à un groupe spécifique de périphériques iOS. Si vous avez des groupes d'utilisateurs de
périphérique iOS qui ont besoin d'un accès à des services variables ou qui exigent des niveaux différents de restrictions,
vous devez créer un profil de configuration iOS distinct pour chacun.
Créer un profil de configuration iOS
Étape 1 Ajoutez un profil de configuration. 1. Sélectionnez Politiques > Configuration > iOS, puis cliquez sur
Ajouter.
Étape 2 Saisissez les informations d'identification 1. Dans l'onglet Général, saisissez un Nom pour afficher la
pour la configuration. configuration dans l'interface Web Gestionnaire de sécurité
mobile.
2. Saisissez un Nom à afficher qui sera visible sur l'écran
Détails/Profils du périphérique mobile ainsi que le rapport HIP
du périphérique.
3. Saisissez un Identifiant pour la configuration au format de style
DNS inverse. Par exemple, si ce profil doit être utilisé pour
pousser une configuration iOS de base sur les périphériques,
vous pourrez donner à la configuration un nom comme
com.acme.iosprofile.
4. (Facultatif) Saisissez une Description à afficher sur l'écran
Détails du périphérique mobile.
Étape 3 (Facultatif) Définissez comment le profil 1. Par défaut, l'utilisateur peut supprimer un profil de
peut être modifié. configuration du périphérique. Pour empêcher les utilisateurs de
supprimer cette configuration, sélectionnez Jamais dans la liste
déroulante Utilisateur peut supprimer le profil. Pour exiger
un mot de passe pour la suppression, sélectionnez Avec
autorisation puis définissez le Mot de passe d'autorisation.
2. (iOS 6.0 et supérieur) Par défaut, le profil ne sera pas supprimé
automatiquement. Toutefois, vous pouvez sélectionner une
valeur dans la liste déroulante Supprimer automatiquement le
profil pour que le profil soit automatiquement supprimé après
un nombre déterminé de jours ou à la date précise.

Créer un profil de configuration iOS (suite)
Étape 4 Indiquez les conditions du code 1. Si vous souhaitez forcer les utilisateurs de périphérique à
d'activation pour le périphérique. recevoir cette configuration pour utiliser un code d'activation
sur le périphérique, sélectionnez + pour développer la liste de
Si vous indiquez les conditions du code
profils de configuration iOS disponibles, puis sélectionnez
d'activation, les utilisateurs de
l'onglet Code d'activation. Cochez la case Code d'activation
périphérique seront forcés d'adhérer aux
pour activer la restriction. La simple activation de ce champ
paramètres du code d'activation que vous
forcera l'utilisation d'un code d'activation avec un minimum de
définissez.
4 caractères, sans imposer de conditions supplémentaires.
2. (Facultatif) Indiquez les conditions supplémentaires du code
d'activation à mettre en œuvre, comme les conditions de
longueur ou de complexité, la fréquence à laquelle l'utilisateur
doit changer le code d'activation, ou s'il faut forcer le
périphérique à se verrouiller automatiquement après un nombre
déterminé de minutes.
Étape 5 (Facultatif) Transmettez une application Sélectionnez + pour développer la liste de profils de configuration
gérée au périphérique. iOS disponibles, puis sélectionnez Applications. Ajoutez une
application à transmettre au périphérique, puis sélectionnez le nom
Pour plus de détails sur l'ajout
de l'Application dans la liste d'applications gérées que vous avez
d'applications gérées au Gestionnaire de
ajoutées au Gestionnaire de sécurité mobile.
sécurité mobile et sur l'extension de la
sécurité d'entreprise aux applications Lorsque vous ajoutez une nouvelle application pour la transmettre à
d'entreprise sur périphériques mobiles, un périphérique ou si vous modifiez une application existante
reportez-vous à la section Gérer les installée sur le périphérique, vous pouvez spécifier des paramètres
applications et données de l'entreprise supplémentaires pour l'application, notamment si l'application est
avec un App Store d'entreprise. Requise ou Facultative pour le périphérique, et sélectionner une
configuration VPN utilisée par l'application pour acheminer le trafic.
Étape 6 (Facultatif) Définissez des restrictions sur • Sélectionnez + pour développer la liste de profils de configuration
les applications et comptes d'un iOS disponibles, puis sélectionnez et activez Restrictions de
périphérique qui peuvent être utilisés données d'application. Sélectionnez une ou les deux options de
pour ouvrir des données d'entreprise contrôle de la fonctionnalité d'ouverture possibles dans les
d'applications, de comptes ou de applications et les e-mails mobiles qui permettent aux utilisateurs
domaines Web gérés. d'ouvrir des documents ou des pièces jointes d'une application ou
d'un compte sur un périphérique mobile dans une autre
Pour plus de détails sur les restrictions de
application ou un autre compte.
données des applications, comptes et
domaines Web sur les périphériques • Sélectionnez + pour développer la liste de profils de configuration
mobiles, et sur leur configuration, iOS disponibles, puis sélectionnez Domaines. Activez Domaines
reportez-vous à la section Isoler les gérés et autorisez les documents ouverts dans un domaine
données de l'entreprise. spécifié dans le navigateur Safari sur le périphérique mobile pour
qu'ils soient ouverts uniquement dans des applications ou des
comptes gérés. Vous pouvez également permettre à l'application
Mail de mettre en surbrillance les contacts en dehors de votre
réseau pour indiquer aux utilisateurs mobiles qu'ils rédigent un
e-mail destiné à un contact en dehors de votre domaine
d'entreprise.

Étape 7 Indiquez les paramètres de configuration Pour activer les paramètres de configuration pour un type spécifique
qui activent l'accès du périphérique à un de ressource :
ou plusieurs des services suivants : 1. Sélectionnez + pour développer la liste de profils de
• VPN (GlobalProtect) configuration iOS disponibles, puis sélectionnez le nom de
• Echanger la synchronisation active l'onglet.
• Wi-Fi 2. Cliquez sur Ajouter pour ouvrir la boîte de dialogue
• E-mail Configuration.
• LDAP 3. Remplissez les champs nécessaires pour autoriser les
périphériques mobiles à accéder au service (les champs avec un
Répétez cette étape pour chaque service fond jaune sont obligatoires). Consultez la section Aide en ligne
pour lequel vous souhaitez pousser les pour les informations sur les données à saisir dans un champ
paramètres dans ce profil de spécifique.
configuration. Vous pouvez même définir
4. Pour les configurations qui nécessitent un Nom d'utilisateur, la
plusieurs configurations pour le même
configuration utilisera par défaut le nom d'utilisateur qui a été
type de service, par exemple si vous
fourni par l'utilisateur final lors de l'authentification sur le
souhaitez pousser des paramètres pour
Gestionnaire de sécurité mobile durant le recrutement (Utiliser
relier de multiples réseaux Wi-Fi. Pour
les informations d'identification enregistrées).
des instructions spécifiques,
reportez-vous à la section Définir une Pour indiquer un nom d'utilisateur différent, sélectionnez Fixe
configuration VPN GlobalProtect. puis saisissez un nom d'utilisateur dans la zone de texte. Pour les
profils de configuration Echanger la synchronisation active et
E-mail, vous pouvez également spécifier un suffixe de domaine
configuré par l'utilisateur en saisissant $USERNAME@<domaine>
dans la zone de texte, par exemple $USERNAME@example.com.
Lorsque le Gestionnaire de sécurité mobile transmet les
paramètres de configuration, il remplace $USERNAME par le nom
d'utilisateur réel de l'utilisateur du périphérique et utilise le nom
de domaine spécifié.
Pour les profils de configuration Echanger la synchronisation
active et E-mail, vous pouvez également utiliser une adresse
électronique en tant que nom d'utilisateur (Utiliser une
adresse électronique). Lorsque le Gestionnaire de sécurité
mobile transmet les paramètres de configuration, il remplace le
nom d'utilisateur par l'adresse spécifiée dans le champ Adresse
électronique.
5. Pour les configurations qui exigent un mot de passe, la
configuration utilisera un mot de passe que l'utilisateur définit
sur le périphérique mobile (Défini sur le périphérique) par
défaut. Pour utiliser le mot de passe qui a été fourni par
l'utilisateur final lors de l'authentification sur le Gestionnaire de
sécurité mobile durant le recrutement, sélectionnez Utiliser les
informations d'identification enregistrées. Ou, pour indiquer
un mot de passe différent, sélectionnez Fixe puis saisissez un
mot de passe dans les zones de texte.
Les configurations Wi-Fi comprennent un paramétrage
de mot de passe supplémentaire, Définir par connexion,
qui implique que l'utilisateur du périphérique saisisse le
mot de passe dès sa re-participation au réseau.

Étape 8 Définissez les restrictions relatives à ce 1. Sélectionnez + pour développer la liste de profils de
que l'utilisateur peut faire avec le configuration iOS disponibles, puis sélectionnez et activez
périphérique. Restrictions pour configurer des paramètres de configuration
afin de contrôler ce que l'utilisateur peut faire sur le
périphérique mobile.
2. Sélectionnez ou décochez les cases sur les onglets
Fonctionnalité de périphérique, Applications, Sauvegarde,
Sécurité et Confidentialité, et/ou Supervisés uniquement
pour définir les restrictions de périphériques souhaitées. Par
exemple, si vous ne souhaitez pas que les utilisateurs puissent
utiliser la caméra, décochez la case Autoriser l'utilisation de
caméra.
Étape 9 Ajoutez les certificats à pousser sur les 1. Sélectionnez + pour développer la liste de profils de
périphériques mobiles. Il peut s'agir des configuration iOS disponibles, sélectionnez Certificats, puis
certificats que vous avez générés sur le cliquez sur Ajouter.
Gestionnaire de sécurité mobile, ou des 2. Sélectionnez un certificat existant dans la liste, ou Importez un
certificats que vous avez importés depuis certificat généré par une AC différente.
une AC différente. Vous pouvez pousser
3. Si le certificat contient une clé privée, vous devez aussi saisir le
tous les certificats dont le périphérique
Mot de passe à utiliser pour décrypter la clé.
aura besoin pour se connecter à vos
applications et services internes.

Étape 10 Définissez des paramètres de 1. Sélectionnez + pour développer la liste de profils de

configuration pour rediriger le trafic configuration iOS disponibles, sélectionnez Proxy HTTP
Internet via un proxy vers des global, puis cliquez sur Ajouter.
périphériques iOS supervisés. 2. Activez Proxy HTTP global (supervisés uniquement).
3. Sélectionnez le type Configuration de proxy pour déterminer si
les périphériques mobiles doivent utiliser un serveur proxy
spécifique (Manuel) ou choisir automatiquement le serveur
proxy (Automatique). Si vous sélectionnez un proxy manuel,
des champs supplémentaires s'affichent pour vous permettre de
fournir les paramètres requis pour la connexion.
• Manuel : indiquez le Numéro de port et l'Adresse, indiquez
le Nom d'utilisateur et le Mot de passe à utiliser, puis
choisissez d'Autoriser le contournement de l'accès proxy
aux réseaux captifs. Un réseau captif est un réseau Wi-Fi
public, également appelé point d'accès Wi-Fi, auquel
l'utilisateur s'abonne ou pour lequel il règle des frais
d'utilisation.
Pour le nom d'utilisateur et le mot de passe, spécifiez Utiliser
enregistré pour utiliser le nom d'utilisateur/mot de passe
saisi par l'utilisateur du périphérique pour s'authentifier lors
du recrutement, Défini sur le périphérique pour indiquer
que l'utilisateur du périphérique devra saisir manuellement le
nom d'utilisateur/mot de passe, ou Fixe pour saisir un nom
d'utilisateur/mot de passe qui sera transmis aux
périphériques.
• Automatique : spécifiez l'URL du fichier PC. (Facultatif) Si
le fichier PAC n'est pas accessible, vous pouvez autoriser le
périphérique à envoyer directement le trafic vers Internet.
Vous pouvez également autoriser le périphérique mobile à
contourner le proxy afin d'accéder aux réseaux captifs.
4. Remplissez les champs nécessaires pour autoriser les
périphériques mobiles à rediriger le trafic Internet via un proxy
manuel ou automatique. Consultez la section Aide en ligne pour
les informations sur les données à saisir dans un champ
spécifique.

Étape 11 Limitez le contenu auquel les utilisateurs 1. Sélectionnez + pour développer la liste de profils de
ont accès à partir de leurs périphériques configuration iOS disponibles. Sélectionnez et activez Filtre de
mobiles supervisés. contenu pour configurer des restrictions de contenu.
2. Sélectionnez le Type de filtre pour filtrer ou autoriser
automatiquement des URL spécifiques (Limiter le contenu
réservé aux adultes) ou bloquer l'ensemble du contenu à
l'exception d'une liste d'URL que le Gestionnaire de sécurité
mobile transmet au périphérique en tant que signets Safari
(Sites Web spécifiques uniquement).
3. Remplissez les champs nécessaires pour limiter le contenu sur
les périphériques mobiles. Consultez la section Aide en ligne
pour les informations sur les données à saisir dans un champ
spécifique.
Étape 12 Créez des raccourcis vers les sites Web ou 1. Sélectionnez + pour développer la liste de profils de
les applications Web, nommés clips Web, configuration iOS disponibles, sélectionnez Clips Web, puis
à afficher sur l'écran Accueil du cliquez sur Ajouter.
périphérique. 2. Saisissez un Nom pour le clip Web à utiliser au sein du
Les clips Web sont utiles pour fournir un Gestionnaire de sécurité mobile.
accès rapide aux sites auxquels vos 3. Saisissez une Étiquette pour le clip Web à afficher sur l'écran
utilisateurs mobiles auront besoin Accueil.
d'accéder, tels que votre intranet ou 4. Saisissez l'URL qui sera chargée aussitôt que l'utilisateur
système de suivi de bogues internes. effleurera le clip Web.
Avant de créer une configuration qui
5. Sélectionnez une Icône que vous avez importée auparavant ou
inclut un clip Web, vous devez importer
cliquez sur Icône dans le menu déroulant pour en importer une
l'icône associée à afficher sur l'écran du
maintenant.
périphérique. Pour obtenir des
instructions, reportez-vous à la section 6. Pour exclure les utilisateurs de la possibilité de suppression de
Importer les icônes de clip Web. clip Web sur l'écran Accueil, décochez la case À supprimer.
7. Si vous souhaitez empêcher iOS d'ajouter ses effets standard à
En raison d'un bogue de iOS
l'icône (angles arrondis, ombre portée, et brillant réflexif),
reconnu, la modification ou la
cochez la case Précomposé.
suppression d'un clip Web d'une
configuration laissera un artefact 8. Si vous souhaitez que la page Web s'affiche en mode plein écran
sur l'écran Accueil du périphérique plutôt que par le lancement de Safari pour afficher le contenu,
jusqu'au prochain redémarrage du sélectionnez Plein écran.
périphérique. 9. Cliquez sur OK pour enregistrer le clip Web.
Étape 13 Ajoutez des imprimantes à transmettre à 1. Sélectionnez + pour développer la liste de profils de
la liste d'imprimantes AirPrint d'un configuration iOS disponibles, sélectionnez AirPrint, puis
utilisateur. cliquez sur Ajouter.
2. Saisissez le nom de l'Imprimante AirPrint.
3. Saisissez l'Adresse IP de la destination AirPrint.
4. Saisissez le chemin d'accès de la Ressource associé à
l'imprimante, par exemple printers/CanonMG3000.

Étape 14 Limitez les destinations auxquelles un 1. Sélectionnez + pour développer la liste de profils de
périphérique iOS exécutant iOS 7 ou une configuration iOS disponibles, sélectionnez AirPlay, puis
version ultérieure peut diffuser via cliquez sur Ajouter.
AirPlay. 2. Pour Ajouter des mots de passe, spécifiez les paramètres que
le périphérique utilisera pour s'authentifier auprès d'un
périphérique AirPlay, notamment un Nom pour identifier le
compte d'authentification, le Nom du périphérique et le Mot de
passe de la destination AirPlay.
3. Pour Ajouter des périphériques à la Liste blanche, spécifiez la
liste d'ID de périphériques, sous la forme xx:xx:xx:xx:xx:xx,
disponibles pour le périphérique. La liste blanche s'applique aux
périphériques iOS supervisés uniquement et est ignorée pour
tous les autres périphériques.
Étape 15 Ajoutez des polices TruType ou 1. Sélectionnez + pour développer la liste de profils de
OpenType à transmettre aux configuration iOS disponibles, sélectionnez Polices, puis
périphériques iOS. Les polices cliquez sur Ajouter.
personnalisées sont stockées localement 2. Saisissez un nom pour identifier la police.
sur le périphérique et peuvent être
3. Sélectionnez une Police que vous avez précédemment
utilisées dans des applications telles que
importée.
Pages ou Keynote pour autoriser la
sélection de nouveaux types de caractères.
inclut une police, importez le fichier de
police associé (reportez-vous à la section
Importer des polices).
Étape 16 Configurez un nom de point d'accès 1. Sélectionnez + pour développer la liste de profils de
(APN) pour le périphérique mobile qui configuration iOS disponibles, sélectionnez APN, puis cliquez
sera présenté au porteur pour identifier le sur Ajouter.
type de connexion réseau à fournir. 2. Activez le service APN sur les périphériques gérés.
3. Saisissez le Nom du point d'accès pour le réseau à commutation
de paquets (PDN) ou un autre service, tel qu'un serveur WAP
ou un service de messagerie multimédia (MMS) pour autoriser
les périphériques mobiles à communiquer avec lui.

Étape 17 Transmettez des paramètres d'ouverture 1. Sélectionnez + pour développer la liste de profils de
de session unique aux périphériques configuration iOS disponibles, puis sélectionnez Ouverture de
mobiles afin de simplifier session unique.
l'authentification auprès d'applications et 2. Activez Ouverture de session unique pour configurer des
de services en réseau via votre paramètres d'ouverture de session unique.
infrastructure Kerberos et de limiter
3. Saisissez le Nom du compte utilisé pour identifier le compte
l'ouverture de session unique à des
dans le Gestionnaire de sécurité mobile.
applications par identifiant d'application,
URL de service, ou les deux. 4. Saisissez le Nom principal Kerberos. Par exemple,
jane/user@example.local.
5. Sélectionnez, si nécessaire, un Certificat d'identité à utiliser
pour authentifier les messages envoyés à partir de ce compte.
Utilisez les certificats de client générés par le serveur SCEP de
votre entreprise ou, pour utiliser un certificat précédemment
importé, importez un nouveau certificat, ou générez-en un
nouveau, puis sélectionnez Certificat. Le Gestionnaire de
sécurité mobile transmet le certificat à tous les périphériques qui
reçoivent cette configuration.
6. Saisissez le nom de la Zone Kerberos. Par exemple,
example.local.
Le nom de la zone est sensible à la casse.
7. Ajoutez une ou plusieurs Correspondances de préfixe d'URL

commençant par HTTP ou HTTPS qui doivent être mises en
correspondance afin de pouvoir utiliser ce compte pour
l'authentification Kerberos via HTTP. Par exemple,
HTTP://www.mycompany.com/.
8. Ajoutez une ou plusieurs Correspondances d'identifiant
d'application autorisées à utiliser les informations
d'identification d'authentification spécifiées. Saisissez la
correspondance exacte, par exemple com.mycompany.myapp,
ou utilisez le caractère générique * pour faire correspondre
toute application avec un ID de bundle commençant par un
préfixe spécifique. Utilisez le caractère générique après un point
et à la fin du préfixe, par exemple com.mycompany.*.
Étape 18 Enregistrez le profil de configuration. 1. Cliquez sur OK pour enregistrer les paramètres de configuration
Configuration iOS.

Créer un profil de configuration Android
Le profil de configuration Android contient les paramètres de configuration, les certificats, les clips Web, et les
restrictions à pousser sur un groupe spécifique de périphériques iOS. Si vous avez des groupes d'utilisateurs de
périphérique Android qui ont besoin d'un accès à des services variables ou qui exigent des niveaux différents de
restrictions, vous devez créer un profil de configuration Android distinct pour chacun.
Créer un profil de configuration Android
Étape 1 Ajoutez un profil de configuration. 1. Sélectionnez Politiques > Configuration > Android puis cliquez
sur Ajouter.
Étape 2 Saisissez les informations d'identification 1. Dans l'onglet Général, saisissez un Nom pour afficher la
pour la configuration. configuration dans l'interface Web Gestionnaire de sécurité
mobile.
2. Saisissez un Nom à afficher qui sera visible sur l'écran
Détails/Profils du périphérique mobile ainsi que le rapport HIP
du périphérique.
3. Saisissez un Identifiant pour la configuration au format de style
DNS inverse. Par exemple, si ce profil doit être utilisé pour
pousser une configuration de base sur les périphériques, vous
pourrez donner à la configuration un nom comme
com.acme.androidprofile.
4. (Facultatif) Saisissez une Description à afficher sur l'écran
Détails du périphérique mobile.
Étape 3 Indiquez les conditions du code 1. Si vous souhaitez forcer les utilisateurs de périphérique à
d'activation pour les périphériques. recevoir cette configuration pour utiliser un code d'activation
sur le périphérique, sélectionnez + pour développer la liste de
Si vous indiquez les conditions du code
profils de configuration Android disponibles, sélectionnez
d'activation, les utilisateurs de
Code d'activation, puis activez la restriction Code d'activation.
périphérique seront forcés d'adhérer aux
La simple activation de ce champ forcera l'utilisation d'un code
paramètres du code d'activation que vous
d'activation avec un minimum de quatre caractères, sans
définissez.
imposer de conditions supplémentaires.
2. (Facultatif) Indiquez les conditions supplémentaires du code
d'activation à mettre en œuvre, comme les conditions de
longueur ou s'il faut forcer le périphérique à se verrouiller
automatiquement après un nombre déterminé de minutes.
Étape 4 Indiquez les paramètres de configuration Sélectionnez + pour développer la liste de profils de configuration
qui autorise le périphérique à accéder à Android disponibles, sélectionnez VPN, puis activez VPN pour
votre VPN. définir des paramètres de connexion VPN GlobalProtect.
Pour obtenir des instructions spécifiques sur la création d'une
configuration VPN GlobalProtect, reportez-vous à la section
Définir une configuration VPN GlobalProtect.

Créer un profil de configuration Android (suite)
Étape 5 Indiquez les paramètres de configuration 1. Sélectionnez + pour développer la liste de profils de
qui activent l'accès du périphérique à un configuration Android disponibles, sélectionnez Wi-Fi, puis
ou plusieurs réseaux Wi-Fi. cliquez sur Ajouter.
Pour obtenir des informations détaillées 2. Dans l'onglet Paramètres, saisissez un Nom pour identifier
sur chaque champ, consultez la section cette configuration Wi-Fi sur le Gestionnaire de sécurité
Aide en ligne. mobile.
3. Saisissez le Nom de réseau sans fil (SSID) pour le réseau sans
fil. Le SSID est le nom de connexion du réseau Wi-Fi ; il s'agit
en général d'un nom convivial qui permet aux utilisateurs
d'identifier le réseau auquel ils se connectent. Si vous n'utilisez
pas votre nom de connexion SSID, cochez la case Réseau
masqué.
4. Par défaut, les périphériques qui reçoivent cette configuration
automatiquement se raccordent au réseau lorsque le
périphérique est dans le prolongement ; pour changer ce
comportement, décochez la case Raccorder
automatiquement.
5. Dans l'onglet Sécurité, sélectionnez le Type de sécurité qui est
utilisé sur le réseau sans fil. En fonction du type de sécurité que
vous sélectionnez, des champs supplémentaires s'affichent pour
vous autoriser à fournir les paramètres requis pour la
connexion, tels que le mot de passe, le protocole, et/ou le
certificat à utiliser.
6. Pour les types de sécurité qui exigent des informations
d'identification de l'utilisateur final (types de sécurité
d'entreprise), sélectionnez les options parmi les suivantes :
• Nom d'utilisateur : La configuration utilisera par défaut le
nom d'utilisateur qui a été fourni par l'utilisateur final lors de
l'authentification sur le Gestionnaire de sécurité mobile
durant le recrutement (Utiliser les informations
d'identification enregistrées). Pour indiquer un nom
d'utilisateur différent, sélectionnez Fixe puis saisissez un
nom d'utilisateur dans la zone de texte.
• Mot de passe : La configuration utilisera un mot de passe
que l'utilisateur définit sur le périphérique mobile (Défini sur
le périphérique) par défaut. Pour utiliser le mot de passe qui
a été fourni par l'utilisateur final lors de l'authentification sur
le Gestionnaire de sécurité mobile durant le recrutement,
sélectionnez Utiliser les informations d'identification
enregistrées. Ou, pour indiquer un mot de passe différent,
sélectionnez Fixe puis saisissez un mot de passe dans les
zones de texte.
7. Cliquez sur OK pour enregistrer la configuration.

Créer un profil de configuration Android (suite)
Étape 6 Définissez les restrictions relatives à ce 1. Sélectionnez + pour développer la liste de profils de
que l'utilisateur peut faire avec le configuration Android disponibles, sélectionnez Restrictions,
périphérique. puis activez Restrictions pour contrôler ce que l'utilisateur peut
faire sur le périphérique mobile.
2. Modifiez les paramètres de restriction par défaut selon vos
besoins :
• Si vous ne souhaitez pas que les utilisateurs puissent utiliser
la caméra, décochez la case Autoriser l'utilisation de
caméra.
• Si vous souhaitez vérifier que les données sur les
périphériques mobiles sont codées, cochez la case Exiger le
cryptage des données conservées.
Étape 7 Ajoutez les certificats à pousser sur les 1. Sélectionnez + pour développer la liste de profils de
périphériques mobiles. Il peut s'agir des configuration Android disponibles, sélectionnez Certificats,
certificats que vous avez générés sur le puis cliquez sur Ajouter.
Gestionnaire de sécurité mobile, ou des 2. Sélectionnez un certificat existant dans la liste, ou importez un
certificats que vous avez importés depuis certificat généré par une AC différente ou générez-en un
une AC différente. Vous pouvez pousser nouveau.
tous les certificats dont le périphérique
3. Si le certificat contient une clé privée, vous devez aussi saisir le
aura besoin pour se connecter à vos
Mot de passe à utiliser pour décrypter la clé.
applications et services internes.
Étape 8 Créez des raccourcis vers les sites Web ou 1. Sélectionnez + pour développer la liste de profils de
les applications Web, nommés clips Web, configuration Android disponibles, sélectionnez Clips Web,
à afficher sur l'écran Accueil du puis cliquez sur Ajouter.
périphérique. 2. Saisissez un Nom pour le clip Web à utiliser au sein du
Les clips Web sont utiles pour fournir un Gestionnaire de sécurité mobile.
accès rapide aux sites auxquels vos 3. Saisissez une Étiquette pour le clip Web à afficher sur l'écran
utilisateurs mobiles auront besoin Accueil.
d'accéder, tels que votre intranet ou 4. Saisissez l'URL qui sera chargée aussitôt que l'utilisateur
système de suivi de bogues internes. effleurera le clip Web.
5. Sélectionnez une Icône que vous avez importée auparavant ou
inclut un clip Web, vous devez importer
cliquez sur Icône dans le menu déroulant pour en importer une
l'icône associée à afficher sur l'écran du
maintenant.
périphérique. Pour obtenir des
instructions, reportez-vous à la section 6. Cliquez sur OK pour enregistrer le clip Web.
Importer les icônes de clip Web.
Configuration Android.

Définir une configuration VPN GlobalProtect
Tandis que le Gestionnaire de sécurité mobile GlobalProtect vous permet de pousser les paramètres de configuration
qui autorisent l'accès à vos ressources d'entreprise et fournit un mécanisme pour mettre en œuvre les restrictions de
périphérique, il n'assure pas la sécurité de la connexion entre le périphérique mobile et les services auxquels il se
connecte. Pour activer le client et établir des connexions tunnel sécurisées, vous devez activer le support VPN sur le
périphérique. Pour une configuration VPN GlobalProtect simplifiée sur les périphériques iOS et Android, vous
pouvez transmettre les paramètres de configuration VPN GlobalProtect au périphérique dans le profil de
configuration comme décrit dans les sections suivantes :
 Créer une configuration VPN GlobalProtect pour les périphériques iOS
 Créer une configuration VPN GlobalProtect pour les périphériques Android
Créer une configuration VPN GlobalProtect pour les périphériques iOS
Utilisez la tâche qui suit pour Définir une configuration VPN GlobalProtect pour les périphériques iOS. Des
paramètres VPN peuvent être ajoutés au profil de configuration pour le périphérique iOS. Pour des informations
générales sur le profil de configuration, reportez-vous à la section Créer un profil de configuration iOS.
Créer une configuration VPN GlobalProtect pour les périphériques iOS
Étape 1 Sélectionnez ou ajoutez un profil de Sélectionnez Politiques > Configuration > iOS, puis cliquez sur
configuration iOS auquel ajouter les Ajouter. Ou sélectionnez une configuration existante à laquelle
paramètres de configuration VPN ajouter les paramètres VPN.
GlobalProtect. S'il s'agit d'un nouveau profil de configuration, saisissez les
informations d'identification pour le profil et définissez d'autres
paramètres de configuration et restrictions le cas échéant.
Reportez-vous à la section Créer un profil de configuration iOS pour
plus de détails.
Étape 2 Définissez les paramètres de connexion 1. Sélectionnez + pour développer la liste de profils de
VPN GlobalProtect. configuration iOS disponibles, puis sélectionnez VPN.
2. Cliquez sur Ajouter pour ouvrir la boîte de dialogue VPN.
3. Saisissez un Nom pour identifier cette configuration sur le
4. Saisissez un Nom de connexion à afficher sur le périphérique.
5. Saisissez le nom de domaine complet ou l'adresse IP du portail
GlobalProtect dans le champ Serveur. La valeur que vous avez
saisie doit correspondre au champ CN dans le certificat du
serveur du portail.
6. Vérifiez que le Type de connexion est défini sur Palo Alto
Networks GlobalProtect.

Créer une configuration VPN GlobalProtect pour les périphériques iOS (suite)
Étape 3 Indiquez comment renseigner les 1. Indiquez où obtenir le nom d'utilisateur VPN en sélectionnant une
paramètres nom d'utilisateur et mot de valeur dans la liste déroulante Compte. Par défaut, la configuration
passe du compte VPN. VPN GlobalProtect est définie sur Utiliser les informations
d'identification enregistrées, lui permettant d'utiliser le nom
d'utilisateur qui a été fourni par l'utilisateur du périphérique durant
le recrutement. Vous pouvez aussi indiquer un nom d'utilisateur
Fixe à utiliser pour tous les périphériques dotés de cette
configuration, ou autoriser l'utilisateur du périphérique à définir le
nom d'utilisateur du compte en sélectionnant Défini sur le
périphérique.
2. Par défaut, le Mot de passe du VPN sera défini sur Défini sur
périphérique par l'utilisateur du périphérique. Toutefois, si vous
souhaitez utiliser le mot de passe que l'utilisateur du périphérique a
fourni lors de l'authentification durant le recrutement, sélectionnez
Utiliser les informations d'identification enregistrées, ou
définissez un mot de passe Fixe qui sera utilisé par tous les
périphériques dotés de cette configuration.
3. (Facultatif) Par défaut, lorsqu'une politique de Gestionnaire de
sécurité mobile est finalement poussée sur un périphérique mobile,
tous les profils qui ont été poussés auparavant par le Gestionnaire
de sécurité mobile qui ne sont pas associés à la règle de politique de
correspondance sont automatiquement supprimés du périphérique.
Toutefois, le Gestionnaire de sécurité mobile ne supprime pas les
profils VPN poussés sur le périphérique par le portail
GlobalProtect, autorisant l'utilisateur à permuter manuellement de
profils. Pour activer la suppression par le Gestionnaire de sécurité
mobile de tous les profils VPN GlobalProtect existants, décochez
la case Autoriser le profil du portail.

Étape 4 (Facultatif) Indiquez un certificat client pour Pour utiliser le certificat d'identité généré sur le périphérique mobile durant le
les périphériques mobiles à utiliser pour recrutement :
s'authentifier sur la ou les passerelles a. Sélectionnez Aucune dans le champ Informations
GlobalProtect durant l'établissement du d'identification.
tunnel VPN. Si vous souhaitez pousser un
certificat client aux périphériques par Pour utiliser les certificats clients générés par votre serveur SCEP
exemple depuis la configuration du portail d'entreprise :
du client ou si vous n'utilisez pas a. Sélectionnez SCEP dans le champ Informations
l'authentification du certificat sur vos d'identification.
passerelles, vous pouvez sauter cette étape. b. Paramétrer une configuration SCEP.
Cette fonction est utile pour
Pour utiliser un certificat client généré par le Gestionnaire de sécurité mobile :
empêcher les périphériques qui ne
sont pas gérés par le Gestionnaire de a. Importez un certificat client à pousser sur les périphériques
sécurité mobile de se connecter au VPN mobiles du Gestionnaire de sécurité mobile ou générez un
GlobalProtect. Toutefois, en rejetant les certificat auto-signé sur le Gestionnaire de sécurité mobile. Cette
connexions provenant des périphériques option est similaire à l'option permettant de déployer les
non gérés, vous perdez toute visibilité de ce certificats clients depuis le portail GlobalProtect. Dans cette
trafic. Selon la procédure recommandée configuration, vous indiquez un seul certificat client à utiliser
pour contrôler le trafic sur les périphériques pour tous les périphériques mobiles dotés de ce profil de
mobiles non gérés, vous devez créer un configuration iOS.
profil HIP qui correspond selon que le b. Sélectionnez Certificat puis sélectionnez le certificat client à
périphérique est géré ou non, et l'associer à utiliser dans la liste déroulante.
vos politiques de sécurité. Pour plus
d'informations sur la création des politiques Si vous fournissez des Informations d'identification dans
de sécurité activées par HIP, reportez-vous à cette configuration, vérifiez que la configuration de client que
la section Utiliser les informations sur le portail déploiera sur les périphériques mobiles
l'hôte pour la mise en œuvre des correspondants ne contient pas aussi un certificat client ou le
politiques. certificat dans la configuration du portail remplacera le
certificat précisé ici.
Étape 5 (Facultatif) Indiquez le trafic de 1. Pour remplacer les paramètres définis dans la configuration du
périphérique à mettre sous tunnel via le portail, sélectionnez le Type de VPN puis sélectionnez VPN au
VPN. Par défaut, l'application niveau du périphérique.
GlobalProtect mettra sous tunnel tout le 2. Cochez la case Activer VPN à la demande puis cliquez sur
trafic comme indiqué dans sa Ajouter pour définir les exceptions de la manière suivante :
configuration de client du portail
• Saisissez une adresse IP, un nom d'hôte, un nom de domaine
correspondante. Toutefois, vous pouvez
ou un sous-réseau dans le champ Domaine correspondant
remplacer la configuration du tunnel du
pour indiquer une destination de tunnel.
portail en définissant le paramètre VPN à
la demande dans la configuration du • Sélectionnez une Action correspondante pour préciser quand
Gestionnaire de sécurité mobile. mettre sous tunnel le trafic vers le Domaine indiqué
(toujours, jamais, ou à la demande pour autoriser
Un VPN au niveau du
l'utilisateur final à manuellement appeler le VPN).
périphérique est utile dans un
environnement où vous gérez des • Répétez cette étape pour chaque destination de tunnel pour
périphériques d'entreprise (plutôt laquelle vous souhaitez créer un remplacement.
que des périphériques personnels)
afin de vous assurer que
l'ensemble du trafic de
périphérique utilise le VPN.

Étape 6 (Facultatif) Indiquez le trafic des Sélectionnez le Type de VPN et choisissez parmi les paramètres
applications gérées à mettre sous tunnel suivants pour Isoler le trafic de l'entreprise sur un périphérique
uniquement via le VPN. mobile :
Un VPN par application est utile • Sélectionnez VPN par application pour permettre aux
dans un environnement où vous applications gérées sur le périphérique d'acheminer l'ensemble du
gérez des périphériques trafic via le VPN.
personnels (plutôt que des • Activer VPN par application à la demande pour établir
périphériques d'entreprise) afin de automatiquement une connexion VPN pour les applications
vous assurer que le trafic des gérées lorsqu'elles sont lancées.
applications d'entreprise gérées
passe par le VPN alors que le trafic • Ajoutez des Domaines correspondants pour Safari pour
des applications personnelles ne permettre l'établissement d'une connexion VPN pour un
l'est pas. Pour en savoir plus et domaine.
pour obtenir des instructions
détaillées sur la configuration d'un
VPN par application,
reportez-vous à la section Isoler le
trafic de l'entreprise.
de VPN.
2. Cliquez sur OK pour enregistrer le profil de configuration iOS.
Étape 8 Configurez les passerelles pour utiliser le Exécutez les étapes suivantes sur chaque passerelle :
certificat client indiqué afin d'activer les 1. Importez le certificat AC racine qui a été utilisé pour générer les
périphériques mobiles dotés de cette certificats de périphérique mobile (l'expéditeur du certificat
configuration pour établir les connexions d'identité, l'AC de serveur SCEP, ou le certificat AC auto-signé
HTTPS. du Gestionnaire de sécurité mobile en fonction du type de
certificat client que vous utilisez) sur les passerelles.
2. Ajoutez le certificat AC au profil de certificat utilisé dans la
configuration de passerelle.

Créer une configuration VPN GlobalProtect pour les périphériques Android

Utilisez la tâche qui suit pour Définir une configuration VPN GlobalProtect pour les périphériques Android. Des
paramètres VPN peuvent être ajoutés au profil de configuration pour le périphérique Android. Pour des informations
générales sur le profil de configuration, reportez-vous à la section Créer un profil de configuration Android.
Créer une configuration VPN GlobalProtect pour les périphériques Android
Étape 1 Ajoutez les paramètres de configuration Sélectionnez Politiques > Configuration > Android puis cliquez sur
VPN GlobalProtect à un profil de Ajouter ou sélectionnez une configuration existante à modifier.
configuration Android nouveau ou existant. S'il s'agit d'un nouveau profil de configuration, saisissez les informations
d'identification pour le profil et définissez d'autres paramètres de
configuration et restrictions. Reportez-vous à la section Créer un profil
de configuration Android pour plus de détails.
Étape 2 Activez et définissez les paramètres de 1. Sélectionnez + pour développer la liste de profils de configuration
connexion VPN GlobalProtect. Android disponibles, puis sélectionnez VPN.
2. Activez VPN pour continuer et définir les paramètres de
connexion VPN.
3. Saisissez un Nom de connexion à afficher sur le périphérique
Android.
4. Saisissez le nom de domaine complet ou l'adresse IP du Portail
GlobalProtect. La valeur que vous avez saisie doit correspondre au
champ CN dans le certificat du serveur du portail.
5. Indiquez où obtenir le nom d'utilisateur VPN en sélectionnant une
valeur dans la liste déroulante Compte. Par défaut, la configuration
VPN GlobalProtect est définie sur Utiliser les informations
d'identification enregistrées, lui permettant d'utiliser le nom
d'utilisateur qui a été fourni par l'utilisateur du périphérique durant
le recrutement. Vous pouvez également indiquer un nom d'utilisa-
teur Fixe à utiliser pour tous les périphériques utilisant cette confi-
guration, ou autoriser l'utilisateur du périphérique à définir le nom
d'utilisateur du compte en sélectionnant Défini sur le périphé-
rique.
6. Spécifiez la Méthode de connexion du VPN :
• Ouverture de session utilisateur : l'application GlobalProtect
lance les découvertes réseau et établit les connexions automati-
quement.
• À la demande : permet aux utilisateurs d'établir une connexion
à la demande. Dans ce cas, un utilisateur peut établir une
connexion manuellement lors d'une tentative de connexion au
VPN à distance. Si elle est sélectionnée, la méthode de connexion
À la demande est prioritaire sur la méthode de connexion définie
dans la configuration de client du portail GlobalProtect.
La méthode de connexion VPN définie dans le profil de
configuration Android est prioritaire sur la méthode de
connexion définie dans la configuration de client du portail
GlobalProtect.
7. Par défaut, le Mot de passe d'authentification des utilisateurs au
VPN est Défini sur le périphérique par l'utilisateur du périphé-
rique, ce qui signifie que l'utilisateur doit saisir manuellement son
mot de passe pour s'authentifier. Toutefois, pour que le mot de passe
fourni par l'utilisateur lors de l'authentification pendant le recrute-
ment soit utilisé automatiquement, sélectionnez Utiliser les infor-
mations d'identification enregistrées, ou définissez un mot de
passe Fixe qui sera utilisé par tous les périphériques dotés de cette
configuration.

Créer une configuration VPN GlobalProtect pour les périphériques Android (suite)
Étape 3 (Facultatif) Indiquez un certificat client Pour utiliser le certificat d'identité généré sur le périphérique mobile durant
pour les périphériques mobiles à utiliser le recrutement :
pour s'authentifier sur la ou les passerelles Sélectionnez Aucune dans le champ Informations d'identification.
GlobalProtect durant l'établissement du
tunnel VPN. Si vous souhaitez pousser un Pour utiliser un certificat client généré par le Gestionnaire de sécurité
certificat client aux périphériques par mobile :
exemple depuis la configuration du portail 1. Importez un certificat client à pousser sur les périphériques
du client ou si vous n'utilisez pas mobiles du Gestionnaire de sécurité mobile ou générez un
l'authentification du certificat sur vos certificat auto-signé sur le Gestionnaire de sécurité mobile. Cette
passerelles, vous pouvez sauter cette option est similaire à l'option permettant de déployer les
étape. certificats clients depuis le portail GlobalProtect. Dans cette
configuration, vous indiquez un seul certificat client à utiliser
Cette fonction est utile pour pour tous les périphériques mobiles dotés de ce profil de
empêcher les périphériques qui ne configuration Android.
sont pas gérés par le Gestionnaire
de sécurité mobile de se connecter 2. Sélectionnez Certificat puis sélectionnez le certificat client à
au VPN GlobalProtect. Toutefois, utiliser dans la liste déroulante.
en rejetant les connexions Si vous fournissez des Informations d'identification dans
provenant des périphériques cette configuration, vérifiez que la configuration de client
non gérés, vous perdez toute que le portail déploiera sur les périphériques mobiles
visibilité de ce trafic. Selon la correspondants ne contient pas aussi un certificat client
procédure recommandée pour ou le certificat dans la configuration du portail remplacera
contrôler le trafic sur les le certificat précisé ici.
périphériques mobiles non gérés,
vous devez créer un profil HIP qui
correspond selon que le
périphérique est géré ou non, et
l'associer à vos politiques de
sécurité. Pour plus d'informations
sur la création des politiques de
sécurité activées par HIP,
reportez-vous à la section Utiliser
les informations sur l'hôte pour la
mise en œuvre des politiques.
Étape 4 Enregistrez le profil de configuration. 1. Cliquez sur OK pour enregistrer les paramètres de configuration de
VPN.
Étape 5 Configurez les passerelles pour utiliser le Exécutez les étapes suivantes sur chaque passerelle :
certificat client indiqué afin d'activer les 1. Importez le certificat AC racine qui a été utilisé pour générer les
périphériques mobiles dotés de cette certificats de périphérique mobile (l'expéditeur du certificat
configuration pour établir les connexions d'identité, l'AC de serveur SCEP, ou le certificat AC auto-signé du
HTTPS. Gestionnaire de sécurité mobile en fonction du type de certificat
client que vous utilisez) sur les passerelles.
2. Ajoutez le certificat AC au profil de certificat utilisé dans la
configuration de passerelle.

Importer les icônes de clip Web
Les clips Web fournissent des raccourcis vers les sites Web ou les applications Web. Dès que l'utilisateur effleure une
icône de clip Web, il ouvre automatiquement l'URL associée. Le Gestionnaire de sécurité mobile peut déployer
automatiquement des clips Web sur les périphériques gérés pour fournir des raccourcis qui offrent aux utilisateurs un
accès rapide aux systèmes internes, tels que les bases de données de suivi de bogues internes, les réseaux Intranet, ou
les systèmes RH. Si vous envisagez d'inclure les clips Web dans les configurations que vous déployez, vous pourrez
créer les icônes associées à afficher sur l'écran Accueil.
Vous devez importer les icônes de clips Web dans le Gestionnaire de sécurité mobile de la manière suivante, avant de
créer des profils de configuration qui incluent les clips Web. Si vous n'associez pas d'icône à un clip Web, un carré blanc
sera affiché à sa place.
Créer les icônes de clip Web
Étape 1 Créez les fichiers d'image que vous Instructions pour les icônes Android
souhaitez utiliser pour vos icônes de clip Utilisez des fichiers PNG 32 bits avec un canal alpha pour la
Web. transparence. Utilisez des dimensions différentes pour différentes
Les icônes que vous créez pour les densités d'écran de la manière suivante :
utiliser avec vos clips Web doivent • Basse densité 36x36 px
remplir des critères spécifiques d'image et
• Densité moyenne 48x48 px
de nom afin que le système d'exploitation
les affiche correctement. Pour les • Haute densité 72x72 px
procédures recommandées pour la • Densité extra-haute 96x96 px
création d'icônes pour les périphériques
Android, consultez le document suivant Si l'image est plus grande que 96 px, elle sera automatiquement
sur le site Android Developers : Icon mise à l'échelle 96x96 px sur le périphérique.
Design Guidelines. Pour les procédures Instructions pour les icônes iOS
recommandées pour la création d'icônes
de clip Web pour les périphériques iOS, Utilisez des fichiers PNG non entrelacés. Si vous souhaitez que iOS
consultez le document suivant dans la ajoute ses effets standard (angles arrondis, ombre portée, et brillant
bibliothèque iOS Developer Library : réflexif), assurez-vous que l'image a des angles à 90 degrés et ne
Custom Icon and Image Creation comporte pas de brillant ou de lustre. Créez des images différentes
Guidelines. avec différentes dimensions pour différentes plates-formes iOS de la
manière suivante :
• Pour tactiles iPhone et iPod : 57x57 px (114x114 px pour haute
résolution)
• Pour iPad : 72x72 px (144x144 px pour haute résolution)
Étape 2 Importez chaque icône de clip Web sur le 1. Sélectionnez Politiques > Configuration > Icônes Clip Web puis
Gestionnaire de sécurité mobile. cliquez sur Ajouter.
2. Saisissez un Nom et une Description pour cette icône.
3. Naviguez jusqu'à l'emplacement de l'icône de clip Web puis
cliquez sur Ouvrir. Le chemin et le nom de fichier s'affichent
dans le champ Fichier.
4. Cliquez sur OK.
Étape 3 Sauvegardez vos modifications. Cliquez sur Valider

Importer un profil de provisionnement iOS
Pour empêcher la propagation des applications potentiellement malveillantes, seul iOS autorise les utilisateurs à
installer des applications provenant de sources approuvées via la boutique App Store. Pour autoriser les utilisateurs à
installer des applications d'entreprise développées en interne sur leurs périphériques iOS, vous devez obtenir un profil
de provisionnement à partir du programme iOS Developer Enterprise Program (iDEP). Vous pouvez ensuite
déployer le profil de provisionnement sur les périphériques des utilisateurs finaux autorisés pour les autoriser à installer
l'application. Afin de simplifier le processus de distribution des profils de déploiement, importez les profils dans le
Gestionnaire de sécurité mobile puis déployez-les sur les périphériques gérés via la politique.
Même si le Gestionnaire de sécurité mobile simplifie le déploiement des profils de

provisionnement sur un grand nombre de périphériques mobiles, vous devez prendre en compte
certains facteurs de sécurité. Lors de la révocation de l'accès à une application qui a été activée
via un profil de provisionnement, l'application continuera de fonctionner sur le périphérique
jusqu'au prochain cycle de démarrage même si la politique du Gestionnaire de sécurité mobile
supprime le profil. En outre, comme les profils de provisionnement sont synchronisés avec
iTunes, le profil peut être réinstallé la prochaine fois que l'utilisateur final synchronise le
périphérique avec iTunes.
Utilisez la procédure suivante pour importer un profil de provisionnement iOS sur le Gestionnaire de sécurité mobile :
Importer un profil de provisionnement iOS
Étape 1 Récupérez les fichiers de Pour plus d'informations sur les procédures de création des profils
provisionnement dont vous avez besoin de provisionnement et le déploiement des applications développées
pour autoriser les utilisateurs de en interne, accédez à l'URL suivante :
périphérique à installer vos applications http://www.apple.com/business/accelerator/deploy/
iOS développées en interne.
Étape 2 Après avoir obtenu votre profil de 1. Sélectionnez Politiques > Configuration > Profils de
provisionnement signé, importez-le dans provisionnement iOS, puis cliquez sur Ajouter.
le Gestionnaire de sécurité mobile. 2. Saisissez un Nom pour le profil.
3. Naviguez jusqu'à l'emplacement du profil de provisionnement
puis cliquez sur Ouvrir. Le chemin et le nom de fichier
s'affichent dans le champ Fichier.
4. Cliquez sur OK.

Importer des polices
Utilisez des polices personnalisées pour améliorer la création de contenu et la présentation du texte sur les
périphériques mobiles. Les utilisateurs peuvent installer des polices personnalisées et les utiliser dans des applications
autorisant la sélection de nouveaux types de caractères telles que Pages ou Keynote. Le Gestionnaire de sécurité
mobile peut déployer automatiquement les polices TruType ou OpenType sur le périphérique mobile.
Vous devez importer les polices dans le Gestionnaire de sécurité mobile de la manière suivante, avant de créer des
profils de configuration qui incluent les polices.
Créer les icônes de clip Web
Étape 1 Importez chaque icône de clip Web sur le 1. Sélectionnez Politique > Configuration > Polices, puis cliquez
Gestionnaire de sécurité mobile. sur Ajouter.
2. Saisissez un nom descriptif pour la police.
3. Naviguez jusqu'à l'emplacement du fichier de police,
sélectionnez la police TruType ou OpenType, puis cliquez sur
Ouvrir. Le Gestionnaire de sécurité mobile affiche la police dans
la liste des polices disponibles.

Créer des politiques de déploiement
Après le recrutement et l'archivage réussis d'un périphérique, le Gestionnaire de sécurité mobile utilise le nom
d'utilisateur de l'utilisateur du périphérique et/ou les données HIP signalées pour les faire correspondre à une politique
de déploiement.
Créer des politiques de déploiement
Étape 1 Créez une nouvelle règle de politique. 1. Sélectionnez Politiques > Politiques, puis cliquez sur Ajouter.
2. Saisissez un Nom descriptif pour identifier la règle de politique.
Étape 2 Indiquez pour quels utilisateurs de Sélectionnez l'onglet Profils utilisateurs/HIP puis indiquez
périphérique mobile cette configuration comment déterminer une correspondance de configuration pour
doit être déployée. Il existe deux façons cette règle de politique :
d'indiquer quels périphériques gérés • Pour déployer cette configuration sur un utilisateur ou groupe
recevront la configuration : par nom spécifique, cliquez sur Ajouter dans la section Utilisateur de la
d'utilisateur/groupe et/ou par fenêtre puis sélectionnez l'utilisateur ou le groupe auquel vous
correspondance HIP. souhaitez fournir cette configuration dans la liste déroulante.
Le Gestionnaire de sécurité mobile utilise Répétez cette étape pour chaque utilisateur/groupe que vous
les paramètres des Profils souhaitez ajouter.
utilisateurs/HIP que vous indiquez pour • Pour déployer cette configuration sur les périphériques qui
déterminer la configuration à déployer sur correspondent à un profil HIP spécifique, cliquez sur Ajouter
un périphérique dès l'archivage. Par dans la section Profils HIP de la fenêtre puis sélectionnez un
conséquent, si vous avez de multiples profil HIP.
configurations, vous devez vous assurer
de les commander conformément. Dès Il est vivement conseillé de tester vos politiques de
que le Gestionnaire de sécurité mobile déploiement avant de les pousser sur votre parc
trouve une correspondance, il fournit la d'utilisateurs mobiles entier. Songez à créer d'abord une
configuration. Ainsi, des configurations configuration qui s'applique aux utilisateurs dans votre
plus spécifiques doivent précéder les groupe TI uniquement pour les autoriser à être recrutés par
configurations plus générales. le Gestionnaire de sécurité mobile et tester les politiques de
Reportez-vous à l'Étape 4 pour obtenir déploiement. Puis, après avoir complètement testé la
des instructions sur les commandes de la configuration, vous pouvez modifier la politique de
liste des règles. déploiement pour pousser les déploiements sur les
utilisateurs mobiles.
Avant de pouvoir créer des règles de
politique pour déployer les
configurations sur des utilisateurs
ou groupes spécifiques, vous devez
configurer le Gestionnaire de
sécurité mobile pour accéder à votre
annuaire d'utilisateurs comme décrit
dans la section Intégrer le
dans votre annuaire LDAP.

Créer des politiques de déploiement (suite)
Étape 3 Indiquez les profils de configuration qu'il 1. Associez les profils de configuration à la règle de politique.
faut déployer sur les périphériques qui Si votre règle est conçue pour correspondre à la fois aux
correspondent aux critères périphériques iOS et Android, vous devez associer des profils
d'utilisateur/profil HIP que vous avez de configuration distincts de la manière suivante :
définis. • Pour ajouter un profil de configuration iOS ou un profil de
provisionnement iOS, cliquez sur Ajouter dans la section iOS
puis sélectionnez le profil à ajouter. Répétez cette étape pour
chaque profil iOS à déployer sur les périphériques
correspondant à cette règle.
• Pour ajouter un profil de configuration Android, cliquez sur
Ajouter dans la section Android puis sélectionnez le profil à
ajouter à la règle. Répétez cette étape pour chaque profil de
configuration à déployer sur les périphériques correspondant
à cette règle.
2. Cliquez sur OK pour enregistrer la règle de politique.
3. Répétez l'Étape 1 jusqu'à l'Étape 3 pour chaque règle de
politique dont vous avez besoin.
Étape 4 Arrangez les règles de politique de • Pour faire remonter une règle de politique de déploiement dans la
déploiement pour que la configuration liste des règles, sélectionnez la règle et cliquez sur Remonter.
appropriée soit déployée sur chaque
• Pour faire descendre une règle de politique de déploiement dans la
périphérique dès l'archivage.
liste des règles, sélectionnez la règle et cliquez sur Descendre.
Lorsqu'un périphérique se présente à
l'archivage, le Gestionnaire de sécurité
mobile compare le nom d'utilisateur et les
données HIP fournies par le périphérique
par rapport aux politiques que vous avez
définies. Comme avec l'évaluation des
règles de sécurité sur le pare-feu, le
gestionnaire de sécurité mobile recherche
une correspondance en commençant par
le sommet de la liste. Lorsqu'il trouve une
correspondance, il pousse la
configuration correspondante sur le
périphérique.
Étape 5 Enregistrez les règles de politique de Validez les modifications.

déploiement.

Configurer le Gestionnaire de sécurité mobile GlobalProtect Vérifier la configuration du gestionnaire de sécurité mobile
Vérifier la configuration du gestionnaire de sécurité mobile

Lorsque vous avez fini de configurer le Gestionnaire de sécurité mobile (configurer l'interface d'archivage de
périphérique, activer le recrutement, et définir la configuration et les profils de déploiement) et de configurer le portail
GlobalProtect avec l'URL pour l'interface d'archivage de périphérique, vous devrez vérifier que vous pouvez recruter
avec succès un périphérique et que le profil du Gestionnaire de sécurité mobile est bien installé et mis en œuvre.
Vérifier la configuration du gestionnaire de sécurité mobile
Étape 1 Configurez les politiques de déploiement Selon la procédure recommandée, vous commencez par déployer les
à pousser sur les utilisateurs tests. politiques destinées à un petit groupe d'utilisateurs, tel que les
responsable de l'administration du Gestionnaire de sécurité mobile :
1. Sélectionnez Politiques > Politiques et sélectionnez la politique
de déploiement à modifier.
2. Dans l'onglet Profils utilisateur/HIP, cliquez sur Ajouter dans
la section Utilisateur/Groupe d'utilisateurs puis sélectionnez
l'utilisateur ou le groupe qui procédera aux tests de la politique.
3. (Facultatif) Sélectionnez la règle de politique de déploiement
que vous venez juste de créer/modifier et cliquez sur Remonter
pour qu'elle se retrouve devant toutes les autres règles
Étape 2 Téléchargez et installez l'application 1. Téléchargez l'application :

GlobalProtect et naviguez jusqu'au portail • Sur les périphériques Android, téléchargez l'application
GlobalProtect. depuis Google Play.
• Sur les périphériques iOS, téléchargez l'application depuis la
boutique App Store.
2. Effleurez l'icône du GlobalProtect sur l'écran Accueil pour
lancer l'application.
3. Effleurez OK pour activer la fonctionnalité VPN sur le
périphérique.
4. Dans l'écran Paramètres GlobalProtect, saisissez le nom ou
l'adresse du Portail, le Nom d'utilisateur, et le Mot de passe
puis effleurez la commande Connecter. Le nom du portail que
vous saisissez doit être un nom de domaine complet (FQDN) et
il ne doit pas inclure la partie https:// au début.
Si le Gestionnaire de sécurité mobile a été configuré sur le
portail, le périphérique sera automatiquement redirigé vers
l'écran de recrutement après l'authentification réussie sur le
portail.
Pour achever le processus de recrutement, le périphérique
mobile doit avoir une connectivité Internet.

Vérifier la configuration du gestionnaire de sécurité mobile Configurer le Gestionnaire de sécurité mobile GlobalProtect
Vérifier la configuration du gestionnaire de sécurité mobile (suite)
Étape 3 Faites recruter le périphérique mobile par 1. Lorsque vous êtes invité au recrutement par la Gestion de
le Gestionnaire de sécurité mobile sécurité mobile GlobalProtect, effleurez la commande
GlobalProtect. Recruter.
2. Lorsque vous êtes invité à recevoir des notifications poussées
provenant de GlobalProtect, effleurez la commande OK.
3. Si le certificat sur l'interface d'archivage de périphérique n'a pas
été généré par une AC de confiance, vous devez Installer le
certificat AC pour poursuivre le recrutement. Si vous avez défini
un code d'activation sur le périphérique, vous devez le saisir
avant de pouvoir installer le certificat.
4. Dans l'écran Installer Profil, effleurez la commande Installer
pour installer le profil et effleurez la commande Installer
maintenant pour accepter que le recrutement modifie les
paramètres sur l'iPad. Si vous avez défini un code d'activation
sur le périphérique, vous devez le saisir avant de pouvoir installer
le certificat. Dans l'écran Avertissement, effleurez la commande
Installer pour continuer.
5. Lorsque le profil est bien installé, effleurez la commande
Terminé. Si vous collectez des informations de localisation
GPS, l'application vous invitera à autoriser GlobalProtect à
utiliser votre localisation actuelle.
Étape 4 Vérifiez que les profils de configuration Par exemple :

attendus ont été poussés sur votre • Si vous poussez une condition de code d'activation sur le
périphérique. périphérique, vous serez invité à définir un nouveau mot de passe
dans les 60 minutes. Effleurez la commande Continuer de
modifier/définir le code d'activation. Saisissez votre code
d'activation actuel puis saisissez/re-saisissez le nouveau code
d'activation lorsque vous y serez invité et effleurez la commande
Enregistrer. La boîte de dialogue doit afficher toutes les
conditions que votre nouveau code d'activation doit remplir.
• Si vous avez poussé une configuration Exchange Active Sync sur
le périphérique, vérifiez que vous pouvez vous connecter au
serveur Exchange et envoyer et recevoir le courrier.
• Si vous avez poussé une configuration VPN, vérifiez que le
périphérique peut établir une connexion VPN.
• Testez tous les clips Web que vous poussez sur le périphérique et
vérifiez que vous pouvez vous connecter aux URL associées.
• Si vous avez poussé des restrictions sur le périphérique, vérifiez
que vous ne pouvez pas effectuer les actions restreintes.

Configurer le Gestionnaire de sécurité mobile GlobalProtect Vérifier la configuration du gestionnaire de sécurité mobile
Vérifier la configuration du gestionnaire de sécurité mobile (suite)
Étape 5 Depuis le Gestionnaire de sécurité 1. Sélectionnez les Périphériques puis localisez et sélectionnez
mobile, vérifiez que les notifications votre périphérique dans la liste.
poussées fonctionnement parfaitement. 2. Cliquez sur Message et saisissez le texte à envoyer au
périphérique dans la zone de texte Corps de message puis
cliquez sur OK.
3. Vérifiez que vous recevez le message sur votre périphérique.
Étape 6 Poussez les politiques sur le reste de votre Après avoir vérifié que votre configuration et vos politiques de
parc d'utilisateurs. Gestionnaire de sécurité mobile fonctionnent comme prévu, mettez
à jour vos politiques pour le déploiement sur le reste de votre parc
d'utilisateurs.

Paramétrer l'accès administrateur au Gestionnaire de sécurité mobile Configurer le Gestionnaire de sécurité mobile
GlobalProtect
Paramétrer l'accès administrateur au Gestionnaire de sécurité

mobile
Par défaut, le Gestionnaire de sécurité mobile GlobalProtect est préconfiguré avec un compte d'administrateur par
défaut (admin), qui offre un accès complet en lecture/écriture (également appelé accès superutilisateur) à l'appareil. Il
est recommandé de créer un compte d'administrateur séparé pour chaque personne ayant besoin d'accéder aux
fonctions d'administration ou de création de rapports de l'appareil. Cela évite les configurations ou les modifications
non autorisées et permet la journalisation des actions de chaque administrateur individuel.
La configuration de l'accès administrateur comprend deux étapes :
 Configurer l'authentification de l'administrateur
 Création d'un compte administrateur
Configurer l'authentification de l'administrateur
Il existe trois façons d'authentifier les utilisateurs administrateurs :
 Compte administrateur local avec authentification locale : Les informations d'identification du compte
administrateur et les méthodes d'authentification se trouvent localement sur l'appareil. Vous pouvez sécuriser
davantage le compte administrateur local en créant un profil de mot de passe qui indique la période de validité des
mots de passe et en définissant les paramètres de complexité des mots de passe à l'échelle du périphérique. Avec
ce type de compte, vous n'avez pas besoin d'effectuer de tâche de configuration avant de créer le compte
administrateur. Passez à la section Création d'un compte administrateur.
 Compte administrateur local avec authentification externe : les comptes administrateur sont gérés sur le
pare-feu local, mais les fonctions d'authentification sont prises en charge par un service LDAP, Kerberos ou
RADIUS. Pour configurer ce type de compte, vous devez d'abord créer un profil d'authentification définissant
l'accès au service d'authentification externe, puis créer un compte pour chaque administrateur qui fait référence au
profil. Pour obtenir des instructions sur le paramétrage de l'accès aux services d'authentification externe,
reportez-vous à la section Créer un profil d'authentification.
 Compte d'administrateur local avec authentification basée sur certificat : Cette option vous permet de
créer les comptes d'administrateur sur l'appareil, mais l'identification est basée sur les certificats SSH (pour l'accès
à la CLI) ou les certificats clients/les cartes d'accès commun (pour l'interface Web). Reportez-vous à la section
Activer l'authentification basée sur certificat pour l'interface Web et/ou Activer l'authentification basée sur
certificat SSH pour l'interface de ligne de commande pour obtenir des instructions.

Configurer le Gestionnaire de sécurité mobile Paramétrer l'accès administrateur au Gestionnaire
GlobalProtect de sécurité mobile
Créer un profil d'authentification
Un profil d'authentification spécifie le service d'authentification qui valide les informations d'identification de
l'administrateur et détermine comment accéder au service d'authentification. Vous devez créer un profil de serveur
d'abord pour que le Gestionnaire de sécurité mobile puisse accéder à RADIUS, Kerberos, ou à un serveur
d'authentification LDAP.
Créer un profil d'authentification
Étape 1 Créez un profil de serveur qui définit 1. Sélectionnez Configuration > Profils de serveur puis
comment se connecter au serveur sélectionnez le type de service d'authentification pour vous
d'authentification. connecter (LDAP, RADIUS, ou Kerberos).
2. Cliquez sur Ajouter, puis donnez un nom au profil.
3. Cochez la case Administrateur uniquement, le cas échéant.
4. Cliquez sur Ajouter pour ajouter une nouvelle entrée de serveur
et saisissez les informations requises pour vous connecter au
service. Pour plus d'informations sur les valeurs des champs
requis pour chaque type de service, consultez la section Aide en
ligne.
Étape 2 Créez un profil d'authentification 1. Sélectionnez Configuration > Profil d'authentification, puis
cliquez sur Ajouter.
2. Saisissez un nom pour identifier le profil d'authentification.
3. Dans le menu déroulant Authentification, sélectionnez le type
d'authentification que vous utiliserez.
4. Sélectionnez le Profil de serveur que vous avez créé à l'Étape 1.
Étape 3 Validez les modifications. Cliquez sur Valider

Paramétrer l'accès administrateur au Gestionnaire Configurer le Gestionnaire de sécurité mobile
de sécurité mobile GlobalProtect
Activer l'authentification basée sur certificat pour l'interface Web
Pour obtenir une alternative sécurisée à l'utilisation d'un mot de passe pour authentifier un utilisateur administrateur,
activez l'authentification basée sur certificat pour sécuriser l'accès au Gestionnaire de sécurité mobile. Avec
l'authentification basée sur certificat, une signature numérique est échangée et vérifiée, à la place d’un mot de passe.
Utilisez les instructions suivantes pour activer l'authentification basée sur certificat.
Activer l'authentification basée sur certificat
Étape 1 Générez un certificat AC dans le Pour générer un certificat AC dans le gestionnaire de sécurité
Gestionnaire de sécurité mobile. mobile :
1. Connectez-vous à l'interface Web Gestionnaire de sécurité
Si vous souhaitez utiliser les
mobile
certificats d'une AC d'entreprise ou
d'une autorité indépendante de 2. Sélectionnez Configuration > Gestion des certificats >
confiance, vous devez importer ce Certificats, puis cliquez sur Générer.
certificat AC dans le Gestionnaire 3. Saisissez un Nom de certificat, et ajoutez l'adresse IP ou le nom
de sécurité mobile pour qu'il valide de domaine complet qui doit figurer sur le certificat dans le
les certificats clients que vous champ Nom commun. Vous pouvez également modifier les
générez. paramètres cryptographiques et définir les options de certificat
telles que le pays, l'organisation ou l'état.
4. Assurez-vous de laisser l'option Signé par en blanc et
sélectionnez l'option Autorité de certification.
5. Cliquez sur Générer pour créer le certificat en utilisant les
détails spécifiés ci-dessus.
Étape 2 Créez le profil de certificat client qui sera 1. Sélectionnez Configuration > Gestion des certificats > Profil
utilisé pour sécuriser 'accès à l'interface de certificat, puis cliquez sur Ajouter.
Web. 2. Saisissez un nom de profil de certificat et, dans le champ nom
d'utilisateur, sélectionnez Sujet.
3. Sélectionnez Ajouter dans la section Certificats AC et, dans la
liste déroulante Certificat AC, sélectionnez le certificat AC que
vous avez créé à l'Étape 1.
Étape 3 Configurez le Gestionnaire de sécurité 1. Sur l'onglet Configuration > Paramètres, cliquez sur l'icône
mobile pour utiliser le profil de certificat Modifier dans la section Paramètres d'authentification de
client pour l'authentification admin. l'écran.
2. Dans le champ Profil de certificat, sélectionnez le profil de
certificat client créé à l'Étape 2.
3. Cliquez sur OK pour enregistrer vos modifications.

Activer l'authentification basée sur certificat (suite)
Étape 4 Créez ou modifiez un compte 1. Sélectionnez Configuration > Administrateurs, puis cliquez sur
administrateur pour activer Ajouter.
l'authentification du certificat client sur le 2. Saisissez un nom de connexion pour l'administrateur. Le nom
compte. est sensible à la casse.
3. Sélectionnez Utiliser uniquement l'authentification du
certificat client (Web) pour activer l'utilisation du certificat
d'authentification.
4. Sélectionnez le rôle à affecter à cet administrateur. Vous pouvez
soit sélectionner un des rôles dynamiques prédéfinis, soit
sélectionner un rôle personnalisé et lui associer un profil
d'authentification qui spécifie les privilèges d'accès de cet
administrateur.
5. (Facultatif) Pour les rôles personnalisés, sélectionnez les
groupes de périphérique, les modèles et le contexte de
périphérique que l'utilisateur administrateur peut modifier.
6. Cliquez sur OK pour enregistrer les paramètres de compte.
Étape 5 Créez et exportez le certificat client qui 1. Utilisez le certificat AC pour générer un certificat client pour
sera utilisé pour authentifier un chaque utilisateur administrateur.
administrateur. a. Sélectionnez Configuration > Gestion des certificats >
Certificats, puis cliquez sur Générer.
b. Dans le champ Nom commun, saisissez le nom de
l'administrateur pour lequel vous générez le certificat. La
syntaxe du nom doit correspondre au format utilisé par le
mécanisme d'authentification local ou externe.
c. Dans le champ Signé par, sélectionnez le même certificat AC
que celui que vous avez créé à l'Étape 1.
d. Cliquez sur Générer pour créer le certificat en utilisant les
détails spécifiés ci-dessus.
2. Exportez le certificat client que vous venez de générer.
a. Sélectionnez le certificat que vous venez de générer et cliquez
sur Exporter.
b. Pour coder la clé privée, sélectionnez PKCS12 en tant que
Format de fichier.
c. Saisissez une phase secrète pour crypter la clé privée et
confirmez la saisie.
d. Cliquez sur OK pour exporter le certificat.
Étape 6 Enregistrez les modifications de Cliquez sur Valider

configuration. Vous serez déconnecté de l'interface Web.

Activer l'authentification basée sur certificat (suite)
Étape 7 Importez dans le navigateur Web du Par exemple, dans Firefox :

système client le certificat client 1. Sélectionnez le menu Outils > Options > Avancées.
d'administrateur que ce dernier utilisera 2. Cliquez sur le bouton Afficher Certificats.
pour accéder à l'interface Web
Gestionnaire de sécurité mobile. 3. Sélectionnez l'onglet Vos Certificats et cliquez sur Importer.
Accédez à l'emplacement où vous avez enregistré le certificat
client.
4. Lorsque vous y êtes invité, saisissez une phrase secrète pour
décrypter la clé privée.
Étape 8 Connectez-vous à l'interface Web 1. Accédez à l'adresse IP ou au nom d'hôte du Gestionnaire de

Gestionnaire de sécurité mobile sécurité mobile.
2. Lorsque vous y êtes invité, sélectionnez le certificat client que
vous avez importé dans Étape 7. Un avertissement de certificat
s'affiche.
3. Ajoutez le certificat à la liste d'exceptions et connectez-vous à
l'interface Web du Gestionnaire de sécurité mobile.
Activer l'authentification basée sur certificat SSH pour l'interface de ligne de commande
Pour activer l'authentification basée sur le certificat SSH, respectez la marche à suivre suivante pour chaque utilisateur
administrateur :
Activer l'authentification SSH (basée sur clé publique)
Étape 1 Utilisez l'outil de génération de clé SSH Pour en savoir plus sur les commandes requises pour générer les paires
pour créer une paire de clés asymétrique sur de clés, reportez-vous à la documentation produit de votre client SSH;
la machine client. La clé publique et la clé privée sont deux fichiers séparés. Enregistrez les
Les formats de clé pris en charge sont : deux dans un emplacement accessible au Gestionnaire de sécurité
IETF SECSH et Open SSH. Les mobile. Pour davantage de sécurité, saisissez une phrase secrète pour
algorithmes pris en charge sont : DSA coder la clé privée. Cette phase secrète vous sera demandée lors de
(1024 bits) et RSA (768-4096 bits). l'ouverture de session sur le Gestionnaire de sécurité mobile.

Activer l'authentification SSH (basée sur clé publique) (suite)
Étape 2 Créez un compte pour l'administrateur et 1. Sélectionnez Configuration > Administrateurs, puis cliquez sur
activez l'authentification basée sur certificat. Ajouter.
2. Saisissez un nom d'utilisateur et un mot de passe pour
l'administrateur.
Vous devrez configurer un mot de passe. Assurez-vous de saisir un
mot de passe fiable/complexe et enregistrez-le dans un endroit sûr ;
ce mot de passe vous sera demandé en cas de corruption des
certificats ou de panne système.
3. (Facultatif) Sélectionnez un profil d'authentification.
4. Activez Utiliser l'authentification à clef publique (SSH).
5. Cliquez sur Importer la clé et naviguez pour importer la clé
publique créée à l'Étape 1.
soit sélectionner les rôles dynamiques prédéfinis, soit un profil basé
sur rôle personnalisé.
7. Cliquez sur OK pour enregistrer le compte.
Étape 4 Vérifiez que le client SSH utilise sa clé privée 1. Configurez le client SSH pour qu'il utilise la clé privée pour
pour authentifier la clé publique présentée authentifier le gestionnaire de sécurité mobile.
par le Gestionnaire de sécurité mobile. 2. Connectez-vous à la CLI sur le Gestionnaire de sécurité mobile.
Création d'un compte administrateur
Après la définition des mécanismes d'authentification pour authentifier les utilisateurs administrateurs, vous devez
créer un compte pour chaque administrateur. Lorsque vous créez un compte, vous devez définir comment
authentifier l'utilisateur. En outre, vous devez préciser un rôle pour l'administrateur. Un rôle définit le type d'accès au
système dont dispose l'administrateur associé. Vous pouvez affecter deux types de rôles :
 Rôles dynamiques : Il s'agit de rôles intégrés qui donnent au superutilisateur, superutilisateur (lecture seule), ou
à l'administrateur de périphérique un accès au Gestionnaire de sécurité mobile. Avec les rôles dynamiques, vous
n'avez plus à vous soucier de mettre à jour les définitions de rôle lorsque de nouvelles fonctions sont ajoutées, car
les rôles sont automatiquement mis à jour.
 Profils de rôle administrateur : vous permettent de créer vos propres définitions de rôle afin de fournir un
contrôle d'accès plus granulaire aux diverses zones fonctionnelles de l'interface Web, à la CLI et/ou à l'API XML.
Par exemple, vous pouvez créer un profil de rôle administrateur pour votre personnel d'exécution qui fournit un
accès aux zones de configuration réseau de l'interface Web, ainsi qu'un profil séparé pour vos administrateurs TI

qui offre un accès aux définitions des politiques, fonctions du Gestionnaire de sécurité mobile, journaux et
rapports. N'oubliez pas qu'avec les profils de rôle administrateur, vous devez mettre à jour les profils pour affecter
explicitement des droits d'accès aux nouveaux composants/fonctions ajoutés au produit.
L'exemple suivant indique comment créer un compte administrateur local avec une authentification locale :
Créer un compte administrateur
Étape 1 Si vous envisagez d'utiliser les profils de Exécutez les opérations ci-dessous pour chaque rôle que vous
rôle administrateur plutôt que les rôles souhaitez créer :
dynamiques, créez des profils définissant 1. Sélectionnez Configuration > Rôles admin, puis cliquez sur
chaque type d'accès, le cas échéant, à Ajouter.
fournir aux différentes sections de 2. Dans l'onglet Interface Web et/ou API XML, définissez les
l'interface Web, à la CLI et à l'API XML, niveaux d'accès pour chaque zone fonctionnelle de l'interface,
pour chaque administrateur affecté au en cliquant sur l'icône pour sélectionner le paramètre souhaité :
rôle.
• Activer
• Lecture seule
• Désactiver
Selon la procédure recommandée, veillez à restreindre
l'action Effacer du périphérique uniquement à un ou deux
administrateurs qui connaissent très bien le Gestionnaire
de sécurité mobile pour garantir que les périphériques des
utilisateurs finaux ne soient pas effacés accidentellement.
3. Dans l'onglet Ligne de commande, indiquez le type d'accès à la
CLI à autoriser : superutilisateur, superlecteur, admin
périphérique, lecteur de périphérique ou Aucun pour
désactiver entièrement l'accès à la CLI.
4. Saisissez un Nom pour le profil, puis cliquez sur OK pour
l'enregistrer.
Étape 2 (Facultatif) Fixez des critères pour les • Créer des profils de mot de passe : cette option définit la
mots de passe définis par l'utilisateur fréquence à laquelle les administrateurs doivent changer leurs mots
local. de passe. Vous pouvez créer plusieurs profils de mot de passe et les
affecter aux comptes administrateur afin d'appliquer la sécurité
souhaitée. Pour créer un profil de mot de passe, sélectionnez
Configuration > Profils de mot de passe, puis cliquez sur Ajouter.
• Configurer les paramètres de complexité minimale des mots
de passe : cette option définit les règles qui régissent la complexité
des mots de passe, vous permettant de forcer les administrateurs à
créer des mots de passe plus difficiles à deviner, décoder ou
compromettre. Contrairement aux profils de mot de passe,
pouvant être appliqués à chaque compte, ces règles sont à l'échelle
du périphérique et s'appliquent à tous les mots de passe. Pour
configurer les paramètres, sélectionnez Configuration >
Paramètres > Gestion, puis modifiez la section Complexité
minimale des mots de passe.

Créer un compte administrateur (suite)
Étape 3 Créez un compte pour chaque 1. Sélectionnez Configuration > Administrateurs, puis cliquez sur
administrateur. Ajouter.
2. Saisissez un Nom d'utilisateur pour l'administrateur.
3. Indiquez comment authentifier l'administrateur :
• Pour utiliser l'authentification locale, saisissez un Mot de
passe puis Confirmez le mot de passe.
• Pour utiliser l'authentification externe, sélectionnez un profil
d'authentification.
• Pour utiliser l'authentification basée sur certificat/clé, cochez
la case Utiliser uniquement l'authentification du certificat
client (Web) pour l'accès à l'interface Web et sélectionnez
Utiliser l'authentification par clé publique (SSH) pour
l'accès à la CLI. Vous devez aussi saisir un Mot de passe, qui
sera requis uniquement dans l'éventualité où les certificats
seraient corrompus ou une panne de système se produirait.
sélectionner l'un des rôles dynamiques prédéfinis ou un profil
basé sur les rôles personnalisé si vous en avez créé un à
l'Étape 1.
5. (Facultatif) Sélectionnez un profil de mot de passe.
6. Cliquez sur OK pour enregistrer le compte.


Gérer les périphériques mobiles
À l'issue du recrutement de vos utilisateurs de périphériques mobiles par le Gestionnaire de sécurité mobile
GlobalProtect, vous pouvez surveiller les périphériques et veiller à ce qu'ils soient maintenus conformément aux
normes que vous avez établies pour la protection des ressources d'entreprise et aux normes d'intégrité des
données. Même si le Gestionnaire de sécurité mobile GlobalProtect simplifie l'administration des périphériques
mobiles, vous autorisant à déployer automatiquement les paramètres de configuration de vos comptes
d'entreprise sur les périphériques conformes, vous pouvez aussi utiliser le Gestionnaire de sécurité mobile pour
remédier aux brèches de sécurité dues à l'interaction avec un périphérique qui a été compromis. Cela protège les
données d'entreprise ainsi que les données personnelles de l'utilisateur final. Par exemple, si un utilisateur final
perd un périphérique, vous pouvez envoyer une demande par liaison radio au périphérique pour qu'il sonne
l'alarme afin d'aider l'utilisateur à le localiser. Ou, si un utilisateur final signale la perte ou le vol d'un périphérique,
vous pouvez verrouiller à distance le périphérique depuis le Gestionnaire de sécurité mobile ou même effacer le
périphérique (soit complètement soit sélectivement).
En plus des fonctions de provisionnement de compte et de gestion de périphériques à distance que le
Gestionnaire de sécurité mobile offre, dès l'intégration dans votre infrastructure VPN GlobalProtect existante,
vous pouvez utiliser les informations sur l'hôte que le périphérique transmet au Gestionnaire de sécurité mobile
pour mettre en œuvre les politiques de sécurité pour l'accès aux applications par le biais de la passerelle
GlobalProtect et utiliser les outils de surveillance qui sont intégrés dans le pare-feu de nouvelle génération de
Palo Alto pour surveiller le trafic du périphérique mobile et l'usage des applications.
Les rubriques suivantes décrivent comment gérer les périphériques mobiles depuis le Gestionnaire de sécurité
mobile et comment intégrer les informations reconnues par le Gestionnaire de sécurité mobile dans votre
infrastructure de sécurité réseau :
 Groupes de périphériques par étiquette pour l'administration simplifiée des périphériques
 Surveiller les périphériques mobiles
 Administrer les périphériques à distance
 Créer des politiques de sécurité pour la mise en œuvre du trafic des périphériques mobiles

Groupes de périphériques par étiquette pour l'administration simplifiée Gérer les périphériques mobiles
des périphériques
Groupes de périphériques par étiquette pour

l'administration simplifiée des périphériques
Une étiquette est une étiquette de texte que vous pouvez assigner à un périphérique mobile géré afin de
simplifier l'administration des périphériques en autorisant le regroupement de périphériques. Les étiquettes que
vous définissez peuvent être utilisées pour identifier un groupe de périphériques sur lequel appliquer des
politiques similaires, pour interagir par liaison radio, par exemple pour pousser une nouvelle politique ou
envoyer un message. Dès l'assignation d'une étiquette à un périphérique, l'étiquette est incluse dans le profil
d'informations sur l'hôte (HIP) pour le périphérique. Comme le profil HIP est aussi partagé avec la passerelle
GlobalProtect, vous pouvez ensuite créer les profils HIP sur la passerelle pour vous autoriser à mettre en œuvre
une politique de sécurité basée sur une valeur d'étiquette.
Comme vous pouvez créer manuellement les étiquettes, elles constituent un mécanisme flexible pour effectuer
n'importe quel type de provisionnement de périphérique ou de mise en œuvre de la sécurité que vous exigez.
Par exemple, vous pouvez créer des étiquettes pour différencier les périphériques personnels des périphériques
provisionnés par la société. Vous pouvez ensuite créer un objet HIP qui correspond à des étiquettes spécifiques,
offrant des possibilités illimitées de regroupement des périphériques gérés que vous pouvez utiliser pour le
déploiement de configuration.
Ou, si vous souhaitez avoir l'option d'approuver les périphériques avant de déployer la politique dessus, vous
pouvez assigner une étiquette aux périphériques approuvés puis créer un profil HIP pour pousser la politique
uniquement sur les périphériques portant l'étiquette approuvée.
Deux méthodes différentes permettent d'assigner des étiquettes aux périphériques mobiles :
 Étiqueter les périphériques à la main
 Pré-étiqueter les périphériques
Étiqueter les périphériques à la main
Pour étiqueter manuellement les périphériques, vous devrez créer les étiquettes dont vous avez besoin sur le
Gestionnaire de sécurité mobile puis les assigner aux périphériques après le recrutement comme décrit dans le
flux de travail suivant :
Créer des étiquettes et les assigner aux périphériques gérés
Étape 1 Définissez les étiquettes dont vous avez 1. Sélectionnez Configuration > Étiquettes, puis cliquez sur
besoin pour surveiller les périphériques, Ajouter.
pousser les politiques de déploiement, ou 2. Donnez un Nom descriptif à l'étiquette. Il s'agit du nom que
mettre en œuvre une politique de sécurité vous ferez correspondre lors de la création des objets/profils
sur la passerelle GlobalProtect. HIP pour la politique de déploiement et/ou de sécurité.
3. (Facultatif) Saisissez un commentaire (jusqu'à 63 caractères
alpha-numériques, incluant des caractères spéciaux) qui décrit
comment vous envisagez d'utiliser l'étiquette.
4. Cliquez sur OK pour enregistrer l'étiquette.

Gérer les périphériques mobiles Groupes de périphériques par étiquette pour l'administration simplifiée
des périphériques
Créer des étiquettes et les assigner aux périphériques gérés (suite)
Étape 2 Assignez les étiquettes aux périphériques 1. Accédez à l'onglet Périphériques.

mobiles gérés. 2. Sélectionnez les périphériques auxquels vous souhaitez assigner
Vous pouvez aussi utiliser cette l'étiquette en cliquant dans la rangée qui correspond à l'entrée du
procédure pour supprimer des périphérique. Pour simplifier ce processus, vous pouvez trier les
étiquettes de certains périphériques, périphériques sur l'un des en-têtes de colonnes ou utiliser l'un
en sélectionnant les étiquettes que des filtres prédéfinis dans le panneau de gauche.
vous souhaitez supprimer puis en 3. Cliquez sur Étiquette.
cliquant sur Effacer l'étiquette. 4. Associez les étiquettes au(x) périphérique(s) sélectionné(s) d'une
des façons suivantes :
• Cliquez sur Ajouter pour afficher la liste d'étiquettes que
vous avez créées pour pouvoir cliquer sur l'une d'elles, ou
cliquez sur Nouvelles étiquettes pour définir une étiquette à
la volée.
• Pour naviguer dans la liste d'étiquettes que vous avez créées,
cliquez sur Naviguer puis localiser les étiquettes que vous
souhaitez associer aux périphériques sélectionnés, en cliquant
sur l'icône pour ajouter chaque étiquette à la liste
d'étiquettes associées au(x) périphérique(s) sélectionné(s).
Répétez cette étape pour chaque étiquette à associer au(x)
périphérique(s) sélectionné(s).
5. Cliquez sur Étiquette pour enregistrer les associations
d'étiquettes.
Pré-étiqueter les périphériques
Pour simplifier l'administration des politiques pour les périphériques provisionnés par l'entreprise, vous pouvez
automatiquement pré-étiqueter les périphériques d'entreprise en compilant une liste de numéros de série pour
les périphériques qui seront provisionnés dans un fichier CSV et en les important dans le Gestionnaire de
sécurité mobile. Les périphériques importés se voient assigner par défaut l'étiquette « Importé ».
Facultativement, vous pouvez ajouter une seconde colonne à votre fichier CSV/XLS pour le nom d'étiquette si
vous souhaitez désigner d'autres étiquettes à assigner aux périphériques importés, par exemple si vous disposez
de différents niveaux d'accès pour différents groupes d'utilisateurs recevant des périphériques provisionnés par
l'entreprise. Vous n'avez pas besoin d'assigner la même étiquette à tous les périphériques importés.

Groupes de périphériques par étiquette pour l'administration simplifiée Gérer les périphériques mobiles
des périphériques
Importer un lot de périphériques
Étape 1 Créez un fichier CSV ou un tableur Créez le fichier CSV dans deux colonnes sans ajouter les en-têtes de
Microsoft Excel qui contient la liste des colonne de la manière suivante, puis enregistrez-le sur votre
numéros de série des périphériques dans ordinateur local ou partage de réseau :
la première colonne et, facultativement,
une liste d'étiquettes à assigner aux
périphériques dans la seconde colonne.
Étape 2 Importez la liste des périphériques. 1. Accédez à l'onglet Périphériques et cliquez sur Importer.
2. Saisissez le chemin et le nom du Fichier CSV ou XLS que vous
avez créé ou Naviguez pour le trouver.
3. Cliquez sur OK pour importer la liste des périphériques et
associer l'étiquette Importé aux périphériques, ainsi que toutes
les autres étiquettes que vous avez définies par périphérique au
sein du fichier.
Étape 3 Vérifiez que l'importation des Dans l'onglet Périphériques, cliquez sur Afficher la liste Importé.
périphériques a réussi. Vérifiez que les périphériques que vous venez juste d'importer
apparaissent bien sur la liste. Notez que les numéros de série des
Dès qu'un périphérique de la liste de
périphériques pour lesquels vous n'avez pas spécifié de valeur
périphériques importés est recruté, les
d'étiquette se voient attribuer l'étiquette importé uniquement, alors
étiquettes que vous avez associées au
que ceux pour lesquels vous avez spécifié une ou plusieurs valeurs
numéro de série sont assignées
d'étiquettes contiennent ces étiquettes ainsi que l'étiquette importé :
automatiquement au périphérique.

Gérer les périphériques mobiles Surveiller les périphériques mobiles
Surveiller les périphériques mobiles

L'un des problèmes liés à l'autorisation des périphériques mobiles à accéder à vos ressources d'entreprise est le
manque de visibilité de l'état des périphériques et des informations d'identification qui sont requises pour suivre
la trace des périphériques qui représentent une menace pour votre réseau et vos applications.
Surveiller les périphériques mobiles
• Utilisez le Tableau de bord pour des L'onglet Tableau de bord propose une collection de gadgets qui
informations d'aide-mémoire sur les affichent des informations sur l'état du Gestionnaire de sécurité
périphériques gérés. mobile ainsi que des informations sur les périphériques mobiles qu'il
gère. Vous pouvez personnaliser les widgets affichés et où chacun
d'entre eux apparaît sur l'écran. Le tableau de bord vous permet de
surveiller les informations sur les périphériques mobiles figurant
dans les catégories suivantes :
• Tendances des périphériques : Affichage rapide des comptes de
périphériques de la semaine écoulée pour les périphériques
récemment recrutés et radiés, les périphériques qui ont et qui
n'ont pas été archivés, et le nombre total de périphériques
englobés dans la gestion chaque jour. Vous pouvez cliquer dans
chaque graphique pour consulter des statistiques à la minute près.
• Résumé des périphériques : Affichage de diagrammes
circulaires qui vous permettent de consulter le mélange de
périphériques gérés par modèle de périphériques, modèle
Android, modèle iOS, et système d'exploitation. Cliquez sur un
widget pour consulter des informations détaillées sur les
périphériques par modèle ou système d'exploitation.
• Conformité des périphériques : Cette catégorie vous permet de
consulter rapidement les comptes de périphériques qui sont
susceptibles de représenter une menace, tels que les périphériques
infectés par des logiciels malveillants, les périphériques sur
lesquels aucun code d'activation n'a été défini, ou qui sont avec
racine/débridés. Cliquez sur un widget pour consulter des
statistiques détaillées sur les périphériques non conformes.
• Applications des périphériques : Affichage de graphiques en
barres qui vous permettent de consulter les cinq premières
applications gérées et non gérées par système d'exploitation et les
cinq premières applications VPP. Cliquez sur un widget pour
consulter le rapport d'applications complet et des informations
supplémentaires sur les applications.

Surveiller les périphériques mobiles Gérer les périphériques mobiles
Surveiller les périphériques mobiles (suite)
• Utilisez l'onglet Périphériques pour consulter L'onglet Périphériques affiche les informations sur les
des statistiques détaillées sur les périphériques périphériques qui sont actuellement gérés par le Gestionnaire de
relatives aux périphériques gérés (ou sécurité mobile et les périphériques mobiles qu'il a précédemment
précédemment gérés). gérés.
Astuces :
• Sélectionnez un filtre prédéfini dans la
liste Filtres.
• Saisissez manuellement un nom de filtre
dans la zone de texte des filtres. Par
exemple, pour afficher tous les
périphériques Nexus, vous devrez saisir
(modèle contient 'Nexus') puis cliquez
sur le bouton Appliquer le filtre.
• Modifiez les colonnes qui doivent être
affichées en plaçant le curseur sur le nom
de la colonne et en cliquant sur l'icône de la
flèche vers le bas.
• Pour effectuer une action sur un
périphérique ou groupe de périphériques,
sélectionnez le(s) périphérique(s) puis
cliquez sur un bouton d'action en bas de la
page. Pour plus de détails, reportez-vous à
la section Administrer les périphériques à
distance.

• Surveillez les journaux MDM pour les Dans l'interface Web du Gestionnaire de sécurité mobile,
informations sur les activités des périphériques, sélectionnez Surveiller > Journaux > MDM.
telles que les archivages, les messages Cloud, et la
diffusion de rapports HIP sur les passerelles. Le
journal MDM vous alerte aussi sur les
événements de haute sévérité tels qu'un
périphérique signalant un état avec
racine/débridé. En outre, ce journal MDM
donne des indications concernant les utilisateurs
du périphérique qui se sont manuellement
déconnectés du VPN GlobalProtect.
Cliquez sur l'icône des détails du journal pour afficher le rapport

HIP complet pour le périphérique associé à l'entrée du journal. Le
rapport HIP collecté par le Gestionnaire de sécurité mobile est une
version étendue du rapport HIP, et inclut des informations détaillées
incluant les informations d'identification relatives au périphérique
telles que le numéro de série et le numéro de téléphone (le cas
échéant), et IIEM, les informations sur l'état du périphérique, et une
liste de toutes les applications installées sur le périphérique, incluant
une liste de toutes les applications qui sont réputées pour contenir
des logiciels malveillants.

Surveiller les périphériques mobiles Gérer les périphériques mobiles
• Surveillez les journaux de correspondances HIP Dans l'interface Web du Gestionnaire de sécurité mobile,
sur le Gestionnaire de sécurité mobile sélectionnez Surveiller > Journaux > Correspondances HIP.
Cliquez sur un en-tête de colonne pour choisir les colonnes à
afficher.
• Surveillez les journaux de correspondances HIP Dans l'interface Web sur le pare-feu hébergeant la passerelle
sur la passerelle GlobalProtect. Sur la passerelle, GlobalProtect, sélectionnez Surveiller > Journaux >
un journal de correspondances HIP est généré Correspondances HIP.
chaque fois que la passerelle reçoit un rapport
HIP d'un client GlobalProtect qui correspond
aux critères figurant dans un objet HIP et/ou un
profil HIP définis sur la passerelle. Sur la
passerelle, les profils HIP sont utilisés dans la
mise en œuvre des politiques de sécurité pour le
trafic initié par le client. Ou, surveillez les
journaux de correspondances HIP sur Panorama
pour une vue agrégée des données de
correspondances HIP au sein de toutes les
passerelles gérées GlobalProtect.

• Affichez les rapports intégrés ou générez des Sélectionnez Surveillance > Rapports. Pour afficher des rapports,
rapports personnalisés. cliquez sur leurs noms à droite de la page (Rapports personnalisés,
Le gestionnaire de sécurité mobile fournit si défini, Rapports d'applications, Rapports de périphériques et
Rapports récapitulatifs au format PDF).
plusieurs rapports (les 50 meilleurs) concernant
les statistiques du périphérique pour le jour
précédent ou un jour sélectionné au cours de la
semaine précédente.
Par défaut, tous les rapports sont affichés pour le
jour calendaire précédent. Pour afficher les
rapports des jours précédents, sélectionnez une
date de génération de rapport dans le calendrier
situé en bas de la page.
Les rapports sont répertoriés par sections. Vous
pouvez afficher des informations dans chaque
rapport pour la période sélectionnée. Pour
exporter un journal au format CSV, cliquez sur
Exporter au format CSV. Pour ouvrir les
informations d'un journal au format PDF,
cliquez sur Exporter au format PDF. Le fichier
PDF s'ouvre dans une nouvelle fenêtre. Cliquez
sur les icônes situées en haut de la fenêtre pour
imprimer ou enregistrer le fichier. Pour exporter
les informations d'un log au format XML,
cliquez sur Exporter au format XML.
• Surveillez l'ACC sur le pare-feu hébergeant la Dans l'interface Web sur le pare-feu hébergeant la passerelle
passerelle GlobalProtect. Ou, surveillez l'ACC GlobalProtect, sélectionnez ACC et affichez la section
sur Panorama pour une vue agrégée des données Correspondances HIP.
de correspondances HIP au sein de toutes les
passerelles gérées GlobalProtect.

Administrer les périphériques à distance Gérer les périphériques mobiles
Administrer les périphériques à distance

Une des fonctionnalités les plus puissantes de Gestionnaire de sécurité mobile GlobalProtect est la possibilité
d'administrer les périphériques gérés, où que vous soyez, en envoyant des notifications push par liaison radio
(OTA). Pour les périphériques iOS, le Gestionnaire de sécurité mobile envoie des messages sur le service Apple
Push Notification (APN). Pour les périphériques Android, le Gestionnaire de sécurité mobile envoie des
messages sur le service Google Cloud Messaging (GCM). Cela vous permet de prendre des mesures rapidement
si vous suspectez qu'un périphérique est compromis ou si un employé quitte votre organisation et que vous
souhaitiez vous assurer que son accès à vos systèmes d'entreprise est désactivé, ou si vous souhaitez envoyer un
message à un groupe spécifique d'utilisateurs des périphériques mobiles.
 Interagir avec les périphériques
 Prendre des mesures pour un périphérique perdu ou volé
 Supprimer des périphériques
Interagir avec les périphériques
Chaque fois que vous souhaitez interagir avec un périphérique mobile, vous sélectionnez le périphérique mobile
ou groupe de périphériques dans l'onglet Périphériques puis cliquez sur l'un des boutons situés en bas de la page
de la manière suivante :
Effectuer une action sur un périphérique à distance
Étape 1 Sélectionnez les périphériques avec 1. Sélectionnez l'onglet Périphériques.

lesquels vous souhaitez interagir. 2. Sélectionnez les périphériques avec lesquels vous souhaitez
interagir de l'une des manières suivantes :
• Sélectionnez un filtre prédéfini dans la liste Filtres. Vous
pouvez sélectionner plusieurs filtres afin d'afficher une vue
personnalisée des périphériques mobiles que vous avez
recrutés via le Gestionnaire de sécurité mobile.
• Saisissez manuellement un nom de filtre dans la zone de texte
des filtres. Par exemple, pour afficher tous les périphériques
Nexus exécutant Android 4.1.2, vous devrez saisir (modèle
contient 'Nexus') et (version système
d'exploitation éq. '4.1.2') puis cliquer sur le bouton
Appliquer le filtre. Vous pouvez aussi ajouter des filtres dans
la zone de texte en cliquant sur un champ dans l'une des
entrées de périphérique. Par exemple, cliquez dessus et
saisissez l'entrée Android dans la colonne Système
d'exploitation pour ajouter automatiquement le filtre
(système d'exploitation éq. 'Android').
• Pour générer un filtre via l'interface utilisateur, cliquez sur le
bouton Ajouter un filtre, générez le filtre en ajoutant des
paires attribut/valeur, séparées par des opérateurs, puis
cliquez sur pour appliquer le filtre.

Gérer les périphériques mobiles Administrer les périphériques à distance
Effectuer une action sur un périphérique à distance (suite)
Étape 2 Sélectionnez une action. Cliquez sur l'un des boutons situés en bas de l'écran pour effectuer
l'action correspondante sur le(s) périphérique(s) sélectionné(s). Par
exemple :
• Pour envoyer un message aux utilisateurs finaux qui possèdent
le(s) périphérique(s) sélectionné(s), cliquez sur Message, saisissez
le Corps de message, puis cliquez sur OK.
• Pour demander un archivage de périphérique, par exemple sur une
liste de périphériques filtrés qui n'ont pas été archivés au cours du
jour précédent (heure-dernier-archivage léq.
'2013/09/09'), sélectionnez les périphériques puis cliquez sur
Archiver pour envoyer une notification push aux périphériques
pour leur demander de se présenter à l'archivage par le
• Pour déverrouiller à distance un périphérique mobile (par
exemple, si l'utilisateur final a oublié le code d'activation),
sélectionnez le périphérique puis cliquez sur Déverrouiller. Le
périphérique se déverrouille et l'utilisateur est invité à définir un
nouveau code d'activation.
Prendre des mesures pour un périphérique perdu ou volé
Si un utilisateur final signale qu'un périphérique géré a été perdu ou volé, vous devez prendre une mesure
immédiate pour garantir que les données sur le périphérique ne sont pas compromises. Sélectionnez le
périphérique dans l'onglet Périphériques puis exécutez une ou plusieurs des actions suivantes en fonction de la
situation :
Sécuriser un périphérique perdu ou volé
• Verrouillez le périphérique. Dès qu'un utilisateur signale qu'un périphérique a été perdu ou volé,
vous devez le verrouiller pour garantir que l'accès aux données sur le
périphérique n'est pas possible, dans l'éventualité où elles se
retrouveraient dans de mauvaises mains. Sélectionnez le périphérique
puis cliquez sur Verrouiller pour verrouiller immédiatement le
périphérique. Pour accéder aux applications et aux données sur le
périphérique, l'utilisateur du périphérique doit saisir de nouveau le
code d'activation.
• Localisez le périphérique. Sélectionnez le périphérique puis cliquez sur Alarme pour faire
sonner l'alarme.

Administrer les périphériques à distance Gérer les périphériques mobiles
Sécuriser un périphérique perdu ou volé (suite)
• Supprimez l'accès aux systèmes d'entreprise et Si vous pensez qu'un périphérique peut être entre de mauvaises
effacez les données d'entreprise. mains mais que vous ne souhaitez pas effacer les données
personnelles, vous pouvez cliquer sur Effacement sélectif.
Tous les profils ayant autorisé l'accès à vos systèmes et applications
d'entreprise transmis au périphérique depuis le Gestionnaire de
sécurité mobile seront supprimés, ce qui inclut toutes les données
associées à ces applications. L'action Effacement sélectif conserve
les paramètres et applications sur le périphérique qui n'ont pas été
transmis depuis le Gestionnaire de sécurité mobile.
• Effacez toutes les données du périphérique. Cela Pour protéger à la fois les données d'entreprise sur le périphérique et
s'appelle une suppression parce qu'elle supprime les les données personnelles de l'utilisateur final, l'utilisateur final peut
données, pas juste l'accès aux systèmes vous demander d'effacer toutes les données sur le périphérique. Pour
d'entreprise. y parvenir, sélectionnez le périphérique puis cliquez sur Effacer.
Supprimer des périphériques
Même si les utilisateurs finaux peuvent être radiés manuellement du Gestionnaire de sécurité mobile GlobalProtect
directement via l'application GlobalProtect, en tant qu'administrateur, vous pouvez également radier les périphériques
par liaison radio (OTA). Cela est utile dans les cas où un employé a quitté la société sans être radié du Gestionnaire de
sécurité mobile sur un périphérique personnel. Pour radier des périphériques, sélectionnez le périphérique que vous
souhaitez supprimer dans l'onglet Périphériques puis utilisez l'une des deux options suivantes :
Supprimer des périphériques de la gestion
• Radier des périphériques. Pour supprimer un périphérique du Gestionnaire de sécurité mobile

GlobalProtect, mais en conservant son entrée de périphérique dans
le Gestionnaire de sécurité mobile, sélectionnez le périphérique puis
cliquez sur Radier. Il s'agit d'une option utile si l'utilisateur final est
toujours employé par votre société, mais le périphérique sera radié de
la gestion soit de façon permanente soit de façon temporaire. En
laissant l'entrée de périphérique sur le Gestionnaire de sécurité
mobile, vous pouvez toujours afficher les informations sur le
périphérique, incluant les journaux de correspondances HIP, les
rapports, et les statistiques du périphérique historiques.
• Supprimer les périphériques. Pour supprimer un périphérique mobile de la gestion et supprimer

son entrée de périphérique du Gestionnaire de sécurité mobile,
sélectionnez le périphérique puis cliquez sur Supprimer. Il s'agit
d'une option utile si vous souhaitez nettoyer la base de données pour
supprimer les entrées pour les utilisateurs qui ne font plus partie de
la société ou pour supprimer les périphériques qui ont été remplacés.
Notez, toutefois, que cette action supprime de façon permanente le
dossier périphérique de la base de données. En outre, si le
périphérique est recruté au moment où vous effectuez l'action
Supprimer, le périphérique sera radié puis le dossier sera supprimé de
la base de données du Gestionnaire de sécurité mobile.

Gérer les périphériques mobiles Créer des politiques de sécurité pour la mise en œuvre du trafic des
périphériques mobiles
Créer des politiques de sécurité pour la mise en œuvre du

trafic des périphériques mobiles
Les politiques de déploiement que vous créez sur le Gestionnaire de sécurité mobile GlobalProtect permettent
un provisionnement de compte simplifié pour l'accès à vos applications d'entreprise pour les utilisateurs de
périphériques mobiles. Même si vous disposez d'un contrôle granulaire sur les utilisateurs obtenant les politiques
autorisant l'accès à telle ou telle application (sur la base de l'utilisateur/groupe et/ou de la conformité du
périphérique), le Gestionnaire de sécurité mobile ne propose pas la mise en œuvre du trafic de périphérique
mobile. Tandis que la passerelle GlobalProtect dispose déjà de la capacité à mettre en œuvre une politique de
sécurité pour les utilisateurs d'applications GlobalProtect, la suggestion des informations de correspondances
HIP pour les périphériques mobiles est un peu limitée. Toutefois, comme le Gestionnaire de sécurité mobile
collecte des données HIP détaillées auprès des périphériques qu'il gère, en exploitant les données HIP que le
Gestionnaire de sécurité mobile collecte, vous pouvez créer des politiques de sécurité très granulaires sur vos
passerelles GlobalProtect qui vous autorisent à prendre en compte la conformité du périphérique et les
étiquettes du Gestionnaire de sécurité mobile. Par exemple, vous pouvez créer une politique de sécurité sur la
passerelle pour accorder aux périphériques mobiles portant l'étiquette « provisionnés par la société » un accès
complet à votre réseau, et prévoir une seconde politique de sécurité pour accorder aux périphériques mobiles
portant l'étiquette « périphérique personnel » un accès au réseau Internet uniquement.
Créer une politique de sécurité pour les périphériques gérés sur la passerelle GlobalProtect
Étape 1 Configurez les passerelles GlobalProtect Reportez-vous à la section Activer l'accès passerelle au Gestionnaire
pour récupérer les rapports HIP sur le de sécurité mobile pour les instructions détaillées.
Même si vous pouvez configurer la
valeur Port de connexion sur la
passerelle, le Gestionnaire de
sécurité mobile exige que vous
laissiez la valeur définie sur 5008.
L'option pour configurer cette
valeur est prévue pour autoriser
l'intégration parmi les solutions
MDM indépendantes.

Créer des politiques de sécurité pour la mise en œuvre du trafic des Gérer les périphériques mobiles
périphériques mobiles
Créer une politique de sécurité pour les périphériques gérés sur la passerelle GlobalProtect (suite)
Étape 2 (Facultatif) Sur le Gestionnaire de sécurité Reportez-vous à la section Groupes de périphériques par étiquette
mobile, définissez les étiquettes que vous pour l'administration simplifiée des périphériques pour les
souhaitez utiliser pour la mise en œuvre instructions détaillées.
des politiques de sécurité sur la passerelle
et assignez-les aux périphériques mobiles
gérés.
Étape 3 Sur les passerelles GlobalProtect, créez Reportez-vous à la section Configurer la mise en œuvre des
les objets HIP et les profils HIP dont politiques basées sur HIP pour les instructions détaillées.
vous aurez besoin pour la mise en œuvre
des politiques de trafic des périphériques
mobiles.
Étape 4 Associez le profil HIP à la politique de

sécurité puis Validez les modifications sur
la passerelle.

Gérer les applications et données de
l'entreprise avec un App Store
d'entreprise
Vous pouvez étendre votre gestion des périphériques mobiles recrutés avec GlobalProtect afin de gérer les
applications, comptes et données de l'entreprise. Utilisez le Gestionnaire de sécurité mobile GlobalProtect pour
approuver des applications que vos utilisateurs pourront utiliser à des fins professionnelles, mettre à disposition
des applications de l'entreprise que les utilisateurs pourront rechercher et installer depuis l'App Store
d'entreprise, et isoler les données de l'entreprise sur les périphériques mobiles des applications et comptes de
l'entreprise.
Les rubriques suivantes décrivent comment configurer un App Store d'entreprise afin de permettre l'accès et
l'utilisation en toute sécurité des ressources de l'entreprise sur des périphériques mobiles, et comment utiliser le
Gestionnaire de sécurité mobile pour gérer de manière centralisée des applications et des données de
l'entreprise :
 Vue d'ensemble de l'App Store d'entreprise
 Concepts de l'App Store d'entreprise
 Ajouter des applications gérées
 Configurer l'App Store
 Gérer et surveiller des applications
 Isoler le trafic de l'entreprise
 Isoler les données de l'entreprise
 Activer le mode d'application unique

Vue d'ensemble de l'App Store d'entreprise Gérer les applications et données de
l'entreprise avec un App Store d'entreprise
Vue d'ensemble de l'App Store d'entreprise

Utilisez un App Store d'entreprise pour distribuer des applications de l'entreprise à vos utilisateurs, leur
permettant ainsi d'accéder en toute sécurité aux ressources de l'entreprise sur leurs périphériques mobiles tout
en protégeant les données de l'entreprise. Ajoutez des applications de l'entreprise, des applications de l'App
Store Apple, des applications Google Play ou des applications achetées par lots via le programme d'achats en
volume d'Apple (Volume Purchase Program, VPP) comme des applications dont vous approuvez l'utilisation
en tant que ressource de l'entreprise gérée sur périphérique mobile. Avant de distribuer des applications à vos
utilisateurs, vérifiez les paramètres de mise en œuvre des applications et données d'applications sur les
périphériques mobiles afin de vous assurer que les applications de l'entreprise sont bien utilisées conformément
à vos normes de sécurité. Vous pouvez protéger les données de l'entreprise en les isolant des applications et
comptes de l'entreprise sur les périphériques mobiles, tout en préservant la distinction et la confidentialité des
données personnelles. Poussez des Applications gérées vers les utilisateurs, en assignant les applications à des
utilisateurs spécifiques ou de larges publics, via un déploiement de politique. Les utilisateurs reçoivent les
Applications requises et facultatives qui leur sont assignées au moment de l'archivage du périphérique.
Les utilisateurs peuvent rechercher et installer les applications qui leur sont assignées via l'application
GlobalProtect. L'application GlobalProtect pour iOS et Android inclut une nouvelle icône dans la barre de
menus, sur laquelle les utilisateurs peuvent cliquer pour accéder à l'App Store d'entreprise. Les illustrations
suivantes montrent l'App Store d'entreprise tel qu'il apparaît dans l'application GlobalProtect pour un utilisateur
iOS (gauche) et un utilisateur Android (droite).
Le Gestionnaire de sécurité mobile vous fournit la visibilité et le contrôle des applications, comptes et données
de l'entreprise installés sur les périphériques mobiles, tout en préservant la confidentialité et l'expérience mobile
classique de l'utilisateur.
La création d'un App Store d'entreprise dans le Gestionnaire de sécurité mobile implique les étapes et options
suivantes :
 Ajouter une application d'entreprise. Ceci peut inclure la personnalisation d'une application développée en
interne.

Gérer les applications et données de Vue d'ensemble de l'App Store d'entreprise
 Ajouter des applications Google Play ou Apple et les configurer de sorte qu'elles soient gérées pour une
utilisation professionnelle sur un périphérique mobile.
 Ajouter des applications VPP en tant qu'applications gérées afin de synchroniser votre compte VPP avec le
Gestionnaire de sécurité mobile, vous permettant ainsi d'acheter puis de distribuer en volume des
applications à vos utilisateurs.
 Isoler le trafic de l'entreprise et Isoler les données de l'entreprise afin de protéger et de préserver les
données de l'entreprise dans des applications et des comptes de l'entreprise. La distinction et la
confidentialité des données personnelles et du trafic réseau peuvent être préservées.
 Configurer l'App Store afin de distribuer des applications gérées aux utilisateurs assignés.
 Gérer et surveiller des applications installées sur les périphériques mobiles. Ceci peut inclure l'activation
des mises à jour automatiques des applications, l'affichage de l'état des applications gérées sur les
périphériques mobiles et si elles sont associées à des politiques, l'affichage des applications gérées installées
sur les périphériques, ainsi que des applications non gérées installées. Vous pouvez également Gérer des
ressources VPP à partir du Gestionnaire de sécurité mobile afin de gérer des licences d'applications.

Concepts de l'App Store d'entreprise Gérer les applications et données de
Concepts de l'App Store d'entreprise

Pour en savoir plus sur les concepts de l'App Store GlobalProtect, reportez-vous aux rubriques suivantes :
 Applications gérées
 Applications requises et facultatives
 Programme d'achats en volume (VPP) Apple
Applications gérées
Une application gérée est une application dont vous pouvez exiger ou recommander la gestion via le
Gestionnaire de sécurité mobile afin que vos utilisateurs puissent l'utiliser en toute sécurité sur leurs
périphériques mobiles. Vous pouvez assigner des applications gérées à des utilisateurs, groupes ou périphériques
spécifiques, ou les distribuer facilement à de larges publics. Les applications gérées sont signalées explicitement
à vos utilisateurs comme étant gérées par leur administrateur réseau. La première fois que vous poussez une
application requise vers un périphérique, l'utilisateur est invité à accepter et à confirmer son installation en tant
qu'application gérée.
Vous pouvez ajouter des applications d'entreprise, des applications publiques (à partir de l'App Store Apple ou
de Google Play), ou des applications achetées (via le Programme d'achats en volume (VPP) Apple) en tant
qu'applications gérées. Ajoutez les applications gérées au Gestionnaire de sécurité mobile qui devront être
utilisées en tant qu'outil professionnel ou qui sont susceptibles d'être utilisées à des fins pédagogiques et de
collaboration. La gestion des applications que vous ajoutez au Gestionnaire de sécurité mobile vous permet
ensuite de protéger les données d'entreprise contenues ou partagées entre les applications utilisées à des fins
professionnelles.
Après avoir ajouté une application gérée au Gestionnaire de sécurité mobile, vous pouvez :
 Assigner l'application à des utilisateurs.
 Mettre l'application à jour vers la dernière version.
 Regrouper l'application avec d'autres applications afin de les pousser facilement vers les utilisateurs avec les
mêmes paramètres de sécurité.
 Configurer l'application pour acheminer l'ensemble du trafic via votre VPN d'entreprise.
 Empêcher l'application de sauvegarder des données dans iCloud ou iTunes.
 Autoriser l'application à ne partager des données qu'avec d'autres applications ou comptes gérés.
 Autoriser l'application à n'ouvrir des données que d'autres applications ou comptes gérés.
 Révoquer l'application d'un utilisateur ou périphérique.

La définition d'applications comme étant gérées vous permet en outre de distinguer et d'appliquer efficacement
et de manière appropriée différents traitements aux applications qui ne sont pas gérées sur le périphérique d'un
utilisateur. Les applications installées sur des périphériques recrutés et qui ne sont pas gérées sont signalées en
tant qu'applications non gérées. Vous pouvez choisir d'exclure la collecte de données des applications non gérées
ou d'effacer de manière sélective un périphérique de sorte que les paramètres et applications d'entreprise soient

Gérer les applications et données de Concepts de l'App Store d'entreprise
supprimés tout en préservant les applications et paramètres personnels. La distinction entre applications gérées
(d'entreprise) et non gérées (personnelles) vous permet de protéger les applications gérées et d'isoler leurs
données sans affecter les données personnelles.
Ajouter des applications gérées pour commencer.
Applications requises et facultatives
Vous pouvez définir une application gérée comme étant requise ou facultative. Les applications requises sont
automatiquement installées sur le périphérique au moment de son archivage. La première fois qu'une application
requise est poussée vers un périphérique, l'utilisateur est invité par l'administrateur réseau à accepter et à
confirmer son installation en tant qu'application gérée. Les utilisateurs peuvent ouvrir l'application
GlobalProtect et sélectionner Requise pour afficher les applications requises qui leur sont assignées et installées
sur leur périphérique mobile. Les illustrations suivantes montrent le menu Requise tel que sélectionné dans
l'application GlobalProtect pour iOS (gauche) et Android (droite) :
Définissez une application requise pour indiquer qu'elle doit être gérée sur un périphérique mobile afin d'accéder
aux ressources de l'entreprise et d'être utilisée à des fins de collaboration professionnelle. Si une version non
gérée d'une application requise est installée sur un périphérique géré, vous pouvez informer l'utilisateur de
supprimer la version non gérée de l'application pour pouvoir installer l'application d'entreprise gérée
(sélectionnez Configuration > Paramètres > Serveur > Paramètres de notification d'application/de compte géré). La
version gérée de l'application ne sera pas installée tant que la version non gérée n'aura pas été supprimée.
Lorsque l'utilisateur supprime la version non gérée de l'application, l'application gérée est automatiquement
installée lors du prochain archivage du périphérique.
Vous pouvez définir une application gérée comme étant facultative pour vos utilisateurs. Les applications
facultatives ne sont pas automatiquement installées sur les périphériques recrutés. Les utilisateurs peuvent ouvrir
l'application GlobalProtect et sélectionner Facultative pour parcourir les applications facultatives qui leur sont
recommandées et choisir de les installer sur leur périphérique mobile. Les illustrations suivantes montrent le
menu Facultative tel que sélectionné dans l'application GlobalProtect pour iOS (gauche) et Android (droite) :
Définissez une application comme étant facultative pour la recommander à vos utilisateurs en tant que ressource
d'entreprise.

Concepts de l'App Store d'entreprise Gérer les applications et données de
Programme d'achats en volume (VPP) Apple
Le programme d'achats en volume (Apple Volume Purchase Program, VPP) est un service proposé par Apple
vous permettant d'acheter des applications en volume. Vous pouvez synchroniser votre compte VPP avec le
Gestionnaire de sécurité mobile afin de distribuer rapidement et facilement des ressources achetées via le VPP.
Les applications du VPP peuvent être assignées à des utilisateurs et poussées vers des périphériques en tant
qu'applications gérées, comme toute autre application gérée d'Apple, de Google Play ou de l'entreprise. Un
utilisateur peut afficher et installer des ressources VPP, ainsi que d'autres applications approuvées, dans l'App
Store GlobalProtect, sur le périphérique géré. Pour synchroniser votre compte VPP avec le Gestionnaire de
sécurité mobile afin d'ajouter des achats VPP en tant qu'applications gérées, reportez-vous à la section Ajouter
des applications VPP en tant qu'applications gérées.

Gérer les applications et données de Ajouter des applications gérées
Ajouter des applications gérées

Pour distribuer des applications à vos utilisateurs, ajoutez tout d'abord les applications que vous souhaitez
approuver pour vos utilisateurs en tant qu'Applications gérées. Reportez-vous aux rubriques suivantes pour
ajouter des applications d'entreprise, publiques (App Store Apple ou Google Play), ou achetées via le
programme d'achats en volume (VPP) :
 Ajouter une application d'entreprise
 Ajouter des applications Google Play ou Apple
 Ajouter des applications VPP en tant qu'applications gérées
Ajouter une application d'entreprise
Ajoutez et personnalisez une application d'entreprise de sorte qu'elle puisse être distribuée à vos utilisateurs dans
l'App Store GlobalProtect. La création d'une application d'entreprise inclut l'importation du fichier binaire de
l'application sur le Gestionnaire de sécurité mobile et la personnalisation de la description de l'application pour
l'App Store.
Créer une application d'entreprise iOS ou Android
Étape 1 Recherchez le fichier binaire de Vérifiez que le fichier binaire de l'application d'entreprise que vous
l'application. souhaitez ajouter est accessible pour l'importation dans le
Gestionnaire de sécurité mobile ou que vous disposez de l'URL
binaire de l'application :
• Enregistrez le fichier binaire d'application sur votre système local
pour pouvoir l'importer facilement dans le Gestionnaire de
sécurité mobile.
• Si le fichier binaire d'application est stocké sur un serveur externe,
vous pouvez faire référence à l'URL binaire de l'application. Le
périphérique mobile sur lequel vous poussez l'application
téléchargera directement l'application à partir de l'URL binaire.

Ajouter des applications gérées Gérer les applications et données de l'entreprise avec un App Store d'entreprise
Créer une application d'entreprise iOS ou Android (suite)
Étape 2 Ajoutez l'application d'entreprise au 1. Dans votre Gestionnaire de sécurité mobile, sélectionnez
Gestionnaire de sécurité mobile. Applications > Store, puis cliquez sur Ajouter.
2. Saisissez un Nom d'application descriptif. Ce nom est destiné à
l'administrateur, pour lui permettre de reconnaître facilement
l'application lors de son ajout aux profils de configuration et
politiques. Il ne s'agit pas du nom de l'application tel qu'il
apparaîtra dans l'App Store GlobalProtect (pour les applications
iOS, le nom affiché dans l'App Store est extrait du fichier
binaire. Pour les applications Android, vous devez ajouter
manuellement le nom de l'application comme décrit à l'étape
suivante).
3. Cliquez sur l'onglet Application d'entreprise, puis saisissez les
Détails de l'application :
a. Sélectionnez le Système d'exploitation de l'application (iOS
ou Android).
b. Chargez le fichier binaire de l'application d'entreprise :
– Si l'application est enregistrée sur votre système local,
recherchez et sélectionnez le Binaire d'application.
– Si le fichier binaire d'application est enregistré en externe,
sélectionnez Serveur externe et saisissez l'URL binaire
d'application. Lorsque vous poussez cette application vers
un périphérique, elle sera installée directement à partir de
l'URL que vous référencez ici.
c. (Applications Android uniquement) Saisissez le Nom
d'affichage que vous souhaitez afficher pour l'application
dans l'App Store d'entreprise, le Nom de l'offre groupée et la
Version de l'application.
L'importation du fichier binaire de l'application
remplit automatiquement ces champs pour les
applications iOS.
d. (Facultatif) Saisissez le Nom du développeur et la Catégorie
de l'application. Vous pouvez classer l'application pour
permettre aux utilisateurs de mieux identifier son utilisation
prévue (par exemple, « Référence » ou « Communication »).

Gérer les applications et données de l'entreprise avec un App Store d'entreprise Ajouter des applications gérées
Créer une application d'entreprise iOS ou Android (suite)
Étape 3 (Facultatif) Personnalisez l'apparence et Accédez à l'onglet Application d'entreprise, puis sélectionnez le
les détails de l'application dans l'App sous-onglet Métadonnées de l'application.
Store. • (Android uniquement) Recherchez et sélectionnez une Icône
Vous pouvez modifier l'apparence d'application à afficher pour l'application dans l'App Store
et les détails d'une application d'entreprise.
d'entreprise existante à tout • Saisissez une Description de l'application pour permettre à vos
moment en effectuant cette étape utilisateurs de savoir comment ils peuvent l'utiliser ou les
et en validant les modifications. fonctionnalités qu'elle inclut. Cette description s'affiche sous les
détails de l'application.
• Si vous modifiez une application d'entreprise existante, vous
pouvez saisir des mises à jour par rapport à la version précédente
dans Nouveautés.
• Ajoutez des Captures d'écran de l'application pour mettre en
avant ses fonctionnalités ou pour la présenter aux utilisateurs.
Vous pouvez ajouter des captures d'écran en fonction du type
d'écran pour lequel l'application est conçue :
• (Applications iOS) Ajoutez des captures d'écran pour un
Écran Retina 3,5", un Écran Retina 4" et un iPad (s'applique
aux iPad et iPad Mini).
• (Android) Ajoutez des captures d'écran conçues pour un
Téléphone Android, une Tablette 7" ou une Tablette 10".
Étape 4 Enregistrez l'application d'entreprise. Cliquez sur Ajouter et Valider la configuration.

La nouvelle application d'entreprise s'affiche dans la page Store >
Applications en tant qu'application gérée.
Étape 5 Distribuez votre application d'entreprise Configurer l'App Store.

aux utilisateurs sur leurs périphériques.

Ajouter des applications Google Play ou Apple
Vous pouvez mettre à disposition des applications de manière publique à partir de l'App Store Apple ou de
Google Play sur le Gestionnaire de sécurité mobile en tant qu'Applications gérées. L'ajout d'applications
publiques en tant qu'applications gérées vous permet de distribuer des applications à vos utilisateurs
fréquemment utilisées à des fins professionnelles (applications Box ou Salesforce par exemple) tout en
protégeant les applications et les données d'entreprise auxquelles elles ont accès. Utilisez la procédure suivante
pour ajouter une application publique au Gestionnaire de sécurité mobile en tant qu'application gérée.
Ajouter une application de l'App Store Apple ou Google Play

Étape 1 Sélectionnez des applications publiques à 1. Sélectionnez Store > Applications, puis cliquez sur Ajouter.
ajouter en tant qu'applications gérées. 2. Saisissez un Nom descriptif pour l'application.
Faites référence à ce nom lors de l'ajout de l'application
à des profils de configuration ou des politiques. Le nom
de l'application dans l'App Store Apple ou Google Play
est le nom qui sera présenté aux utilisateurs.
3. Sélectionnez l'onglet App Store Apple/ Google Play.
4. Saisissez une URL d'application dans App Store Apple ou
Google Play.
Vous pouvez également sélectionner les liens App Store Apple
et Google Play pour rechercher l'URL de l'application.
5. Cliquez sur Ajouter.
Étape 2 Enregistrez l'application gérée de l'App Validez la configuration.
Store Apple ou Google Play. Sélectionnez Store > Applications et consultez la liste des
applications publiques et d'entreprise gérées.
Étape 3 Appliquez des paramètres de sécurité à Configurer l'App Store.
l'application publique et assignez-la aux
utilisateurs dans l'App Store sur leurs
périphériques.
Ajouter des applications VPP en tant qu'applications gérées
Vous pouvez utiliser le Programme d'achats en volume (VPP) Apple pour acheter des applications par lots, puis
utilisez le Gestionnaire de sécurité mobile pour les distribuer à vos utilisateurs en tant qu'Applications gérées.
Lorsque vous poussez une application VPP vers un périphérique pour la première fois, Apple invite l'utilisateur
à s'enregistrer auprès d'Apple à l'aide d'un ID Apple. Les ID Apple utilisateurs sont enregistrés dans le service
VPP d'Apple et ne sont pas présentés aux administrateurs du Gestionnaire de sécurité mobile. Une fois
l'utilisateur connecté et enregistré au service VPP à l'aide d'un ID Apple, le périphérique recruté peut recevoir
des ressources VPP assignées lors de l'archivage du périphérique. Les applications VPP sont poussées vers le
périphérique directement depuis l'App Store Apple.
Les rubriques suivantes décrivent comment synchroniser vos achats VPP avec le Gestionnaire de sécurité
mobile et gérer les applications VPP :
 Synchroniser des ressources VPP Apple avec le Gestionnaire de sécurité mobile
 Gérer des ressources VPP à partir du Gestionnaire de sécurité mobile

Gérer les applications et données de l'entreprise avec un App Store d'entreprise Ajouter des applications gérées
Synchroniser des ressources VPP Apple avec le Gestionnaire de sécurité mobile
Utilisez la procédure suivante pour permettre la synchronisation des achats effectués avec votre compte VPP
avec le Gestionnaire de sécurité mobile. Vous pouvez ensuite distribuer facilement les achats en volume à vos
utilisateurs.
Synchroniser des ressources VPP Apple avec le Gestionnaire de sécurité mobile
Étape 1 Inscrivez votre organisation au Dans la page Deployment Program d'Apple

programme VPP. (https://deploy.apple.com/qforms/web/index/avs),
inscrivez-vous au programme d'achats en volume (VPP).
L'inscription au VPP requiert un ID
Apple et de fournir à Apple des détails sur
l'organisation, notamment le numéro
D-U-N-S.
Étape 2 Récupérez un jeton VPP. Le store VPP propose une interface Web d'intégration aux MDM.
Lorsque vous êtes connecté au store VPP, accédez au résumé du
compte et téléchargez un jeton pour lier le Gestionnaire de sécurité
mobile à votre compte VPP.
Étape 3 Synchronisez votre compte VPP avec le 1. Sélectionnez Configuration > Paramètres > Serveur, puis la
Gestionnaire de sécurité mobile. section Programme d'achats en volume Apple.
2. Sélectionnez Programme d'achats en volume.
3. Importez le Jeton VPP que vous avez téléchargé d'Apple à
l'Étape 2.
La politique d'Apple requiert un nouveau jeton une fois
par an.
Étape 4 Invitez les utilisateurs à s'inscrire au 1. Dans l'onglet Périphériques, cochez la première case afin
programme d'achats en volume d'Apple d'inviter tous les périphériques gérés à s'inscrire au VPP, ou
(Volume Purchase Program, VPP). filtrez et sélectionnez des périphériques spécifiques.
Cette étape est recommandée pour 2. Sélectionnez Actions, puis cliquez sur Inviter au VPP.
inscrire plusieurs utilisateurs à la 3. Cliquez sur OK.
fois. Toutefois, les utilisateurs non Une notification poussée, invitant les utilisateurs à s'inscrire au
inscrits au VPP seront invités à le VPP, est envoyée à l'application GlobalProtect sur les
faire la première fois qu'une périphériques sélectionnés.
application VPP leur sera
transmise. Ils pourront alors
s'inscrire pour continuer à recevoir
des ressources VPP.
Étape 5 Appliquez des paramètres de sécurité aux Configurer l'App Store.

applications VPP et distribuez-les aux
utilisateurs dans l'App Store.
Étape 6 Surveillez et gérez les applications VPP. Gérer des ressources VPP à partir du Gestionnaire de sécurité
mobile.

Gérer des ressources VPP à partir du Gestionnaire de sécurité mobile
Après avoir Ajouter des applications VPP en tant qu'applications gérées, vous pouvez surveiller et gérer les
applications VPP que vous avez assignées aux utilisateurs directement à partir du Gestionnaire de sécurité
mobile. Révoquez une application d'un utilisateur ou périphérique, demandez aux nouveaux utilisateurs de
s'inscrire au VPP, ou annulez l'inscription d'utilisateurs ou de périphériques qui ne doivent plus recevoir de
ressources VPP (s'ils quittent l'entreprise ou s'ils sont inactifs par exemple).
Gérer des ressources VPP à partir du Gestionnaire de sécurité mobile
• Affichez vos ressources VPP et les détails Sélectionnez Store > Programme d'achats en volume Apple pour
de licence. afficher vos achats d'applications VPP. Cette page indique le Nombre de
licences achetées, le nombre de Licences disponibles à assigner aux
utilisateurs ou périphériques, ainsi que le nombre de licences utilisées pour
chaque application VPP (Licences utilisées).
• Révoquez une licence d'application d'un 1. Sélectionnez Store > Programme d'achats en volume Apple et
utilisateur ou périphérique spécifique. sélectionnez l'application que vous souhaitez révoquer d'un
utilisateur ou périphérique.
2. Cliquez sur Récupérer la licence pour afficher une liste contextuelle
de tous les utilisateurs et périphériques auxquels l'application est
assignée.
3. Sélectionnez l'utilisateur ou le périphérique dont vous souhaitez
révoquer l'application et cliquez sur Récupérer la licence.
4. Lorsqu'une licence d'application est récupérée, Apple envoie une
notification au périphérique indiquant à l'utilisateur qu'il dispose
d'une période de 30 jours pour continuer à utiliser l'application,
sauvegarder des données ou acheter une copie personnelle de
l'application.
5. Assurez-vous que l'application ne sera pas assignée de nouveau au
même utilisateur lors du prochain archivage du périphérique en
supprimant l'application de la politique déployée pour l'utilisateur :
a. Sélectionnez Politiques > Configuration > iOS et sélectionnez le
profil de configuration associé à l'utilisateur dans la politique
déployée.
b. Dans l'onglet Applications, supprimez l'application que vous
souhaitez révoquer de l'utilisateur, puis cliquez sur OK.
6. Validez la configuration.
• Invitez des utilisateurs à s'inscrire au 1. Dans l'onglet Périphériques, sélectionnez le ou les périphériques
programme d'achats en volume d'Apple que vous souhaitez autoriser à recevoir des ressources VPP.
(Volume Purchase Program, VPP) 2. Sélectionnez Actions, puis cliquez sur Inviter au VPP pour envoyer
indépendamment du déploiement de une notification poussée à l'utilisateur l'invitant à s'inscrire au VPP
politique. Apple.
3. Cliquez sur OK.
• Révoquez l'accès et l'utilisation de toutes les 1. Dans l'onglet Périphériques, sélectionnez le ou les périphériques
ressources VPP d'un utilisateur. que vous souhaitez révoquer de l'accès aux ressources VPP.
2. Sélectionnez Actions, puis cliquez sur Révoquer du VPP.
3. Cliquez sur OK.

Gérer les applications et données de l'entreprise avec un App Store d'entreprise Configurer l'App Store
Configurer l'App Store

Utilisez le Gestionnaire de sécurité mobile pour configurer l'App Store d'entreprise. La configuration de l'App
Store inclut l'ajout d'applications gérées aux profils de configuration, et la configuration de paramètres de
protection des applications et données d'entreprise gérées sur les périphériques gérés. Après l'ajout
d'applications gérées à un profil de configuration, vous pouvez assigner et pousser des applications gérées à des
utilisateurs ciblés ou de larges publics à l'aide d'un déploiement de politique GlobalProtect. Les applications
gérées sont affichées pour les utilisateurs dans l'App Store d'entreprise dans l'application GlobalProtect.
Utilisez la procédure suivante pour configurer votre App Store en tant qu'emplacement centralisé vous
permettant de distribuer des applications d'entreprise gérées aux utilisateurs et permettant aux utilisateurs de
rechercher et d'installer les applications qui leur ont été assignées.
Configurer votre App Store
Étape 1 Vérifiez que les applications Sélectionnez l'onglet Store pour afficher vos applications gérées ou pour Ajouter
que vous souhaitez distribuer des applications gérées.
aux utilisateurs dans l'App
Store sont ajoutées au
en tant qu'applications gérées.
Étape 2 Créez un groupe d'applications. 1. Sélectionnez Store > Groupes d'applications, puis cliquez sur Ajouter.
Vous pouvez regrouper des 2. Donnez au Groupe d'applications un Nom descriptif.
applications pour simplifier leur 3. Sélectionnez parmi vos applications gérées pour inclure des applications
ajout à un profil de d'entreprise disponibles, des applications de l'App Store Apple, des applications
configuration. Google Play ou des achats VPP dans un groupe d'applications.
Cela est utile si vous souhaitez 4. Cliquez sur OK.
transmettre aux utilisateurs
plusieurs applications
simultanément et si les
applications doivent comporter
les mêmes paramètres.
Si un groupe
d'applications contient à
la fois des applications
iOS et Android, celles-ci
sont transmises en
fonction du système
d'exploitation du
périphérique : Les
applications Android
sont transmises aux
périphériques Android
et les applications
iOS sont transmises aux
périphériques iOS.

Configurer l'App Store Gérer les applications et données de l'entreprise avec un App Store d'entreprise
Configurer votre App Store (suite)
Étape 3 Ajoutez l'application gérée à un Utilisez un profil de configuration Android pour les applications Android :
profil de configuration. 1. Sélectionnez Politiques > Configuration > Android puis ajoutez un nouveau
profil de configuration Android ou sélectionnez un profil existant à modifier.
Utilisez le profil de
configuration pour configurer 2. Sélectionnez l'onglet Applications. Si l'onglet est masqué, sélectionnez + pour
des paramètres de sécurité de développer la liste de profils de configuration Android, puis sélectionnez
l'application, notamment Applications.
l'activation du VPN par 3. Cliquez sur Ajouter et sélectionnez une Application dans la liste d'applications
application ou l'exclusion de gérées.
l'application de la sauvegarde de 4. Sélectionnez une Option d'installation pour l'application : Requise ou
données. Facultative. Les applications requises sont automatiquement installées sur les
périphériques gérés. Les utilisateurs peuvent rechercher et choisir d'installer des
applications facultatives qui leur sont assignées dans l'écran Applications de
l'application GlobalProtect.
5. (Facultatif) Sélectionnez Supprimer l'application lors de la radiation pour
supprimer automatiquement l'application et ses données si le périphérique n'est
plus géré par GlobalProtect.
6. Cliquez sur OK.
Utilisez un profil de configuration iOS pour les applications iOS :

1. Sélectionnez Politiques > Configuration > iOS puis ajoutez un nouveau
profil de configuration iOS ou sélectionnez un profil existant à modifier.
2. Sélectionnez l'onglet Applications. Si l'onglet est masqué, sélectionnez + pour
développer la liste de profils de configuration iOS, puis sélectionnez
Applications.
3. Dans l'onglet Applications, ajoutez une nouvelle application au profil de
configuration :
a. Sélectionnez le Nom de l'application dans la liste déroulante des applications
gérées.
b. Sélectionnez une Option d'installation pour l'application : Requise ou
Facultative. Les applications requises sont automatiquement installées sur
les périphériques gérés. Les utilisateurs peuvent rechercher et choisir
d'installer des applications facultatives qui leur sont assignées dans l'écran
Applications de l'application GlobalProtect.
c. (Facultatif) Activez d'autres options pour protéger l'application et son trafic
lorsqu'elle est installée sur un périphérique :
– Sélectionnez une configuration VPN par application que l'application
utilisera pour acheminer l'ensemble de son trafic. Reportez-vous à la
section Isoler le trafic de l'entreprise pour la configuration de cette
fonctionnalité.
– Sélectionnez Supprimer l'application lors de la radiation pour
supprimer automatiquement l'application si le périphérique n'est plus géré
par GlobalProtect.
– Sélectionnez Empêcher la sauvegarde sur iCloud ou iTunes pour
empêcher l'application de transférer des données à iCloud ou iTunes.
– Ajoutez des valeurs aux Configurations d'application, vous permettant
ainsi de configurer à distance les paramètres et valeurs par défaut d'une
application. Consultez l'aide en ligne pour plus d'informations.

Gérer les applications et données de l'entreprise avec un App Store d'entreprise Configurer l'App Store
Configurer votre App Store (suite)
Étape 3 4. (Facultatif) Sélectionnez l'onglet Restrictions de données d'application ou

Domaines pour activer des paramètres de contrôle de déplacement de données
vers et depuis des applications, comptes et domaines Web (reportez-vous à la
section Isoler les données de l'entreprise).
5. Cliquez sur OK pour enregistrer le profil de configuration.
Étape 4 Associez le profil de 1. Sélectionnez Politiques > Politiques, puis sélectionnez une politique à modifier
configuration à une politique de (ou ajoutez une nouvelle politique).
déploiement. 2. Conservez la valeur par défaut Toute sélectionnée pour Utilisateurs et Profils
Pour des étapes détaillées de HIP afin de pousser les applications gérées à tous les utilisateurs et périphériques
création d'une politique de gérés.
déploiement, reportez-vous à la 3. Sélectionnez Configurations et ajoutez le profil de configuration iOS ou
section Créer des politiques de Android.
déploiement. Si la règle est conçue pour correspondre à la fois aux périphériques iOS
et Android, associez des profils de configuration distincts.
4. Cliquez sur OK pour enregistrer la politique.
Étape 5 Enregistrez les modifications. Cliquez sur Valider.

Gérer et surveiller des applications Gérer les applications et données de l'entreprise avec un App Store d'entreprise
Gérer et surveiller des applications

Vous pouvez utiliser le Gestionnaire de sécurité mobile pour continuer à gérer des applications distribuées à vos
utilisateurs et pour obtenir une visibilité sur les applications installées sur des périphériques recrutés. Utilisez les
paramètres décrits dans le tableau ci-dessous pour gérer les applications distribuées aux utilisateurs.
Reportez-vous à la section Gérer des ressources VPP à partir du Gestionnaire de sécurité mobile
pour les détails sur la gestion des applications et licences VPP.
Gérer l'App Store
• Affichez les applications Sélectionnez Périphériques :

gérées sur un périphérique. • La colonne Applications gérées affiche les applications installées qui sont gérées
pour chaque entrée.
• Sélectionnez les détails de l'entrée d'un périphérique. Le rapport HIP affiche une liste
d'applications installées sur le périphérique sélectionné qui sont gérées :
Applications installées - Gérées.
• (iOS uniquement) Activez les Définissez un calendrier pour mettre à jour automatiquement les versions
mises à jour d'application d'applications gérées. Ceci mettra à jour toutes les applications gérées vers les dernières
automatiques. versions disponibles dans l'App Store Apple.
1. Sélectionnez Configuration > Paramètres > Serveur > Calendrier de mise à jour
automatique des applications et modifiez le Calendrier de mise à jour
automatique des applications.
2. Définissez la fréquence à laquelle vous souhaitez que les applications gérées soient
mises à jour : Quotidienne ou Hebdomadaire.
Les mises à jour d'applications automatiques sont désactivées par défaut,
avec la valeur par défaut Aucune.
3. Cliquez sur OK.

Gérer les applications et données de l'entreprise avec un App Store d'entreprise Gérer et surveiller des applications
Gérer l'App Store (suite)
• Collectez (ou excluez) une liste 1. Configurez la collecte de données des applications qui ne sont pas gérées (ou
d'applications qui ne sont pas excluez la collecte de données pour les applications qui ne sont pas gérées) :
gérées sur un périphérique. a. Sélectionnez Politiques > Informations sur l'hôte > Collecte des données et
modifiez la section Exclusions de la collecte de données.
b. Excluez ou collectez des données des applications non gérées :
– Ne pas signaler les applications non gérées : ne collectez pas une liste
d'applications qui ne sont pas gérées sur un périphérique. Aucune donnée
n'est collectée des applications non gérées. Elles ne sont pas signalées du tout
si les applications non gérées sont installées sur un périphérique géré et aucune
information sur l'application non gérée n'est fournie.
– Signaler les applications non gérées : collectez une liste d'applications qui
ne sont pas gérées sur un périphérique. Dans ce cas, les données des
applications ne sont pas collectées et seuls le nom et l'état non géré des
applications sont fournis.
c. Cliquez sur OK.
2. Si vous choisissez de signaler des applications non gérées, vous pouvez afficher une
liste d'applications qui ne sont pas gérées sur un périphérique :
Sélectionnez Périphériques, puis les détails de l'entrée d'un périphérique. Le
rapport HIP affiche une liste d'applications sur le périphérique sélectionné qui ne
sont pas gérées : Applications installées - Non gérées.
• Activez et personnalisez une Sélectionnez Activer une notification d'application gérée/de compte pour demander
alerte demandant aux aux utilisateurs de supprimer une version non gérée d'une application ou de changer de
utilisateurs de supprimer une compte sur leur périphérique. Cette notification est présentée à l'utilisateur lorsque vous
version non gérée d'une avez transmis une application gérée ou des paramètres de compte à un périphérique et
application ou de changer de qu'une version non gérée de l'application ou du compte est déjà installée. Les
compte sur leur périphérique. paramètres d'applications gérées et de changement de compte ne peuvent être transmis
au périphérique que lorsque l'utilisateur supprime la version non gérée de cette même
application ou supprime les paramètres de changement de compte actuels.
Utilisez ces notifications pour demander automatiquement aux utilisateurs de
supprimer une application non gérée ou des paramètres de compte de leur
périphérique.
Vous pouvez utiliser le message par défaut ou le personnaliser pour votre organisation :
1. Dans l'onglet Configuration > Paramètres > Serveur, modifiez les Paramètres
de notification d'application gérée/de compte.
2. Sélectionnez Activer une notification d'application gérée et modifiez
éventuellement le Message par défaut.
3. Cliquez sur OK.
Lorsque l'utilisateur supprime l'application non gérée ou des paramètres de compte du
périphérique, le Gestionnaire de sécurité mobile transmet automatiquement les
paramètres d'application gérée ou de compte lors du prochain archivage du
périphérique.

Isoler le trafic de l'entreprise Gérer les applications et données de l'entreprise avec un App Store d'entreprise
Isoler le trafic de l'entreprise

Le trafic des applications d'entreprise sur un périphérique mobile peut être autorisé à passer par votre VPN
d'entreprise, séparant ainsi le trafic d'entreprise du trafic personnel sur un périphérique mobile.
Isolez le trafic de l'entreprise sur un périphérique mobile géré à l'aide des paramètres VPN par application dans
le Gestionnaire de sécurité mobile. Cette fonctionnalité vous permet de spécifier le trafic des applications
d'entreprise qui peuvent passer par votre VPN d'entreprise. Un VPN par application est plus particulièrement
utile dans un environnement où les utilisateurs utilisent des périphériques personnels pour accéder à votre
réseau d'entreprise. Dans ce cas, vous pouvez activer un VPN par application pour vous assurer que les données
d'entreprise des applications gérées passent par le VPN alors que les données personnelles des applications non
gérées ne le sont pas.
Pour les applications d'entreprise dans lesquelles un VPN par application est activé, si l'application ne parvient
pas à se connecter au VPN configuré, elle ne sera pas accessible à l'utilisateur et n'enverra pas de trafic tant
qu'une connexion sécurisée ne sera pas établie.
Utilisez le Gestionnaire de sécurité mobile pour configurer un VPN par application pour les applications gérées.
La configuration d'un VPN par application inclut l'activation d'une configuration de VPN utilisée pour le VPN
par application et l'activation d'un VPN par application pour une application gérée ou un groupe d'applications.
.
Isoler le trafic de l'entreprise pour des applications iOS

Étape 1 Vérifiez que les applications qui devront Sélectionnez l'onglet Store pour afficher vos applications gérées ou
utiliser le VPN sont ajoutées au pour Ajouter des applications gérées.
Gestionnaire de sécurité mobile en tant
qu'applications gérées.
Étape 2 (Facultatif) Créez un groupe Créez un groupe d'applications.
d'applications incluant les applications
dont vous souhaitez acheminer le trafic
via le VPN d'entreprise.
Regroupez des applications afin
d'activer un VPN par application
pour plusieurs applications à la fois
plutôt que de l'activer pour chaque
application séparément.
Étape 3 Activez une configuration de VPN 1. Sélectionnez Politiques > Configuration > iOS puis ajoutez un
utilisée pour un VPN par application. nouveau profil de configuration iOS ou sélectionnez un profil
existant à modifier.
S'il s'agit d'un nouveau profil de configuration, saisissez les
Reportez-vous à la section Créer un profil de configuration iOS
pour plus de détails.
2. Sélectionnez une configuration de VPN à activer pour un VPN
par application.
Pour créer une nouvelle configuration de VPN
GlobalProtect, reportez-vous à la section Définir une
configuration VPN GlobalProtect.

Gérer les applications et données de l'entreprise avec un App Store d'entreprise Isoler le trafic de l'entreprise
Isoler le trafic de l'entreprise pour des applications iOS (suite)

Étape 4 Définissez des paramètres de VPN pour 1. Sélectionnez un Type de VPN et sélectionnez VPN par
les applications gérées. application (les applications configurées enverront du trafic
sur le VPN).
Lorsque ce paramètre est activé, l'ensemble du trafic des
applications gérées sur un périphérique mobile est acheminé via
le VPN.
2. Activer VPN par application à la demande, similaire au VPN à la
demande, pour établir automatiquement une connexion VPN pour
les applications avec un VPN par application activé lorsqu'elles sont
lancées (un VPN par application activé seul n'invite pas à une
connexion VPN lorsque l'application est lancée ; il garantit
seulement que les données de l'application passent par le VPN).
3. Autorisez l'établissement d'une connexion VPN pour un
domaine Web Safari à partir d'un périphérique mobile. Ajoutez
une adresse IP, un nom d'hôte, un nom de domaine ou un
sous-réseau aux Domaines correspondants pour navigateur
Safari. Une fois la connexion VPN établie, l'ensemble du trafic
de cette session Safari passera par le VPN.
Par exemple, vous pouvez ajouter le site interne d'une société en
tant que domaine correspondant de sorte que si un utilisateur en
dehors du bureau tente d'accéder au site interne à distance, une
connexion VPN sera établie et l'utilisateur pourra accéder au site.
Si vous souhaitez contrôler les documents ou pièces
jointes ouverts à partir d'un site d'entreprise sur un
périphérique mobile, vous pouvez spécifier que les
documents ouverts à partir d'un domaine Web dans
Safari ne peuvent l'être que dans des applications ou
comptes d'entreprise gérés. Reportez-vous à la section
Isoler les données de l'entreprise.
4. Cliquez sur OK pour enregistrer les paramètres VPN pour les
applications gérées.
Étape 5 Activez un VPN par application pour une 1. Dans le même profil de configuration, sélectionnez
application ou un groupe d'applications. Applications et ajoutez le groupe d'applications (ou une
application) au profil de configuration, ou sélectionnez une
application ou un groupe d'applications existant à modifier.
2. Dans la liste déroulante VPN par application, sélectionnez la
même configuration de VPN que celle que vous avez activée
pour le VPN par application.
Étape 6 Enregistrez le profil de configuration iOS. 1. Cliquez sur OK pour enregistrer le profil de configuration iOS.
Étapes suivantes... • Si vous avez modifié un profil de configuration existant associé à
une politique de déploiement, les paramètres mis à jour d'isolation
du trafic d'entreprise seront transmis aux utilisateurs lors du
prochain archivage du périphérique.
• Si vous avez créé un nouveau profil de configuration, associez-le à
une politique de déploiement. Reportez-vous à la section Créer des
politiques de déploiement.

Isoler les données de l'entreprise Gérer les applications et données de l'entreprise avec un App Store d'entreprise
Isoler les données de l'entreprise

Les utilisateurs peuvent ouvrir des documents d'entreprise sur leurs périphériques mobiles ou transférer des
documents à partir de leur emplacement d'origine à l'aide de l'option native Ouvrir dans. Cette option permet
aux utilisateurs d'ouvrir des documents à partir d'une application, d'un compte de messagerie ou d'un domaine
Web dans une application ou un compte différent sur leur périphérique mobile. Contrôlez les applications et
comptes qui ouvrent et partagent des documents d'entreprise sur un périphérique mobile, et alertez les
utilisateurs lors de l'envoi d'un courrier électronique à un contact ne faisant pas partie de votre domaine
d'entreprise afin d'isoler et de protéger les données d'entreprise sur un périphérique mobile. Pour cela, activez
les paramètres de contrôle de l'option Ouvrir dans pour les comptes d'entreprise gérés, les applications gérées
et les domaines Web gérés (dans l'application du navigateur Safari), afin de protéger les données d'entreprise de
ces applications, comptes et domaines de sorte qu'elles ne soient pas partagées en dehors de votre réseau
d'entreprise. Avec cette fonctionnalité, l'option Ouvrir dans ne peut pas être utilisée pour déplacer, par exemple,
un document sensible disponible sur l'Intranet de l'entreprise vers une application personnelle dans laquelle elle
n'est plus sous votre contrôle et où elle peut être facilement redistribuée ou perdue.
Les options d'isolation des données d'entreprise incluent également l'activation de l'application Mail pour mettre
en surbrillance les contacts de messagerie en dehors de votre réseau. Ceci permet d'informer vos utilisateurs
qu'ils rédigent, transfèrent ou répondent à un destinataire de courrier électronique en dehors de votre société.
Pour isoler les données d'entreprise dans des applications et comptes gérés, activez les paramètres Restrictions
de données d'application et Domaines gérés, qui peuvent être appliqués de manière sélective ou complète afin
d'isoler les données d'entreprise.
Isoler les données d'entreprise pour des applications iOS
Étape 1 Ajoutez ou modifiez un profil de 1. Sélectionnez Politiques > Configuration > iOS puis ajoutez un
configuration iOS. nouveau profil de configuration iOS ou sélectionnez un profil
existant à modifier.
S'il s'agit d'un nouveau profil de configuration, saisissez les
Reportez-vous à la section Créer un profil de configuration iOS
pour plus de détails.
2. Si vous créez un nouveau profil de configuration, sélectionnez +
pour développer la liste de profils de configuration iOS,
sélectionnez l'onglet Applications, puis ajoutez les applications
ou le groupe d'applications auxquels vous souhaitez appliquer
les restrictions de données d'application.

Gérer les applications et données de l'entreprise avec un App Store d'entreprise Isoler les données de l'entreprise
Isoler les données d'entreprise pour des applications iOS (suite)
Étape 2 Contrôlez les applications et comptes Sélectionnez l'onglet Restrictions de données d'application et
pouvant ouvrir des documents activez Restrictions de données d'application. Sélectionnez une ou
d'entreprise sur un périphérique mobile. les deux options suivantes :
• Bloquer Ouvrir dans depuis des applications et des comptes
gérés vers des applications non gérées
Empêche les applications et comptes gérés d'ouvrir des fichiers
dans des applications ou comptes personnels (qui ne sont pas
gérés).
• Bloquer Ouvrir dans depuis des applications et des comptes
non gérés vers des applications gérées
Empêche les applications et comptes personnels d'ouvrir des
fichiers dans des applications gérées.
Étape 3 Contrôlez les applications et comptes 1. Sélectionnez l'onglet Domaines et activez Domaines gérés.
pouvant ouvrir des documents 2. Ajoutez un Domaine pour le navigateur Safari.
d'entreprise à partir d'un domaine Web
Les documents ou pièces jointes du domaine que vous ajoutez
Safari.
(le site de votre entreprise par exemple) ne peuvent être ouverts
sur des périphériques mobiles que dans d'autres applications ou
comptes d'entreprise gérés.
Ce paramètre vous permettant de contrôler l'option Ouvrir dans
pour les utilisateurs dans l'application Safari, il est mis en œuvre
conformément aux restrictions de données d'application que
vous avez activées à l'Étape 2.
Étape 4 Mettez en surbrillance les contacts de Dans l'onglet Domaines, ajoutez votre domaine d'entreprise, par
messagerie en dehors de votre réseau dans exemple, au tableau Domaines en surbrillance dans l'application
l'application Mail. Mail.
Tous les contacts de messagerie ne faisant pas partie des domaines
que vous ajoutez sont affichés en surbrillance dans l'application Mail.
Dans cet exemple, si vous ajoutez votre domaine d'entreprise, tous
les contacts de messagerie ne faisant pas partie de votre domaine
d'entreprise sont mis en surbrillance dans l'application Mail lorsque
les utilisateurs rédigent, transfèrent ou répondent à un courrier
électronique avec ce contact en tant que destinataire. Ceci alerte les
utilisateurs avant qu'ils n'envoient des données sensibles ou de
l'entreprise en dehors de votre réseau.
Étape 5 Enregistrez le profil de configuration iOS. 1. Cliquez sur OK pour enregistrer le profil de configuration iOS.
Étapes suivantes... • Si vous avez modifié un profil de configuration existant associé à

une politique de déploiement, les restrictions de données
d'application mises à jour et les paramètres de domaines gérés
seront transmis aux utilisateurs lors du prochain archivage du
périphérique.
• Si vous avez créé un nouveau profil de configuration, associez-le à
une politique de déploiement. Reportez-vous à la section Créer des
politiques de déploiement.

Activer le mode d'application unique Gérer les applications et données de l'entreprise avec un App Store d'entreprise
Activer le mode d'application unique

Le mode d'application unique vous permet de limiter l'utilisation d'un périphérique à une seule application iOS
afin que les utilisateurs n'exécutent que les tâches ou fonctions disponibles dans cette application. Le mode
d'application unique peut être activé avec une application développée en interne ou toute application publique
ou achetée, et est un outil puissant pour les environnements commerciaux et éducatifs comme les magasins,
restaurants, musées, universités et plateformes de transit. Par exemple, vous pouvez mettre en œuvre le mode
d'application unique dans un restaurant branché où des kiosques sont mis à disposition des clients pour
consulter le menu et passer une commande, ou dans une université où des périphériques sont mis à la disposition
des étudiants pour passer des examens ou prendre part à des projets. Une organisation peut mettre en œuvre le
mode d'application unique pour s'assurer que les périphériques de l'entreprise sont utilisés de manière
cohérente, efficace et conformément à l'usage prévu et pour permettre aux utilisateurs d'exécuter leurs tâches
grâce à une expérience guidée et simple.
Les nouveaux paramètres de Verrouillage d'application du Gestionnaire de sécurité mobile prennent en charge
le mode d'application unique et proposent des options pour régler, remplacer ou mettre en œuvre des
fonctionnalités de périphérique lorsque l'application verrouillée est utilisée.
Activez des paramètres de Verrouillage d'application pour :
 Dédier un périphérique à l'utilisation d'une application spécifique.
 Désactiver des touches matérielles comme le volume, la sonnerie ou la reprise du mode veille.
 Activer des fonctionnalités comme la voix off, le zoom, le choix d'expression ou le toucher fonctionnel afin
de simplifier l'utilisation de l'application (ceci peut être utile si des fonctionnalités matérielles sont désactivées
et que vous souhaitez continuer à fournir des fonctionnalités limitées aux utilisateurs).
 Désactiver des fonctionnalités par défaut comme la rotation de l'écran et le verrouillage automatique.
Vous pouvez activer ou désactiver de manière sélective l'un des paramètres de verrouillage d'application pour
vous assurer qu'un périphérique et l'application spécifique sont utilisés dans un but bien précis dans un
environnement contrôlé. Utilisez la procédure suivante pour activer le mode d'application unique sur un
périphérique ou sur plusieurs périphériques simultanément.
Activer le mode d'application unique
Étape 1 Vérifiez que l'application iOS Sélectionnez l'onglet Store pour afficher vos applications gérées ou pour
que vous souhaitez verrouiller Ajouter des applications gérées.
est gérée par le Gestionnaire de
sécurité mobile.

Gérer les applications et données de l'entreprise avec un App Store d'entreprise Activer le mode d'application unique
Activer le mode d'application unique (suite)
Étape 2 Créez un profil de configuration 1. Sélectionnez Politiques > Configuration > iOS, puis cliquez sur Ajouter.
spécialement conçu pour 2. Donnez au profil de configuration iOS un Nom descriptif pour référence
transmettre l'application (par exemple, Application Menu verrouillée), un Nom d'affichage présenté à
verrouillée aux périphériques l'utilisateur (par exemple, Menu) et un Identifiant.
gérés.
3. Sélectionnez + pour développer la liste de profils de configuration iOS
Pour plus d'informations sur les disponibles, puis sélectionnez Verrouillage d'application.
autres options disponibles lors 4. Activez le Verrouillage d'application, puis sélectionnez le Nom de
de la configuration d'un profil l'application que vous souhaitez verrouiller.
de configuration, reportez-vous
5. Sélectionnez des paramètres facultatifs à appliquer à l'application
à la section Créer les profils de
verrouillée. Les paramètres suivants peuvent être utilisés pour remplacer
configuration.
ou mettre en œuvre des fonctionnalités de périphérique afin de simplifier
l'accès ou l'utilisation de l'application :
• Désactiver le toucher : désactive les commandes tactiles de base du
périphérique, comme pincer et appuyer.
• Désactiver la touche du volume : désactive la touche du volume ; le
volume ne peut donc pas être réglé.
• Désactiver la touche de reprise du mode veille : désactive la touche
de reprise du mode veille du périphérique ; elle ne peut donc pas être
utilisée pour mettre en veille ou redémarrer le périphérique.
• Activer la voix off : garantit que les commandes de voix off peuvent
être utilisées pour naviguer, saisir du texte ou effectuer d'autres tâches
sur le périphérique par la voix. La voix off permet au périphérique
d'énoncer les éléments sur lesquels l'utilisateur appuie à l'écran.
• Activer l'inversion des couleurs : garantit que l'inversion des couleurs
reste active. Un écran avec des couleurs inversées présente un contraste
élevé entre les couleurs, ce qui peut être utile pour les utilisateurs
souffrant de problèmes visuels.
• Activer le choix d'expression : garantit que le choix d'expression reste
actif.
• Désactiver la rotation du périphérique : désactive la rotation du
périphérique.
• Désactiver la sonnerie : désactive la fonctionnalité de la sonnerie ; elle
ne peut donc pas être utilisée pour couper le son du périphérique.
• Désactiver le verrouillage automatique : remplace les fonctions de
verrouillage automatique du périphérique qui mettent l'écran en veille
après une période définie.
• Activer le zoom : active les fonctionnalités du zoom grâce auxquelles
l'écran du périphérique peut être agrandi en appuyant et en déplaçant
avec trois doigts.
• Activer le toucher fonctionnel : active le toucher fonctionnel en tant
que méthode permettant aux utilisateurs d'interagir avec l'écran et
d'utiliser un accessoire compatible.
• Activer l'audio mono : active l'audio mono ; tout l'audio peut être lu
via le même canal mono.
6. Cliquez sur OK pour enregistrer le profil de configuration.

Activer le mode d'application unique Gérer les applications et données de l'entreprise avec un App Store d'entreprise
Activer le mode d'application unique (suite)
Étape 3 Créez une nouvelle politique 1. Sélectionnez Politiques > Politiques, puis cliquez sur Ajouter.
pour transmettre l'application 2. Donnez à la règle de politique un Nom descriptif.
verrouillée aux périphériques.
3. Sélectionnez l'onglet Profils utilisateurs/HIP et indiquez comment
Reportez-vous à Créer les déterminer une correspondance de configuration pour cette règle de
profils de configuration. politique :
• Pour déployer cette configuration sur un utilisateur ou groupe
spécifique, cliquez sur Ajouter dans la section Utilisateur puis
sélectionnez l'utilisateur ou le groupe auquel vous souhaitez fournir
cette configuration dans la liste déroulante. Répétez cette étape pour
chaque utilisateur ou groupe que vous souhaitez ajouter.
• Pour déployer cette configuration sur les périphériques qui
correspondent à un profil HIP spécifique, cliquez sur Ajouter dans la
section Profils HIP puis sélectionnez un profil HIP.
4. Sélectionnez Configurations et ajoutez le profil de configuration iOS que
vous avez créé à l'Étape 2 pour l'application verrouillée.
5. Cliquez sur OK.
Étape 4 Sauvegardez vos modifications. Validez la configuration.

Utiliser les informations sur l'hôte pour
la mise en œuvre des politiques
Même si vous disposez d'une sécurité stricte dans le périmètre de votre réseau d'entreprise, votre réseau est en
réalité seulement aussi sécurisé que les périphériques des utilisateurs finaux qui y accèdent. Comme la
main-d'œuvre est aujourd'hui de plus en plus mobile, exigeant souvent un accès aux ressources d'entreprise
depuis des lieux très variés : aéroports, salons de thé, hôtels, et depuis des périphériques très variés, provisionnés
par la société et personnels, vous devez logiquement élargir votre sécurité de réseau à vos terminaux pour
garantir la mise en œuvre d'une sécurité complète et cohérente. La fonction de profil d'informations sur l'hôte
(HIP) GlobalProtect vous permet de collecter les informations sur l'état de sécurité de vos hôtes finaux, par
exemple si les derniers correctifs de sécurité et les dernières définitions d'antivirus sont installés, si le cryptage
de disque est activé, si le périphérique est débridé ou avec racine (périphériques mobiles uniquement), ou s'il
exécute un logiciel spécifique dont vous avez besoin au sein de votre organisation, incluant les applications
personnalisées, et de fonder votre décision pour autoriser ou interdire l'accès à un hôte spécifique en fonction
de l'adhésion aux politiques de l'hôte que vous définissez.
Les rubriques suivantes fournissent des informations sur l'utilisation des informations sur l'hôte pour la mise en
œuvre d'une politique. Il se compose des sections suivantes :
 À propos des informations sur l'hôte
 Configurer la mise en œuvre des politiques basées sur HIP
 Collecter des données d'application et de processus sur des clients

À propos des informations sur l'hôte Utiliser les informations sur l'hôte pour la mise en œuvre des politiques
À propos des informations sur l'hôte

L'une des fonctions de l'agent logiciel GlobalProtect est de collecter les informations sur l'hôte sur lequel il
fonctionne. L'agent logiciel soumet ensuite ces informations sur l'hôte à la passerelle GlobalProtect dès que la
connexion est établie. La passerelle fait correspondre ces informations brutes sur l'hôte soumises par l'agent
logiciel à tous les objets HIP et profils HIP que vous avez définis. Lorsqu'elle trouve une correspondance, elle
génère une entrée dans le journal Faire correspondre HIP. En outre, si elle trouve une correspondance de profil
HIP dans une règle de politique, elle met en œuvre la politique de sécurité correspondante.
L'utilisation des profils d'informations sur l'hôte pour la mise en œuvre d'une politique active la sécurité
granulaire qui garantit que les hôtes distants accédant à vos ressources vitales sont adéquatement maintenus et
en conformité avec vos normes de sécurité avant de les autoriser à accéder à vos ressources réseau. Par exemple,
avant d'autoriser l'accès à vos systèmes de données les plus sensibles, vous devrez vérifier que le cryptage de
disque est activé sur les disques durs des hôtes accédant aux données. Vous pouvez mettre en œuvre cette
politique en créant une règle de sécurité qui autorise l'accès à l'application uniquement si le cryptage de disque
est activé sur le système client. En outre, pour les clients qui ne sont pas en conformité avec cette règle, vous
pouvez créer un message de notification qui alerte les utilisateurs sur les motifs de l'interdiction de l'accès et
fournit des liens vers le partage de fichiers d'où ils peuvent accéder au programme d'installation pour le logiciel
de chiffrement manquant (logiquement, pour autoriser l'utilisateur à accéder à ce partage de fichiers, vous devrez
créer une règle de sécurité correspondante autorisant l'accès au partage spécifique pour les hôtes présentant
cette correspondance de profil HIP spécifique).
 Quelles sont les données que l'agent GlobalProtect collecte ?
 Comment la passerelle utilise-t-elle les informations sur l'hôte pour la mise en œuvre des politiques ?
 De quelle manière les utilisateurs savent-ils si leurs systèmes sont conformes ?
 Comment obtenir une visibilité de l'état des clients finaux ?
Quelles sont les données que l'agent GlobalProtect collecte ?
Par défaut, l'agent logiciel GlobalProtect collecte les données spécifiques des fournisseurs relatives aux offres
groupées de sécurité pour les utilisateurs finaux qui fonctionnent sur l'ordinateur (compilation par le
programme de partenariat global OPSWAT) et rapporte ces données sur la passerelle GlobalProtect pour les
utiliser lors de la mise en œuvre d'une politique.
Comme les logiciels de sécurité doivent constamment évoluer pour garantir la protection de l'utilisateur final,
vos licences de portail et de passerelle GlobalProtect vous permettent aussi d'obtenir des mises à jour
dynamiques pour le fichier de données GlobalProtect avec les dernières versions de correctif et de logiciel qui
sont disponibles pour chaque offre groupée.
Pendant que l'agent logiciel collecte une quantité de données détaillées relatives à l'hôte sur lequel il fonctionne,
vous pouvez avoir des logiciels supplémentaires dont vos utilisateurs finaux ont besoin pour se connecter à votre
réseau ou accéder à certaines ressources. Dans ce cas, vous pouvez définir des vérifications personnalisées qui
indiquent à l'agent logiciel de collecter des informations de registre spécifiques (sur les clients Windows), les
informations de la liste des préférences (Plist) (sur les clients Mac OS), ou de collecter les informations pour
déterminer si des services spécifiques sont exécutés sur l'hôte.

Utiliser les informations sur l'hôte pour la mise en œuvre des politiques À propos des informations sur l'hôte
L'agent logiciel collecte des données sur les catégories d'informations suivantes par défaut, pour permettre
d'identifier l'état de sécurité de l'hôte :
Tableau : Catégories de collecte de données
Général Informations sur l'hôte lui-même, incluant le nom d'hôte, le domaine de connexion,
le système d'exploitation, la version du client, et, pour les systèmes Windows, le
domaine auquel la machine appartient.
Pour le domaine de clients Windows, l'agent GlobalProtect collecte le
domaine défini pour ComputerNameDnsDomain, à savoir le domaine DNS
assigné à l'ordinateur local ou le cluster associé à l'ordinateur local. Ces
données sont celles affichées pour le Domaine de clients Windows
dans les détails du log de correspondances HIP (Surveillance >
Correspondances HIP).
Gestion des correctifs Informations relatives à tous les logiciels de gestion de correctifs qui sont activés
et/ou installés sur l'hôte et indiquant s'il manque certains correctifs.
Pare-feu Informations relatives à tous les pare-feu de client qui sont installés et/ou activés
sur l'hôte.
Antivirus Informations relatives à tous les logiciels anti-virus qui sont activés et/ou installés
sur l'hôte, indiquant si la protection en temps réel est activée, la version des
définitions de virus, le dernier temps de balayage, le nom du fournisseur et du
produit.
Antispyware (protection anti-espion) Informations relatives à tous les logiciels anti-logiciel espion qui sont activés et/ou
installés sur l'hôte, indiquant si la protection en temps réel est activée, la version des
définitions de virus, le dernier temps de balayage, le nom du fournisseur et du
produit.
Sauvegarde du disque Informations indiquant si le logiciel de sauvegarde de disque est installé, le dernier
temps de balayage, le nom du fournisseur et du produit du logiciel.
Cryptage du disque Informations indiquant si le logiciel de cryptage de disque est installé, les disques
et/ou les chemins qui sont configurés pour le cryptage, et le nom du fournisseur et
du produit du logiciel.
Prévention de la perte des données Informations indiquant si le logiciel de prévention des pertes de données (DLP) est
installé et/ou activé pour la prévention de la sortie du réseau d'entreprise des
informations d'entreprise sensibles ou de leur stockage sur des supports
potentiellement non sécurisés. Ces informations sont collectées uniquement auprès
des clients Windows.

Périphérique mobile Informations d'identification relatives au périphérique mobile, telles que le numéro
de modèle, le numéro de téléphone, le numéro de série et le numéro d'identité
internationale d'équipement mobile (IIEM). En outre, l'agent logiciel collecte les
informations relatives aux paramètres spécifiques sur le périphérique, indiquant par
exemple si un code d'activation est défini, si le périphérique est débridé, une liste
d'applications installées sur le périphérique qui sont gérées par le Gestionnaire de
sécurité mobile, si le périphérique contient des applications qui sont réputées pour
contenir des logiciels malveillants (périphériques Android uniquement), et,
facultativement, la localisation GPS du périphérique et une liste d'applications qui
ne sont pas gérées par le Gestionnaire de sécurité mobile. Notez que pour les
périphériques iOS, certaines informations sont collectées par l'application
GlobalProtect et certaines informations sont transmises directement par le système
d'exploitation. Si vous utilisez le Gestionnaire de sécurité mobile GlobalProtect, il
collecte des informations HIP étendues sur les périphériques mobiles recrutés et les
partagent avec les passerelles afin qu'elles soient utilisées pour la mise en œuvre de
politiques. Reportez-vous à la section Activer l'accès passerelle au Gestionnaire de
sécurité mobile pour plus de détails.
Vous pouvez exclure certaines catégories d'informations de la collecte sur certains hôtes (pour économiser les
cycles d'unité centrale et améliorer les temps de réponse des clients). Pour y parvenir, créez une configuration
de client sur le portail en excluant les catégories qui ne vous intéressent pas. Par exemple, si vous n'envisagez
pas de créer une politique basée sur l'exécution du logiciel de sauvegarde de disque par le système client, vous
pouvez exclure cette catégorie et l'agent logiciel ne collectera pas d'informations sur la sauvegarde de disque.
Vous pouvez également choisir d'exclure la collecte d'informations de périphériques personnels à des fins de
confidentialité de l'utilisateur. Ceci peut inclure d'exclure la localisation du périphérique ou une liste d'applications
installées sur le périphérique qui ne sont pas gérées par le Gestionnaire de sécurité mobile (applications personnelles).
Utilisez le Gestionnaire de sécurité mobile pour exclure ces deux types d'informations de la collecte des
périphériques mobiles (Politiques > Informations sur l'hôte > Collecte de données).
Comment la passerelle utilise-t-elle les informations sur l'hôte pour la mise

en œuvre des politiques ?
Pendant que l'agent logiciel récupère les informations indiquant les informations qui doivent être collectées dans
la configuration de client téléchargée depuis le portail, vous définissez les attributs de l'hôte que vous souhaitez
surveiller et/ou utiliser pour la mise en œuvre d'une politique en créant des objets HIP et des profils HIP sur la
ou les passerelles :
 Objets HIP : Ils fournissent des critères de correspondance pour filtrer les informations sur l'hôte que vous
souhaitez utiliser pour mettre en œuvre la politique à partir des données brutes signalées par l'agent. Par
exemple, alors que les données brutes sur l'hôte peuvent inclure des informations sur plusieurs modules
antivirus installés sur le client, vous n'êtes intéressé que par une application particulière dont vous avez
besoin au sein de votre entreprise. Dans ce cas, créez un objet HIP qui doit correspondre à l'application
spécifique que vous souhaitez mettre en œuvre.

Utiliser les informations sur l'hôte pour la mise en œuvre des politiques À propos des informations sur l'hôte
Pour définir les objets HIP dont vous avez besoin, vous devez déterminer comment vous allez utiliser les
informations sur l'hôte collectées pour mettre en œuvre la politique. N'oubliez pas que les objets HIP
forment simplement des blocs qui vous permettent de créer les profils HIP utilisés dans vos politiques de
sécurité. Par conséquent, créez des objets simples, correspondant à une seule chose, telle que la présence d'un
type particulier de logiciel requis, l'appartenance à un domaine spécifique ou la présence d'un certain système
d'exploitation client. Ainsi, vous pouvez créer une politique HIP très granulaire (et très performante).
 Profils HIP : Il s'agit d'une collecte d'objets HIP qui sont évalués ensemble, pour la surveillance ou la mise
en œuvre des politiques de sécurité. Lors de la création de profils HIP, vous pouvez combiner des objets HIP
précédemment créés (ainsi que d'autres profils HIP) à l'aide d'une logique booléenne, notamment lorsqu'un
flux de trafic est évalué en fonction d'un profil HIP auquel il correspond ou non. En cas de correspondance,
la règle de politique correspondante est mise en œuvre ; sinon, le flux est évalué en fonction de la règle
suivante, comme avec tout autre critère de correspondance de politique.
Contrairement au journal de trafic, qui créé une entrée de journal uniquement s'il existe une correspondance de
politique, le journal des correspondances HIP génère une entrée dès que les données brutes soumises par un
agent logiciel correspondent à un objet HIP et/ou un profil HIP que vous avez définis. Cela fait du journal des
correspondances HIP une ressource acceptable pour surveiller l'état des hôtes sur votre réseau au fil du temps,
avant d'associer vos profils HIP aux politiques de sécurité, afin de vous aider à déterminer exactement les
politiques que vous devez mettre en œuvre. Reportez-vous à la section Configurer la mise en œuvre des
politiques basées sur HIP pour plus de détails sur la création d'objets et de profils HIP, et leur utilisation comme
critères de correspondance de politique.
De quelle manière les utilisateurs savent-ils si leurs systèmes sont

conformes ?
Par défaut, aucune information n'est fournie aux utilisateurs finaux sur les décisions de politique qui ont été
prises à l'issue de la mise en œuvre d'une règle de sécurité activée par HIP. Toutefois, vous pouvez activer cette
fonctionnalité en définissant les messages de notification HIP à afficher lorsqu'une correspondance de profil
HIP particulier a été trouvée et/ou lorsqu'aucune correspondance n'a été trouvée.
La décision relative au moment propice pour l'affichage d'un message (c'est-à-dire faut-il l'afficher lorsque la
configuration de l'utilisateur correspond à un profil HIP dans la politique ou lorsqu'elle ne correspond pas), dépend
en grande partie de votre politique et de la signification pour l'utilisateur d'une correspondance de profil HIP (ou
non-correspondance). En effet, est-ce qu'une correspondance signifie qu'ils ont un accès complet à vos ressources
réseau ? Ou est-ce que cela signifie qu'ils ont un accès limité en raison de problèmes liés à la non-conformité ?
Par exemple, examinez les scénarios suivants :
 Vous créez un profil HIP qui correspond si l'antivirus d'entreprise et les progiciels anti-logiciel espion requis ne
sont pas installés. Dans ce cas, vous pourriez créer un message de notification HIP pour les utilisateurs qui
correspondent au profil HIP leur indiquant qu'ils doivent installer le logiciel (et, facultativement, fournir un lien
vers le partage de fichiers d'où ils peuvent accéder au programme d'installation pour le logiciel correspondant).
 Vous créez un profil HIP qui correspond si ces mêmes applications sont installées, vous pourriez créer le message
destiné aux utilisateurs qui ne correspondent pas au profil, et les rediriger vers l'emplacement du module installé.
Reportez-vous à la section Configurer la mise en œuvre des politiques basées sur HIP pour plus de détails sur
la création d'objets et de profils HIP, et leur utilisation dans la définition de messages de notification HIP.

Comment obtenir une visibilité de l'état des clients finaux ?
Lorsqu'un hôte final se connecte à GlobalProtect, l'agent présente ses données HIP à la passerelle. La passerelle utilise
ensuite ces données pour déterminer les objets et/ou les profils HIP auxquels l'hôte correspond. Pour chaque
correspondance, il génère une entrée dans le log de correspondances HIP. Contrairement au journal de trafic, qui créé une
entrée de journal uniquement s'il existe une correspondance de politique, le journal des correspondances HIP génère une
entrée dès que les données brutes soumises par un agent logiciel correspondent à un objet HIP et/ou un profil HIP que
vous avez définis. Cela fait du journal des correspondances HIP une ressource acceptable pour surveiller l'état des hôtes
sur votre réseau au fil du temps, avant d'associer vos profils HIP aux politiques de sécurité, afin de vous aider à déterminer
exactement les politiques que vous devez mettre en œuvre.
Étant donné qu'un log de correspondances HIP n'est généré que lorsque l'état de l'hôte correspond à un objet HIP que
vous avez créé, pour obtenir une visibilité complète de l'état de l'hôte, vous devrez peut-être créer plusieurs objets HIP afin
de journaliser les correspondances HIP d'hôtes conformes à un état particulier (à des fins de mise en œuvre de politiques
de sécurité) ainsi que d'hôtes non conformes (à des fins de visibilité). Par exemple, supposons que vous souhaitez empêcher
un hôte sur lequel aucun logiciel antivirus n'est installé de se connecter au réseau. Dans ce cas, créez un objet HIP qui
correspond aux hôtes sur lesquels un logiciel antivirus spécifique est installé. En incluant cet objet dans un profil HIP et
en l'associant à la règle de politique de sécurité qui autorise l'accès depuis votre zone VPN, vous vous assurez que seuls les
hôtes protégés par un logiciel antivirus peuvent se connecter.
Dans ce cas, vous ne pourrez toutefois pas déterminer, grâce au log de correspondances HIP, les hôtes qui ne sont pas
conformes à cette exigence. Si vous souhaitez également consulter un log des hôtes sur lesquels aucun logiciel antivirus
n'est installé afin de pouvoir suivre les utilisateurs, vous pouvez également créer un objet HIP correspondant à la condition
telle qu'un logiciel antivirus n'est pas installé. Cet objet n'étant nécessaire qu'à des fins de journalisation, vous ne devez pas
nécessairement l'ajouter à un profil HIP ou l'associer à une règle de politique de sécurité.

Utiliser les informations sur l'hôte pour la mise Configurer la mise en œuvre des politiques basées sur HIP
en œuvre des politiques
Configurer la mise en œuvre des politiques basées sur HIP

Pour autoriser l'utilisation des informations sur l'hôte pour la mise en œuvre d'une politique, vous devez
exécuter les étapes suivantes. Pour plus d'informations sur la fonction HIP, reportez-vous à la section À propos
des informations sur l'hôte.
Activer la vérification HIP
Étape 1 Vérifiez que les licences sont appropriées Pour utiliser la fonction HIP, vous devez avoir acheté et installé une
pour les vérifications HIP. licence de portail GlobalProtect sur le pare-feu sur lequel votre
portail est configuré et une licence d'abonnement à la passerelle
GlobalProtect sur chaque passerelle qui effectuera des vérifications
HIP. Pour vérifier le statut de vos licences sur chaque portail et
passerelle, sélectionnez Périphérique > Licences.
Contactez les ingénieurs commerciaux ou le revendeur Palo Alto

Networks si vous ne disposez pas des licences requises. Pour plus
d'informations sur les licences, reportez-vous à la section À propos
des Licences GlobalProtect.

Configurer la mise en œuvre des politiques basées sur HIP Utiliser les informations sur l'hôte pour la mise
Activer la vérification HIP (suite)
Étape 2 (Facultatif) Ce sous-onglet vous permet 1. Sur le pare-feu qui héberge votre portail GlobalProtect,
de définir des informations sélectionnez Réseau > GlobalProtect > Portails.
personnalisées sur l'hôte que l'agent doit 2. Sélectionnez votre configuration de portail pour ouvrir la boîte
collecter. Par exemple, si vous disposez de dialogue Portail GlobalProtect.
d'applications non incluses dans les listes
3. Dans l'onglet Configuration de client, sélectionnez la
de fournisseurs et/ou de produits, qui
configuration de client à laquelle vous souhaitez ajouter une
sont requises pour la création
vérification HIP personnalisée, ou cliquez sur Ajouter pour
d'objets HIP, créez une vérification
créer une nouvelle configuration de client.
personnalisée qui vous permet de
déterminer si l'application est installée (a 4. Sélectionnez Collecte de données > Vérifications
une clé de registre ou Plist personnalisées puis définissez les données que vous souhaitez
correspondante) ou est en cours collecter auprès des hôtes dotés de cette configuration de client
d'exécution (a un processus en cours de la manière suivante :
d'exécution correspondant) : • Pour collecter les informations sur les processus en
cours d'exécution : Sélectionnez l'onglet approprié
Les Étape 2 et Étape 3 présument
(Windows ou Mac) puis cliquez sur Ajouter dans la section
que vous avez déjà créé une
Liste des processus. Saisissez le nom du processus sur lequel
configuration de portail. Si vous
vous souhaitez que l'agent logiciel collecte des informations.
n'avez pas encore configuré votre
portail, reportez-vous à la section • Pour collecter les informations sur les clés de registre
Configurer le portail GlobalProtect spécifiques : Dans l'onglet Windows, cliquez sur Ajouter
pour obtenir les instructions. dans la section Clés de registre. Saisissez la Clé de registre
pour laquelle les données doivent être collectées.
Facultativement, cliquez sur Ajouter pour restreindre la
collecte de données à une valeur ou des valeurs de registre
spécifiques. Cliquez sur OK pour enregistrer les paramètres.
• Pour collecter les informations sur les listes de
propriétés spécifiques : Dans l'onglet Mac, cliquez sur
Ajouter dans la section Plist. Saisissez le Plist pour lequel les
données doivent être collectées. Facultativement, cliquez sur
Ajouter pour restreindre la collecte de données aux valeurs
de Clé spécifiques. Cliquez sur OK pour enregistrer les
paramètres.
5. S'il s'agit d'une nouvelle configuration de client, terminez le reste
de la configuration selon vos besoins. Pour obtenir des
instructions, reportez-vous à la section Définir les
configurations de client GlobalProtect.

Étape 3 (Facultatif ) Excluez des catégories de la 1. Sur le pare-feu qui héberge votre portail GlobalProtect,
collecte. sélectionnez Réseau > GlobalProtect > Portails.
2. Sélectionnez votre configuration de portail pour ouvrir la boîte
de dialogue Portail GlobalProtect.
3. Dans l'onglet Configuration de client, sélectionnez la
configuration de client de laquelle exclure des catégories, ou
cliquez sur Ajouter pour créer une nouvelle configuration de
client.
4. Sélectionnez Collecte des données > Exclure les catégories
puis cliquez sur Ajouter. La boîte de dialogue Modifier la
catégorie à exclure s'affiche.
5. Dans la liste déroulante, sélectionnez la Catégorie que vous
souhaitez exclure.
6. (Facultatif) Si vous souhaitez exclure des fournisseurs et/ou des
produits spécifiques de la collecte dans la catégorie sélectionnée
au lieu d'exclure la catégorie entière, cliquez sur Ajouter. Vous
pouvez ensuite sélectionner le Fournisseur à exclure de la liste
déroulante dans la boîte de dialogue Modifier le fournisseur et,
facultativement, cliquez sur Ajouter pour exclure des produits
spécifiques de ce fournisseur. Lorsque vous avez fini de définir
ce fournisseur, cliquez sur OK. Vous pouvez ajouter de multiples
fournisseurs et produits à la liste d'exclusion.
7. Répétez l'Étape 5 et l'Étape 6 pour chaque catégorie que vous
souhaitez exclure.
8. S'il s'agit d'une nouvelle configuration de client, terminez le reste
de la configuration selon vos besoins. Pour plus d'informations
sur la définition des configurations de client, reportez-vous à la
section Définir les configurations de client GlobalProtect.

Étape 4 Créez les objets HIP pour filtrer les 1. Sur la passerelle (ou sur Panorama si vous envisagez de partager
données brutes sur l'hôte signalées par les les objets HIP entre de multiples passerelles), sélectionnez
agents. Objets > GlobalProtect > Objets HIP puis cliquez sur Ajouter.
Pour définir les objets HIP dont vous 2. Dans l'onglet Général, saisissez un Nom pour l'objet.
avez besoin, vous devez déterminer 3. Sélectionnez l'onglet correspondant à la catégorie
comment vous allez utiliser les d'informations sur l'hôte qui vous intéressent et cochez la case
informations sur l'hôte collectées pour pour activer la mise en correspondance de l'objet avec la
mettre en œuvre la politique. N'oubliez catégorie. Par exemple, pour créer un objet qui cherche des
pas que les objets HIP forment informations sur le logiciel anti-virus, sélectionnez l'onglet
simplement des blocs qui vous Anti-virus puis cochez la case Anti-virus pour activer les
permettent de créer les profils HIP champs correspondants. Remplissez les champs pour définir les
utilisés dans vos politiques de sécurité. Par critères de correspondance souhaités. Par exemple, la capture
conséquent, créez des objets simples, d'écran suivante illustre comment vous pouvez créer un objet
correspondant à une seule chose, telle que qui correspondra si l'application Symantec Norton AntiVirus
la présence d'un type particulier de logiciel 2004 Professional est installée, si la protection en temps réel est
requis, l'appartenance à un domaine activée, et si des définitions de virus qui ont été mises à jour au
spécifique ou la présence d'un certain cours des 5 derniers jours sont installées.
système d'exploitation client. Ainsi, vous
pouvez créer une politique HIP très
granulaire (et très performante).
Pour plus d'informations sur un
champ ou une catégorie HIP
spécifique, consultez la section Aide
en ligne.
Répétez cette étape pour chaque catégorie que vous souhaitez

faire correspondre dans cet objet. Pour plus d'informations,
reportez-vous à la section Tableau : Catégories de collecte de
données.
4. Cliquez sur OK pour enregistrer l'objet HIP.
5. Répétez ces étapes pour créer chaque objet HIP supplémentaire

Étape 5 Créez les profils HIP que vous envisagez 1. Sur la passerelle (ou sur Panorama si vous envisagez de partager
d'utiliser dans vos politiques. les profils HIP entre de multiples passerelles), sélectionnez
Objets > GlobalProtect > Profils HIP puis cliquez sur Ajouter.
Lors de la création de profils HIP, vous
pouvez combiner des objets HIP 2. Saisissez un Nom descriptif pour le profil et facultativement une
précédemment créés (ainsi que d'autres Description.
profils HIP) à l'aide d'une logique 3. Cliquez sur Ajouter un critère de correspondance pour ouvrir
booléenne, notamment lorsqu'un flux de le générateur de profils/d'objets HIP.
trafic est évalué en fonction d'un profil 4. Sélectionnez le premier profil ou objet HIP que vous souhaitez
HIP auquel il correspond ou non. En cas utiliser comme critère de correspondance, puis cliquez sur
de correspondance, la règle de politique Ajouter pour le déplacer vers la zone de texte Faire
correspondante est mise en œuvre ; sinon, correspondre de la boîte de dialogue Profil HIP. N'oubliez pas
le flux est évalué en fonction de la règle que, si vous souhaitez que le profil HIP évalue l'objet comme
suivante, comme avec tout autre critère de correspondance uniquement lorsque le critère de l'objet n'est
correspondance de politique. pas vrai pour un flux, vous devez cocher la case NE PAS avant
d'ajouter l'objet.
5. Continuez d'ajouter des critères de correspondance appropriés

pour le profil que vous créez, en vous assurant de sélectionner
la case d'option de l'opérateur booléen correspondant (ET ou
OU) entre chaque ajout (et en cochant la case NE PAS, le cas
échéant).
6. Si vous créez une expression booléenne complexe, vous devez
ajouter manuellement les parenthèses aux bons endroits dans la
zone de texte Faire correspondre pour que le profil HIP soit
évalué à l'aide de la logique booléenne souhaitée. Par exemple, le
profil HIP suivant correspond au trafic d'un hôte qui dispose du
cryptage de disque FileVault (pour les systèmes
d'exploitation Mac) ou TrueCrypt (pour les systèmes
d'exploitation Windows), et appartient aussi au domaine requis
et sur lequel un client antivirus Symantec est installé :
7. Lorsque vous avez fini d'ajouter les critères de correspondance,

cliquez sur OK pour enregistrer le profil.
8. Répétez ces étapes pour créer chaque profil HIP supplémentaire

Étape 6 Vérifiez que les objets HIP et les profils Sur la ou les passerelles auxquelles vos utilisateurs GlobalProtect
HIP que vous avez créés correspondent à sont connectés, sélectionnez Surveiller > Journaux >
votre trafic de clients GlobalProtect Correspondances HIP. Ce journal présente toutes les
comme prévu. correspondances que la passerelle a identifiées lors de l'évaluation
des données HIP brutes signalées par les agents par rapport aux
Songez à surveiller les objets et les
objets HIP et aux profils HIP définis. Contrairement aux autres
profils HIP comme procédé de
journaux, une correspondance HIP n'exige pas de correspondance
surveillance de l'état de sécurité et
de politique de sécurité pour l'ouverture de session.
de l'activité des terminaux de vos
hôtes. En surveillant les
informations sur l'hôte dans le
temps, vous comprendrez mieux où
se situent vos problèmes de sécurité
et de conformité et vous pouvez
utiliser ces informations pour vous
guider dans la création d'une
politique utile. Pour plus
d'informations, reportez-vous à la
section Comment obtenir une
visibilité de l'état des clients
finaux ?.
Étape 7 Activez l'ID utilisateur des zones source 1. Sélectionnez Réseau > Zones.
contenant les utilisateurs GlobalProtect 2. Cliquez sur le Nom de la zone dans laquelle vous souhaitez
qui enverront des requêtes qui nécessitent autoriser l'agent User-ID à ouvrir la boîte de dialogue.
des contrôles d'accès basés sur HIP. Vous
3. Cochez la case Activer l'identification des utilisateurs, puis
devez activer l'User-ID même si vous ne
cliquez sur OK.
prévoyez pas d'utiliser la fonction
d'identification de l'utilisateur ; sinon le
pare-feu ne générera aucune entrée de log
de correspondances HIP.
Étape 8 (Facultatif) Configurez les passerelles Pour obtenir des instructions, reportez-vous à la section Activer
pour collecter les rapports HIP sur le l'accès passerelle au Gestionnaire de sécurité mobile.
Cette étape ne s'applique que si vous
utilisez le Gestionnaire de sécurité mobile
GlobalProtect pour gérer des
périphériques mobiles et que vous
souhaitez utiliser les données HIP
étendues collectées par le Gestionnaire de
sécurité mobile pour la mise en œuvre de
politiques de sécurité sur la passerelle.

Étape 9 Créez les règles de sécurité activées par Ajoutez les profils HIP à vos règles de sécurité :
HIP sur vos passerelles. 1. Sélectionnez Politiques > Sécurité et sélectionnez la règle à
Selon la procédure recommandée, vous laquelle vous souhaitez ajouter un profil HIP.
devez créer vos règles de sécurité et tester 2. Dans l'onglet Source, vérifiez que la Zone Source est une zone
leur correspondance avec les flux attendus pour laquelle vous avez activé l'ID utilisateur à l'Étape 7.
d'après les critères source et de destination 3. Dans l'onglet Utilisateur, cliquez sur Ajouter dans la section
comme prévu avant d'ajouter vos profils Profils HIP et sélectionnez le ou les profil(s) HIP que vous
HIP. Ainsi, vous serez plus à même de souhaitez ajouter à la règle (vous pouvez ajouter jusqu'à
déterminer l'inclusion appropriée des règles 63 profils HIP à une règle).
activées par HIP au sein de la politique. 4. Cliquez sur OK pour enregistrer la règle.

Étape 10 Ce sous-onglet vous permet de définir les 1. Sur le pare-feu qui héberge vos passerelles GlobalProtect,
messages de notification à afficher aux sélectionnez Réseau > GlobalProtect > Passerelles.
utilisateurs finaux lorsqu'une règle de 2. Sélectionnez une configuration de passerelle précédemment
sécurité dotée d'un profil HIP est mise en définie pour ouvrir la boîte de dialogue Passerelles
œuvre. GlobalProtect.
La décision relative au moment propice 3. Sélectionnez Configuration de client > Notification HIP puis
pour l'affichage d'un message (c'est-à-dire cliquez sur Ajouter.
faut-il l'afficher lorsque la configuration 4. Sélectionnez le Profil HIP que ce message applique dans la liste
de l'utilisateur correspond à un profil HIP déroulante.
dans la politique ou lorsqu'elle ne
correspond pas), dépend en grande partie
correspondre message, si vous souhaitez afficher le message
de votre politique et de la signification
lorsque le profil HIP correspondant trouve une correspondance
pour l'utilisateur d'une correspondance de
dans la politique ou lorsqu'il n'en trouve pas. Dans certains cas,
profil HIP (ou non-correspondance). En
vous pourriez créer des messages à la fois pour une
effet, est-ce qu'une correspondance
correspondance et pour une non-correspondance, en fonction
signifie qu'ils ont un accès complet à vos
des objets que vous souhaitez faire correspondre et des objectifs
ressources réseau ? Ou est-ce que cela
que vous avez définis pour la politique. Pour l'option
signifie qu'ils ont un accès limité en raison
Correspondre au message, vous pouvez également activer
de problèmes liés à la non-conformité ?
l'option Inclure la liste des applications correspondantes
Par exemple, supposons que vous créez dans le message pour indiquer les applications qui ont
un profil HIP qui correspond si l'antivirus déclenché la correspondance HIP.
d'entreprise et les progiciels anti-logiciel 6. Cochez la case Activer et choisissez si vous souhaitez afficher le
espion requis ne sont pas installés. Dans message comme un Message en incrustation ou comme une
ce cas, vous pourriez créer un message de Bulle de la zone de notification.
notification HIP pour les utilisateurs qui
7. Saisissez le texte de votre message dans la zone de texte Modèle
correspondent au profil HIP leur
puis cliquez sur OK. La zone de texte fournit à la fois un
indiquant qu'ils doivent installer le
affichage WYSIWYG du texte et un affichage HTML source,
logiciel. Comme autre solution possible, si
entre lesquels vous pouvez alterner à l'aide de l'icône Modifier
votre profil HIP correspondait si ces
source . La barre d'outils fournit aussi de nombreuses
mêmes applications sont installées, vous
options pour le formatage de votre texte et pour la création des
pourriez créer le message destiné aux
liens hypertextes vers des documents externes, par exemple
utilisateurs qui ne correspondent pas au
un lien pour les utilisateurs directement vers l'URL de
profil.
téléchargement pour un programme requis.
8. Répétez cette procédure pour chaque message que vous

souhaitez définir.

Étape 11 Vérifiez que vos profils HIP fonctionnent Vous pouvez surveiller quel trafic touche vos politiques activées par
comme prévu. HIP à l'aide du journal Trafic de la manière suivante :
1. Depuis la passerelle, sélectionnez Surveiller > Journaux >
Trafic.
2. Filtrez le journal pour afficher uniquement le trafic qui
correspond à la règle qui contient le profil HIP associé que vous
souhaitez surveiller. Par exemple, pour chercher le trafic qui
correspond à une règle de sécurité nommée « Applications
iOS » vous devrez saisir ( rule eq 'iOS Apps' ) dans la zone
de texte du filtre de la manière suivante :

Collecter des données d'application et de processus sur des clients Utiliser les informations sur l'hôte pour la mise
Collecter des données d'application et de processus sur

des clients
Le registre Windows et le Plist Mac peuvent être utilisés pour configurer et stocker des paramètres et des options
pour les systèmes d'exploitation Windows et Mac, respectivement. Vous pouvez créer une vérification
personnalisée qui vous permet de déterminer si une application est installée (a une clé de registre ou plist
correspondante) ou est en cours d'exécution (a un processus en cours d'exécution correspondant) sur un client
Windows ou Mac. L'activation des vérifications personnalisées demande à l'agent GlobalProtect de collecter des
informations de registre spécifiques (clés de registre et valeurs de clé de registre de clients Windows), des
informations de liste de préférences (plist) (plist et clés de plist de clients Mac OS). Les données que vous
définissez pour être collectées dans une vérification personnalisée sont incluses dans les données d'informations
sur l'hôte brutes collectées par l'agent GlobalProtect, puis envoyées à la passerelle GlobalProtect lorsque l'agent
se connecte.
Pour surveiller les données collectées avec des vérifications personnalisées, vous pouvez créer un objet HIP.
Vous pouvez ensuite ajouter l'objet HIP à un profil HIP afin d'utiliser les données collectées pour mettre en
correspondance les données et le trafic de périphérique, et mettre en œuvre des règles de sécurité. La passerelle
peut utiliser l'objet HIP (correspondant aux données définies dans la vérification personnalisée) pour filtrer les
informations sur l'hôte brutes envoyées par l'agent. Lorsque la passerelle met en correspondance des données
de client et un objet HIP, une entrée du log de correspondances HIP est générée pour les données. Un profil
HIP permet également à la passerelle de mettre en correspondance les données collectées et une règle de
sécurité. Si le profil HIP est utilisé en tant que critère d'une règle de politique de sécurité, la passerelle mettra en
œuvre cette règle de sécurité sur le trafic correspondant.
Utilisez la tâche suivante pour activer des vérifications personnalisées afin de collecter des données sur des
clients Windows et Mac. Cette tâche inclut les étapes facultatives de création d'un objet HIP et d'un profil HIP
pour une vérification personnalisée, si vous souhaitez utiliser des données client en tant que critères de
correspondance d'une politique de sécurité afin de surveiller, d'identifier et d'agir sur du trafic.
Pour plus d'informations sur la définition des paramètres d'agent directement dans le registre
Windows ou le plist Mac global, reportez-vous à la section Déployer les paramètres de l'agent de
façon transparente.

Utiliser les informations sur l'hôte pour la mise Collecter des données d'application et de processus sur des clients
Activer et contrôler les vérifications personnalisées pour des clients Windows ou Mac
Étape 1 Activez l'agent GlobalProtect pour qu'il Collectez des données sur un client Windows :
collecte des informations de registre 1. Sélectionnez Réseau > GlobalProtect > Portails >
Windows sur des clients Windows ou des Configuration de client > Collecte de données > Vérifications
informations Plist sur des clients Mac. personnalisées > Windows.
Le type d'informations collectées peut 2. Ajoutez la clé de registre sur laquelle vous souhaitez collecter
inclure le fait qu'une application est des informations. Si vous souhaitez limiter la collecte de
installée ou non sur le client, ou des données à une valeur contenue dans cette clé de registre, ajoutez
attributs ou propriétés spécifiques de la Valeur de registre correspondante.
cette application.
Cette étape permet à l'agent de signaler
des données sur les applications et les
paramètres du client. (L'Étape 5 et
l'Étape 6 vous indiquent comment
surveiller et utiliser les données signalées
afin d'identifier ou d'agir sur du trafic de
périphérique donné).
Collectez des données sur un client Mac :
1. Sélectionnez Réseau > GlobalProtect > Portails >
Configuration de client > Collecte de données > Vérifications
personnalisées > Mac.
2. Ajoutez le Plist sur lequel vous souhaitez collecter des
informations et la Clé de Plist correspondante pour déterminer
si l'application est installée :
.
Par exemple, ajoutez le Plist com.apple.screensaver et la Clé

askForPassword pour collecter des informations sur le fait
qu'un mot de passe est requis pour réactiver le client Mac après
le lancement de l'économiseur d'écran :
Vérifiez que le Plist et la Clé sont ajoutés aux vérifications

personnalisées Mac :

Activer et contrôler les vérifications personnalisées pour des clients Windows ou Mac (suite)
Étape 2 (Facultatif) Vérifiez si un processus 1. Continuez à partir de l'Étape 1 de l'onglet Vérifications
spécifique est exécuté sur le client. personnalisées (Réseau > GlobalProtect > Portails >
Configuration de client > Collecte de données), puis
sélectionnez l'onglet Windows ou Mac.
2. Ajoutez le nom du processus sur lequel vous souhaitez collecter
des informations dans la Liste des processus.
Étape 3 Enregistrez la vérification personnalisée. Cliquez sur OK et sur Valider pour enregistrer les modifications.
Étape 4 Vérifiez que l'agent GlobalProtect Pour les clients Windows :
collecte les données définies dans la
Sur un client Windows, double-cliquez sur l'icône GlobalProtect
vérification personnalisée sur le client.
dans la barre des tâches, puis cliquez sur l'onglet État de l'hôte pour
consulter les informations collectées par l'agent GlobalProtect sur le
client Windows. Sous la liste déroulante des vérifications
personnalisées, vérifiez que les données que vous avez définies pour
la collecte à l'Étape 7 sont affichées :
Pour les clients Mac :

Sur un client Mac, cliquez sur l'icône GlobalProtect dans la barre de
menus, cliquez sur Affichage avancé, puis sur État de l'hôte pour
consulter les informations collectées par l'agent GlobalProtect sur le
client Mac. Sous la liste déroulante des vérifications personnalisées,
vérifiez que les données que vous avez définies pour la collecte à
l'Étape 7 sont affichées :

Utiliser les informations sur l'hôte pour la mise Collecter des données d'application et de processus sur des clients
Étape 5 (Facultatif) Créez un objet HIP 1. Sélectionnez Objets > GlobalProtect > Objets HIP et ajoutez un
correspondant à une clé de registre Objet HIP.
(Windows) ou un Plist (Mac). Ceci peut 2. Sélectionnez et activez des Vérifications personnalisées.
vous permettre de filtre les informations
sur l'hôte brutes collectées par l'agent Pour les clients Windows :
GlobalProtect afin de surveiller les 3. Pour rechercher une clé de registre spécifique sur les
données de la vérification personnalisée. clients Windows, sélectionnez Clé de registre et ajoutez le
registre pour la mise en correspondance. Pour identifier
Grâce à un objet HIP défini pour les
uniquement des clients qui ne disposent pas de la clé de registre
données de vérification personnalisée, la
définie, sélectionnez La clé n'existe pas ou ne correspond pas
passerelle mettra en correspondance les
aux données de la valeur définies.
données brutes envoyées par l'agent avec
l'objet HIP ; et une entrée du log des 4. Pour la mise en correspondance avec des valeurs spécifiques
correspondances HIP est générée pour dans la clé de registre, cliquez sur Ajouter, puis saisissez la valeur
les données (Surveillance > de registre et les données de la valeur. Pour identifier des clients
Correspondances HIP). qui ne disposent clairement pas de la valeur ou des données de
la valeur définies, cochez la case Inverser.
5. Cliquez sur OK pour enregistrer l'objet HIP. Vous pouvez Valider

pour consulter les données des logs Correspondances HIP au
prochain archivage du périphérique, ou passer à l'Étape 6.
Pour les clients Mac :

3. Sélectionnez l'onglet Plist et ajoutez et saisissez le nom du Plist
dans lequel vous souhaitez vérifier les clients Mac. (Si vous
souhaitez plutôt mettre en correspondance des clients Mac qui
ne disposent pas du Plist défini, continuez en sélectionnant Le
Plist n'existe pas.
4. (Facultatif) Vous pouvez mettre en correspondance du trafic
avec une paire clé/valeur spécifique dans le Plist en saisissant la
Clé et la Valeur correspondante. (Par ailleurs, si vous souhaitez
identifier des clients qui ne disposent pas d'une clé et d'une
valeur spécifique, vous pouvez continuer en sélectionnant
Inverser après avoir renseigné les champs Clé et Valeur).
5. Cliquez sur OK pour enregistrer l'objet HIP. Vous pouvez Valider

pour consulter les données des logs Correspondances HIP au
prochain archivage du périphérique, ou passer à l'Étape 6.

Étape 6 (Facultatif) Créez un profil HIP pour que 1. Sélectionnez Objets > GlobalProtect > Profil HIP.
l'objet HIP créé à l'Étape 5 soit évalué par 2. Cliquez sur Ajouter un critère de correspondance pour ouvrir
rapport au trafic. le générateur de profils/d'objets HIP.
Le profil HIP peut être ajouté à une 3. Sélectionnez l'Objet HIP que vous souhaitez utiliser comme
politique de sécurité en tant que critère de correspondance, puis déplacez-le vers la zone Faire
vérification supplémentaire pour le trafic correspondre de la boîte de dialogue Profil HIP.
correspondant à cette politique. Lorsque 4. Lorsque vous avez terminé d'ajouter les objets au nouveau
le trafic est mis en correspondance avec le profil HIP, cliquez sur OK et sur Valider.
profil HIP, la règle de politique de sécurité
est mise en œuvre sur le trafic.
Pour plus d'informations sur la création
d'un profil HIP, reportez-vous à la section
Configurer la mise en œuvre des
politiques basées sur HIP.
Étape 7 Ajoutez le profil HIP à une politique de Sélectionnez Politiques > Sécurité et ajoutez ou modifiez une
sécurité de sorte que les données collectées politique de sécurité. Accédez à l'onglet Utilisateur pour ajouter un
avec la vérification personnalisée puissent profil HIP à la politique. Pour plus de détails sur les composants des
être utilisées pour faire correspondre et politiques de sécurité et l'utilisation de politiques de sécurité pour
agir sur du trafic. faire correspondre et agir sur du trafic, reportez-vous à Politique de
sécurité.

Configurations rapides GlobalProtect
Les sections suivantes fournissent des instructions pas à pas pour la configuration de certains déploiements
GlobalProtect communs :
 VPN d'accès à distance (Profil d'authentification)
 VPN d'accès à distance (profil de certificat)
 VPN d'accès à distance avec l'authentification à deux facteurs
 Configuration de VPN toujours active
 VPN d'accès à distance avec pré-ouverture de session
 Configuration de plusieurs passerelles GlobalProtect
 GlobalProtect pour l'archivage HIP interne et l'accès basé sur l'utilisateur
 Configuration mixte de passerelles internes et externes

VPN d'accès à distance (Profil d'authentification) Configurations rapides GlobalProtect
VPN d'accès à distance (Profil d'authentification)

Sur la Figure : VPN GlobalProtect pour l'accès à distance, le portail et la passerelle GlobalProtect sont tous deux
configurés sur ethernet1/2 qui est l'interface physique sur laquelle les clients GlobalProtect se connectent. Dès
que les clients ont établi la connexion et réussi à s'authentifier sur le portail et la passerelle, le logiciel établit un
tunnel VPN depuis sa carte virtuelle, à laquelle une adresse a été assignée dans la réserve d'adresses IP associée
à la configuration de tunnel.2 de passerelle : 10.31.32.3-10.31.32.118 dans cet exemple. Comme les tunnels VPN
GlobalProtect se terminent dans une zone corp-vpn séparée, vous avez une visibilité du trafic VPN ainsi que la
capacité à personnaliser la politique de sécurité pour les utilisateurs distants.
Regardez la vidéo.
Figure : VPN GlobalProtect pour l'accès à distance
La procédure suivante présente les étapes de configuration pour cet exemple. Vous pouvez également regarder
la vidéo.
Configuration rapide : Accès à distance VPN
Étape 1 Créer des interfaces et des zones pour • Sélectionnez Réseau > Interfaces > Ethernet et configurez
GlobalProtect. ethernet1/2 comme une interface Ethernet de couche 3 avec
l'adresse IP 199.21.7.42, puis assignez-la à la zone l3-non
Utilisez le routeur virtuel par
approuvée et au routeur virtuel par défaut.
défaut pour toutes les
configurations d'interface pour • Créez un dossier « A » DNS qui mappe l'adresse IP 199.21.7.42 en
éviter d'avoir à créer un routage gp.acme.com.
inter-zone. • Sélectionnez Réseau > Interfaces > Tunnel et ajoutez l'interface
de tunnel.2, puis ajoutez-la à une nouvelle zone appelée corp-vpn.
Assignez-la au routeur virtuel par défaut.
• Activez l'identification de l'utilisateur sur la zone corp-vpn.

Configurations rapides GlobalProtect VPN d'accès à distance (Profil d'authentification)
Configuration rapide : Accès à distance VPN (suite)
Étape 2 Créez une politique de sécurité pour 1. Sélectionnez Politiques > Sécurité, puis cliquez sur Ajouter
autoriser le flux de trafic entre la zone pour ajouter une nouvelle règle.
corp-vpn et la zone l3-de confiance pour 2. Pour cet exemple, vous devriez définir la règle avec les
autoriser l'accès à vos ressources internes. paramètres suivants :
• Nom : Accès VPN
• Zone source : corp-vpn
• Zone de destination : I3-de confiance
Étape 3 Obtenez un certificat de serveur pour Sélectionnez Périphérique > Gestion des certificats > Certificats
l'interface hébergeant le portail et la pour gérer les certificats de la manière suivante :
passerelle GlobalProtect en utilisant l'une • Obtenez un certificat de serveur. Comme le portail et la passerelle
des méthodes suivantes : sont sur la même interface, le même certificat de serveur peut être
• (Recommandée) Importez un certificat utilisé pour les deux composants.
de serveur depuis une AC
• Le CN du certificat doit correspondre au FQDN, gp.acme.com.
indépendante reconnue.
• Générez un certificat de serveur • Pour permettre aux clients de se connecter au portail sans recevoir
auto-signé. d'erreur de certificat, utilisez un certificat de serveur généré par
une AC publique.
Étape 4 Créez un profil de serveur. Créez le profil de serveur pour la connexion au serveur LDAP :
Périphérique > Profils de serveur > LDAP
comment se connecter au service
d'authentification. Les méthodes
d'authentification locale, RADIUS,
Kerberos, et LDAP sont prises en charge.
Cet exemple décrit un profil
d'authentification LDAP pour
authentifier les utilisateurs par rapport à
Active Directory.

VPN d'accès à distance (Profil d'authentification) Configurations rapides GlobalProtect
Configuration rapide : Accès à distance VPN (suite)
Étape 5 Créez un profil d'authentification. Associez le profil de serveur à un profil d'authentification :

Périphérique > Profil d'authentification.
Étape 6 Configurer une passerelle GlobalProtect. Sélectionnez Réseau > GlobalProtect > Portails et ajoutez la
configuration suivante :
Interface : ethernet1/2
Adresse IP : 199.21.7.42
Certificat de serveur : GP-serveur-cert.pem généré par Go Daddy
Profil d'authentification : Corp-LDAP
Interface de tunnel : tunnel.2
Réserve IP : 10.31.32.3 - 10.31.32.118
Étape 7 Configurer le portail GlobalProtect. Sélectionnez Réseau > GlobalProtect > Portails et ajoutez la
1. Paramétrer l'accès au portail GlobalProtect. Cet exemple utilise
les paramètres suivants :
Adresse IP : 199.21.7.42
2. Définir les configurations de client GlobalProtect en utilisant les
paramètres suivants :
Méthode de connexion : à la demande
Adresse de passerelle externe : gp.acme.com
Étape 8 Déployer l'agent logiciel GlobalProtect. Sélectionnez Périphérique > Client GlobalProtect.
Dans cet exemple, utilisez la procédure pour Héberger les mises à
jour logicielles sur le portail.
Étape 9 (Facultatif) Activez l'utilisation de Achetez et installez un abonnement à la passerelle GlobalProtect

l'application mobile GlobalProtect. (Périphérique > Licences) pour activer l'utilisation de l'application.

GlobalProtect.

Configurations rapides GlobalProtect VPN d'accès à distance (profil de certificat)
VPN d'accès à distance (profil de certificat)

Lors de l'authentification des utilisateurs par l'authentification du certificat, le client doit présenter un certificat
client unique qui identifie l'utilisateur final pour se connecter à GlobalProtect. Lorsqu'il est utilisé en tant que
procédure d'authentification unique, le certificat que le client présente doit contenir le nom d'utilisateur dans
l'un des champs du certificat ; en général le nom d'utilisateur correspond au nom commun (CN) dans le champ
Sujet du certificat. Dès que l'authentification a réussi, le logiciel GlobalProtect établit un tunnel VPN avec la
passerelle et une adresse IP lui est assignée depuis la réserve IP dans la configuration de tunnel de passerelle.
Pour activer la mise en œuvre d'une politique basée sur l'utilisateur lors des sessions depuis la zone corp-vpn, le
nom d'utilisateur figurant sur le certificat est mappé en l'adresse IP assignée par la passerelle. Si un nom de
domaine est requis pour la mise en œuvre d'une politique, la valeur domaine indiquée dans le profil de certificat
est apposée près du nom d'utilisateur.
Figure : Configuration de l'authentification du certificat client GlobalProtect
Cette configuration rapide utilise la même topologie que la Figure : VPN GlobalProtect pour l'accès à distance.
L'unique différence de configuration est que, à la place de l'authentification des utilisateurs sur un serveur
d'authentification externe, cette configuration utilise l'authentification du certificat client uniquement.
Configuration rapide : VPN d'accès à distance avec l'authentification du certificat client
l'adresse IP 199.21.7.42, puis assignez-la à la zone de sécurité
l3-non approuvée et au routeur virtuel par défaut.

VPN d'accès à distance (profil de certificat) Configurations rapides GlobalProtect
Configuration rapide : VPN d'accès à distance avec l'authentification du certificat client (suite)
une AC publique.
Étape 4 Générez des certificats clients sur les 1. Utilisez votre PKI d'entreprise ou une AC publique pour
machines des utilisateurs GlobalProtect. générer un certificat client unique pour chaque utilisateur
GlobalProtect.
Étape 5 Créez un profil de certificat client. 1. Sélectionnez Périphérique > Gestion des certificats > Profil
de certificat, puis cliquez sur Ajouter pour saisir un Nom de
profil tel que GP-client-cert.
2. Sélectionnez Sujet dans la liste déroulante Champ Nom
d'utilisateur.
3. Cliquez sur Ajouter dans la section Certificats AC, sélectionnez
le Certificat AC qui a généré les certificats clients, et cliquez sur
OK deux fois.

Configurations rapides GlobalProtect VPN d'accès à distance (profil de certificat)
Configuration rapide : VPN d'accès à distance avec l'authentification du certificat client (suite)
Étape 6 Configurer une passerelle GlobalProtect. Sélectionnez Réseau > GlobalProtect > Passerelles et ajoutez la
Consultez le diagramme de la topologie
présenté sur la Figure : VPN Interface : ethernet1/2
GlobalProtect pour l'accès à distance. Adresse IP : 199.21.7.42
Profil du certificat : GP-client-cert
Réserve IP : 10.31.32.3 - 10.31.32.118
1. Paramétrer l'accès au portail GlobalProtect :
Adresse IP : 199.21.7.42
Certificat de serveur : GP-serveur-cert.pem généré par Go
Daddy
2. Définir les configurations de client GlobalProtect :


GlobalProtect.

VPN d'accès à distance avec l'authentification à deux facteurs Configurations rapides GlobalProtect
VPN d'accès à distance avec l'authentification à deux

facteurs
Lorsque vous configurez un portail et/ou une passerelle GlobalProtect dotés à la fois d'un profil
d'authentification et d'un profil de certificat (ce que l'on appelle l'authentification à deux facteurs), l'utilisateur
final doit obligatoirement s'être authentifié sur les deux pour que l'accès lui soit accordé. Pour l'authentification
du portail, cela signifie que les certificats doivent être pré-déployés sur les clients finaux avant leur connexion
initiale au portail. En outre, les certificats présentés par les clients doivent correspondre à ce qui est défini dans
le profil de certificat.
 Si le profil de certificat ne prévoit pas un champ Nom d'utilisateur (à savoir que le Champ Nom d'utilisateur
est défini sur Aucun), le certificat client n'a pas besoin d'avoir un nom d'utilisateur. Dans ce cas, le client doit
fournir le nom d'utilisateur lorsqu'il s'authentifie par rapport au profil d'authentification.
 Si le profil de certificat indique un champ Nom d'utilisateur, le certificat que le client présente doit contenir
un nom d'utilisateur dans le champ correspondant. Par exemple, si le profil de certificat indique que le champ
Nom d'utilisateur est le sujet, le certificat présenté par le client doit contenir une valeur dans le champ Nom
commun ; sinon, l'authentification échouera. En outre, lorsque le champ Nom d'utilisateur est requis, la
valeur figurant dans le champ Nom d'utilisateur du certificat est automatiquement renseignée par le nom
d'utilisateur si l'utilisateur tente de saisir des informations d'identification pour s'authentifier sur le profil
d'authentification. Si vous ne souhaitez pas forcer les utilisateurs à s'authentifier avec un nom d'utilisateur
figurant sur le certificat, ne prévoyez pas de champ Nom d'utilisateur dans le profil de certificat.
Cette configuration rapide utilise la même topologie que la Figure : VPN GlobalProtect pour l'accès à distance.
Toutefois, dans cette configuration, les clients doivent s'authentifier par rapport à un profil de certificat et un
profil d'authentification. Pour plus d'informations sur un type spécifique d'authentification à deux facteurs,
reportez-vous aux rubriques suivantes :
 Activer l'authentification à deux facteurs

 Activer l'authentification à deux facteurs basée sur les mots de passe à usage unique (OTP)
 Activer l'authentification à deux facteurs basée sur les cartes à puce intelligentes

Configurations rapides GlobalProtect VPN d'accès à distance avec l'authentification à deux facteurs
Configuration rapide : VPN d'accès à distance avec l'authentification à deux facteurs
une AC publique.
Étape 4 Générez des certificats clients sur les 1. Utilisez votre PKI d'entreprise ou une AC publique pour
machines des utilisateurs GlobalProtect. générer un certificat client unique pour chaque utilisateur
GlobalProtect.

VPN d'accès à distance avec l'authentification à deux facteurs Configurations rapides GlobalProtect
Configuration rapide : VPN d'accès à distance avec l'authentification à deux facteurs (suite)
Étape 5 Créez un profil de certificat client. 1. Sélectionnez Périphérique > Gestion des certificats > Profil
de certificat, puis cliquez sur Ajouter pour saisir un Nom de
profil tel que GP-client-cert.
2. Indiquez dans quel emplacement le nom d'utilisateur qui sera
utilisé pour authentifier l'utilisateur final peut être récupéré :
• Auprès de l'utilisateur : Si vous souhaitez que l'utilisateur
final fournisse un nom d'utilisateur lorsqu'il s'authentifie sur
le service indiqué dans le profil d'authentification,
sélectionnez Aucun comme Champ Nom d'utilisateur.
• Sur le certificat : Si vous souhaitez extraire le nom
d'utilisateur du certificat, sélectionnez Sujet comme Champ
Nom d'utilisateur. Si vous utilisez cette option, le CN
contenu dans le certificat sera automatiquement renseigné
par le champ Nom d'utilisateur lorsque l'utilisateur est invité
à ouvrir une session sur le portail/passerelle et l'utilisateur
devra obligatoirement se connecter en utilisant ce même nom
d'utilisateur.
3. Cliquez sur Ajouter dans la section Certificats AC, sélectionnez
le Certificat AC qui a généré les certificats clients, et cliquez sur
OK deux fois.
Étape 6 Créez un profil de serveur. Créez le profil de serveur pour la connexion au serveur LDAP :
Périphérique > Profils de serveur > LDAP
comment se connecter au service
d'authentification. Les méthodes
d'authentification locale, RADIUS,
Kerberos, et LDAP sont prises en charge.
Cet exemple décrit un profil
d'authentification LDAP pour
authentifier les utilisateurs par rapport à
Active Directory.
Étape 7 Créez un profil d'authentification. Associez le profil de serveur à un profil d'authentification :

Périphérique > Profil d'authentification.

Configurations rapides GlobalProtect VPN d'accès à distance avec l'authentification à deux facteurs
Configuration rapide : VPN d'accès à distance avec l'authentification à deux facteurs (suite)
Réserve IP : 10.31.32.3 - 10.31.32.118
Adresse IP : 199.21.7.42
Certificat de serveur : GP-serveur-cert.pem généré par
Go Daddy


GlobalProtect.

Configuration de VPN toujours active Configurations rapides GlobalProtect
Configuration de VPN toujours active

Dans une configuration GlobalProtect « toujours active », le logiciel se connecte au portail GlobalProtect dès
l'ouverture de session de l'utilisateur pour soumettre les informations sur l'utilisateur et sur l'hôte et recevoir la
configuration de client. Puis, il établit automatiquement le tunnel VPN vers la passerelle indiquée dans la
configuration de client fournie par le portail sans intervention de l'utilisateur final comme décrit dans
l'illustration suivante.
Pour faire basculer certaines des configurations VPN d'accès à distance précédentes sur une configuration
toujours active, vous devez simplement changer la méthode de connexion :
 VPN d'accès à distance (Profil d'authentification)
 VPN d'accès à distance (profil de certificat)
 VPN d'accès à distance avec l'authentification à deux facteurs
Basculer sur une configuration « toujours active »
1. Sélectionnez Réseau > GlobalProtect > Portails puis choisissez la configuration du portail à ouvrir.
2. Sélectionnez l'onglet Configuration de client puis sélectionnez la configuration de client que vous souhaitez
modifier.
3. Sélectionnez connexion de l'utilisateur comme Méthode de connexion. Répétez cette procédure pour chaque
configuration de client.
4. Cliquez sur OK deux fois pour enregistrer la configuration de client et la configuration du portail puis Validez les
modifications.

Configurations rapides GlobalProtect VPN d'accès à distance avec pré-ouverture de session
VPN d'accès à distance avec pré-ouverture de session

La méthode de connexion avec pré-ouverture de session GlobalProtect est une fonction qui permet à
GlobalProtect d'authentifier l'agent et d'établir le tunnel VPN vers la passerelle GlobalProtect en utilisant un
certificat machine pré-installé avant l'ouverture de session de l'utilisateur. Comme le tunnel est déjà établi, les
scripts de domaine peuvent être exécutés lorsque l'utilisateur se connecte au lieu d'utiliser les informations
d'identification mises en cache.
Avant l'ouverture de session de l'utilisateur, aucun nom d'utilisateur n'est associé au trafic. Par conséquent, pour
autoriser le système client à accéder aux ressources dans la zone de confiance, vous devez créer des politiques
de sécurité qui correspondent à l'utilisateur en pré-ouverture de session. Ces politiques doivent autoriser l'accès
uniquement aux services de base qui sont indispensables pour démarrer le système, tels que DHCP, DNS, Active
Directory (pour modifier un mot de passe expiré par exemple), antivirus et/ou aux services de mise à jour du
système d'exploitation. Puis, après que l'utilisateur s'est connecté au système et authentifié, le tunnel VPN est
renommé pour inclure le nom d'utilisateur de sorte que la politique basée sur l'utilisateur et le groupe puisse être
mise en œuvre.
Les systèmes Windows et Mac se comportent différemment dans une configuration de

pré-ouverture de session. Contrairement au comportement Windows décrit ci-dessus, sur un
système Mac OS, le tunnel est déconnecté lorsque l'utilisateur se connecte, puis un nouveau
tunnel est établi.
Avec la pré-ouverture de session, dès qu'un logiciel se connecte au portail pour la première fois, l'utilisateur final
doit s'authentifier (soit via un profil d'authentification soit via un profil de certificat configuré pour valider un
certificat client contenant un nom d'utilisateur). À l'issue de l'authentification, le portail pousse la configuration
de client sur l'agent avec un témoin de connexion qui sera utilisé pour l'authentification du portail et recevoir
l'actualisation de la configuration. Puis, dès qu'un système client tente de se connecter en mode pré-ouverture
de session, il doit utiliser un témoin de connexion pour s'authentifier sur le portail et recevoir sa configuration
de client en pré-ouverture de session. Puis, il se connecte à la passerelle indiquée dans la configuration et
s'authentifie en présentant son certificat machine (tel qu'il figure dans un profil de certificat configuré sur la
passerelle) et établit le tunnel VPN.
Par la suite, lorsque l'utilisateur final se connecte et que l'ouverture de session unique est activée dans la
configuration de client, le nom d'utilisateur et le mot de passe sont capturés lors de la connexion et utilisés pour
l'authentification sur la passerelle de sorte que le tunnel puisse être renommé (Windows). Si l'ouverture de
session unique n'est pas activée dans la configuration de client ou si elle n'est pas prise en charge par le système
client (un système Mac OS par exemple), les informations d'identification de l'utilisateur doivent être stockées
dans l'agent (pour cela, la case Se souvenir de moi doit être cochée dans l'agent). Une fois l'authentification
réussie sur la passerelle, le tunnel est renommé (Windows) ou recréé (Mac) et la politique basée sur l'utilisateur
et le groupe peut être mise en œuvre.

VPN d'accès à distance avec pré-ouverture de session Configurations rapides GlobalProtect
Cet exemple utilise la topologie GlobalProtect illustrée sur la Figure : VPN GlobalProtect pour l'accès à
distance.
Configuration rapide : VPN d'accès à distance avec pré-ouverture de session

Configuration rapide : VPN d'accès à distance avec pré-ouverture de session (suite)
Étape 2 Créez les règles de politique de sécurité. Cette configuration nécessite les politiques suivantes (Politiques >
Sécurité) :
• Premièrement, créez une règle qui autorise l'accès utilisateur en
pré-ouverture de session aux services de base qui sont
indispensables pour que l'ordinateur marche, tels que les services
d'authentification, DNS, DHCP, et de mises à jour Microsoft
Updates.
• Deuxièmement, créez une règle pour autoriser l'accès entre la
zone corp-vpn et la zone l3-de confiance à tout utilisateur reconnu
après que l'utilisateur s'est connecté.
une AC publique.
Étape 4 Générez un certificat machine pour 1. Générez des certificats clients sur les machines des utilisateurs
chaque système client qui doit se GlobalProtect.
connecter à GlobalProtect et importez-le 2. Installez les certificats dans la boutique des certificats
dans le magasin de certificats personnels personnels sur les systèmes clients. (dans le magasin de
sur chaque machine. l'ordinateur local sur Windows ou dans System Keychain sur
Même si vous pouvez générer des Mac OS)
certificats auto-signés pour chaque
système client, selon la procédure
recommandée, vous devez utiliser votre
propre infrastructure à clés publiques
(PKI) pour générer et distribuer les
certificats à vos clients.

VPN d'accès à distance avec pré-ouverture de session Configurations rapides GlobalProtect
Étape 5 Importez le certificat AC racine de 1. Téléchargez le certificat AC au format Base64.

confiance à partir de l'AC ayant généré les 2. Importez le certificat sur chaque pare-feu hébergeant un portail
certificats machines sur le portail et les ou une passerelle de la manière suivante :
passerelles :
a. Sélectionnez Périphérique > Gestion des certificats >
Vous n'avez pas besoin d'importer Certificats > Certificats de périphérique, puis cliquez sur
la clé privée. Importer.
b. Saisissez un nom de certificat identifiant le certificat comme
étant votre certificat AC client.
c. Accédez au Fichier du certificat que vous avez téléchargé de
l'AC.
d. Sélectionnez Certificat codé en base-64 (PEM) comme
Format du fichier, puis cliquez sur OK.
e. Sélectionnez le certificat que vous venez d'importer dans
l'onglet Certificats de périphérique pour l'ouvrir.
f. Sélectionnez AC racine de confiance, puis cliquez sur OK.
Étape 6 Sur chaque pare-feu hébergeant une 1. Sélectionnez Périphérique > Certificats > Gestion des
passerelle GlobalProtect, créez un profil certificats > Profil de certificat et cliquez sur Ajouter puis
de certificat pour identifier quel certificat saisissez un Nom pour identifier de façon unique le profil, tel
AC doit être utilisé pour valider les que PreLogonCert.
certificats machines de client. 2. Définissez le Champ Nom d'utilisateur sur Aucun.
Facultativement, si vous envisagez 3. (Facultatif) Si vous devez aussi utiliser l'authentification du
d'utiliser l'authentification du certificat certificat client pour authentifier les utilisateurs dès l'ouverture
client pour authentifier les utilisateurs de session, ajoutez le certificat AC qui a généré les certificats
lorsqu'ils se connectent au système, clients s'il est différent de celui qui a généré les certificats
assurez-vous que le certificat AC qui machines.
génère les certificats clients est référencé 4. Dans le champ Certificats de l'autorité de certification,
dans le profil de certificat en plus du cliquez sur Ajouter, sélectionnez le certificat AC racine de
certificat AC qui a généré les certificats confiance que vous avez importé à l'Étape 5, puis cliquez
machines s'ils sont différents. sur OK.
Même si vous devez créer un profil de Certificat de serveur : GP-serveur-cert.pem généré par Go Daddy
certificat pour l'accès pré-ouverture de Profil du certificat : PreLogonCert
session sur la passerelle, vous pouvez
utiliser soit l'authentification du certificat Profil d'authentification : Corp-LDAP
client soit l'authentification basée sur le Interface de tunnel : tunnel.2
profil d'authentification pour les Réserve IP : 10.31.32.3 - 10.31.32.118
utilisateurs connectés. Dans cet exemple,
le profil LDAP utilisé est le même que Valider la configuration de passerelle.
celui qui est utilisé pour authentifier les
utilisateurs sur le portail.

Pour cette configuration, créez deux
configurations de client : une qui sera
transmise à l'agent dès que l'utilisateur ne Interface : ethernet1/2
sera pas connecté (Utilisateur/Groupe Adresse IP : 199.21.7.42
d'utilisateurs défini sur pré-ouverture de Certificat de serveur : GP-serveur-cert.pem généré par
session) et une qui sera transmise dès que Go Daddy
l'utilisateur sera connecté
(Utilisateur/Groupe d'utilisateurs défini Profil du certificat: Aucun
sur tous). Vous souhaiterez peut-être Profil d'authentification : Corp-LDAP
limiter l'accès passerelle à une seule 2. Définir les configurations de client GlobalProtect pour les
passerelle pour les utilisateurs en utilisateurs en pré-ouverture de session et pour les utilisateurs
pré-ouverture de session, tout en connectés :
fournissant l'accès à plusieurs passerelles Première configuration de client :
pour les utilisateurs connectés.
Méthode de connexion : pré-ouverture de session
Selon la procédure recommandée, Adresse de passerelle externe : gp.acme.com
vous devez activer l'ouverture de
Utilisateur/Groupe d'utilisateurs : pré-ouverture de session
session unique dans la seconde
configuration de client pour Modificateur d'authentification : Authentification basée sur
garantir que le nom d'utilisateur témoin de connexion pour l'actualisation de la configuration
correct est transmis à la passerelle Seconde configuration de client :
aussitôt que l'utilisateur se connecte Utiliser l'ouverture de session unique : activée
à la machine. Si l'ouverture de
Méthode de connexion : pré-ouverture de session
session unique n'est pas activée, le
nom d'utilisateur enregistré dans le Adresse de passerelle externe : gp.acme.com
panneau des paramètres de l'agent Utilisateur/Groupe d'utilisateurs : tous
logiciel GlobalProtect sera utilisé. Modificateur d'authentification : Authentification basée sur
témoin de connexion pour l'actualisation de la configuration
3. Vérifiez que la configuration de client en pré-ouverture de
session est la première affichée dans la liste des configurations.
Si tel n'est pas le cas, sélectionnez-la et cliquez sur Remonter.

GlobalProtect.

Configuration de plusieurs passerelles GlobalProtect Configurations rapides GlobalProtect
Configuration de plusieurs passerelles GlobalProtect

Sur la Figure : Topologie de plusieurs passerelles GlobalProtect, une seconde passerelle externe a été ajoutée à
la configuration. Plusieurs passerelles sont prises en charge dans tous les exemples précédents de configuration.
Les étapes supplémentaires comprennent l'installation d'une licence de portail GlobalProtect pour activer
l'utilisation de plusieurs passerelles et la configuration du second pare-feu ainsi que de la passerelle
GlobalProtect. En outre, lors de la configuration des configurations de client qui seront déployées par le portail,
vous pouvez décider si vous autorisez l'accès à toutes les passerelles, ou indiquer des passerelles différentes pour
des configurations différentes.
Si une configuration de client contient plusieurs passerelles, l'agent logiciel tentera de se connecter à toutes les
passerelles répertoriées dans sa configuration de client. L'agent logiciel utilise ensuite les règles de priorité et le
temps de réponse pour déterminer à quelle passerelle il doit se connecter.
Figure : Topologie de plusieurs passerelles GlobalProtect

Configurations rapides GlobalProtect Configuration de plusieurs passerelles GlobalProtect
Configuration rapide : Configuration de plusieurs passerelles GlobalProtect
Étape 1 Créer des interfaces et des zones pour Sur le pare-feu hébergeant le portail /la passerelle (gw1) :
GlobalProtect. • Sélectionnez Réseau > Interfaces > Ethernet et configurez
Dans cette configuration, vous devez ethernet1/2 comme une interface Ethernet de couche 3 avec
configurer des interfaces sur chaque l'adresse IP 198.51.100.42, puis assignez-la à la zone de sécurité
pare-feu hébergeant une passerelle. l3-non approuvée et au routeur virtuel par défaut.
Utilisez le routeur virtuel par • Créez un dossier « A » DNS qui mappe l'adresse IP 198.51.100.42
en gp1.acme.com.
configurations d'interface pour • Sélectionnez Réseau > Interfaces > Tunnel et ajoutez l'interface
éviter d'avoir à créer un routage de tunnel.2, puis ajoutez-la à une nouvelle zone appelée corp-vpn.
inter-zone. Assignez-la au routeur virtuel par défaut.
Sur le pare-feu hébergeant la seconde passerelle (gw2) :

• Sélectionnez Réseau > Interfaces > Ethernet et configurez
ethernet1/5 comme une interface Ethernet de couche 3 avec
l'adresse IP 192.0.2.4, puis assignez-la à la zone de sécurité l3-non
• Créez un dossier « A » DNS qui mappe l'adresse IP 192.0.2.4 en
gp2.acme.com.
• Sélectionnez Réseau > Interfaces > Tunnel et ajoutez l'interface
Étape 2 Achetez et installez une licence de portail Après avoir acheté la licence de portail et reçu votre code
GlobalProtect sur le pare-feu hébergeant d'activation, installez la licence sur le pare-feu hébergeant le portail
le portail. Cette licence est requise pour de la manière suivante :
activer une configuration de multiples 1. Sélectionnez Périphérique > Licences.
passerelles. 2. Sélectionnez Activer la fonction à l'aide du code
Vous aurez aussi besoin d'un d'autorisation.
abonnement à la passerelle 3. Lorsque vous y êtes invité, saisissez le Code d'autorisation, puis
GlobalProtect sur chaque passerelle cliquez OK.
si certains de vos utilisateurs 4. Vérifiez que la licence ait été activée avec succès.
doivent utiliser l'application
GlobalProtect sur leurs
périphériques mobiles ou si vous
envisagez d'utiliser une politique de
sécurité activée par HIP.
Étape 3 Sur chaque pare-feu hébergeant une Cette configuration nécessite des règles de sécurité pour autoriser le
passerelle GlobalProtect, créez une flux de trafic entre la zone corp-vpn et la zone l3-de confiance pour
politique de sécurité. autoriser l'accès à vos ressources internes (Politiques > Sécurité).

Configuration de plusieurs passerelles GlobalProtect Configurations rapides GlobalProtect
Configuration rapide : Configuration de plusieurs passerelles GlobalProtect (suite)
Étape 4 Obtenez les certificats de serveur pour les Sur chaque pare-feu hébergeant un portail/passerelle ou une
interfaces hébergeant votre portail passerelle, sélectionnez Périphérique > Gestion des certificats >
GlobalProtect et chacune de vos Certificats pour gérer les certificats de la manière suivante :
passerelles GlobalProtect en suivant les • Obtenez un certificat de serveur pour le portail/gw1. Comme le
recommandations suivantes : portail et la passerelle sont sur la même interface, vous devez
• (Sur le pare-feu hébergeant le portail utiliser le même certificat de serveur. Le CN du certificat doit
ou le portail/passerelle) Importez un correspondre au FQDN, gp1.acme.com. Pour permettre aux
certificat de serveur depuis une AC clients de se connecter au portail sans recevoir d'erreur de
indépendante reconnue. certificat, utilisez un certificat de serveur généré par une AC
• (Sur le pare-feu hébergeant publique.
uniquement une passerelle) Générez • Obtenez un certificat de serveur pour l'interface hébergeant gw2.
un certificat de serveur auto-signé. Comme cette interface héberge uniquement une passerelle, vous
pouvez utiliser un certificat auto-signé. Le CN du certificat doit
correspondre au FQDN, gp2.acme.com.
Étape 5 Définissez comment vous authentifierez Vous pouvez utiliser toutes les combinaisons de profils de certificat
les utilisateurs sur le portail et les et/ou de profils d'authentification nécessaires pour garantir la
passerelles. sécurité de vos portail et passerelles. Les portails et les passerelles
individuelles peuvent aussi utiliser des schémas d'authentification
différents. Reportez-vous aux sections suivantes pour les
instructions pas à pas :
• Configurer l'authentification externe (profil d'authentification)
• Configurer l'authentification du certificat client (profil du
certificat)
• Configurer l'authentification à deux facteurs (basée sur un jeton
ou mot de passe à usage unique)
Vous devrez ensuite référencer le profil de certificat et/ou les profils
d'authentification que vous avez définis dans les configurations de
portail et de passerelle que vous définissez.
Étape 6 Configurez les passerelles. Cet exemple décrit la configuration pour gp1 et gp2 illustrées sur la
Figure : Topologie de plusieurs passerelles GlobalProtect.
Reportez-vous à la section Configurer une passerelle GlobalProtect
pour les instructions pas à pas relatives à la création des
configurations de passerelle.
Sur le pare-feu hébergeant gp1, configurez les Sur le pare-feu hébergeant gp2, configurez les paramètres de
paramètres de passerelle de la manière suivante : passerelle de la manière suivante :
Sélectionnez Réseau > GlobalProtect > Sélectionnez Réseau > GlobalProtect > Passerelles et ajoutez la
Passerelles et ajoutez la configuration suivante : configuration suivante :
Interface : ethernet1/2 Interface : ethernet1/2
Adresse IP : 198.51.100.42 Adresse IP : 192.0.2.4
Certificat de serveur : GP1-serveur-cert.pem Certificat de serveur : certificat auto-signé,
généré par Go Daddy GP2-serveur-cert.pem
Interface de tunnel : tunnel.2 Interface de tunnel : tunnel.1
Réserve IP : 10.31.32.3 - 10.31.32.118 Réserve IP : 10.31.33.3 - 10.31.33.118

Configurations rapides GlobalProtect Configuration de plusieurs passerelles GlobalProtect
Configuration rapide : Configuration de plusieurs passerelles GlobalProtect (suite)
Adresse IP : 198.51.100.42
Certificat de serveur : GP1-serveur-cert.pem généré par
Go Daddy
Le nombre de configurations de client que vous créez dépend de
vos conditions d'accès spécifique, indiquant notamment si vous
exigez une politique basée sur l'utilisateur/groupe et/ou la mise
en œuvre d'une politique activée par HIP.
Étape 9 Enregistrez la configuration Cliquez sur Valider sur le pare-feu hébergeant le portail et la ou les
GlobalProtect. passerelle(s).

GlobalProtect pour l'archivage HIP interne et l'accès basé sur l'utilisateur Configurations rapides GlobalProtect
GlobalProtect pour l'archivage HIP interne et l'accès basé

sur l'utilisateur
Lorsqu'elle est utilisée en association avec l'ID utilisateur et/ou les archivages HIP, une passerelle interne peut
être utilisée pour fournir une méthode sécurisée et précise d'identification et de contrôle du trafic par utilisateur
et/ou état du périphérique, remplaçant d'autres services de contrôle d'accès réseau (NAC). Les passerelles
internes sont utiles dans des environnements fragiles où l'accès authentifié aux ressources vitales est requis.
Dans une configuration pour passerelles internes uniquement, tous les clients doivent être configurés avec
ouverture de session de l'utilisateur ; le mode à la demande n'est pas pris en charge. En outre, il vous est
recommandé de configurer toutes les configurations de client pour utiliser l'ouverture de session unique.
De même, comme les hôtes internes n'ont pas besoin d'établir une connexion tunnel avec la passerelle, l'adresse
IP de la carte réseau physique sur le système client est utilisée.
Dans cette configuration rapide, les passerelles internes sont utilisées pour mettre en œuvre des politiques basées
sur le groupe qui autorisent les utilisateurs appartenant au groupe Ingénierie à accéder au contrôle de la source
interne et aux bases de données des bogues et les utilisateurs appartenant au groupe Finance aux applications
GRC. Tous les utilisateurs qui se sont authentifiés ont accès aux ressources Web internes. En outre, les profils
HIP configurés sur la passerelle vérifient chaque hôte pour garantir la conformité aux conditions de
maintenance interne, par exemple si les derniers correctifs de sécurité et les dernières définitions antivirus sont
installés, si le cryptage de disque est activé, ou si le logiciel requis est installé.
Figure : Configuration de passerelles internes GlobalProtect

Configurations rapides GlobalProtect GlobalProtect pour l'archivage HIP interne et l'accès basé sur l'utilisateur
Configuration rapide : Configuration de passerelles internes GlobalProtect
Étape 1 Créer des interfaces et des zones pour Sur chaque pare-feu hébergeant un portail/passerelle :
GlobalProtect. 1. Sélectionnez un port Ethernet pour héberger le
portail/passerelle, puis configurez une interface de couche 3
Dans cette configuration, vous devez
avec une adresse IP dans la zone de sécurité l3-de confiance
configurer des interfaces sur chaque
(Réseau > Interfaces > Ethernet).
pare-feu hébergeant un portail et/ou une
passerelle. Comme cette configuration 2. Activer l'identification de l'utilisateur sur la zone l3-de
utilise des passerelles internes confiance.
uniquement, vous devez configurer le
portail et les passerelles sur des interfaces
sur le réseau interne.
configurations d'interface pour
éviter d'avoir à créer un routage
inter-zone.
Étape 2 Achetez et installez une licence de portail

Après avoir acheté la licence de portail et reçu votre code
GlobalProtect sur le pare-feu hébergeant
d'activation, installez la licence sur le pare-feu hébergeant le portail
les abonnements au portail et à la
de la manière suivante :
passerelle pour chaque pare-feu
hébergeant une passerelle interne. Cette 1. Sélectionnez Périphérique > Licences.
licence est requise pour activer une 2. Sélectionnez Activer la fonction à l'aide du code
configuration de passerelle interne et d'autorisation.
activer les archivages HIP. 3. Lorsque vous y êtes invité, saisissez le Code d'autorisation, puis
cliquez OK.
4. Vérifiez que la licence ait été activée avec succès.

Configuration rapide : Configuration de passerelles internes GlobalProtect (suite)
Étape 3 Obtenez les certificats de serveur pour le La marche à suivre recommandée est la suivante :
portail GlobalProtect et chaque passerelle 1. Sur le pare-feu hébergeant le portail :
GlobalProtect. a. Importez un certificat de serveur depuis une AC
Pour se connecter au portail pour la indépendante reconnue.
première fois, les clients finaux doivent b. Créer le certificat AC racine pour générer les certificats AC
valider le certificat AC racine utilisé pour auto-signés pour les composants GlobalProtect.
générer le certificat de serveur du portail.
Vous pouvez soit utiliser un certificat c. Générez un certificat de serveur auto-signé. Répétez cette
auto-signé sur le portail et déployer le étape pour chaque passerelle.
certificat AC racine sur les clients finaux 2. Sur chaque pare-feu hébergeant une passerelle interne :
avant la première connexion au portail, a. Déployez les certificats de serveur auto-signés.
soit obtenir un certificat de serveur pour
le portail auprès d'une AC de confiance.
Vous pouvez utiliser des certificats
auto-signés sur les passerelles.
certificat)

Configurations rapides GlobalProtect GlobalProtect pour l'archivage HIP interne et l'accès basé sur l'utilisateur
Étape 5 Créez les profils HIP dont vous aurez 1. Créez les objets HIP pour filtrer les données brutes sur l'hôte
besoin pour mettre en œuvre une signalées par les agents.Par exemple, si vous souhaitez prévenir
politique de sécurité sur l'accès passerelle. les utilisateurs qui ne sont pas à jour des correctifs requis, vous
pourriez créer un objet HIP à faire correspondre si le logiciel de
Reportez-vous à la section Utiliser les
gestion de correctifs est installé et que tous les correctifs avec
une sévérité donnée sont à jour.
œuvre des politiques pour plus
d'informations sur les
correspondances HIP.
2. Créez les profils HIP que vous envisagez d'utiliser dans vos
politiques.
Par exemple, si vous souhaitez garantir que seuls les utilisateurs
Windows dont les correctifs sont à jour peuvent accéder à vos
applications internes, vous pourriez associer le profil HIP
suivant qui correspond aux hôtes à qui il NE manque PAS de
correctif :
Étape 6 Configurez les passerelles internes. Sélectionnez Réseau > GlobalProtect > Passerelles et ajoutez les
• Interface
• Adresse IP
• Certificat du serveur
• Profil d'authentification et/ou Profil de configuration
Remarquez qu'il n'est pas nécessaire de configurer les paramètres de
configuration de client dans les configurations de passerelle (sauf si
vous souhaitez paramétrer des notifications HIP) parce que les
connexions tunnel ne sont pas requises. Reportez-vous à la section
Configurer une passerelle GlobalProtect pour les instructions pas à
pas relatives à la création des configurations de passerelle.

Même si toutes les configurations
précédentes peuvent utiliser une
Méthode de connexion par Interface : ethernet1/2
ouverture de session de Adresse IP : 10.31.34.13
l'utilisateur ou à la demande, une Certificat de serveur : GP-serveur-cert.pem généré par Go
configuration de passerelle interne Daddy avec le CN=gp.acme.com
doit toujours être active et exige par
conséquent une Méthode de 2. Créer une configuration de client GlobalProtect :
connexion par ouverture de Utiliser l'ouverture de session unique : activée
session de l'utilisateur. Méthode de connexion : ouverture de session de l'utilisateur
Adresse de passerelle interne : california.acme.com,
newyork.acme.com
Utilisateur/Groupe d'utilisateurs : tous
3. Valider la configuration de portail.
Étape 9 Créez les règles de sécurité activées par Ajoutez les règles de sécurité suivantes pour cet exemple :
HIP et/ou basées sur l'utilisateur/groupe 1. Sélectionnez Politiques > Sécurité, puis cliquez sur Ajouter.
sur vos passerelles. 2. Dans l'onglet Source, définissez la Zone source sur l3-de
confiance.
3. Dans l'onglet Utilisateur, ajoutez le profil HIP et
l'utilisateur/groupe à faire correspondre.
• Cliquez sur Ajouter dans la section Profils HIP et
sélectionnez le profil HIP Correctif manquant.
• Cliquez sur Ajouter dans la section Utilisateur source et
sélectionnez le groupe (Finance ou Ingénierie en fonction de
la règle que vous créez).
4. Cliquez sur OK pour enregistrer la règle.
5. Valider la configuration de passerelle.

Configurations rapides GlobalProtect Configuration mixte de passerelles internes et externes
Configuration mixte de passerelles internes et externes

Dans une configuration mixte de passerelles internes et externes GlobalProtect, vous configurez des passerelles
distinctes pour l'accès VPN et pour l'accès à vos ressources internes sensibles. Avec cette configuration, les
agents effectuent la détection des hôtes internes pour déterminer s'ils sont sur le réseau interne ou externe.
Si l'agent logiciel détermine qu'il est sur le réseau externe, il tentera de se connecter aux passerelles externes
répertoriées dans sa configuration de client et il établira une connexion (tunnel) VPN avec la passerelle offrant
le niveau de priorité optimal et le temps de réponse le plus court.
Comme les politiques de sécurité sont définies séparément sur chaque passerelle, vous avez un contrôle
granulaire sur les ressources auxquelles vos utilisateurs externes et internes ont accès. En outre, vous avez aussi
un contrôle granulaire sur les passerelles auxquelles les utilisateurs ont accès en configurant le portail pour
déployer différentes configurations de client basées sur l'utilisateur ou l'appartenance à un groupe ou basées sur
les correspondances de profil HIP.
Dans cet exemple, les portails et les trois passerelles (une externe et deux internes) sont déployés sur des
pare-feu distincts. La passerelle externe à gpvpn.acme.com permet l'accès VPN à distance au réseau d'entreprise
tandis que les passerelles internes permettent un accès granulaire aux ressources sensibles de centre de données
basé sur l'appartenance à un groupe. En outre, les archivages HIP sont utilisés pour garantir que les hôtes
accédant au centre de données sont à jour des correctifs de sécurité.
Figure : Déploiement de GlobalProtect avec des passerelles internes et externes

Configuration mixte de passerelles internes et externes Configurations rapides GlobalProtect
Configuration rapide : Configuration mixte de passerelles internes et externes GlobalProtect
Étape 1 Créer des interfaces et des zones pour Sur le pare-feu hébergeant la passerelle du portail (gp.acme.com) :
GlobalProtect. • Sélectionnez Réseau > Interfaces > Ethernet et configurez
Dans cette configuration, vous devez ethernet1/2 comme une interface Ethernet de couche 3 avec
configurer des interfaces sur le pare-feu l'adresse IP 198.51.100.42, puis assignez-la à la zone de sécurité
hébergeant un portail et chaque pare-feu l3-non approuvée et au routeur virtuel par défaut.
hébergeant une passerelle. • Créez un dossier « A » DNS qui mappe l'adresse IP 198.51.100.42
Utilisez le routeur virtuel en gp.acme.com.
par
défaut pour toutes les • Sélectionnez Réseau > Interfaces > Tunnel et ajoutez l'interface
configurations d'interface pour de tunnel.2, puis ajoutez-la à une nouvelle zone appelée corp-vpn.
éviter d'avoir à créer un routage Assignez-la au routeur virtuel par défaut.
inter-zone.
Sur le pare-feu hébergeant la passerelle externe (gpvpn.acme.com) :

ethernet1/5 comme une interface Ethernet de couche 3 avec
l'adresse IP 192.0.2.4, puis assignez-la à la zone de sécurité l3-non
• Créez un dossier « A » DNS qui mappe l'adresse IP 192.0.2.4 en
gpvpn.acme.com.
• Sélectionnez Réseau > Interfaces > Tunnel et ajoutez l'interface
Sur le pare-feu hébergeant les passerelles externes (california.acme.com

et newyork.acme.com) :
l'interface Ethernet de couche 3 avec les adresses IP sur le réseau
interne, puis assignez-les à la zone de sécurité l3-de confiance et
au routeur virtuel par défaut.
• Créez un dossier « A » DNS qui mappe les adresses IP internes
california.acme.com et newyork.acme.com.
• Activez l'identification de l'utilisateur sur la zone l3-de confiance.

Configuration rapide : Configuration mixte de passerelles internes et externes GlobalProtect (suite)
Étape 2 Achetez et installez une licence de portail Après avoir acheté la licence de portail et les abonnements aux
GlobalProtect sur le pare-feu hébergeant passerelles et reçu votre code d'activation, installez la licence sur le
les abonnements au portail et aux pare-feu hébergeant le portail et installez les abonnements aux
passerelles pour chaque pare-feu passerelles sur les pare-feu hébergeant vos passerelles de la manière
hébergeant une passerelle (interne et suivante :
externe). 1. Sélectionnez Périphérique > Licences.
2. Sélectionnez Activer la fonction à l'aide du code
d'autorisation.
3. Lorsque vous y êtes invité, saisissez le Code d'autorisation, puis
cliquez OK.
4. Vérifiez que la licence et les abonnements ont été activés avec
succès.
Étape 3 Obtenez les certificats de serveur pour le La marche à suivre recommandée est la suivante :
portail GlobalProtect et chaque passerelle 1. Sur le pare-feu hébergeant le portail :
GlobalProtect. a. Importez un certificat de serveur depuis une AC
Pour se connecter au portail pour la indépendante reconnue.
première fois, les clients finaux doivent b. Créer le certificat AC racine pour générer les certificats AC
valider le certificat AC racine utilisé pour auto-signés pour les composants GlobalProtect.
générer le certificat de serveur du portail.
c. Générez un certificat de serveur auto-signé. Répétez cette
Vous pouvez utiliser des certificats étape pour chaque passerelle.
auto-signés sur les passerelles et déployer
2. Sur chaque pare-feu hébergeant une passerelle interne :
le certificat AC racine sur les agents dans
la configuration de client. La procédure • Déployez les certificats de serveur auto-signés.
recommandée consiste à générer tous les
certificats sur le pare-feu hébergeant le
portail et à les déployer sur les passerelles.
certificat)

Étape 5 Créez les profils HIP dont vous aurez 1. Créez les objets HIP pour filtrer les données brutes sur l'hôte
besoin pour mettre en œuvre une signalées par les agents.Par exemple, si vous souhaitez prévenir
politique de sécurité sur l'accès passerelle. les utilisateurs qui ne sont pas à jour des correctifs requis, vous
pourriez créer un objet HIP à faire correspondre si le logiciel de
Reportez-vous à la section Utiliser les
gestion de correctifs est installé et que tous les correctifs avec
une sévérité donnée sont à jour.
œuvre des politiques pour plus
d'informations sur les
correspondances HIP.
2. Créez les profils HIP que vous envisagez d'utiliser dans vos
politiques.
Par exemple, si vous souhaitez garantir que seuls les utilisateurs
Windows dont les correctifs sont à jour peuvent accéder à vos
applications internes, vous pourriez associer le profil HIP
suivant qui correspond aux hôtes à qui il NE manque PAS de
correctif :
Étape 6 Configurez les passerelles internes. Sélectionnez Réseau > GlobalProtect > Passerelles et ajoutez les
• Interface
• Adresse IP
• Certificat du serveur
• Profil d'authentification et/ou Profil de configuration
Remarquez qu'il n'est pas nécessaire de configurer les paramètres de
configuration de client dans les configurations de passerelle (sauf si
vous souhaitez paramétrer des notifications HIP) parce que les
connexions tunnel ne sont pas requises. Reportez-vous à la section
Configurer une passerelle GlobalProtect pour les instructions pas à
pas relatives à la création des configurations de passerelle.

Même si cet exemple décrit comment
créer une configuration de client unique
qui sera déployée sur tous les agents, vous Interface : ethernet1/2
pouvez choisir de créer des configurations Adresse IP : 10.31.34.13
distinctes pour des utilisateurs différents Certificat de serveur : GP-serveur-cert.pem généré par Go
et de les déployer en fonction du nom de Daddy avec le CN=gp.acme.com
l'utilisateur/groupe et/ou du système
d'exploitation que l'agent 2. Créer une configuration de client GlobalProtect :
logiciel/application utilise (Android, iOS, Détection d'hôte interne : activée
Mac, ou Windows). Utiliser l'ouverture de session unique : activée
Méthode de connexion : ouverture de session de l'utilisateur
Adresse de passerelle externe : gpvpn.acme.com
Adresse de passerelle interne : california.acme.com,
newyork.acme.com
Utilisateur/Groupe d'utilisateurs : tous
3. Valider la configuration de portail.
Étape 9 Créez des règles de politique de sécurité • Créez une politique de sécurité (Politiques > Sécurité) pour
sur chaque passerelle pour autoriser autoriser le flux de trafic entre la zone corp-vpn et la zone l3-de
l'accès en toute sécurité aux applications confiance.
aux utilisateurs de votre VPN.
• Créez des règles de sécurité activées par HIP et basées sur
l'utilisateur/groupe pour autoriser un accès granulaire à vos
ressources de centre de données internes.
• Pour la visibilité, créez des règles qui autorisent tous vos
utilisateurs à accéder par la navigation Web à la zone l3-non
approuvée, en utilisant les profils de sécurité par défaut pour vous
protéger contre les menaces connues.
Étape 10 Enregistrez la configuration Cliquez sur Valider sur le portail et toutes les passerelles.
GlobalProtect.


Guide de L'Administrateur Globalprotect

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guide de L'Administrateur Globalprotect

Transféré par

Droits d'auteur :

Formats disponibles

Guide de l'administrateur GlobalProtect

Palo Alto Networks

Palo Alto Networks, Inc.

Date de révision : mai 22, 2015

Vue d'ensemble de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

Configurer l'infrastructure GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

Guide de l'administrateur GlobalProtect iii

Gérer les périphériques mobiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

Gérer les applications et données de l'entreprise avec un App Store

iv Guide de l'administrateur GlobalProtect

Configurations rapides GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Guide de l'administrateur GlobalProtect v

Guide de l'administrateur GlobalProtect 1

À propos des composants GlobalProtect

2 Guide de l'administrateur GlobalProtect

Guide de l'administrateur GlobalProtect 3

Gestionnaire de sécurité mobile GlobalProtect

Le Gestionnaire de sécurité mobile GlobalProtect permet la gestion, la visibilité, et le déploiement automatisé

4 Guide de l'administrateur GlobalProtect

Pour plus d'informations, reportez-vous à la section Configurer le Gestionnaire de sécurité mobile

Guide de l'administrateur GlobalProtect 5

Quelles sont les versions de système d'exploitation client

Apple Mac OS 10.6 1.1 4.1.0 ou version ultérieure

Windows XP (32 bits) 1.0 4.0 ou supérieur

Apple iOS 6.0* Appli 1.3 4.1.0 ou version ultérieure

Google Android 4.0.3 ou supérieur* Appli 1.3 4.1.6 ou version ultérieure

Clients X-Auth IPsec indépendants : N/D 5.0 ou supérieur

6 Guide de l'administrateur GlobalProtect

À propos des Licences GlobalProtect

 Abonnement WildFire du Gestionnaire de sécurité mobile GlobalProtect sur l'appareil GP-100 :

Guide de l'administrateur GlobalProtect 7

8 Guide de l'administrateur GlobalProtect

Guide de l'administrateur GlobalProtect 9

Créer des interfaces et des zones pour GlobalProtect

Paramétrage des interfaces et des zones pour GlobalProtect

10 Guide de l'administrateur GlobalProtect

Paramétrage des interfaces et des zones pour GlobalProtect (suite)

Étape 4 Enregistrez la configuration. Cliquez sur Valider.

Ou, si vous avez configuré un dossier

Guide de l'administrateur GlobalProtect 11

Activer SSL entre les composants GlobalProtect

À propos du déploiement de certificats GlobalProtect

 (Recommandé) Combinaison de certificats indépendants et de certificats auto-signés : Comme les

12 Guide de l'administrateur GlobalProtect

Procédures recommandées pour les certificats GlobalProtect

Tableau : Conditions exigées pour les certificats GlobalProtect

Certificat Usage Génération de processus/procédures recommandées

Guide de l'administrateur GlobalProtect 13

Certificat Usage Génération de processus/procédures recommandées

14 Guide de l'administrateur GlobalProtect

Certificat Usage Génération de processus/procédures recommandées

Certificat du Autorise le Gestionnaire de • Vous devez générer la demande de signature de certificat

Déployer les certificats de serveur sur les composants GlobalProtect

Déploiement de certificats serveur SSL sur les composants du LSVPN GlobalProtect

Guide de l'administrateur GlobalProtect 15

16 Guide de l'administrateur GlobalProtect

Guide de l'administrateur GlobalProtect 17

Configurer l'authentification de l'utilisateur GlobalProtect

À propos de l'authentification de l'utilisateur GlobalProtect

18 Guide de l'administrateur GlobalProtect

Méthodes d'authentification GlobalProtect prises en charge

Guide de l'administrateur GlobalProtect 19

20 Guide de l'administrateur GlobalProtect