Paramètres de stratégie de service Gateway Passer la navigation
  1. BlackBerry Docs
  2. Cylance Endpoint Security
  3. Configuration
  4. Guide de configuration de Cylance Endpoint Security
  5. Configurer CylanceGATEWAY
  6. Configurer les options des services Gateway
  7. Paramètres de stratégie de service Gateway

Paramètres de stratégie de service Gateway

Si vous configurez
CylanceGATEWAY
 sur des terminaux activés avec une solution EMM telle que
BlackBerry UEM
, vous pouvez également spécifier des options dans votre solution EMM qui contrôlent le fonctionnement de
CylanceGATEWAY
 sur les terminaux.
Élément
Description
Informations générales
Nom
Il s‘agit du nom de la règle.
Description
Il s‘agit d‘une brève description de l‘objectif de la règle.
Agent de configuration
Autoriser l‘exécution de la passerelle uniquement si le terminal est géré par
Microsoft Intune
Ce paramètre spécifie que
iOS
,
Android
ou
Chromebook
 les terminaux doivent être gérés par
Microsoft Intune
 avant que les utilisateurs puissent utiliser
CylanceGATEWAY
.
Autoriser l‘exécution de Gateway uniquement si
CylancePROTECT Desktop
 est également activé sur le terminal.
Ce paramètre nécessite que les utilisateurs aient installé et activé
CylancePROTECT Desktop
 à partir du même locataire. Cette fonctionnalité est prise en charge sur les terminaux suivants :
  • Terminaux
    Windows
     qui exécutent
    CylanceGATEWAY
     pour
    Windows
  • Terminaux
    macOS
     qui exécutent
    CylancePROTECT Desktop
     3.0 ou versions ultérieures ou
    CylanceGATEWAY
     pour
    macOS
     2.0.17 ou versions ultérieures. Si vous activez cette fonctionnalité pour les terminaux qui exécutent une version de
    CylancePROTECT Desktop
     antérieure à la version 3.0, le tunnel ne fonctionnera peut-être pas comme prévu.
Utilisation de tunnel
Tunnel par application
Ce paramètre spécifie quelles applications peuvent envoyer des données via le tunnel vers
BlackBerry Infrastructure
. Options possibles :
  • Sélectionnez
    Applications autorisées
     pour spécifier les applications qui utilisent le tunnel. Aucune autre application ne peut utiliser le tunnel. Les applications système et le DNS Windows utilisent toujours le tunnel. Si vous sélectionnez cette option, toutes les règles ACL ou stratégies de contrôle d‘accès réseau définies sont appliquées. Pour plus d‘informations sur les règles ACL et les stratégies de contrôle d‘accès réseau, consultez Contrôler l‘accès réseau.
  • Sélectionnez
    Applications interdites
     pour spécifier les applications ne pouvant pas utiliser le tunnel. Toutes les autres applications peuvent utiliser le tunnel.
  • Cliquez sur l‘icône Ajouter et saisissez le chemin d‘accès complet aux applications de bureau ou ajoutez le nom de famille du package (NFP) Windows pour les applications de la boutique. Vous pouvez spécifier un maximum combiné de 200 chemins d‘accès aux applications ou NFP.
Cette fonctionnalité est prise en charge sur les terminaux suivants :
  • Terminaux
    Windows
     qui exécutent
    CylanceGATEWAY
     pour
    Windows
     2.0.0.13 ou versions ultérieures.
  • Utilisateurs des terminaux
    Android
     ou
    Chromebook
     qui exécutent l‘application
    CylancePROTECT Mobile
    .
Forcer les applications à utiliser le tunnel
Ce paramètre nécessite que toutes les connexions sans boucle utilisent le tunnel. Si vous sélectionnez cette option et que la tunnellisation fractionnée est activée, tout le trafic utilisera le tunnel. Sur les terminaux
Windows
, si vous sélectionnez cette option et que la tunnellisation fractionnée est activée, les connexions qui n‘utilisent pas le tunnel risquent de ne pas fonctionner comme prévu. Cette fonctionnalité est prise en charge sur les terminaux suivants :
  • Terminaux non gérés
    macOS
     qui exécutent
    macOS
     10.15 ou versions ultérieures et
    CylanceGATEWAY
     pour
    macOS
     2.0.17 ou versions ultérieures.
  • Terminaux non gérés
    iOS
     qui exécutent
    iOS
     14.0 ou versions ultérieures et
    CylancePROTECT Mobile
     2.4.0.1731 ou versions ultérieures.
  • Terminaux
    Windows
     qui exécutent
    CylanceGATEWAY
     pour
    Windows
Autoriser les applications à utiliser le réseau local
Ce paramètre permet aux applications forcées d‘utiliser le tunnel d‘atteindre les destinations du réseau local. Cette fonctionnalité est prise en charge sur les terminaux suivants :
  • Terminaux non gérés
    macOS
     qui exécutent
    macOS
     10.15 ou versions ultérieures et
    CylanceGATEWAY
     pour
    macOS
     2.0.17 ou versions ultérieures.
  • Terminaux non gérés
    iOS
     qui exécutent
    iOS
     14.2 ou versions ultérieures et
    CylancePROTECT Mobile
     2.4.0.1731 ou versions ultérieures.
  • Terminaux
    Windows
     qui exécutent
    CylanceGATEWAY
     pour
    Windows
     2.5 ou versions ultérieures.
Ce paramètre n‘est valide que si l‘option « Forcer les applications à utiliser le tunnel » est activée.
Bloquer le trafic réseau des applications limitées
Ce paramètre empêche toutes les connexions réseau sans boucle des applications qui ne peuvent pas utiliser le tunnel. Si vous ne sélectionnez pas ce paramètre, les applications interdites peuvent utiliser la connexion réseau par défaut. Cette fonctionnalité est prise en charge sur les terminaux qui exécutent
CylanceGATEWAY
 pour l‘agent de
Windows
.
Autoriser les autres utilisateurs Windows à utiliser le tunnel
Ce paramètre permet à tous les utilisateurs qui utilisent le même terminal
Windows
 d‘utiliser le tunnel. Si vous sélectionnez cette option, tous les critères de tunnel par application s‘appliquent. Si vous ne sélectionnez pas cette option, les applications exécutées par d‘autres utilisateurs
Windows
 sont traitées comme des applications interdites.
Autoriser les connexions entrantes
Ce paramètre autorise les connexions TCP entrantes et les flux UDP à partir d‘interfaces sans tunnel et sans boucle.
CylanceGATEWAY
 n‘achemine jamais les connexions entrantes à travers le tunnel. Cette fonctionnalité est prise en charge sur les terminaux qui exécutent
CylanceGATEWAY
 pour l‘agent de
Windows
.
Réauthentification du tunnel
Réauthentification du tunnel
Ce paramètre spécifie la fréquence à laquelle les utilisateurs de
macOS
 doivent s‘authentifier avant d‘établir un tunnel. Cette fonctionnalité est prise en charge sur les terminaux suivants :
  • Terminaux
    macOS
     qui exécutent
    CylanceGATEWAY
     pour
    macOS
     2.5 ou versions ultérieures.
  • Terminaux
    Windows
     qui exécutent
    CylanceGATEWAY
     pour
    Windows
     2.5 ou versions ultérieures.
Autoriser la réutilisation de l‘authentification
Ce paramètre spécifie une période de réutilisation après laquelle les utilisateurs qui se sont authentifiés et ont établi un tunnel doivent s‘authentifier à nouveau. La période de réutilisation peut être définie entre 5 minutes et 365 jours à compter de la dernière authentification. Par exemple, si vous définissez la période de réinitialisation sur 10 jours, les utilisateurs doivent s‘authentifier à nouveau 10 jours après leur première authentification avant de pouvoir établir un tunnel.
Si vous n‘activez pas l‘option Autoriser la réutilisation de l‘authentification et spécifiez une période de réutilisation, les utilisateurs doivent s‘authentifier à chaque fois qu‘ils établissent un tunnel.
Ce paramètre n‘est valide que si « Réauthentification du tunnel » est activée.
Période de grâce
Ce paramètre permet aux utilisateurs de se reconnecter au tunnel sans s‘authentifier si la connexion au tunnel est établie dans les 2 minutes suivant la déconnexion. Par défaut, cette option est activée lorsque vous activez la réauthentification du tunnel.
Ce paramètre n‘est valide que si « Réauthentification du tunnel » est activée.
Tunnellisation fractionnée
Tunnellisation fractionnée
Ce paramètre permet au trafic vers les destinations publiques de contourner
CylanceGATEWAY
. Vous pouvez saisir des adresses CIDR ou des FQDN pour les destinations qui doivent traverser le tunnel. Pour améliorer l‘expérience utilisateur, la console de gestion actualise régulièrement le FQDN en fonction de la résolution d‘adresse IP.
Les adresses FQDN ne prennent pas en charge les caractères génériques.
Si vous activez la tunnellisation fractionnée, les connexions aux destinations publiques autorisées contournent le tunnel et
BlackBerry Infrastructure
, sauf si vous spécifiez que les connexions à la destination doivent utiliser le tunnel. Vous pouvez saisir des adresses CIDR ou des FQDN pour les destinations qui doivent traverser le tunnel. Si vous utilisez l‘ lpinglage d‘IP source, toutes les destinations configurées pour l‘épinglage d‘IP source doivent utiliser le tunnel. Si vous apportez des modifications aux paramètres de tunnellisation ou aux connexions entrantes, les utilisateurs doivent désactiver puis activer le mode Travail dans l‘agent
CylanceGATEWAY
 installé sur les terminaux
Windows
 et
macOS
 ou dans l‘application
CylancePROTECT Mobile
 sur les terminaux
iOS
,
Android
 et
Chromebook
 64 bits pour que les modifications prennent effet.
Lorsque vous activez la tunnellisation fractionnée, les recherches DNS sont effectuées via le tunnel où les contrôles d‘accès réseau sont appliqués avant que le trafic ne soit acheminé conformément à la configuration de la tunnellisation fractionnée.