Замените стандартный профиль OOBE Anyconnect в VPN удаленного доступа.
-
Привет, ребята,
постараюсь быть кратким.
Итак, сейчас мы внедряем Windows 11 вместо 10 с Intune на устройствах OOBE, а Secure Client также поставляется предустановленным из Intune Configs. Проблема, с которой мы столкнулись, заключается в том, что при первом подключении к VPN нам предлагается выбрать сертификат. Я полагаю, что это связано с тем, что профиль, находящийся в папке
C:/ProgramData/Cisco/VPN/Profiles
, является профилем по умолчанию, а не нашим пользовательским профилем, что я понимаю, поскольку еще не было установлено соединение с брандмауэром и устройство не могло загрузить пользовательский профиль. я хотел бы узнать, есть ли способ отредактировать этот профиль по умолчанию, чтобы мы могли использовать наш собственный профиль .xml вместо этого профиля по умолчанию?
Прошу прощения за объяснение, которое, по-моему, получилось немного запутанным...
С нетерпением жду ваших предложений. Большое
спасибо. -
Всем привет и с Новым годом!
Прошло уже немало времени с момента возникновения этой проблемы, и я почти два месяца в свободное время занимался ее устранением.
Я многое узнал об Intune, XDR и в целом о развертывании на основе регистрации в XDR (на своем горьком опыте).
Не будем больше терять время.
Проблема заключалась в том, что наше развертывание XDR хранилось на сервере в нашей сети, а затем, конечно же, извлекалось Intune. Проблема, по-видимому, связана с тем, что когда Intune извлекает пакет развертывания, мы извлекаем его в виде файла
.intune
. Для этого файла у нас есть некоторые преобразования файлов и дополнительные настройки, которые выполняются системным администратором, этот файл извлекается Intune и используется устройствами OOBE. Поскольку этот файл является статическим, даже если я редактировал развертывания XDR, это не имело никакого значения, и даже если бы я их удалил, это все равно не привело бы к каким-либо изменениям. Поэтому нам просто нужно было отредактировать развертывание XDR, а затем преобразовать его в .intune и заменить старый файл, что (частично) решило проблему.
Еще одна проблема заключалась в том, что для этих новых конфигураций устройств системный администратор мог случайно неправильно настроить разрешения для локального хранилища сертификатов зарегистрированных устройств, поэтому при установке устройства пользователя приложение Cisco Secure Endpoint не сможет прочитать сертификат и, следовательно, не сможет установить соединение даже после правильного развертывания профиля и исправления XDR. Для решения этой проблемы мы применили небольшой обходной путь, при котором вместо сертификата устройства мы проверяем в облаке данные Umbrella, присутствующие на устройстве, что в конечном итоге решило всю проблему (опять же,
частично
,
так как это нельзя считать конкретным решением, приложение Secure Endpoint по-прежнему не может считывать сертификаты устройств, но это, похоже, должен продумать системный администратор).
Такая игра в кошки-мышки с таким большим количеством обратных отслеживаний... По-видимому, сетевой инженер должен знать не только о сетях, но и иметь общее представление о всей среде. Несмотря на это, я более чем счастлив, что проблема была решена, поскольку решение было так близко, но в то же время так далеко в течение очень долгого времени. -
Проблема, с которой вы столкнулись, часто возникает при развертывании VPN-клиентов через Intune в Windows 11, особенно в отношении первоначального подключения с использованием профиля по умолчанию до загрузки вашего настраиваемого профиля .xml. По умолчанию Secure Client или VPN-клиент будет использовать любую конфигурацию, имеющуюся в папке C:/ProgramData/Cisco/VPN/Profiles, и это часто является общим или временным профилем, пока устройство не сможет связаться с вашими службами управления для получения настраиваемого профиля. См. эту ссылку
https://directaccess.richardhicks.com/2021/10/28/always-on-vpn-windows-11-issues-with-intune/
Развертывание Cisco Secure Client с Intune для Windows 11 включает в себя упаковку установщика Cisco и вашего настраиваемого профиля XML VPN, а затем их распространение с помощью Intune в качестве приложения Win32. Сначала загрузите установщик Cisco Secure Client и ваш настраиваемый профиль VPN, а затем поместите их в папку вместе с пакетным или PowerShell-скриптом установки, который копирует профиль XML в C:/ProgramData/Cisco/VPN/Profiles, эффективно перезаписывая профиль по умолчанию. Используйте инструмент Microsoft Win32 Content Prep Tool для создания пакета .intunewin из этой папки. В Intune добавьте новое приложение Windows (Win32), загрузите файл .intunewin и настройте команды установки и правила обнаружения, часто используя настраиваемый скрипт PowerShell. Такой подход гарантирует, что ваш настраиваемый профиль будет присутствовать перед первым подключением VPN, что исключает нежелательные запросы сертификатов во время Out-of-Box Experience.
Здесь проверьте эти несколько ссылок
https://devicemanagementhub.com/deploy-cisco-secure-client-vpn-using-intune/
https://smbtothecloud.com/deploy-the-cisco-secure-client-with-umbrella-module-using-intune
https://www.cisco.com/c/en/us/support/docs/security/secure-endpoint/224295-deploy-cisco-secure-endpoint-secure.pdf Не забудьте поставить оценку. -
Здравствуйте, Шераз,
спасибо за то, что выделили время, чтобы дать такой подробный ответ. Проблема была немного другой и, честно говоря, довольно глупой, но всегда именно такие мелочи упускаются из виду... Подробное объяснение будет опубликовано в отдельном комментарии. -
Очень хорошо!
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти