GlobalProtect AdminGuide 61-Spanish

Palo Alto Networks
Gua del administrador de GlobalProtect

Versin 6.1
Informacin de contacto
Sede de la empresa:
Gua del administrador

4401 Great America Parkway
Santa Clara, CA 95054
http://www.paloaltonetworks.com/contact/contact/
Acerca de esta gua

Esta gua le explica los procesos de configuracin y mantenimiento de la infraestructura de GlobalProtect. Para obtener
ms informacin, consulte los siguientes recursos:
Para obtener informacin sobre funciones adicionales e instrucciones sobre cmo configurar las funciones en el
cortafuegos, consulte https://www.paloaltonetworks.com/documentation.
Para acceder a la base de conocimientos, documentacin al completo, foros de debate y vdeos, consulte
https://live.paloaltonetworks.com.
Para ponerse en contacto con el equipo de asistencia tcnica, obtener informacin sobre los programas de asistencia
tcnica o gestionar la cuenta o los dispositivos, consulte https://support.paloaltonetworks.com.
Para leer las notas sobre la ltima versin, vaya la pgina de descarga de software en
https://support.paloaltonetworks.com/Updates/SoftwareUpdates.
Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.
Palo Alto Networks, Inc.

www.paloaltonetworks.com
2014 Palo Alto Networks. Todos los derechos reservados.
Palo Alto Networks y PAN-OS son marcas comerciales registradas de Palo Alto Networks, Inc.
Fecha de revisin: abril 8, 2015
ii
Contenido
Descripcin general de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1
Acerca de los componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Portal GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Gestor de seguridad mvil de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Qu versiones de sistema operativo del cliente admite GlobalProtect? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Acerca de las licencias de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Configuracin de la infraestructura de GlobalProtect. . . . . . . . . . . . . . . . . . . .9

Creacin de interfaces y zonas para GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Habilitacin de SSL entre componentes de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Acerca de la implementacin de certificados GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Recomendaciones para certificados de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Implementacin de certificados de servidores en los componentes de GlobalProtect . . . . . . . . . . . . . 16
Configuracin de la autenticacin de usuario en GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Acerca de la autenticacin de usuarios de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Configuracin de autenticacin externa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Configuracin de la autenticacin de certificado de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Configuracin de la autenticacin en dos fases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Configuracin de la autenticacin para clientes strongSwan Ubuntu y CentOS . . . . . . . . . . . . . . . . . . 33
Habilitacin de la asignacin de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Configuracin de las puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Tareas de requisitos previos para la configuracin de la puerta de enlace de GlobalProtect . . . . . . . . 40
Configuracin de una puerta de enlace de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Configuracin del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Tareas de requisitos previos para la configuracin del portal de GlobalProtect . . . . . . . . . . . . . . . . . . 45
Configuracin del acceso al portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Definicin de las configuraciones de cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Personalizacin del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Personalizacin de las pginas de inicio de sesin, bienvenida
y ayuda del portal de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Implementacin del software cliente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Implementacin del software del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Descarga e instalacin de la aplicacin mvil de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Implementacin de la configuracin del agente de forma transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Ajustes personalizables del agente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Implementacin de los ajustes del agente para los clientes de Windows . . . . . . . . . . . . . . . . . . . . . . . . 69
Implementacin de los ajustes del agente para los clientes de Mac . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Use la aplicacin iOS de GlobalProtect con un MDM de terceros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Ejemplo de configuracin de VPN a nivel de dispositivo de la aplicacin GlobalProtect iOS . . . . . . 76
Ejemplo de configuracin de VPN a nivel de aplicacin de la aplicacin GlobalProtect iOS . . . . . . . 77
Referencia: Funciones criptogrficas del agente de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
iii
Configuracin del gestor de seguridad mvil de GlobalProtect . . . . . . . . . . 81

Recomendaciones de implementacin del gestor de seguridad mvil. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuracin del acceso de gestin al gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Registro, licencia y actualizacin del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Registro del dispositivo GP-100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Activacin/recuperacin de licencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Instalacin de las actualizaciones de contenido y software de Panorama . . . . . . . . . . . . . . . . . . . . . . .
87
87
88
89
Configuracin del gestor de seguridad mvil para la gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 91

Configuracin del gestor de seguridad mvil para el registro de dispositivos. . . . . . . . . . . . . . . . . . . . 91
Configuracin del gestor de seguridad mvil para la inscripcin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Configuracin del acceso de puerta de enlace al gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . 102
Definicin de polticas de implementacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Acerca de la implementacin de la poltica del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . .
Recomendaciones sobre las polticas del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . .
Integracin del gestor de seguridad mvil con su directorio LDAP . . . . . . . . . . . . . . . . . . . . . . . . . .
Definicin de objetos y perfiles HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creacin de perfiles de configuracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Creacin de polticas de implementacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
106
106
109
112
114
118
136
Verificacin de la configuracin del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

Configuracin del acceso administrativo en el gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . 141
Configuracin de la autenticacin administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Creacin de una cuenta administrativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Gestin de dispositivos mviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

Agrupacin de dispositivos por etiqueta para simplificar la administracin de dispositivos . . . . . . . . . . . 150
Etiquetar dispositivos manualmente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Preetiquetado de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Supervisin de dispositivos mviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Administracin de dispositivos remotos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Interaccin con dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Reaccin ante la prdida o sustraccin de un dispositivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eliminacin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
158
158
159
160
Creacin de polticas de seguridad para aplicacin de trfico de dispositivos mviles. . . . . . . . . . . . . . . . 161
Gestin de datos y aplicaciones comerciales con

una tienda de aplicaciones empresariales . . . . . . . . . . . . . . . . . . . . . . . . . 163
Descripcin general de la tienda de aplicaciones empresariales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
iv
Conceptos de la tienda de aplicaciones empresariales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Aplicaciones gestionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaciones requeridas y opcionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Programa de compras por volumen de Apple (PCV). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
166
166
167
168
Adicin de aplicaciones gestionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Adicin de una aplicacin empresarial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adicin de aplicaciones de Google Play o Apple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adiciones de aplicaciones del PCV como aplicaciones gestionadas . . . . . . . . . . . . . . . . . . . . . . . . . .
169
169
172
172
Configuracin de la tienda de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

Gestin y supervisin de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Aislamiento del trfico comercial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Aislamiento de datos comerciales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Habilitacin del modo de aplicacin nica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Uso de la informacin de host en la aplicacin de polticas. . . . . . . . . . . . . 189

Acerca de la informacin del host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Qu datos recopila el agente de GlobalProtect? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190
Cmo usa la puerta de enlace la informacin del host para aplicar las polticas . . . . . . . . . . . . . . . . . 192
Cmo pueden saber los usuarios si sus sistemas cumplen los requisitos? . . . . . . . . . . . . . . . . . . . . . 193
Cmo puedo consultar el estado de los clientes finales? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Configuracin de la aplicacin de polticas basadas en HIP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Recopilacin de datos de procesos y aplicaciones de clientes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Configuraciones rpidas de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . 207

VPN de acceso remoto (Perfil de autenticacin) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
VPN de acceso remoto (Perfil del certificado) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
VPN de acceso remoto con autenticacin de dos factores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
Configuracin de VPN siempre activada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
VPN de acceso remoto con funcin anterior al inicio de sesin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Configuracin de varias puertas de enlace de GlobalProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
GlobalProtect para comprobacin de HIP interna y acceso basado en usuario . . . . . . . . . . . . . . . . . . . . . 228
Configuracin de puerta de enlace externa e interna combinada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
vi
Descripcin general de GlobalProtect

Ya se trate de comprobar el correo electrnico desde casa o de actualizar documentos de empresa desde el
aeropuerto, la mayora de los empleados de hoy en da trabajan fuera de los lmites fsicos de la empresa. Este
aumento de la movilidad de los trabajadores hace crecer la productividad y la flexibilidad al tiempo que introduce
riesgos de seguridad significativos. Cada vez que un usuario abandona las instalaciones de la empresa con su
porttil o dispositivo mvil, est sorteando el cortafuegos de la empresa y las polticas asociadas diseadas para
proteger tanto al usuario como la red. GlobalProtect resuelve los retos planteados por los usuarios itinerantes
extendiendo las mismas polticas de ltima generacin basadas en cortafuegos que se aplican a todos los
usuarios dentro del permetro fsico de la empresa, independientemente de su ubicacin.
Las siguientes secciones ofrecen informacin conceptual acerca de la oferta de Palo Alto Networks
GlobalProtect mediante la descripcin de los componentes de GlobalProtect y las posibles situaciones de
implementacin:
Acerca de los componentes de GlobalProtect
Qu versiones de sistema operativo del cliente admite GlobalProtect?
Acerca de las licencias de GlobalProtect

GlobalProtect ofrece una completa infraestructura para la gestin de su fuerza de trabajo itinerante para
garantizar a todos sus usuarios un acceso seguro, independientemente de los dispositivos que usen o de donde
se encuentren. Esta infraestructura incluye los siguientes componentes:
Portal GlobalProtect
Puertas de enlace de GlobalProtect
Cliente de GlobalProtect
Gestor de seguridad mvil de GlobalProtect
Portal GlobalProtect
El portal de GlobalProtect proporciona las funciones de gestin para su infraestructura de GlobalProtect.
Todos los sistemas clientes que participan en la red de GlobalProtect reciben informacin de configuracin
desde el portal, incluida informacin sobre las puertas de enlace disponibles, as como certificados cliente que
pueden ser necesarios para conectarse a las puertas de enlace de GlobalProtect o a su gestor de seguridad mvil.
Adems, el portal controla el comportamiento y la distribucin del software del agente de GlobalProtect para
los porttiles con Mac y Windows. (En dispositivos mviles, la aplicacin GlobalProtect se distribuye a travs
de la Apple App Store para los dispositivos iOS o mediante Google Play para dispositivos Android.) Si est
usando la funcin Perfil de informacin del host (HIP), el portal tambin define qu informacin se recopila
desde el host, incluyendo cualquier informacin personalizada que necesite. La Configuracin del portal de
GlobalProtect se realiza en una interfaz de cualquier cortafuegos de ltima generacin de Palo Alto Networks.
Puertas de enlace de GlobalProtect

Las puertas de enlace de GlobalProtect permiten aplicar la seguridad al trfico de agentes / aplicaciones de
GlobalProtect. Asimismo, si la funcin HIP est habilitada, la puerta de enlace HIP genera un informe a partir
de los datos sin procesar del host enviados por los clientes y puede usar dicha informacin para la aplicacin de
polticas.
Puertas de enlace externas: Permiten a los usuarios remotos acceder a la red privada virtual (VPN) o
aplicar la seguridad.
Puertas de enlace internas: Una interfaz en la red interna configurada como una puerta de enlace de
GlobalProtect que permite aplicar la poltica de seguridad para el acceso a recursos internos. Al usarla junto
con el ID de usuario o las comprobaciones HIP, una puerta de enlace interna permite ofrecer un mtodo
preciso y seguro para identificar y controlar el trfico por usuario o estado del dispositivo. Las puertas de
enlace internas son tiles en entornos confidenciales que requieren acceso autenticado a los recursos crticos.
Puede configurar una puerta de enlace interna tanto en el modo de tnel como de no tnel.
La Configuracin de las puertas de enlace de GlobalProtect se realiza en una interfaz de cualquier
cortafuegos de ltima generacin de Palo Alto Networks. Puede ejecutar tanto una puerta de enlace y un
portal en el mismo cortafuegos como mltiples puertas de enlace distribuidas por toda su empresa.
Cliente de GlobalProtect
El software del cliente de GlobalProtect se ejecuta en sistemas de usuarios finales y habilita el acceso a los
recursos de su red a travs de los portales y las puertas de enlace de GlobalProtect que ha implementado. Hay
dos tipos de clientes de GlobalProtect:
El agente de GlobalProtect: Se ejecuta en sistemas Windows y Mac OS y se implementa desde el portal

de GlobalProtect. El comportamiento del agente (p. ej., qu pestaas pueden ver los usuarios, pueden los
usuarios desinstalar el agente o no) se determina en la configuracin del cliente que defina en el portal.
Consulte Definicin de las configuraciones de cliente de GlobalProtect, Personalizacin del agente de
GlobalProtect y Implementacin del software del agente de GlobalProtect para obtener ms informacin.
La aplicacin de GlobalProtect: Se ejecuta en dispositivos iOS y Android. Los usuarios deben obtener la
aplicacin GlobalProtect de la tienda App Store de Apple (para iOS) o de Google Play (para Android).
Consulte Qu versiones de sistema operativo del cliente admite GlobalProtect? para obtener ms informacin.
El siguiente diagrama ilustra el modo en que los portales, puertas de enlace y agentes / aplicaciones de
GlobalProtect se coordinan para ofrecer a todos sus usuarios un acceso seguro, independientemente de los
dispositivos que usen o de donde se encuentren.
Gestor de seguridad mvil de GlobalProtect

El gestor de seguridad mvil de GlobalProtect ofrece gestin, visibilidad, e implementacin de configuracin
automatizada para dispositivos mviles (tanto los de la empresa como del empleado) en su red. Dado que el
gestor de seguridad mvil forma parte de la solucin mvil de GlobalProtect, la puerta de enlace de
GlobalProtect puede aprovechar la informacin de los dispositivos gestionados y usar la informacin ampliada
del host recopilada por el gestor de seguridad mvil para ofrecer a los dispositivos gestionados una aplicacin
mejorada de las polticas de seguridad. Las puertas de enlace recuperan los perfiles HIP extendidos del gestor
de seguridad mvil y usan la informacin para aplicar polticas de seguridad para los dispositivos que se conectan
a su red. El gestor de seguridad mvil de GlobalProtect ampla la seguridad a los dispositivos mviles para que
los usuarios puedan acceder y usar con seguridad las aplicaciones desde sus dispositivos. Los datos comerciales
estn contenidos en las aplicaciones y cuentas comerciales de los dispositivos mviles, y al mismo tiempo se
mantiene la experiencia de usuario nativa y los datos personales del usuario estn separados y se mantienen en
la intimidad.
Las polticas de implementacin que crea en el gestor de seguridad mvil ofrecen aprovisionamiento de
cuentas simplificado para que los usuarios de dispositivos mviles puedan acceder a las aplicaciones de la
empresa (tales como las configuraciones VPN y correo electrnico). Tambin puede realizar ciertas acciones,
tales como bloquear el dispositivo, hacer que emita una alarma para ayudar a localizarlo o incluso borrarlo si
duda de la seguridad del mismo.
Para comunicarse con un dispositivo, el gestor de seguridad mvil enva una notificacin push mediante
OTA. En el caso de dispositivos iOS, enva notificaciones push mediante el servicio Notificaciones Push de
Apple (APN) y en el de dispositivos Android las enva mediante Mensajera de Google Cloud (GCM).
Cuando un dispositivo recibe una notificacin push, la comprueba estableciendo una conexin HTTPS con
la interfaz de comprobacin del dispositivo en el gestor de seguridad mvil.
Apruebe las aplicaciones que podrn utilizar los usuarios para fines comerciales en sus dispositivos mviles.
Las aplicaciones que apruebe y aada al gestor de seguridad mvil como aplicaciones gestionadas se pueden
enviar a sus usuarios a travs de la implementacin de polticas. Los usuarios pueden examinar y luego
instalar las aplicaciones que tengan asignadas en la tienda de aplicaciones empresariales de la aplicacin
GlobalProtect.
Habilite configuraciones de seguridad para aplicaciones gestionadas con el gestor de seguridad mvil de
modo que los datos comerciales estn contenidos solo en aplicaciones y cuentas gestionadas en un
dispositivo mvil, y que el trfico de las aplicaciones gestionadas se enrute a travs de la VPN corporativa
(pero no el trfico personal).
Cuando un dispositivo se registra en el gestor de seguridad mvil, enva informacin del host que incluye
informacin adicional adems de la recopilada por la puerta de enlace de GlobalProtect, incluyendo una lista
de todas las aplicaciones instaladas gestionadas, una lista de aplicaciones instaladas no gestionadas (se puede
deshabilitar), la ubicacin del dispositivo en el momento del registro (se puede deshabilitar), si el dispositivo
tiene un cdigo de acceso establecido o si est modificado o desbloqueado. Adems, si el gestor de seguridad
mvil tiene una suscripcin WildFire, puede detectar si un dispositivo contiene software malintencionado
(solo dispositivos Android).
Al aprovechar los datos HIP extendidos que recopila el gestor de seguridad mvil, puede crear una poltica
de seguridad muy granular para usuarios de dispositivos mviles en sus puertas de enlace de GlobalProtect.
Envo de
manual
Envo de puerta
de enlace
Trfico de
Internet
Recopilacin de
App Store
Trfico
corporativo
Firmas de malware mvil
WildFire
Puertas de
enlace de
GlobalProtect
Estado de dispositivo para

poltica de seguridad
Gestor de seguridad
mvil de GlobalProtect
Gestionar dispositivo e informar

sobre estado de dispositivo
Consulte Configuracin del gestor de seguridad mvil de GlobalProtect para obtener ms informacin.
Qu versiones de sistema operativo del cliente admite GlobalProtect?
Qu versiones de sistema operativo del cliente admite

GlobalProtect?
En la siguiente tabla se resume la compatibilidad con GlobalProtect de los dispositivos de sobremesa, porttiles
y mviles, as como las versiones mnimas de agentes / aplicaciones GlobalProtect y PAN-OS necesarias para
la compatibilidad:
Versiones de clientes de OS compatibles
Versin mnima de
agente / aplicacin
Versin mnima de PAN-OS
Apple Mac OS 10.6
1.1
4.1.0 o superior
Apple Mac OS 10.7
1.1
Apple Mac OS 10.8
1.1.6
Apple Mac OS 10.9
1.2
Apple Mac OS 10.10
2.1
Windows XP (32 bits)
1.0
Windows Vista (32 bits y 64 bits)
1.0
Windows 7 (32 bits y 64 bits)
1.0
Windows 8 (32 bits y 64 bits)
1.2
Windows 8,1 (32 bits y 64 bits)
1.2
Windows Surface Pro
1.2
Apple iOS 6.0*
App 1.3
Apple iOS 7.0*
App 1.3
Apple iOS 8.0*
App 2.1
Google Android 4.0.3 o posterior*
App 1.3
4.1.6 o superior
Clientes IPsec de X-Auth de terceros:
N/D
5.0 o posterior
N/D
6.1 o posterior
4.0 o posterior
4.1.0 o superior
Cliente IPsec integrado en iOS

Cliente IPsec integrado en Android
VPNC en Ubuntu Linux 10.04 y CentOS 6
strongSwan en Ubuntu Linux y CentOS**
* La app 2.x es necesaria para que un dispositivo pueda ser gestionado por el gestor de seguridad mvil de GlobalProtect
y el cortafuegos debe ejecutar PAN-OS 6.0 o posterior.
**Para obtener informacin sobre cmo habilitar el acceso de clientes de strongSwan Ubuntu y CentOS a la VPN de
GlobalProtect, consulte Configuracin de la autenticacin para clientes strongSwan Ubuntu y CentOS.
Los usuarios deben obtener la aplicacin GlobalProtect de la tienda App Store de Apple (para iOS) o de Google
Play (para Android). Para obtener informacin sobre cmo distribuir el agente GlobalProtect, consulte
Implementacin del software del agente de GlobalProtect.

Si tan solo quiere usar GlobalProtect para proporcionar una solucin de red privada virtual (VPN), segura o de
acceso remoto a travs de una nica puerta de enlace externa, no necesita licencia de GlobalProtect. Sin
embargo, para usar algunas de las funciones ms avanzadas, como mltiples puertas de enlace, aplicaciones
mviles, gestin de seguridad mvil, comprobaciones de informacin del host o puertas de enlace internas,
puede que necesite adquirir una o ms de las siguientes licencias:
Licencia de portal: Una licencia perpetua que debe instalarse una nica vez en el cortafuegos que ejecute
el portal para habilitar la compatibilidad con la puerta de enlace interna, mltiples puertas de enlace (internas
o externas) o comprobaciones HIP.
Suscripcin de puerta de enlace: Una suscripcin anual que habilita las comprobaciones de HIP y las
actualizaciones de contenido asociadas. Esta licencia debe instalarse en cada cortafuegos que contenga
puertas de enlace que realicen comprobaciones HIP. Asimismo, la licencia de puerta de enlace habilita la
compatibilidad con aplicaciones mviles de GlobalProtect para iOS y Android.
Licencia del gestor de seguridad mvil de GlobalProtect en el dispositivo GP-100: Una licencia
perpetua de instalacin nica para el gestor de seguridad mvil basada en el nmero de dispositivos mviles
que se van a gestionar. Esta licencia solo es necesaria si pretende gestionar ms de 500 dispositivos mviles.
Hay disponibles licencias perpetuas para 1000, 2000, 5000, 10 000, 25 000, 50 000 o 100 000 dispositivos
mviles.
Suscripcin a WildFire en el gestor de seguridad mvil de GlobalProtect para el dispositivo GP-100:

Usada junto con el gestor de seguridad mvil de GlobalProtect para la deteccin de software
malintencionado APK en los dispositivos Android gestionados. Para habilitar el uso de deteccin de
software malintencionado con el gestor de seguridad mvil de GlobalProtect, debe adquirir una suscripcin
a WildFire que se corresponda con la capacidad de la licencia del gestor de seguridad mvil de GlobalProtect.
Caracterstica
Requisitos de licencia del

cortafuegos
Licencia de
portal
Suscripcin de
puerta de
enlace
Requisitos de licencia del

gestor de seguridad mvil
Licencia de
capacidad del
gestor de
seguridad mvil
Suscripcin a
WildFire
Puerta de enlace nica externa (Windows y Mac)

Una o varias puertas de enlace internas
Varias puertas de enlace externas
Comprobaciones HIP
Aplicacin mvil para iOS o Android
Gestor de seguridad mvil (requiere aplicacin

mvil de GlobalProtect para iOS o Android)
Deteccin de software malintencionado

APK Android del gestor de seguridad mvil
Consulte Activacin de licencias para obtener informacin sobre la instalacin de licencias en el cortafuegos.
Consulte la Activacin/recuperacin de licencias para obtener informacin sobre la instalacin de licencias en
el gestor de seguridad mvil.
Configuracin de la infraestructura de
GlobalProtect
Para que GlobalProtect funcione, debe configurar la infraestructura bsica que permite que todos los
componentes se comuniquen. Bsicamente, esto implica configurar las interfaces y zonas que a las que se
conectarn los usuarios finales de GlobalProtect para acceder al portal y las puertas de enlace. Puesto que los
componentes de GlobalProtect se comunican a travs de canales seguros, debe adquirir e implementar todos
los certificados SSL necesarios de los distintos componentes. Las siguientes secciones le guiarn a travs de los
pasos bsicos para configurar la infraestructura de GlobalProtect:
Creacin de interfaces y zonas para GlobalProtect
Habilitacin de SSL entre componentes de GlobalProtect
Configuracin de la autenticacin de usuario en GlobalProtect
Habilitacin de la asignacin de grupo
Configuracin de las puertas de enlace de GlobalProtect
Configuracin del portal de GlobalProtect
Implementacin del software cliente de GlobalProtect
Implementacin de la configuracin del agente de forma transparente
Use la aplicacin iOS de GlobalProtect con un MDM de terceros
Referencia: Funciones criptogrficas del agente de GlobalProtect
Configuracin de la infraestructura de GlobalProtect

Debe configurar las siguientes interfaces y zonas para la infraestructura de GlobalProtect:
Portal de GlobalProtect: Requiere una interfaz de bucle o capa 3 para que se conecten los clientes de
GlobalProtect. Si el portal y la puerta de enlace se encuentran en el mismo cortafuegos, pueden usar la misma
interfaz. El portal debe estar en una zona accesible desde fuera de su red, por ejemplo: no fiable.
Puertas de enlace de GlobalProtect: Los requisitos de interfaz y zona para la puerta de enlace dependen
de si est configurando una puerta de enlace externa o una puerta de enlace interna, como se indica a
continuacin:
Puertas de enlace externas: Requieren una interfaz de bucle o capa 3 y una interfaz de tnel lgica
para que el cliente se conecte con el fin de establecer un tnel VPN. La interfaz de capa 3/bucle
invertido debe encontrarse en una zona externa, como una no fiable. La interfaz de tnel puede estar
en la misma zona que la interfaz que se conecta a sus recursos internos, por ejemplo, fiable, o bien, para
mejorar la seguridad y la visibilidad, puede crear una zona separada, como corp-vpn. Si crea una zona
separada para su interfaz de tnel, necesitar crear polticas de seguridad que habiliten el flujo del trfico
entre la zona VPN y la zona fiable.
Puertas de enlace internas: Requiere una interfaz de bucle o de capa 3 en su zona fiable. Tambin
puede crear una interfaz de tnel para acceder a sus puertas de enlace internas, pero no es necesario.
Puede encontrar consejos sobre el uso de la interfaz de bucle para proporcionar acceso a
GlobalProtect a travs de diferentes puertos y direcciones en Can GlobalProtect Portal Page be
Configured to be Accessed on any Port? (Se puede configurar la pgina del portal de
GlobalProtect para acceder desde cualquier dispositivo?)
Si desea ms informacin sobre portales y puertas de enlace, consulte Acerca de los componentes de
GlobalProtect.
10
Configuracin de interfaces y zonas para GlobalProtect
Paso 1
Configure una interfaz de capa 3 para

cada portal o puerta de enlace que
pretenda implementar.
Si la puerta de enlace y el portal se
encuentran en el mismo
cortafuegos, puede usar una sola
interfaz para ambos.
1.
Seleccione Red > Interfaces > Ethernet o Red > Interfaces >
Bucle invertido y, a continuacin, seleccione la interfaz que
quiere configurar para GlobalProtect. En este ejemplo, estamos
configurando ethernet1/1 como la interfaz del portal.
2.
(Solo Ethernet) Seleccione Capa3 en el men desplegable Tipo

de interfaz.
3.
En la pestaa Configurar, seleccione la zona a la que pertenece

la interfaz del portal o la puerta de enlace, como se indica a
continuacin:
Se recomienda usar direcciones IP

estticas para el portal y la puerta de
enlace.
Coloque los portales y las puertas de enlace externas en una

zona no fiable para acceder mediante hosts desde fuera de su
red, como l3-nofiable.
Coloque puertas de enlace internas en una zona interna,
como l3-fiable.
Si an no ha creado la zona, seleccione Nueva zona desde el
men desplegable Zona de seguridad. En el cuadro de
dilogo Zona, defina un Nombre para una nueva zona y, a
continuacin, haga clic en ACEPTAR.
4.
En el men desplegable Enrutador virtual, seleccione

predeterminado.
5.
6.
Para asignar una direccin IP a la interfaz, seleccione la pestaa

IPv4, haga clic en Aadir en la seccin IP e introduzca la
direccin IP y la mscara de red para asignarlas a la interfaz, por
ejemplo, 208.80.56.100/24.
Para guardar la configuracin de la interfaz, haga clic en
Aceptar.
11
Configuracin de interfaces y zonas para GlobalProtect (Continuacin)
Paso 2
En los cortafuegos donde se alojen

puertas de enlace de GlobalProtect,
configure la interfaz de tnel lgica que
finalizar los tneles VPN establecidos
por los agentes de GlobalProtect.
1.
Seleccione Red > Interfaces > Tnel y haga clic en Aadir.
2.
En el campo Nombre de interfaz, especifique un sufijo

numrico, como .2.
3.
En la pestaa Configurar, ample el men desplegable Zona de

seguridad para definir la zona del siguiente modo:
No se requieren direcciones IP en la
interfaz de tnel a menos que
requiera enrutamiento dinmico.
Adems, asignar una direccin IP a
la interfaz de tnel puede resultar
til para solucionar problemas de
conexin.
Para usar una zona fiable como punto de finalizacin del

tnel, seleccione la zona del men desplegable.
Asegrese de habilitar User-ID en la

zona donde finalizan los tneles de
4.
VPN.
Paso 3
Si ha creado una zona separada para la

finalizacin del tnel de las conexiones
VPN, cree una poltica de seguridad para
habilitar el flujo de trfico entre la zona
VPN y su zona fiable.
(Recomendado) Si quiere crear una zona separada para la

finalizacin del tnel de VPN, haga clic en Nueva zona. En
el cuadro de dilogo Zona, defina un Nombre para la nueva
zona (por ejemplo, vpn-corp), seleccione la casilla de
verificacin Habilitar identificacin de usuarios y, a
continuacin, haga clic en ACEPTAR.
En el men desplegable Enrutador virtual, seleccione
predeterminado.
5.
(Opcional) Si quiere asignar una direccin IP a la interfaz de

tnel, seleccione la pestaa IPv4, haga clic en Aadir en la
seccin IP e introduzca la direccin IP y la mscara de red para
asignarlas a la interfaz, por ejemplo: 10.31.32.1/32.
6.

Aceptar.
Por ejemplo, la siguiente regla de poltica habilita el trfico entre la zona

corp-vpn y la zona l3-fiable.
Paso 4
Guarde la configuracin.
Haga clic en Confirmar.
Si ha habilitado el acceso de gestin

a la interfaz donde se aloja el portal,
debe aadir :4443 a la URL. Por ejemplo,
para acceder a la interfaz web del portal
configurado en este ejemplo, debera
introducir lo siguiente:
https://208.80.56.100:4443
O bien, si ha configurado un registro

DNS para FQDN, como gp.acme.com,
debera introducir:
https://gp.acme.com:4443
12

Toda la interaccin entre los componentes de GlobalProtect se realiza a travs de una conexin SSL. Por lo
tanto, debe generar o instalar los certificados necesarios antes de configurar cada componente, de modo que
pueda hacer referencia a los certificados adecuados en las configuraciones. En las siguientes secciones se
describen los mtodos compatibles de implementacin de certificados, las descripciones y las directrices de
recomendaciones para los diversos certificados de GlobalProtect, adems de ofrecer instrucciones para la
generacin e implementacin de los certificados necesarios.
Acerca de la implementacin de certificados GlobalProtect
Recomendaciones para certificados de GlobalProtect
Implementacin de certificados de servidores en los componentes de GlobalProtect
Acerca de la implementacin de certificados GlobalProtect

Hay tres enfoques bsicos para la Implementacin de certificados de servidores en los componentes de
GlobalProtect:
(Recomendado) Combinacin de certificados de terceros y certificados autofirmados: Puesto que

los clientes finales accedern al portal antes de la configuracin de GlobalProtect, el cliente debe confiar en
el certificado para establecer una conexin HTTPS. Del mismo modo, si est usando el gestor de seguridad
mvil de GlobalProtect, ocurre lo mismo con los dispositivos mviles que acceden al gestor de seguridad
mvil para su inscripcin. Por lo tanto, el mtodo recomendado consiste en adquirir el certificado de
servidor del portal y el certificado de servidor para la interfaz de registro del dispositivo del gestor de
seguridad mvil desde un certificado de CA fiable en el que ya confen la mayora de clientes finales con el
fin de prevenir errores de certificado. Una vez que el cliente se conecta correctamente, el portal puede enviar
cualquier otro certificado requerido (por ejemplo, el certificado de CA raz para la puerta de enlace) al cliente
final.
Entidad de certificacin empresarial: Si ya cuenta con su propia entidad de certificacin empresarial,

puede usar esta CA interna para emitir certificados de cada uno de los componentes de GlobalProtect y, a
continuacin, importarlos desde los cortafuegos donde se alojan su portal y sus puertas de enlace y desde el
gestor de seguridad mvil. En este caso, debe asegurarse de que los dispositivos mviles o sistemas del
usuario final confen en el certificado de CA raz usado para emitir los certificados para los servicios de
GlobalProtect a los que deben conectarse.
Certificados autofirmados: Puede generar un certificado de CA autofirmado en el portal y usarlo para

emitir certificados de todos los componentes de GlobalProtect. Sin embargo, esta solucin es menos segura
que otras opciones y, por lo tanto, no se recomienda. Si aun as elige esta opcin, los usuarios finales vern
un error de certificado la primera vez que se conecten al portal. Para evitar esto, puede implementar
manualmente un certificado de CA raz autofirmado para todos los sistemas de usuarios finales o usar algn
tipo de implementacin centralizada, como un objeto de directiva de grupo (GPO) de Active Directory.
13
Recomendaciones para certificados de GlobalProtect

En la siguiente tabla se resumen los certificados SSL que necesitar dependiendo de las funciones que pretenda usar:
Tabla: Requisitos de certificados para GlobalProtect
Certificado
Uso
Proceso de emisin / Recomendaciones
Certificado de CA
Usado para firmar certificados Si pretende usar certificados autofirmados, es recomendable

emitidos para los componentes generar un certificado de CA en el portal y, a continuacin, usar
de GlobalProtect.
dicho certificado para emitir los certificados necesarios para
GlobalProtect.
Certificado de servidor
del portal
Habilita a los
agentes / aplicaciones de
GlobalProtect para que
establezcan una conexin
HTTPS con el portal.
Se recomienda usar un certificado emitido por una CA

externa conocida. Es la opcin ms segura y garantiza que los
clientes finales puedan establecer una relacin de confianza
con el portal sin necesidad de que implemente el certificado
de CA raz.
El campo de nombre comn

Si no usa una CA pblica conocida, debera exportar el
(CN) y, si es aplicable, de
certificado de CA raz usado para generar el certificado de
nombre alternativo del asunto
servidor del portal a todos los sistemas cliente que usen
(SAN) del certificado deben
GlobalProtect con el fin de evitar que los usuarios finales
coincidir exactamente con la
vean advertencias de certificados durante la conexin inicial
direccin IP o con el nombre de
al portal.
dominio completo (FQDN) de
Si est implementando un portal y una nica puerta de enlace
la interfaz donde est alojado el
en la misma interfaz / direccin IP para un acceso bsico a
portal.
VPN, debe usar un certificado de servidor nico para ambos
componentes.
de la puerta de enlace
Cada puerta de enlace debe tener su propio certificado de

Habilita a los
servidor.
agentes / aplicaciones de
GlobalProtect para que
Se recomienda generar un certificado de CA en el portal y
establezcan una conexin
usar dicho certificado para generar todos los certificados de
HTTPS con la puerta de enlace.
puertas de enlace.
El portal puede distribuir el certificado de CA raz de la
puerta de enlace a todos los agentes en la configuracin del
cliente, de modo que no sea necesario que una CA pblica
emita todos los certificados de puerta de enlace.
coincidir exactamente con el
FQDN o la direccin IP de la Si no implementa los certificados CA raz para puertas de
enlace GlobalProtect en la configuracin cliente, el
interfaz donde pretende
agente/aplicacin no realizar comprobaciones de
configurar la puerta de enlace.
certificados cuando se conecta, haciendo que la conexin sea
vulnerable a los ataques de intermediario
(man-in-the-middle).
Si est implementando un portal y una nica puerta de enlace
en la misma interfaz / direccin IP para un acceso bsico a
VPN, debe usar un certificado de servidor nico para ambos
componentes. Se recomienda usar un certificado emitido por
una CA pblica.
14
Certificado
Uso
(Opcional) Certificado
de cliente
Sirve para habilitar la

autenticacin mutua entre los
agentes de GlobalProtect y las
puertas de enlace o el portal.
Para simplificar la implementacin de certificados de cliente,

configure el portal para que implemente el certificado de
cliente a los agentes al realizarse correctamente el inicio de
sesin. En esta configuracin, todos los agentes de
GlobalProtect que usen la misma configuracin comparten
un nico certificado de cliente; el objetivo de este certificado
es asegurarse de que solo los clientes de su organizacin
tengan permiso para conectarse.
Adems de habilitar la
autenticacin mutua al
establecer una sesin HTTPS
entre el cliente y el
portal / puerta de enlace,
Puede usar otros mecanismos para implementar certificados
tambin puede usar certificados
de clientes exclusivos para cada sistema de cliente que se
de cliente para autenticar a
usarn en la autenticacin del usuario final.
usuarios finales.
Tal vez deba probar su configuracin primero sin el
certificado de cliente y, a continuacin, aadir el certificado
del cliente cuando est seguro de que el resto de ajustes de la
configuracin son correctos.
(Opcional) Certificado
de mquina
Garantiza que solo se puedan

conectar a GlobalProtect los
equipos fiables. Adems, los
certificados de mquina son
necesarios para el uso del
mtodo de conexin anterior al
inicio de sesin, lo que permite
el establecimiento de tneles
VPN antes de que el usuario
inicie sesin.
Si pretende usar la funcin anterior al inicio de sesin, debe

utilizar su propia infraestructura PKI para implementar los
certificados de mquina en cada sistema de cliente antes de
habilitar el acceso a GlobalProtect. Para obtener ms
informacin, consulte VPN de acceso remoto con funcin
anterior al inicio de sesin.
Certificados de servidor Permite a los dispositivos

del gestor de seguridad
mviles establecer sesiones
mvil
HTTPS con el gestor de
Puesto que los dispositivos deben confiar en el gestor de

seguridad mvil para inscribirse, se recomienda adquirir un
certificado para la interfaz de registro del dispositivo del
gestor de seguridad mvil desde una CA fiable y conocida. Si
seguridad mvil para su
no utiliza una CA fiable para emitir certificados de la interfaz
inscripcin o registro.
de registro del dispositivo del gestor de seguridad mvil,
Permite a las puertas de enlace
tendr que implementar el certificado de CA raz del gestor de
conectarse al gestor de
seguridad mvil para dispositivos mviles a travs de la
seguridad mvil para
configuracin del portal (a fin de habilitar el dispositivo para
recuperar informes HIP para
que establezca una conexin SSL con el gestor de seguridad
los dispositivos mviles
mvil para su inscripcin).
gestionados.
Si la interfaz de registro del dispositivo est en una interfaz
diferente a la que se conectan las puertas de enlace para la
recuperacin de HIP, necesitar certificados de servidor
separados para cada interfaz.
coincidir exactamente con la Si desea informacin detallada, consulte Configuracin del
direccin IP o con el nombre gestor de seguridad mvil de GlobalProtect.
de dominio completo
(FQDN) de la interfaz.
15
Certificado
Uso
Certificado de gestor
de seguridad mvil del
servicio Notificaciones
Push de Apple (APN)
Permite que el gestor de

seguridad mvil enve
notificaciones push a los
dispositivos iOS gestionados.
Debe generar una solicitud de firma de certificado (CSR) para

este certificado en el gestor de seguridad mvil y, a
continuacin, enviarlo al portal de perfiles de datos de iOS de
Apple (requiere inicio de sesin) para la firma.
Apple solo admite CSR firmados mediante SHA 1 Message
Digest y claves de 2048 bits.
Consulte Configuracin del gestor de seguridad mvil para el
registro de dispositivos para obtener informacin detallada
sobre cmo realizar esta configuracin.
Certificados de
identidad
Habilitan el gestor de seguridad

mvil y, opcionalmente, la
puerta de enlace para establecer
sesiones SSL mutuamente
autenticadas con dispositivos
mviles.
El gestor de seguridad mvil gestiona la implementacin de

certificados de identidad para los dispositivos que gestiona.
Consulte Configuracin del gestor de seguridad mvil para la
inscripcin para obtener informacin detallada sobre cmo
realizar esta configuracin.
Si desea informacin detallada sobre los tipos de claves empleadas para establecer una comunicacin segura
entre el agente de GlobalProtect y los portales y puertas de enlace, consulte Referencia: Funciones criptogrficas
del agente de GlobalProtect.
16
Implementacin de certificados de servidores en los componentes de

GlobalProtect
El siguiente flujo de trabajo muestra los pasos recomendados para implementar certificados SSL en los
componentes de GlobalProtect:
Implementacin de certificados de servidores SSL en los componentes de GlobalProtect
Importe un certificado de servidor desde una CA Para importar un certificado y una clave desde una CA pblica,
asegrese de que se puede acceder a los archivos de clave y
externa conocida.
certificado desde su sistema de gestin y de que tiene la frase de
Use un certificado de servidor de una CA
contrasea para descifrar la clave privada. A continuacin, siga estos
externa conocida para el portal de
pasos:
GlobalProtect y el gestor de seguridad
mvil. De este modo puede asegurarse de 1. Seleccione Dispositivo > Gestin de certificados >
Certificados > Certificados de dispositivos.
que los clientes finales podrn establecer
una conexin HTTPS sin recibir
advertencias de certificado.
El campo de nombre comn (CN) y, si es
aplicable, de nombre alternativo del asunto
(SAN) del certificado deben coincidir
exactamente con el nombre de dominio
completo (FQDN) o la direccin IP de la
interfaz donde pretende configurar el
portal o la interfaz de registro del
dispositivo en el gestor de seguridad mvil.
Admite coincidencias con comodines.
2.
Haga clic en Importar e introduzca un nombre de certificado.
3.
Introduzca la ruta y el nombre en el Archivo de certificado que

recibi de la CA o seleccione Examinar para buscar el archivo.
4.
Seleccione Clave privada cifrada y certificado (PKCS12) como

Formato de archivo.
5.
Seleccione la casilla de verificacin Importar clave privada.
6.
Introduzca la ruta y el nombre en el archivo PKCS#12, en el

campo Archivo de clave o seleccione Examinar para
encontrarla.
7.
Vuelva a introducir la frase de contrasea que se us para cifrar

la clave privada y despus haga clic en ACEPTAR para importar
el certificado y la clave.
Cree el certificado de CA raz para la emisin de Para usar certificados autofirmados, primero debe crear un
certificados autofirmados de los componentes de certificado de CA raz que servir para firmar los certificados de
componentes de GlobalProtect del siguiente modo:
GlobalProtect.
Cree el certificado de CA raz en el portal y 1. Para crear un certificado de CA raz, seleccione Dispositivo >
selo para emitir certificados de servidor
para puertas de enlace y, de manera
opcional, clientes.
Gestin de certificados > Certificados > Certificados de

dispositivos y, a continuacin, haga clic en Generar.
2.
Introduzca un Nombre de certificado, como

GlobalProtect_CA. El nombre de certificado no puede
contener espacios.
3.
No seleccione ningn valor en el campo Firmado por (esto es

lo que indica que est autofirmado).
4.
Seleccione la casilla de verificacin Autoridad del certificado y,

a continuacin, haga clic en Aceptar para generar el certificado.
17
Implementacin de certificados de servidores SSL en los componentes de GlobalProtect (Continuacin)
Genere un nuevo certificado de servidor

autofirmado.
Use la CA raz en el portal para generar
certificados de servidor para cada puerta de
enlace que pretende implementar y, de
manera opcional, para la interfaz de gestin
del gestor de seguridad mvil (si esta es la
interfaz que usarn las puertas de enlace
para recuperar los informes HIP).
En los certificados de servidor de la puerta
de enlace, los valores en los campos
Nombre comn (CN) y Nombre
alternativo del asunto (SAN) en el
certificado deben ser idnticos. De lo
contrario, el agente de GlobalProtect
detectar la discrepancia al comprobar la
cadena de confianza del certificado y no
confiar en el certificado. Los certificados
autofirmados solo contendrn un campo
SAN si aade un atributo de certificado
Nombre de host.
Implemente los certificados de servidor
autofirmados.
1.
Seleccione Dispositivo > Gestin de certificados >

Certificados > Certificados de dispositivos y, a continuacin,
haga clic en Generar.
2.
Introduzca un nombre de certificado. El nombre de certificado

no puede contener espacios.
3.
Introduzca el FQDN (recomendado) o la direccin IP de la

interfaz donde pretende configurar la puerta de enlace en el
campo Nombre comn.
4.
En el campo Firmado por, seleccione el GlobalProtect_CA que

ha creado anteriormente.
5.
En la seccin Atributos del certificado, haga clic en Aadir y

defina los atributos para identificar de forma exclusiva la puerta
de enlace. Tenga en cuenta que si aade un atributo Nombre de
host (que cumplimenta el campo SAN del certificado), debe
coincidir exactamente con el valor que haya definido en el
campo Nombre comn.
6.
Haga clic en Aceptar para generar el certificado.
7.
Confirme los cambios.
1.
En el portal, seleccione Dispositivo > Gestin de certificados >

Certificados > Certificados de dispositivos, seleccione el
certificado de puerta de enlace que quiere implementar y haga
clic en Exportar.
2.
Seleccione Clave privada cifrada y certificado (PKCS12) en el

men desplegable Formato de archivo.
3.
Introduzca dos veces una frase de contrasea para cifrar la

clave privada y, a continuacin, haga clic en ACEPTAR para
descargar el archivo PKCS12 en su ordenador.
Prcticas recomendadas:
Exporte los certificados de servidor
autofirmados emitidos por la CA raz al
portal e imprtelos desde las puertas de
enlace.
Asegrese de emitir un nico certificado
de servidor para cada puerta de enlace.
4.
Al usar certificados autofirmados, debe
distribuir el certificado de CA raz a los
clientes finales en las configuraciones de
5.
clientes del portal.
6.
En la puerta de enlace, seleccione Dispositivo > Gestin de

certificados > Certificados > Certificados de dispositivo y
haga clic en Importar.
Introduzca un nombre de certificado.
Introduzca la ruta y el nombre en el archivo de certificado que
acaba de descargar del portal o seleccione Examinar para buscar
el archivo.
7.

Formato de archivo.
8.
Introduzca la ruta y nombre en el archivo PKCS#12 en el

encontrarla.
9.
Vuelva a introducir la frase de contrasea que us para cifrar

la clave privada cuando la export desde el portal y despus haga
clic en ACEPTAR para importar el certificado y la clave.
10. Compilar los cambios en la puerta de enlace.
18
Configuracin de la autenticacin de usuario en

GlobalProtect
El portal y la puerta de enlace requieren las credenciales autenticacin del usuario final antes de que permitir al
agente / aplicacin de GlobalProtect acceder a los recursos de GlobalProtect. Puesto que el portal y la puerta
de enlace le piden que especifique qu mecanismos de autenticacin se usarn, debe configurar la autenticacin
antes de continuar con la configuracin del portal y la puerta de enlace. En las siguientes secciones se detallan
los mecanismos de autenticacin admitidos y el modo de configurarlos:
Acerca de la autenticacin de usuarios de GlobalProtect
Configuracin de autenticacin externa
Configuracin de la autenticacin de certificado de cliente
Configuracin de la autenticacin en dos fases
Configuracin de la autenticacin para clientes strongSwan Ubuntu y CentOS
Acerca de la autenticacin de usuarios de GlobalProtect

La primera vez que un agente / aplicacin de GlobalProtect se conecta al portal, se solicita al usuario que se
autentique en el portal para poder descargar la configuracin de GlobalProtect, que incluye una lista de puertas
de enlace a las que se puede conectar el agente, la ubicacin del gestor de seguridad mvil y, de manera opcional,
un certificado de cliente para conectarse a las puertas de enlace. Cuando se haya descargado correctamente la
configuracin y se haya guardado en cach, el agente / aplicacin trata de conectarse a una de las puertas de
enlace especificadas en la configuracin o al gestor de seguridad mvil. Puesto que estos componentes ofrecen
acceso a sus recursos y configuraciones de red, tambin requieren la autenticacin del usuario final.
El nivel de seguridad requerido en el portal, en el gestor de seguridad mvil y en las puertas de enlace (e incluso
de una puerta de enlace a otra) vara en funcin de la confidencialidad de los recursos que cada uno protege;
GlobalProtect ofrece un marco de autenticacin flexible que le permite elegir el perfil de autenticacin o el perfil
de certificado adecuado para cada componente.
Las siguientes secciones describen las funciones de autenticacin disponibles en el portal y la
puerta de enlace. Para obtener informacin detallada acerca de la configuracin de la
autenticacin, consulte Configuracin del gestor de seguridad mvil para la inscripcin.
19
Mtodos de autenticacin de GlobalProtect admitidos

Mtodo de
autenticacin
Descripcin
Autenticacin local
Tanto las credenciales de cuenta de usuario como los mecanismos de autenticacin se

encuentran en el cortafuegos. Este mecanismo de autenticacin no es adaptable, ya que
requiere una cuenta para cada usuario final de GlobalProtect y, por lo tanto, solo se
recomienda para implementaciones muy pequeas.
Autenticacin externa
Las funciones de autenticacin de usuarios se externalizan a un servicio LDAP, Kerberos o

RADIUS existente (incluyendo la compatibilidad con mecanismos de autenticacin en dos
fases basada en token, tales como la autenticacin OTP [contrasea de un solo uso]). Para
habilitar la autenticacin externa, primero debe crear un perfil de servidor que defina la
configuracin de acceso al servicio de autenticacin externa y, a continuacin, crear un perfil
de autenticacin que haga referencia al perfil de servidor. Entonces tendr que hacer
referencia al perfil de autenticacin en la configuracin del portal, la puerta de enlace o el
gestor de seguridad mvil. Puede usar diferentes perfiles de autenticacin para cada
componente de GlobalProtect. Consulte Configuracin de autenticacin externa para
obtener informacin detallada sobre cmo realizar esta configuracin. Consulte un ejemplo
de configuracin en VPN de acceso remoto (Perfil de autenticacin).
Autenticacin de
certificacin de cliente
El portal o la puerta de enlace usan un certificado de cliente para obtener el nombre de usuario y
autenticar al usuario antes de permitirle acceder al sistema. Con este tipo de autenticacin, debe
emitir un certificado de cliente para cada usuario final; los certificados que emita deben contener
el nombre de usuario en uno de los campos del certificado, como el campo Nombre de asunto. Si
se ha configurado el perfil del certificado en el portal de GlobalProtect, el cliente debe presentar
un certificado para conectarse. Esto significa que los certificados deben implantarse previamente
en clientes finales antes de su conexin inicial al portal.
Adems, el perfil del certificado especifica el campo del certificado del que obtener el nombre de
usuario. Si el perfil del certificado especifica Asunto en Campo nombre de usuario, el certificado
presentado por el cliente debe contener un nombre comn para poder conectarse. Si el perfil del
certificado especifica un Asunto alternativo con un Correo electrnico o Nombre principal como
Campo de nombre de usuario, el certificado presentado por el cliente debe contener los campos
correspondientes, que se usarn como nombre de usuario cuando el agente de GlobalProtect se
autentique en el portal o la puerta de enlace.
GlobalProtect tambin es compatible con una tarjeta de acceso comn (CAC) y autenticacin con
tarjetas inteligentes, que se basan en un perfil del certificado. En este caso, el perfil del certificado
debe contener el certificado de CA raz que emiti el certificado en la tarjeta inteligente/CAC.
Si usa la autenticacin de certificado de cliente, no debera configurar un certificado de cliente en
la configuracin del portal, ya que lo proporcionar el sistema del cliente cuando se conecte el
usuario final. En VPN de acceso remoto (Perfil del certificado) puede ver un ejemplo de cmo
configurar una autenticacin de certificado de cliente.
20
Mtodo de
autenticacin
Descripcin
Autenticacin en dos fases
Puede habilitar la autenticacin en dos fases configurando tanto un perfil de certificado como un
perfil de autenticacin y aadir ambos a la configuracin de portal o puerta de enlace. Tenga en
cuenta que con la autenticacin en dos fases, el cliente deber autenticarse correctamente en
ambos mecanismos para poder acceder al sistema.
Adems, si el perfil de certificado especifica un Campo nombre de usuario desde el que obtener
el nombre de usuario del certificado, el nombre de usuario se usar automticamente para la
autenticacin en el servicio de autenticacin externo especificado en el perfil de autenticacin. Por
ejemplo, si en el perfil del certificado Campo nombre de usuario se ha definido como Asunto, el
valor en el campo de nombre comn del certificado se usar por defecto como el nombre de
usuario cuando el usuario intente autenticarse en el servidor de autenticacin. Si no quiere obligar
a los usuarios a autenticarse con un nombre de usuario desde el certificado, asegrese de que el
perfil del certificado se ha establecido en Ninguno para Campo nombre de usuario. Consulte un
ejemplo de configuracin en VPN de acceso remoto con autenticacin de dos factores.
Cmo sabe el agente qu credenciales proporcionar al portal y la puerta de enlace?

Por defecto, el agente de GlobalProtect intenta usar las mismas credenciales de inicio de sesin para la puerta de enlace
y el portal. En el caso ms sencillo, si la puerta de enlace y el portal usan el mismo perfil de autenticacin o perfil de
certificado, el agente se conectar a la puerta de enlace de forma transparente. Sin embargo, si el portal y la puerta de
enlace requieren credenciales diferentes (tales como OTP exclusivas), este comportamiento predeterminado
provocara retrasos en la conexin a la puerta de enlace porque esta no avisara al usuario para que se autenticase hasta
que hubiera intentado autenticarse sin xito mediante las credenciales proporcionadas por el agente.
Hay dos opciones para modificar el comportamiento de la autenticacin predeterminada del agente en una
configuracin basada en el cliente:
Autenticacin de cookies en el portal: El agente usa cookies cifradas para la autenticacin en el portal al
actualizar una configuracin que se ha almacenado previamente en cach (se solicitar la autenticacin del usuario
siempre que se trate de la configuracin inicial o al expirar una cookie). De este modo se simplifica el proceso de
autenticacin para usuarios finales, puesto que ya no tendrn que iniciar sesin sucesivamente tanto en el portal
como en la puerta de enlace o introducir varias OTP para autenticarse en ambas. Adems, esto permite el uso de
una contrasea temporal para habilitar el acceso VPN tras la caducidad de la contrasea.
Deshabilitacin del reenvo de credenciales a algunas o todas las puertas de enlace: El agente no
intentar usar sus credenciales del portal para iniciar sesin en la puerta de enlace, lo que permite a la puerta de
enlace solicitar inmediatamente su propio conjunto de credenciales. Esta opcin acelera el proceso de
autenticacin cuando el portal y la puerta de enlace requieren credenciales distintas (ya se trate de OTP distintas o
credenciales de inicio de sesin completamente diferentes). Tambin puede optar por usar una contrasea
diferente solo para puertas de enlace manuales. Con esta opcin, el agente reenviar credenciales a puertas de
enlace automticas pero no a las manuales, lo que le permite tener la misma seguridad en sus portales y en las
puertas de enlace automticas, y al mismo tiempo solicitar una OTP como segundo factor o una contrasea
diferente para acceder a esas puertas de enlace, que permiten acceder a los recursos ms importantes de su
empresa.
Si desea un ejemplo de cmo usar estas opciones, consulte Habilitacin de la autenticacin en dos fases mediante
contraseas de un solo uso (OTP).
21
Configuracin de autenticacin externa

En el siguiente flujo de trabajo se describe el modo de configurar el portal o la puerta de enlace para la
autenticacin de usuarios mediante un servicio de autenticacin existente. GlobalProtect admite la autenticacin
externa mediante LDAP, Kerberos o RADIUS.
GlobalProtect tambin es compatible con la autenticacin local. Para usar este mtodo de
autenticacin, cree una base de datos de usuarios locales que contenga los usuarios y grupos a
los que quiere permitir el acceso a la VPN (Dispositivo > Base de datos de usuario local) y
haga una referencia en el perfil de autenticacin.
Si desea obtener ms informacin, consulte Mtodos de autenticacin de GlobalProtect admitidos o consulte

un vdeo.
Configuracin de la autenticacin de usuarios externa
Paso 1
Cree un perfil de servidor.
1.
El perfil de servidor indica al cortafuegos

2.
cmo conectar con un servicio de
autenticacin externo y acceder a las
credenciales de autenticacin de los
3.
usuarios.
Si est usando LDAP para conectarse 4.
a Active Directory (AD), debe crear
un perfil de servidor LDAP diferente
para cada dominio de AD.
5.
Seleccione Dispositivo > Perfiles de servidor y seleccione el

tipo de perfil (LDAP, Kerberos o RADIUS).
Haga clic en Aadir e introduzca un Nombre para el perfil,
como GP-User-Auth.
(Solo LDAP) Seleccione el Tipo de servidor LDAP al que se est
conectando.
Haga clic en Aadir en la seccin Servidores e introduzca la
informacin requerida para el servicio de autenticacin, incluido
el Nombre, Direccin IP (o FQDN) y Puerto del servidor.
(Solo RADIUS y LDAP) Especifique la configuracin para
habilitar la autenticacin del cortafuegos en el servicio de
autenticacin del siguiente modo:
RADIUS: Introduzca el Secreto compartido al aadir la
entrada del servidor.
LDAP: Introduzca el valor de Enlazar DN y Enlazar
contrasea.
6.
(Solo LDAP y Kerberos) Especifique dnde buscar a los

usuarios en el servicio del directorio:
LDAP: DN de Base especifica el punto en el rbol del LDAP
donde empezar a buscar usuarios y grupos. Este campo
debera cumplimentarse automticamente al introducir el
puerto y la direccin del servidor. De no ser as, compruebe
la ruta de servicio al servidor LDAP.
Kerberos: Introduzca el nombre del Dominio de Kerberos.
22
7.
Especifique el nombre del Dominio (sin puntos, por ejemplo

acme, no acme.com). Este valor se aadir al nombre de usuario
en la direccin IP para las asignaciones de usuarios a los ID de
usuario.
8.
Haga clic en Aceptar para guardar el perfil de servidor.
Configuracin de la autenticacin de usuarios externa (Continuacin)
Paso 2
Cree un perfil de autenticacin.
1.
El perfil de autenticacin especifica qu

2.
perfil de servidor se usa para la
autenticacin de usuarios. Puede adjuntar
un perfil de autenticacin a una
configuracin de portal o puerta de
3.
enlace.
4.
Para permitir que los usuarios se 5.
conecten y cambien sus contraseas
caducadas sin intervencin
administrativa, considere usar el
mtodo de conexin anterior al
inicio de sesin. Consulte VPN de
acceso remoto con funcin anterior
al inicio de sesin para obtener
informacin detallada.
6.
Si los usuarios dejan caducar sus
contraseas, puede asignar una
contrasea de LDAP temporal que
permita a los usuarios iniciar sesin
en la VPN. En este caso, la
contrasea temporal puede usarse
para autenticar el portal, pero el
inicio de sesin de la puerta de
enlace puede fallar porque la misma
contrasea temporal no puede
reutilizarse. Para evitarlo, defina el
Modificador de autenticacin en la
configuracin del portal (Red >
GlobalProtect > Portal) como
Seleccione Dispositivo > Perfil de autenticacin y haga clic en

Aadir un nuevo perfil.
Introduzca un Nombre para el perfil y, a continuacin,
seleccione el tipo de Autenticacin (LDAP, Kerberos o
RADIUS).
Seleccione el Perfil de servidor que cre en el Paso 1.
(LDAP AD) Introduzca sAMAccountName como el Atributo
de inicio de sesin.
(LDAP) Defina Aviso de caducidad de contrasea, que indica
el nmero de das con antelacin con la que se comunica a los
usuarios la caducidad de la contrasea. Por defecto, a los
usuarios se les notificar siete das antes de la caducidad de la
contrasea. Como los usuarios deben cambiar sus contraseas
antes de su caducidad para garantizar un acceso continuado al
VPN, asegrese de que ofrece un periodo de notificacin que es
adecuado para su base de usuarios.
Haga clic en ACEPTAR.
Autenticacin de cookies para

actualizacin de configuracin
para permitir que el agente use una

cookie para autenticarse en el portal
y la contrasea temporal para
autenticar la puerta de enlace.
Paso 3
23

Con la autenticacin de certificado del cliente, el agente/aplicacin debe presentar un certificado de cliente para
conectarse al portal o puerta de enlace de GlobalProtect. El siguiente flujo de trabajo muestra cmo establecer
esta configuracin. Para obtener ms informacin, consulte Acerca de la autenticacin de usuarios de
GlobalProtect. Para ver una configuracin de ejemplo, consulte VPN de acceso remoto (Perfil del certificado).
Paso 1
Para emitir certificados exclusivos para clientes o mquinas

individuales, use su CA de empresa o una CA pblica. Sin embargo,
si quiere usar certificados de cliente para validar que el usuario
El mtodo de emisin de certificados de
pertenece a su organizacin, genere un certificado de cliente
cliente depende del modo en que est
autofirmado como se especifica a continuacin:
usando la autenticacin de clientes:
1. Cree el certificado de CA raz para la emisin de certificados
Para autenticar usuarios
autofirmados de los componentes de GlobalProtect.
individuales: Debe emitir un
2. Seleccione Dispositivo > Gestin de certificados >
certificado de cliente exclusivo para
Certificados > Certificados de dispositivos y, a continuacin,
cada usuario de GlobalProtect e
haga clic en Generar.
implementarlos en los sistemas del
3. Introduzca un nombre de certificado. El nombre de certificado
cliente antes de habilitar
no puede contener espacios.
GlobalProtect.
Emita certificados de cliente para
mquinas/usuarios de GlobalProtect.
Para validar que el sistema del

cliente pertenece a su organizacin:
Use su propia infraestructura de clave
pblica (PKI) para emitir y distribuir
certificados de mquina a cada sistema
de cliente (recomendado) o genere un
certificado de mquina autofirmado
para su exportacin. Es un requisito
anterior al inicio de sesin. Esta opcin
requiere que configure adems un
perfil de autenticacin para autenticar
al usuario. Consulte Autenticacin en
dos fases.
Para validar que un usuario
pertenece a su organizacin: En este
caso, puede usar un nico certificado
de cliente para todos los agentes, o bien
generar certificados separados para
implementarlos con una configuracin
de cliente en particular. Use el
procedimiento de este paso para emitir
certificados de cliente autofirmados
para tal fin.
24
4.
5.
En el campo Nombre comn, introduzca un nombre para

identificar este certificado como certificado de agente; por
ejemplo, Clientes_Windows_GP. Dado que este mismo
certificado se implementar a todos los agentes usando la misma
configuracin, no es necesario identificar de forma exclusiva
usuarios finales o sistemas especficos.
(Opcional) En la seccin Atributos del certificado, haga clic en
Aadir y defina los atributos que identifican a los clientes de
GlobalProtect como pertenecientes a su organizacin si forma

parte de sus requisitos de seguridad.
6.
En el campo Firmado por, seleccione su CA raz.
7.
Haga clic en Aceptar para generar el certificado.
Configuracin de la autenticacin de certificado de cliente (Continuacin)
Paso 2
Instale certificados en el almacn de

certificados personales de los sistemas
cliente.
Por ejemplo, para instalar un certificado en un sistema Windows usando

Microsoft Management Console:
1. Desde la lnea de comandos, introduzca mmc para iniciar la consola.
Si est usando certificados de usuario o 2.

certificados de mquina exclusivos, cada 3.
certificado debe instalarse en el almacn
de certificados personales del sistema
cliente antes de la primera conexin al
portal / puerta de enlace. Instale
certificados de mquina en el almacn de
certificados del equipo local en Windows
y en el llavero del sistema de Mac OS.
Instale certificados de usuario en el
almacn de certificados del usuario actual
en Windows y en el llavero personal de
Mac OS.
Seleccione Archivo > Agregar o quitar complemento.

Seleccione Certificados, haga clic en Agregar y, a continuacin,
seleccione una de las siguientes opciones, dependiendo del
certificado que est importando:
Cuenta de equipo: Seleccione esta opcin si est importando
un certificado de mquina.
Mi cuenta de usuario: Seleccione esta opcin si est
importando un certificado de usuario.
4.
Expanda Certificados y seleccione Personal. A continuacin, en

la columna Acciones seleccione Personal > Acciones
adicionales > Todas las tareas > Importar y siga los pasos del
Asistente para importacin de certificados para importar el archivo
PKCS que ha obtenido de la CA.
5.
Desplcese hasta el archivo de certificado .p12 para importar

(seleccione Intercambio de informacin personal como el tipo
de archivo que busca) e introduzca la contrasea que us para
cifrar la clave privada. Seleccione Personal como el almacn de
certificados.
25
Configuracin de la autenticacin de certificado de cliente (Continuacin)
Paso 3
Compruebe que se ha aadido el

certificado al almacn de certificados
personales.
Compruebe que el certificado que acaba de instalar est realmente

all.
Paso 4
Importe el certificado de CA raz usado

para emitir los certificados de clientes
desde el cortafuegos.
1.
Descargue el certificado de CA raz usado para emitir los

certificados de clientes (formato Base64).
2.
Importe el certificado de CA raz desde la CA que gener los

certificados de cliente al cortafuegos:
Este paso solo es necesario si los

certificados de clientes fueron emitidos por
una CA externa, como una CA pblica o
una CA PKI de empresa. Si usa certificados
autofirmados, el portal / puerta de enlace ya
confa en la CA raz.
a. Seleccione Dispositivo > Gestin de certificados >

Certificados > Certificados de dispositivos y haga clic en
Importar.
b. Introduzca un Nombre de certificado que identifique al
certificado como su certificado de CA de cliente.
c. Seleccione Examinar para desplazarse al Archivo del
certificado que descarg de la CA.
d. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuacin, haga clic en Aceptar.
e. Seleccione el certificado que acaba de importar en la pestaa
Certificados de dispositivos para abrirlo.
f. Seleccione CA raz de confianza y, a continuacin, haga clic
en Aceptar.
Paso 5
Cree un perfil de certificado de cliente.
1.
Si est configurando el portal o

puerta de enlace con autenticacin
en dos fases, se usar como nombre 2.
de usuario el nombre de usuario del
certificado de cliente cuando se
autentique al usuario en su servicio 3.
de autenticacin externo. De este
modo se garantiza que el usuario
que se est registrando es en
realidad el usuario para el que se
emiti el certificado.
Paso 6
26
Seleccione Dispositivo > Certificados > Gestin de certificados

> Perfil del certificado, haga clic en Aadir e introduzca un
Nombre de perfil.
Seleccione un valor para el Campo de nombre de usuario para
especificar qu campo en el certificado contendr la
informacin de identidad del usuario.
En el campo Certificados de CA, haga clic en Aadir, seleccione
el certificado de CA raz de confianza que import en el Paso 4
y, a continuacin, haga clic en ACEPTAR.
Configuracin de la autenticacin en dos fases

Si necesita una autenticacin slida para proteger sus recursos ms importantes o para cumplir con requisitos
normativos, como PCI, SDX o HIPAA, configure GlobalProtect para usar un servicio de autenticacin que use
un esquema de autenticacin en dos fases como contraseas de un solo uso (OTP), tokens, tarjetas inteligentes
o una combinacin de autenticacin externa y autenticacin de certificado de cliente. Un esquema de
autenticacin en dos fases requiere dos elementos: algo que conozca el usuario final (como un PIN o una
contrasea) y algo que el usuario tenga (hardware o de token/OTP, tarjeta inteligente o certificado).
Las siguientes secciones ofrecen ejemplos de cmo configurar una autenticacin en dos fases en GlobalProtect:
Habilitacin de la autenticacin en dos fases
Habilitacin de la autenticacin en dos fases mediante contraseas de un solo uso (OTP)
Habilitacin de autenticacin en dos fases mediante tarjetas inteligentes

El siguiente flujo de trabajo muestra cmo configurar la autenticacin de clientes de GlobalProtect que requiere
que el usuario se autentique tanto con un perfil de certificado como con un perfil de autenticacin. El usuario
debe autenticarse correctamente usando ambos mtodos para poder conectarse al portal/puerta de enlace. Si
desea informacin ms detallada sobre esta configuracin, consulte VPN de acceso remoto con autenticacin
de dos factores.
27
Paso 1
1.
El perfil de servidor indica al cortafuegos

2.
cmo conectar con un servicio de
autenticacin externo y acceder a las
credenciales de autenticacin de los
3.
usuarios.
4.
Si est usando LDAP para
conectarse a Active Directory (AD),
debe crear un perfil de servidor
LDAP diferente para cada dominio 5.
de AD.
Seleccione Dispositivo > Perfiles de servidor y seleccione el

tipo de perfil (LDAP, Kerberos o RADIUS).
Haga clic en Aadir e introduzca un Nombre para el perfil,
como GP-User-Auth.
(Solo LDAP) Seleccione el Tipo de servidor LDAP al que se est
conectando.
Haga clic en Aadir en la seccin Servidores e introduzca la
informacin requerida para el servicio de autenticacin, incluido
el Nombre, Direccin IP (o FQDN) y Puerto del servidor.
(Solo RADIUS y LDAP) Especifique la configuracin para
habilitar la autenticacin del cortafuegos en el servicio de
autenticacin del siguiente modo:
RADIUS: Introduzca el Secreto compartido al aadir la
entrada del servidor.
LDAP: Introduzca el valor de Enlazar DN y Enlazar
contrasea.
6.
(Solo LDAP y Kerberos) Especifique dnde buscar a los

usuarios en el servicio del directorio:
LDAP: DN de Base especifica el punto en el rbol del LDAP
donde empezar a buscar usuarios y grupos. Este campo
debera cumplimentarse automticamente al introducir el
puerto y la direccin del servidor. De no ser as, compruebe
la ruta de servicio al servidor LDAP.
Kerberos: Introduzca el nombre del Dominio de Kerberos.
Paso 2
7.
Especifique el nombre del Dominio (sin puntos, por ejemplo

acme, no acme.com). Este valor se aadir al nombre de usuario
en la direccin IP para las asignaciones de usuarios a los ID de
usuario.
8.
1.
Seleccione Dispositivo > Perfil de autenticacin y haga clic en

Aadir un nuevo perfil.
El perfil de autenticacin especifica qu

2.
perfil de servidor se usa para la
autenticacin de usuarios. Puede adjuntar
un perfil de autenticacin a una
configuracin de portal o puerta de
3.
enlace.
4.
Introduzca un Nombre para el perfil y, a continuacin,

seleccione el tipo de Autenticacin (LDAP, Kerberos o
RADIUS).
(LDAP AD) Introduzca sAMAccountName como el Atributo
de inicio de sesin.
5.
28
Habilitacin de la autenticacin en dos fases (Continuacin)
Paso 3
1.
Si est configurando el portal o

puerta de enlace con autenticacin
en dos fases, si el cliente contiene un 2.
campo de nombre de usuario, el
valor del nombre de usuario se
usar como nombre de usuario
cuando se autentique al usuario en
su servicio de autenticacin
externo. De este modo se garantiza
que el usuario que se est
registrando es en realidad el usuario
para el que se emiti el certificado.
Paso 4
Paso 5
Seleccione Dispositivo > Certificados > Gestin de

certificados > Perfil del certificado, haga clic en Aadir e
introduzca un Nombre de perfil.
Seleccione un valor para el Campo de nombre de usuario:
Si est implementando un certificado de cliente desde el
portal, deje este campo definido como Ninguno.
Si est configurando un perfil de certificado para usarlo antes
del inicio de sesin, deje este campo definido como Ninguno.
Si est usando el certificado de cliente para la autenticacin
de usuarios individuales (incluyendo usuarios de tarjetas
inteligentes), seleccione el campo del certificado que
contendr la informacin de identidad del usuario.
3.

el certificado de CA raz de confianza que acaba de importar y,
a continuacin, haga clic en ACEPTAR.
(Opcional) Emita certificados de cliente

para mquinas/usuarios de
GlobalProtect.
1.
Utilice su PKI empresarial o CA pblica para emitir un

certificado de cliente nico para cada usuario de GlobalProtect.
2.
Instale certificados en el almacn de certificados personales de

los sistemas cliente.
Guarde la configuracin de
GlobalProtect.

En el cortafuegos, el proceso de configuracin del acceso al servicio de autenticacin en dos fases es parecido
al de configuracin de cualquier otro tipo de autenticacin: cree un perfil de servidor (normalmente en un
servidor RADIUS), aada el perfil de servidor a un perfil de autenticacin y, a continuacin, haga referencia a
ese perfil de autenticacin en la configuracin del dispositivo que llevar a cabo la autenticacin: en este caso, el
portal o la puerta de enlace de GlobalProtect.
Por defecto, el agente proporcionar las mismas credenciales usadas para el inicio de sesin en el portal y la
puerta de enlace. En el caso de la autenticacin OTP, este comportamiento har que la autenticacin falle
inicialmente en la puerta de enlace y, debido al retraso que esto ocasiona en la solicitud de inicio de sesin al
usuario, la OTP del usuario puede caducar. Para evitar esto, el portal permite la modificacin de este
comportamiento mediante una configuracin para cada cliente, ya sea permitiendo al portal la autenticacin
usando una cookie cifrada o evitando que el agente use con la puerta de enlace las mismas credenciales que us
para el portal. Ambas opciones resuelven el problema habilitando a la puerta de enlace para que pueda solicitar
las credenciales apropiadas inmediatamente.
29
Habilitacin de la compatibilidad con OTP
Paso 1
Configure su servidor RADIUS para que Puede consultar instrucciones especficas en su servidor RADIUS.
En la mayora de los casos, necesitar configurar un agente de
interaccione con el cortafuegos.
autenticacin y una configuracin de cliente en el servidor RADIUS
Este procedimiento da por hecho que su
para habilitar la comunicacin entre el cortafuegos y el servidor
servicio RADIUS ya est configurado
RADIUS. Tambin deber definir el secreto compartido usado para
para OTP o token y que los usuarios ya
cifrar las sesiones entre el cortafuegos y el servidor RADIUS.
han implementado los dispositivos
necesarios (como tokens de hardware).
Paso 2
1.
En el cortafuegos que actuar como su
puerta de enlace o portal, cree un perfil de
servidor RADIUS.
2.
Prctica recomendada:
3.
Seleccione Dispositivo > Perfiles de servidor > RADIUS, haga

clic en Aadir e introduzca un Nombre para el perfil.
Introduzca el nombre del Dominio de RADIUS.
Para aadir una entrada de servidor RADIUS, haga clic en
Aadir en la seccin Servidores y, a continuacin, introduzca la
Cuando cree el perfil de servidor

RADIUS, introduzca siempre un nombre
de dominio, ya que este valor servir de
dominio predeterminado para la
asignacin de ID de usuario si los usuarios
no proporcionan uno al iniciar sesin.
siguiente informacin:
Un nombre descriptivo para identificar este Servidor
RADIUS
La Direccin IP del servidor RADIUS
El Secreto compartido usado para cifrar sesiones entre el
cortafuegos y el servidor RADIUS
El nmero de Puerto desde el que el servidor RADIUS
escuchar las solicitudes de autenticacin (por defecto, 1812)
Paso 3
4.
Haga clic en Aceptar para guardar el perfil.
1.
Seleccione Dispositivo > Perfiles de autenticacin, haga clic en

Aadir e introduzca un Nombre para el perfil. El nombre del
perfil de autenticacin no puede contener espacios.
Paso 4
30
2.
Seleccione RADIUS en el men desplegable Autenticacin.
3.
Seleccione el Perfil de servidor que ha creado para acceder a su

servidor RADIUS.
4.
Haga clic en ACEPTAR para guardar el perfil de autenticacin.
Asigne el perfil de autenticacin a la puerta 1.

de enlace o portal de GlobalProtect.
Seleccione Red > GlobalProtect > Puertas de enlace o Portales

y seleccione la configuracin (o aada una).
Esta seccin solo describe cmo aadir el 2.

perfil de autenticacin a la puerta de enlace
o perfil de configuracin. Para obtener
informacin sobre la configuracin de estos 3.
componentes, consulte Configuracin de
las puertas de enlace de GlobalProtect y 4.
Configuracin del portal de
GlobalProtect.
En la pestaa General (en la puerta de enlace) o Configuracin

portal (en el portal), seleccione el Perfil de autenticacin que
acaba de crear.
Introduzca un Mensaje de autenticacin para guiar a los usuarios
en cuanto a las credenciales de autenticacin que deben usar.
Haga clic en ACEPTAR para guardar la configuracin.
Habilitacin de la compatibilidad con OTP (Continuacin)
Paso 5
(Opcional) Modifique el comportamiento 1.

de autenticacin predeterminada en el
portal.
2.
Esta seccin solo describe cmo
modificar el comportamiento de
autenticacin del portal. Si desea
informacin ms detallada, consulte
Definicin de las configuraciones de
cliente de GlobalProtect.
3.
Seleccione Red > GlobalProtect > Puertas de enlace o

Portales y seleccione la configuracin (o aada una).
Seleccione la pestaa Configuracin clientes y, a continuacin,
seleccione o aada una configuracin de cliente.
En la pestaa General, seleccione uno de los siguientes valores
del campo Modificador de autenticacin:
Autenticacin de cookies para actualizacin de
configuracin: Permite al portal usar una cookie cifrada para
la autenticacin de usuarios, de modo que no tengan que
introducir mltiples OTP o credenciales.
Contrasea diferente para puerta de enlace externa: Evita
que el agente reenve a la puerta de enlace las credenciales de
usuario que us para la autenticacin en el portal con el fin de
evitar fallos de autenticacin OTP.
4.
Paso 6
Paso 7
Verifique la configuracin.
Haga clic en ACEPTAR dos veces para guardar la configuracin.
Desde un sistema cliente que ejecute el agente de GlobalProtect,

trate de conectarse a una puerta de enlace o portal en el que haya
En este paso se da por hecho que ya tiene
habilitado la autenticacin. Debera ver dos mensajes parecidos a
configurada la puerta de enlace y el portal.
estos:
Para obtener informacin sobre la
El primero le solicitar un PIN (ya sea generado por el usuario o por
configuracin de estos componentes,
consulte Configuracin de las puertas de el sistema):
enlace de GlobalProtect y Configuracin
del portal de GlobalProtect.
El segundo le solicitar un token u OTP:
31

Si quiere habilitar a sus usuarios finales para que se autentiquen usando una tarjeta inteligente o una tarjeta de
acceso comn (CAC), debe importar desde el portal o la puerta de enlace el certificado de CA raz que emiti
los certificados contenidos en las tarjetas inteligentes / CAC del usuario final. Puede crear un perfil de
certificado que incluya esa CA raz y la aplique a sus configuraciones de portal o puerta de enlace para habilitar
el uso de tarjetas inteligentes en el proceso de autenticacin.
Habilitacin de autenticacin con tarjetas inteligentes
Paso 1
Configure su infraestructura para tarjetas Puede consultar instrucciones especficas en la documentacin del
software del proveedor de autenticacin de usuarios. En la mayora
inteligentes
de los casos, la configuracin de la infraestructura para tarjetas
Este procedimiento da por hecho que ha
inteligentes requiere la generacin de certificados para los usuarios
facilitado tarjetas inteligentes y lectores de
finales y los servidores que participan en el sistema, que en este caso
tarjetas inteligentes a sus usuarios finales.
son los portales o puertas de enlace de GlobalProtect. Todos los
certificados para usuarios finales y el portal o la puerta de enlace
deben haber sido emitidos por la misma CA raz.
Paso 2
Importe el certificado de la CA raz que Asegrese de que se puede acceder a los archivos de clave y
emiti los certificados contenidos en las certificado desde su sistema de gestin y de que tiene la frase de
tarjetas inteligentes de los usuarios finales. contrasea para descifrar la clave privada. A continuacin, siga estos
pasos:
1. Seleccione Dispositivo > Gestin de certificados >
Paso 3
32
2.
3.

4.

Formato de archivo.
5.
6.

encontrarla.
7.

Cree el perfil de certificado en cada portal o puerta de enlace en la

que pretenda usar autenticacin con tarjetas inteligentes o CAC:
Consulte la ayuda en lnea para
1. Seleccione Dispositivo > Gestin de certificados > Perfil del
obtener detalles de otros campos de
certificado, haga clic en Aadir e introduzca un Nombre de
perfil de certificado, como si debe
perfil.
usar CRL u OCSP.
Cree el perfil de certificado.
2.
Asegrese de definir el Campo de nombre de usuario como

Ninguno.
3.

el certificado de CA raz de confianza que import en el Paso 2
y, a continuacin, haga clic en ACEPTAR.
4.
Haga clic en ACEPTAR para guardar el perfil del certificado.
Habilitacin de autenticacin con tarjetas inteligentes (Continuacin)
Paso 4
Asigne el perfil del certificado a la puerta 1.

de enlace o portal de GlobalProtect.
Esta seccin solo describe cmo aadir el
perfil del certificado a la puerta de enlace 2.
o perfil de configuracin. Para obtener
informacin sobre la configuracin de
estos componentes, consulte
3.
Configuracin de las puertas de enlace de
GlobalProtect y Configuracin del portal
de GlobalProtect.
4.
Seleccione Red > GlobalProtect > Puertas de enlace o

Portales y seleccione la configuracin (o haga clic en Aadir
para aadir una).
En la pestaa General (en la puerta de enlace) o Configuracin
portal (en el portal), seleccione el Perfil del certificado que
acaba de crear.
Introduzca un Mensaje de autenticacin para guiar a los
usuarios en cuanto a las credenciales de autenticacin que deben
usar.
Paso 5
Paso 6
Verifique la configuracin.
Desde un sistema cliente que ejecute el agente de GlobalProtect,

trate de conectarse a una puerta de enlace o portal en el que haya
configurado la autenticacin con tarjetas inteligentes. Cuando se le
indique, inserte su tarjeta inteligente y compruebe que puede
autenticarse correctamente en GlobalProtect.
Configuracin de la autenticacin para clientes strongSwan Ubuntu y CentOS

Para permitir que la compatibilidad de acceso remoto VPN de GlobalProtect se extienda a clientes de
strongSwan Ubuntu y CentOS, configure una autenticacin para los clientes de strongSwan. Utilice los
siguientes ajustes recomendados para configurar la configuracin del cliente de strongSwan. Uno de los tres
mtodos pueden activarse para permitir a los clientes de strongSwan conectar con GlobalProtect: usar
certificados, servidores de autenticacin, o ambos (autenticacin de dos fases) para autenticar a clientes de
strongSwan.
Para ver la versin de GlobalProtect mnima que admita strongSwan en Ubuntu Linux y CentOS,
consulte Qu versiones de sistema operativo del cliente admite GlobalProtect?.
Habilitacin de la autenticacin para clientes de strongSwan Ubuntu y CentOS
Paso 1
Inicie los servicios strongSwan IPsec.
Clientes de Ubuntu:
ipsec start
Clientes de CentOS:
strongswan start
Paso 2
Conecte el tnel de IPsec que desee que utilice el Clientes de Ubuntu:

cliente de strongSwan para autenticar la puerta de ipsec up <nombre>
enlace de GlobalProtect.
Use la variable config name para nombrar la
configuracin de tnel que desea configurar o
modificar.
Clientes de CentOS:
strongswan up <nombre>
33
Habilitacin de la autenticacin para clientes de strongSwan Ubuntu y CentOS (Continuacin)
Paso 3
ipsec.conf
Compruebe que los ajustes de conexin
predeterminados del archivo de configuracin del conn %default
ikelifetime=20
tnel de IPsec (/etc/ipsec.conf) se han
definido correctamente en la seccin conn
reauth=yes
%default del archivo ipsec.conf.
rekey=yes
keylife=10m
rekeymargin=3m
rekeyfuzz=0%
keyingtries=1
type=tunnel
Paso 4
Permita que el cliente de strongSwan se autentique

usando un perfil de certificado, un perfil de
autenticacin o una autenticacin de dos factores
(tanto un perfil de certificado como un perfil de
autenticacin). Contine estableciendo una de las
siguientes tres opciones de autenticacin:
Paso 4
(Opcin 1) Usar un perfil de certificado.
ipsec.conf
Seleccione un perfil de certificado para definir la

autenticacin de cliente de StrongSwan para
GlobalProtect. Los perfiles de certificados
especifican qu certificados deben utilizarse,
cmo verificar el estado de revocacin de
certificados y cmo ese estado determina el acceso
a GlobalProtect.
conn <nombre certificado>
Con este mtodo de autenticacin, use el nombre

de usuario de cliente de strongSwan como el
nombre comn del certificado.
Este paso requiere que configure o modifique los
ajustes en el archivo de configuracin de IPsec
(ipsec.conf) y en el archivo de contrasea IPsec
del cliente de strongSwan (ipsec.secrets).
keyexchange=ikev1
authby-rsasig
ike=aes-sha1-modp1024,aes256#esp=aes-sha1
left=<direccin IP cliente strongSwan/Linux>
leftcert=<certificado de cliente con el
nombre de usuario de cliente de strongSwan
usado como nombre comn del certificado>
leftsourceip=%config
leftauth2=xauth
right=<direccin IP de GlobalProtect>
rightid=<direccin IP puerta enlace
GlobalProtect>
rightsubnet=0.0.0.0/0
auto=add
ipsec.secrets
:RSA <archivo clave privada>
34
Paso 4
(Opcin 2) Usar un perfil de autenticacin.
ipsec.conf
El perfil de autenticacin especifica qu perfil de

servidor debe utilizarse para autenticar clientes de
strongSwan.
conn <nombre servidor>

keyexchange=ikev1
ikelifetime=1440m
keylife=60m

(ipsec.conf) y en el archivo de contrasea IPsec
aggressive=yes
ike=aes-sha1-modp1024,aes256
esp=aes-sha1
xauth=client
leftid=@#<nombregrupo>
leftsourceip=%modeconfig
leftauth=psk
rightauth=psk
leftauth2=xauth
right=<direccin IP puerta enlace
GlobalProtect>
xauth_identity=<nombre usuario LDAP>
auto=add
ipsec.secrets
:PSK <secreto>
<nombre usuario> :XAUTH <contrasea>
Paso 4 (Opcin 3) Usar una autenticacin en dos

fases.
Con la autenticacin en dos fases, el cliente de
strongSwan debe autenticarse correctamente usando
tanto un perfil de certificado como un perfil de
autenticacin para poder conectar con el portal o
puerta de enlace de GlobalProtect.
ipsec.conf
conn certldap
keyexchange=ikev1
authby=xauthrsasig
ike=aes-sha1-modp1024
esp=aes-sha1
xauth=client

(ipsec.conf) y en el archivo de contrasea IPsec leftcert=<certificado cliente sin contraseas>
leftsourceip=%config
right=<direccin IP puerta enlace
GlobalProtect>
rightid=%any
leftauth2=xauth
xauth_identity=<nombre usuario LDAP>
auto=add
ipsec.secrets
<nombre usuario> :XAUTH <contrasea>
35
Paso 5
(Opcional) Siga aadiendo o modificando otros

ajustes de los clientes de strongSwan:
Enve rutas de acceso y rutas configuradas en la Actualice el siguiente ajuste a yes en el archivo de
puerta de enlace de GlobalProtect hacia el cliente configuracin de strongSwan:
de strongSwan. Use esta opcin para establecer charon.cisco_unity = yes
tneles divididos para permitir al cliente acceder a
Internet sin pasar por el tnel de VPN.
Omita esta opcin si desea que todas las
solicitudes se enven a travs del tnel y atraviesen
el cortafuegos.
El archivo de configuracin de
strongSwan puede encontrarse en la
siguiente ubicacin:
/etc/strongswan.d/charon.conf.
Encuentre los certificados y claves privadas de los Clientes de Ubuntu:

clientes de strongSwan.
Archivos .CRT y .PEM:
/etc/ipsec.d/certs
Certificados de la Entidad de certificacin (CA):

/etc/ipsec.d/cacerts
Archivos de clave para los certificados de cliente:

/etc/ipsec.d/private
Clientes de CentOS:
Archivos .CRT y .PEM:

/etc/strongswan/ipsec.d/certs
Certificados de la entidad de certificacin (CA):

/etc/strongswan/ipsec.d/cacerts
Archivos de clave para los certificados de cliente:

/etc/strongswan/ipsec.d/private
Compruebe la informacin de estado detallada Clientes de Ubuntu:

sobre una conexin especfica (nombrando la
ipsec statusall [<nombre de conexin>]
conexin) o informacin de estado para todas las
conexiones.
Clientes de CentOS:
strongswan statusall [<nombre de conexin>]
Detencin de los servicios IPsec de strongSwan. Clientes de Ubuntu:

ipsec stop
Clientes de CentOS:
strongswan stop
Termine la conexin con el tnel de IPsec de

strongSwan.
Clientes de Ubuntu:
ipsec down <nombre de conexin>
Clientes de CentOS:
strongswan down <nombre de conexin>
36

Dado que el agente o la aplicacin que se ejecuta en los sistemas de sus usuarios finales requieren la autenticacin
correcta del usuario antes de tener acceso a GlobalProtect, se conoce la identidad de cada usuario de
GlobalProtect. Sin embargo, si quiere tener la capacidad de definir configuraciones de GlobalProtect o polticas
de seguridad basadas en la pertenencia a grupos, el cortafuegos debe recuperar la lista de grupos y la
correspondiente lista de miembros de su servidor de directorios. Esto recibe el nombre de asignacin de grupos.
Para habilitar esta funcin, debe crear un perfil de servidor LDAP que indique al cortafuegos cmo conectarse
al servidor de directorios y autenticarlo, as como el modo de buscar en el directorio la informacin de usuarios
y grupos. Cuando el cortafuegos se haya conectado correctamente al servidor LDAP y haya recuperado las
asignaciones de grupos, ser capaz de seleccionar grupos al definir las configuraciones de clientes y las polticas
de seguridad. El cortafuegos admite una variedad de servidores de directorio LDAP, incluidos Microsoft Active
Directory (AD), Novell eDirectory y Sun ONE Directory Server.
37
Utilice el siguiente procedimiento para conectarse a su directorio LDAP y as permitir que el cortafuegos
recupere informacin de asignacin de usuario a grupo:
Asignacin de usuarios a grupos
Paso 1
1.
Cree un perfil de servidor LDAP que
especifique cmo conectarse a los
2.
servidores de directorio a los que debera
conectarse el cortafuegos para obtener
3.
informacin de asignacin de grupos.
Seleccione Dispositivo > Perfiles de servidor > LDAP.

Haga clic en Aadir y, a continuacin, introduzca un Nombre
para el perfil.
(Opcional) Seleccione el sistema virtual al que se aplica este
perfil en el men desplegable Ubicacin.
4.
Haga clic en Aadir para aadir una nueva entrada de servidor

LDAP y, a continuacin, introduzca un nombre de Servidor
para identificar al servidor (de 1 a 31 caracteres) y el nmero de
Direccin IP y Puerto que debera utilizar el cortafuegos para
conectarse al servidor LDAP (valor predeterminado=389 para
LDAP; 636 para LDAP sobre SSL). Puede aadir hasta cuatro
servidores LDAP al perfil; sin embargo, todos los servidores
que aada a un perfil debern ser del mismo tipo. Para la
redundancia, debera aadir como mnimo dos servidores.
5.
Introduzca el nombre de Dominio de LDAP para preceder a

todos los objetos obtenidos del servidor. El valor que
introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el
nombre de dominio NetBIOS; NO el FQDN (por ejemplo,
introduzca acme, no acme.com). Tenga en cuenta que si
necesita recopilar datos de varios dominios, deber crear
perfiles de servidor separados para cada dominio. Aunque el
nombre de dominio se puede determinar automticamente,
la prctica recomendada es introducir el nombre de dominio
siempre que sea posible.
Si est utilizando un servidor de catlogo global, deje este
campo en blanco.
38
6.
Seleccione el Tipo de servidor LDAP al que se est conectando.

Los valores de asignacin de grupos se cumplimentarn
automticamente segn su seleccin. Sin embargo, si ha
personalizado su esquema, puede que tenga que modificar los
ajustes predeterminados.
7.
En el campo Base, especifique el punto donde desee que el

cortafuegos comience su bsqueda de informacin de usuarios
y grupos dentro del rbol de LDAP.
8.
Introduzca las credenciales de autenticacin para el enlace con

el rbol de LDAP en los campos Enlazar DN, Enlazar
contrasea y Confirmar contrasea de enlace. El valor de
Enlazar DN puede tener el formato Nombre principal del
usuario (UPN) (por ejemplo, administrator@acme.local) o
puede ser un nombre de LDAP completo (por ejemplo,
cn=administrator,cn=users,dc=acme,dc=local).
9.
Si desea que el cortafuegos se comunique con los servidores

LDAP a travs de una conexin segura, seleccione la casilla de
verificacin SSL. Si habilita SSL, asegrese de que tambin ha
especificado el nmero de puerto adecuado.
Asignacin de usuarios a grupos (Continuacin)
Paso 2
Paso 3
Aada el perfil de servidor LDAP a la

1.
configuracin de asignacin de grupos de
User-ID.
Seleccione Dispositivo > Identificacin de usuarios >

Configuracin de asignacin de grupo y haga clic en Aadir.
2.
Introduzca un Nombre para la configuracin.
3.
Seleccione el Perfil de servidor que acaba de crear.
4.
Asegrese de que la casilla de verificacin Habilitado est

seleccionada.
5.
(Opcional) Si desea limitar los grupos que se muestran en la

poltica de seguridad, seleccione la pestaa Lista de inclusin de
grupos y, a continuacin, examine el rbol de LDAP para
localizar los grupos que desea poder utilizar en la poltica. En el
caso de cada grupo que desee incluir, seleccinelo en la lista
Grupos disponibles y haga clic en el icono de adicin
para
moverlo a la lista Grupos incluidos. Repita este paso para cada
grupo que desee poder utilizar en sus polticas.
6.
39

Puesto que la configuracin de GlobalProtect que el portal entrega a los agentes incluye la lista de puertas de
enlace a las que puede conectarse el cliente, es recomendable configurar las puertas de enlace antes de configurar
el portal.
Los Puertas de enlace de GlobalProtect se pueden configurar para que ofrezcan dos funciones principales:
Aplicar polticas de seguridad para los agentes y aplicaciones de GlobalProtect que se conectan e ella.
Tambin puede habilitar la recopilacin HIP en la puerta de enlace para mejorar la granularidad de la poltica
de seguridad. Para obtener ms informacin sobre la habilitacin de comprobaciones HIP, consulte Uso de
la informacin de host en la aplicacin de polticas.
Ofrece acceso a su red interna a travs de una red privada virtual (VPN). El acceso VPN se proporciona a
travs de tnel SSL o IPSec entre el cliente y una interfaz de tnel en el cortafuegos de la puerta de enlace.
Entonces podr configurar las puertas de enlace de GlobalProtect en los cortafuegos de
VM-Series implementados en la nube AWS. Al implementar un cortafuegos VM-Series en la nube
AWS, puede implementar rpida y fcilmente GlobalProtect en cualquier regin sin el gasto o la
logstica de TI que suelen ser necesaria para establecer esta infraestructura usando sus propios
recursos. Si desea informacin detallada, consulte Caso de uso: Cortafuegos VM-Series como
puertas de enlace GlobalProtect en AWS.
Tareas de requisitos previos para la configuracin de la puerta de enlace de

GlobalProtect
Antes de poder configurar la puerta de enlace de GlobalProtect, debe haber realizado las tareas siguientes:
Crear las interfaces (y zonas) para la interfaz donde pretende configurar cada puerta de enlace. Para las
puertas de enlace que requieren conexiones de tnel, debe configurar tanto la interfaz fsica como la
interfaz de tnel virtual. Consulte Creacin de interfaces y zonas para GlobalProtect.
Configurar los certificados de servidor de puerta de enlace requeridos por el agente de GlobalProtect para
establecer una conexin SSL con la puerta de enlace. Consulte Habilitacin de SSL entre componentes de
GlobalProtect.
Definir los perfiles de autenticacin o perfiles del certificado que servirn para la autenticacin de usuarios
de GlobalProtect. Consulte Configuracin de la autenticacin de usuario en GlobalProtect.
40
Configuracin de una puerta de enlace de GlobalProtect

Una vez completadas las tareas previas, configure los Puertas de enlace de GlobalProtect como sigue:
Configuracin de las puertas de enlace
Paso 1
Paso 2
Aada una puerta de enlace.
Especifique la informacin de red que

permita a los agentes conectarse a la
puerta de enlace.
1.
Seleccione Red > GlobalProtect > Puertas de enlace y haga clic

en Aadir.
2.
En la pestaa General, introduzca un Nombre para la puerta de

enlace. El nombre de la puerta de enlace no puede contener
espacios y se recomienda que incluya la ubicacin u otra
informacin descriptiva que ayude a los usuarios y a otros
administradores a identificar la puerta de enlace.
3.
(Opcional) Seleccione el sistema virtual al que pertenece esta

puerta de enlace en el campo Ubicacin.
1.
Seleccione la Interfaz que usarn los agentes para acceder a la

puerta de enlace.
2.
Seleccione la Direccin IP para el servicio web de la puerta de

enlace.
Si an no ha creado la interfaz de red para

la puerta de enlace, consulte las
3.
instrucciones de Creacin de interfaces y
zonas para GlobalProtect. Si an no ha
creado un certificado de servidor para la
puerta de enlace, consulte
Implementacin de certificados de
servidores en los componentes de
GlobalProtect.
Paso 3
Especifique cmo se autenticarn los

usuarios finales en la puerta de enlace.
Si no ha configurado an los perfiles de
autenticacin o del certificado, consulte
las instrucciones de Configuracin de la
autenticacin de usuario en
GlobalProtect.
Seleccione el Certificado de servidor para la puerta de enlace en

el men desplegable.
El campo de nombre comn (CN) y, si es aplicable, de
nombre alternativo del asunto (SAN) del certificado
deben coincidir con la direccin IP o con el nombre de
dominio completo (FQDN) de la interfaz donde
configure la puerta de enlace.
Para autenticar a los usuarios mediante una base de datos de

usuarios local o un servicio de autenticacin externo, como LDAP,
Kerberos o RADIUS (incluyendo OTP), seleccione el Perfil de
autenticacin correspondiente.
Para proporcionar ayuda a los usuarios en lo que respecta a las
credenciales que deben facilitar, introduzca un Mensaje de
autenticacin.
Para autenticar a los usuarios basndose en un certificado de
cliente o una tarjeta inteligente, seleccione el Perfil del certificado
correspondiente.
Para usar la autenticacin en dos fases, seleccione tanto el perfil de
autenticacin como el perfil del certificado. Tenga en cuenta que el
usuario debe autenticarse correctamente en los dos mtodos para
poder acceder.
41
Configuracin de las puertas de enlace (Continuacin)
Paso 4
Configure los parmetros del tnel y

habilite la tunelizacin.
1.
Los parmetros del tnel son necesarios si 2.

configura una puerta de enlace externa.
Las puertas de enlace internas se
3.
configuran de forma optativa.
Si quiere forzar el uso del modo de 4.
tnel SSL-VPN, anule la seleccin
de la casilla de verificacin
Habilitar IPSec. Por defecto,
SSL-VPN solo se usar si el cliente
no puede establecer un tnel de
IPSec. La autenticacin extendida
(X-Auth) solo es compatible con
tneles IPSec.
5.
En el cuadro de dilogo Puerta de enlace de GlobalProtect,

seleccione Configuracin clientes > Ajustes de tnel.
Seleccione la casilla de verificacin Modo de tnel para habilitar
la tunelizacin.
Seleccione la Interfaz de tnel que defini en el Paso 2 en
Creacin de interfaces y zonas para GlobalProtect.
(Opcional) Seleccione Habilitar compatibilidad con X-Auth si
tiene clientes finales que necesitan conectarse a la puerta de
enlace mediante un cliente VPN externo, como un cliente
VPNC ejecutndose en Linux. Si habilita X-Auth, tambin debe
facilitar el nombre del Grupo y la Contrasea de grupo si el
cliente lo requiere.
Pese a que el acceso a X-Auth es compatible con
dispositivos iOS y Android, ofrece una funcionalidad
limitada de GlobalProtect. En su lugar, use la aplicacin
de GlobalProtect para un acceso simplificado a todo el
conjunto de funciones de seguridad que proporciona
GlobalProtect en dispositivos iOS y Android. La
aplicacin de GlobalProtect para iOS puede encontrarse
en el AppStore y la aplicacin de GlobalProtect para
Android se encuentra en Google Play.
(Opcional) Modifique los ajustes de tiempo de espera
predeterminado para los clientes de GlobalProtect.
Modifique la Duracin de inicio de sesin para una sesin de
inicio de sesin de puerta de enlace nico. La duracin de
inicio de sesin predeterminado es de 30 das; en este
momento la sesin de inicio de sesin se cierra
automticamente.
Modifique el tiempo tras el cual se cierra automticamente
una sesin inactiva. El periodo predeterminado de Cierre de
sesin por inactividad es de 3 horas. Un cliente cierra sesin
en GlobalProtect si la puerta de enlace no recibe una
comprobacin HIP desde el cliente durante el periodo de
tiempo configurado.
Modifique el nmero de minutos tras el cual la sesin de
GlobalProtect de los usuarios inactivos se cierra. El periodo
predeterminado para Desconectar cuando est inactivo es
180 minutos. Los clientes cierran sesin en GlobalProtect si
la aplicacin GlobalProtect no ha enviado el trfico a travs
del tnel VPN en el periodo de tiempo configurado.
42
Paso 5
1.
(Solo Modo de tnel) Configure los
ajustes de red para asignar el adaptador de
red virtual de los clientes cuando un
2.
agente establece un tnel con la puerta de
enlace.
Los ajustes de red no son necesarios
en las configuraciones de puerta de
enlace interna en modo de no tnel
porque, en este caso, los agentes
usan los ajustes de red asignados
por el adaptador de red fsico.
En el cuadro de dilogo Puerta de enlace de GlobalProtect,

seleccione Configuracin clientes > Configuracin de red.
Especifique los ajustes de la configuracin de red para clientes
siguiendo uno de estos modos:
Puede asignar manualmente el sufijo y los servidores DNS,
as como los servidores WINS completando los campos
correspondientes.
Si el cortafuegos tiene una interfaz configurada como cliente
DHCP, puede definir el Origen de herencia en esa interfaz
y el agente de GlobalProtect recibir los mismos ajustes que
haya recibido el cliente DHCP.
3.
Para especificar el Grupo de IP y usarlo para asignar direcciones

IP de clientes, haga clic en Aadir y, a continuacin, especifique
los intervalos de IP que se usarn. Es recomendable usar un
intervalo de direcciones IP diferente al asignado a los clientes
que estn conectados fsicamente a su LAN para garantizar el
enrutamiento adecuado de retorno a la puerta de enlace.
4.
Para definir a qu subredes de destino enrutar a travs del tnel,

haga clic en Aadir en el rea de Acceder a ruta y, a
continuacin, introduzca las rutas del siguiente modo:
Para enviar todo el trfico cliente de GlobalProtect
(tunelizacin completa), introduzca 0.0.0.0/0 como ruta de
acceso. A continuacin, necesitar usar una poltica de
seguridad para definir a qu zonas puede acceder el cliente
(incluyendo las zonas no fiables). La ventaja de esta
configuracin es que tiene visibilidad en todo el trfico de
cliente y puede asegurar que los clientes se aseguran de
acuerdo con sus polticas incluso cuando no estn
fsicamente conectadas con la LAN. Tenga en cuenta que en
esta configuracin el trfico destinado para la subred local
atraviesa el adaptador fsico, en vez de tunelarse a travs de la
puerta de enlace.
Para enrutar solo parte del trfico (trfico probablemente
destinado a su LAN) a GlobalProtect (tunelizacin dividida),
especifique las subredes de destino que debern ser enviadas
a travs del tnel. En este caso, el trfico que no est
destinado a una ruta de acceso especfica se enrutar a travs
del adaptador fsico del cliente en lugar de hacerlo a travs del
adaptador virtual (el tnel).
El cortafuegos admite hasta 100 rutas de acceso.
43
Paso 6
1.
(Opcional) Defina los mensajes de
notificacin que vern los usuarios finales
cuando se aplique una regla de seguridad
2.
con un perfil de informacin de host (HIP).
En la pestaa Configuracin clientes > Notificacin HIP, haga

clic en Aadir.
Este paso solo se aplica si ha creado perfiles 3.

de informacin de host y los ha aadido a
sus polticas de seguridad. Para obtener
informacin sobre cmo configurar la
funcin HIP e informacin ms detallada
acerca de la creacin de mensajes de
notificacin de HIP, consulte Uso de la
4.
informacin de host en la aplicacin de
polticas.
Seleccione Coincidir mensaje o Mensaje no coincidente, en

funcin de si desea mostrar el mensaje cuando se cumpla el perfil
HIP correspondiente en la poltica o no. En algunos casos, puede
que quiera crear mensajes tanto para coincidencia como para no
coincidencia, dependiendo de los objetos que compare y sus
objetivos para la poltica.
Seleccione el Perfil HIP al que se aplica este mensaje en el men

desplegable.
Seleccione la casilla de verificacin Habilitar y seleccione si quiere

mostrar el mensaje como Mensaje emergente o como Icono en
la barra de tareas.
5.
Introduzca el texto de su mensaje en el cuadro de texto Plantilla y,

a continuacin, haga clic en ACEPTAR.
6.
Repita estos pasos para cada mensaje que quiera definir.
Paso 7
Guarde la configuracin de puerta de

enlace.
Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro de

dilogo de la puerta de enlace de GlobalProtect.
Paso 8
(Opcional) Configure el acceso al gestor

de seguridad mvil
1.
Seleccione Red > GlobalProtect > MDM y haga clic en Aadir.
2.
Introduzca un nombre para el gestor de seguridad mvil.
3.
(Opcional) Seleccione el sistema virtual al que pertenece este

gestor de seguridad mvil en el campo Ubicacin.
4.
Introduzca la direccin IP o FQDN de la interfaz del servidor

del gestor de seguridad mvil donde la puerta de enlace se
conectar para recuperar informes HIP.
5.
(Opcional) Defina el Puerto de conexin en el que el gestor de

seguridad mvil escuchar las solicitudes de recuperacin HIP.
Este valor debe coincidir con el valor definido en el gestor de
seguridad mvil. De manera predeterminada, este puerto es
5008, en el que escucha el gestor de seguridad mvil de
GlobalProtect.
6.
Si el gestor de seguridad mvil requiere que la puerta de enlace

presente un certificado para establecer una conexin HTTPS,
seleccione el Certificado de cliente que se usar.
7.
Si la puerta de enlace no confa en el certificado del gestor de

seguridad mvil para la interfaz a la que se conectar, haga clic
en Aadir en la seccin CA raz de confianza y seleccione o
importe el Certificado de CA raz que se us para emitir el
certificado del servidor del gestor de seguridad mvil.
8.
Haga clic en ACEPTAR para guardar los ajustes del gestor de

seguridad mvil.
Este paso es necesario si est usando el

gestor de seguridad mvil de
GlobalProtect para gestionar los
dispositivos de usuario final y est usando
una aplicacin de polticas HIP. Esta
configuracin permite a las puertas de
enlace comunicarse con el gestor de
seguridad mvil para recuperar informes
HIP de los dispositivos mviles
gestionados. Si desea informacin ms
detallada, consulte Configuracin del
acceso de puerta de enlace al gestor de
seguridad mvil.
Paso 9
44

El Portal GlobalProtect proporciona las funciones de gestin para la infraestructura de GlobalProtect. Todos
los sistemas clientes que participan en la red de GlobalProtect recibe informacin de configuracin desde el
portal, incluida informacin sobre las puertas de enlace disponibles, as como certificados cliente que pueden
ser necesarios para conectarse a las puertas de enlace. Adems, el portal controla el comportamiento y la
distribucin del software del agente de GlobalProtect para los porttiles con Mac y Windows.
El portal no distribuye la aplicacin de GlobalProtect para su uso en dispositivos mviles. Para
obtener la aplicacin de GlobalProtect para iOS, los usuarios finales deben descargarla de App
Store. Para obtener la aplicacin de GlobalProtect para Android, los usuarios finales deben
descargarla de Google Play. No obstante, las configuraciones de cliente que se implementan en
las aplicaciones mviles de los usuarios controlan las puertas de enlace a las que tienen acceso
los dispositivos mviles y si es necesario que el dispositivo mvil se inscriba en el gestor de
seguridad mvil de GlobalProtect. Para obtener ms informacin sobre las versiones admitidas,
Las siguientes secciones describen los procedimientos para configurar el portal:
Tareas de requisitos previos para la configuracin del portal de GlobalProtect
Configuracin del acceso al portal de GlobalProtect
Definicin de las configuraciones de cliente de GlobalProtect
Personalizacin del agente de GlobalProtect
Personalizacin de las pginas de inicio de sesin, bienvenida y ayuda del portal de GlobalProtect
Tareas de requisitos previos para la configuracin del portal de GlobalProtect

Antes de poder configurar el Portal GlobalProtect, debe haber completado las tareas siguientes:
Crear las interfaces (y zonas) para la interfaz del cortafuegos donde pretende configurar cada portal.
Consulte Creacin de interfaces y zonas para GlobalProtect.
Configurar el certificado del servidor del portal, el certificado del servidor de la puerta de enlace y,
opcionalmente, cualquier certificado de cliente que se vaya a implementar a los usuarios finales para
habilitar las conexiones mutuas SSL a los servicios de GlobalProtect. Consulte Habilitacin de SSL entre
componentes de GlobalProtect.
Definir los perfiles de autenticacin o perfiles del certificado que servirn para la autenticacin de usuarios
de GlobalProtect. Consulte Configuracin de la autenticacin de usuario en GlobalProtect.
Configurar las puertas de enlace de GlobalProtect Consulte Configuracin de las puertas de enlace de
GlobalProtect.
45
Configuracin del acceso al portal de GlobalProtect

Una vez completadas las tareas previas, configure los Portal GlobalProtect como sigue:
Configuracin del acceso al portal
Paso 1
Aada el portal.
1.
Seleccione Red > GlobalProtect > Portales y haga clic en

Aadir.
Paso 2
Paso 3
2.
En la pestaa Configuracin portal, introduzca un Nombre

para el portal. El nombre del portal no debe contener espacios.
3.
(Opcional) Seleccione el sistema virtual al que pertenece este

portal en el campo Ubicacin.
1.
Especifique la informacin de red que
permita a los agentes conectarse al portal.
Seleccione la Interfaz que usarn los agentes para acceder al

portal.
Si an no ha creado la interfaz de red para 2.

el portal, consulte las instrucciones de
3.
Creacin de interfaces y zonas para
GlobalProtect. Si an no ha creado un
certificado de servidor para la puerta de
enlace ni emitido certificados de puerta de
enlace, consulte Implementacin de
certificados de servidores en los
componentes de GlobalProtect.
Seleccione la Direccin IP para el servicio web del portal.
Especifique cmo se autenticarn los

usuarios finales en el portal.
Si no ha configurado an los perfiles de
autenticacin o del certificado, consulte
las instrucciones de Configuracin de la
autenticacin de usuario en
GlobalProtect.
Seleccione el Certificado de servidor para el portal en el men

desplegable.
El campo de nombre comn (CN) y, si es aplicable, de
nombre alternativo del asunto (SAN) del certificado
deben coincidir exactamente con la direccin IP o con el
nombre de dominio completo (FQDN) de la interfaz
donde configure el portal. De lo contrario, fallarn las
conexiones HTTPS al portal.
Para autenticar a los usuarios mediante una base de datos de

usuarios local o un servicio de autenticacin externo (incluyendo
autenticacin OTP), seleccione el Perfil de autenticacin
correspondiente.
Introduzca un Mensaje de autenticacin para guiar a los usuarios
en cuanto a las credenciales de autenticacin que deben usar.
Para autenticar a los usuarios basndose en un certificado de
cliente o una tarjeta inteligente / CAC, seleccione el Perfil del
certificado correspondiente.
Para usar la autenticacin en dos fases, seleccione tanto el perfil de
autenticacin como el perfil del certificado. Tenga en cuenta que el
usuario debe autenticarse correctamente en los dos mtodos para
poder acceder.
Paso 4
46
Guarde la configuracin del portal.
1.
Haga clic en ACEPTAR para guardar los ajustes y cerrar el cuadro

de dilogo de la puerta de enlace de GlobalProtect.
2.

Cuando un agente o una aplicacin de GlobalProtect se conecta y se autentica correctamente en el portal de
GlobalProtect, el portal enva la configuracin de cliente de GlobalProtect al agente / aplicacin basada en la
configuracin que haya definido. Si tiene clases de usuarios distintas que necesitan distintas configuraciones,
puede crear una configuracin cliente distinta para cada uno. El portal utilizar entonces el nombre de
usuario/nombre de grupo o el sistema operativo del cliente para determinar qu configuracin cliente
implementar. Como con la evaluacin de reglas de seguridad, el portal busca una coincidencia empezando por
la parte superior de la lista. Cuando encuentra una coincidencia, proporciona la configuracin correspondiente
al agente/aplicacin.
La configuracin puede incluir lo siguiente:
Una lista de puertas de enlace a las que se puede conectar el agente o la aplicacin, que define adems si el
usuario puede establecer conexiones manuales con esas puertas de enlace.
El certificado de CA raz requerido para habilitar el agente o la aplicacin para establecer una conexin SSL
con las puertas de enlace de GlobalProtect o el gestor de seguridad mvil.
El certificado de cliente que el agente debera presentar a la puerta de enlace al conectarse. Esto solo es
necesario si se requiere autenticacin mutua entre el agente y la puerta de enlace.
La configuracin que usa el agente para determinar si est conectado a la red local y a una red externa.
Los ajustes de la configuracin del agente, como las visualizaciones del agente que los usuarios pueden ver,
si los usuarios pueden guardar sus contraseas de GlobalProtect, y si se indicar a los usuarios que actualicen
el software del agente.
Si el portal est inactivo o inaccesible, el agente usar la versin en cach de su configuracin
cliente desde su ltima conexin de portal realizada con xito para obtener los ajustes, incluida
con qu puerta(s) de enlace conectar, qu certificados de CA raz usar para establecer una
comunicacin segura con las puertas de enlace y qu mtodo de conexin emplear.
Utilice el siguiente procedimiento para crear la configuracin del cliente.
47
Creacin de una configuracin de cliente de GlobalProtect
Paso 1
1.
Aada los certificados de CA raz de
confianza que el agente/aplicacin usar
para realizar las comprobaciones de
certificados al conectar con la puerta de
enlace de GlobalProtect o el gestor de
seguridad mvil. Si no aade un certificado
CA raz de confianza hacia la configuracin 2.
cliente, los agentes/aplicaciones asociados
no realizarn comprobaciones de
certificados cuando se conecten.
Se recomienda implementar
siempre los certificados de CA
3.
raz de confianza en la
configuracin de cliente para
garantizar que los
agentes/aplicaciones realizan las
comprobaciones de certificados
para validar la identidad de la
puerta de enlace antes de
establecer una conexin. Esto
evita que los agentes/aplicaciones
sean presa de ataques de
intermediarios
(man-in-the-middle).
Paso 2
Aada una configuracin de cliente.
Si sigue en el cuadro de dilogo de la puerta de enlace de

GlobalProtect, seleccione la pestaa Configuracin clientes. Si
no, seleccione Red > GlobalProtect > Portales y seleccione la
configuracin del portal en la que desea agregar una
configuracin de cliente. A continuacin, seleccione la pestaa
Configuracin clientes.
En el campo CA raz de confianza, haga clic en Aadir y, a
continuacin, seleccione el certificado de CA que se us para
emitir los certificados de servidor de la puerta de enlace. Se
recomienda usar el mismo emisor para todas las puertas de
enlace.
(Opcional) Si el certificado del servidor de su gestor de
seguridad mvil no lo ha emitido una CA de confianza (es decir,
no es de confianza para los dispositivos y necesitarn conectarse
para inscribirse), haga clic en Aadir en el campo CA raz de
confianza y, a continuacin, seleccione el certificado de CA que
se us para emitir el certificado del servidor de gestor de
seguridad mvil.
Si el certificado de CA raz usado para emitir los
certificados del servidor de su puerta de enlace o gestor de
seguridad mvil no est en el portal, puede importarlo
ahora. Consulte recomendaciones sobre SSL en
Habilitacin de SSL entre componentes de GlobalProtect.
En la seccin Configuracin clientes, haga clic en Aadir e

introduzca un nombre para la configuracin.
La configuracin de cliente especifica los

ajustes de configuracin de GlobalProtect Si pretende crear mltiples configuraciones, asegrese de que el
nombre que defina para cada una sea suficientemente descriptivo
que se implementarn a los agentes o
para distinguirlas.
aplicaciones que se conecten. Debe
definir al menos una configuracin de
cliente.
Paso 3
48
Si no es necesario que el agente de

GlobalProtect establezca conexiones de
tnel cuando est en la red interna,
habilite la deteccin del host interno.
1.
Seleccione la casilla de verificacin Deteccin de host interno.
2.
Introduzca la Direccin IP de un host al que solo se tenga acceso

desde la red interna.
3.
Introduzca el nombre de host de DNS que se corresponda con

las direcciones IP que ha introducido. Los agentes de
GlobalProtect intentarn realizar una bsqueda de DNS inversa
en las direcciones especificadas; si la bsqueda no funciona, el
agente determinar que se encuentra en la red externa e
intentar establecer conexiones de tnel con las puertas de
enlace externas de su lista.
Creacin de una configuracin de cliente de GlobalProtect (Continuacin)
Paso 4
Especifique el modo en que el agente se

conectar a GlobalProtect.
1.
Seleccione un Mtodo de conexin:

a peticin: Los usuarios tendrn que iniciar el agente
manualmente para conectarse a GlobalProtect. Use este
mtodo de conexin solo para puertas de enlace externas.
Use la opcin a peticin solo si est
usando GlobalProtect para acceder
a puertas de enlace externas a travs
de una VPN.
No use la opcin a peticin si
pretende ejecutar el agente de
GlobalProtect en el modo oculto.
Consulte Personalizacin del agente
de GlobalProtect.
Para acelerar sus tiempos de
conexin, use la deteccin de host
interno en las configuraciones
donde tenga SSO habilitado.
inicio de sesin de usuario: GlobalProtect se conectar

automticamente en cuanto el usuario inicie sesin en el
equipo (o dominio). Cuando se use junto con SSO (solo para
usuarios de Windows), el inicio de sesin de GlobalProtect
ser transparente para el usuario final.
anterior al inicio de sesin: Autentica al usuario final y
establece el tnel de VPN en la puerta de enlace de
GlobalProtect utilizado un certificado de mquina instalado
previamente antes de que el usuario inicie sesin en la
mquina. Esta opcin requiere que implemente certificados
de mquina en cada sistema de usuario final mediante una
solucin PKI externa. Consulte VPN de acceso remoto con
funcin anterior al inicio de sesin para obtener detalles
sobre cmo configurar esta opcin.
2.
(Configuraciones exclusivas para usuarios de Windows)

Seleccione Utilizar registro nico para que GlobalProtect
pueda usar las credenciales de inicio de sesin de Windows y as
poder autenticar automticamente al usuario cuando inicie
sesin en Active Directory.
Si se habilita el registro nico (SSO), el agente de
GlobalProtect utiliza las credenciales de inicio de sesin
de Windows del usuario para que se autentique
automticamente y se conecte a la puerta de enlace y el
portal de GlobalProtect. GlobalProtect con SSO
habilitado tambin permite que el agente de
GlobalProtect ajuste credenciales de terceros para
asegurar que los usuarios de Windows puedan
autenticarse y conectarse, incluso si el proveedor de
credenciales de terceros se usa para ajustar las credenciales
de inicio de sesin de Windows.
49
Paso 5
Configure el acceso al gestor de seguridad

mvil.
1.
Este paso es necesario si el gestor de

seguridad mvil de GlobalProtect va a
gestionar los dispositivos mviles que usan
esta configuracin. Todos los dispositivos se
2.
conectarn inicialmente al portal y, si el
gestor de seguridad mvil est configurado
en la configuracin del cliente del portal
correspondiente, se redirigir el dispositivo a
la misma para su inscripcin. Para obtener
ms informacin, consulte Configuracin
del gestor de seguridad mvil de
GlobalProtect.
Paso 6
Especifique a qu usuarios desea

implementar esta configuracin. Hay dos
formas de especificar quin recibir la
configuracin: por nombre de
grupo / usuario o por el sistema operativo
en el que se ejecuta el agente.
Introduzca la direccin IP o FQDN de la interfaz de

comprobacin de dispositivos del gestor de seguridad mvil.
El valor que introduzca aqu deber coincidir exactamente con
el valor del campo CN en el certificado del servidor del gestor
de seguridad mvil asociado a la interfaz de comprobacin de
dispositivos.
Especifique el Puerto de inscripcin en el que el gestor de
seguridad mvil escuchar las solicitudes de inscripcin. Este
valor debe coincidir con el valor definido en el gestor de
seguridad mvil (por defecto, 443). Si desea informacin ms
detallada, consulte Configuracin del gestor de seguridad mvil
para la gestin de dispositivos.
Seleccione la pestaa Usuario/grupo de usuarios y, a continuacin,

especifique el usuario / grupos de usuarios o los sistemas operativos
a los que se aplicar esta configuracin:
Para restringir esta configuracin a un usuario o grupo especficos,

haga clic en Aadir en la seccin Usuario/grupo de usuarios de la
ventana y despus seleccione el usuario o grupo que desea que
reciba esta configuracin en la lista desplegable. Repita este paso
El portal usa la configuracin
para cada usuario/grupo que desee aadir.
Usuario/grupo de usuarios que especifique
para determinar qu configuracin se
Para restringir la configuracin a los usuarios que an no han
distribuir a los agentes de GlobalProtect
iniciado sesin en sus sistemas, seleccione anterior al inicio de
que se conecten. Por lo tanto, si tiene
sesin en el men desplegable Usuario/grupo de usuarios.
mltiples configuraciones, debe asegurarse
de ordenarlas correctamente. En cuanto el Para distribuir esta configuracin a agentes o aplicaciones que se
ejecuten en sistemas operativos especficos, haga clic en Aadir en
portal encuentre una coincidencia,
la seccin SO de la ventana y, a continuacin, seleccione el sistema
distribuir la configuracin. As, las
operativo (Android, iOS, Mac o Windows) a la que se aplicar esta
configuraciones ms especficas debern
configuracin.
preceder a las ms generales. Consulte en
Paso 11 las instrucciones sobre cmo
ordenar la lista de configuraciones de
cliente.
Antes de poder restringir la
configuracin a grupos especficos,
debe asignar a los usuarios a grupos,
como se describe en Habilitacin de
la asignacin de grupo.
Paso 7
50
Personalice el comportamiento del agente Seleccione la pestaa Agente y, a continuacin, modifique la

de GlobalProtect para los usuarios de esta configuracin del agente como desee. Para obtener ms informacin
configuracin.
acerca de cada opcin, consulte Personalizacin del agente de
GlobalProtect.
Paso 8
Especifique las puertas de enlace a las que 1.

se podrn conectar los usuarios con esta
configuracin.
En la pestaa Puertas de enlace, haga clic en Aadir en la

seccin Puertas de enlace internas o Puertas de enlace externas,
en funcin del tipo de puerta de enlace que est aadiendo.
2.
Introduzca un Nombre descriptivo para la puerta de enlace. El

nombre que introduzca debe coincidir con el nombre que
defini al configurar la puerta de enlace y debe ser lo
suficientemente descriptivo para que los usuarios conozcan la
ubicacin de la puerta de enlace a la que estn conectados.
Si est aadiendo puertas de enlace

tanto internas como externas a la
misma configuracin, asegrese de
habilitar la deteccin de host
3.
interno. Consulte el Paso 3 en
Definicin de las configuraciones
de cliente de GlobalProtect para
obtener instrucciones.
Asegrese de no usar a peticin
4.
como mtodo de conexin si su
configuracin incluye puertas de
enlace internas.
Introduzca el FQDN o la direccin IP de la interfaz donde est

configurada la puerta de enlace en el campo Direccin. La
direccin que especifique debe coincidir exactamente con el
nombre comn (CN) en el certificado del servidor de la puerta
de enlace.
(Solo puertas de enlace externas) Consulte la Prioridad de la
puerta de enlace haciendo clic en el campo y seleccionando un
valor:
Si solo tiene una puerta de enlace externa, puede dejar este
valor fijado en El ms alto (valor predeterminado).
Si tiene varias puertas de enlace externas, puede modificar los
valores de prioridad (desde El ms alto hasta Ms bajo) para
indicar la preferencia para este grupo de usuarios especfico
al que se aplica la configuracin. Por ejemplo, si prefiere que
el grupo de usuarios se conecte a una puerta de enlace local,
debera configurar la prioridad con un valor ms alto que el
de las puertas de enlace geogrficamente distantes. El valor
de prioridad se usa entonces para valorar el algoritmo de
seleccin de la puerta de enlace del agente.
Si no quiere que los agentes establezcan automticamente
conexiones de tnel con la puerta de enlace, seleccione
Manual nicamente. Esta configuracin es til en entornos
de prueba.
5.
Paso 9
(Solo puertas de enlace externas) Seleccione la casilla de

verificacin Manual si quiere que los usuarios puedan cambiar
manualmente la puerta de enlace.
Seleccione Recopilacin de datos > Comprobaciones

(Opcional) Defina cualquier dato del
perfil de informacin de host (HIP) que
personalizadas y, a continuacin, defina los datos personalizados
quiere que el agente recopile o categoras
que quiere recopilar de los hosts que ejecutan esta configuracin de
HIP que quiere que excluya.
cliente. Si desea ms detalles, consulte el Paso 2 en Configuracin
de la aplicacin de polticas basadas en HIP.
Siga este paso solamente si pretende usar
la funcin HIP y hay informacin que no Seleccione Recopilacin de datos > Excluir categoras y, a
continuacin, haga clic en Aadir para excluir categoras o
se puede recopilar mediante los objetos
proveedores especficos, aplicaciones o versiones dentro de una
HIP estndar o si hay informacin HIP
categora. Si desea ms detalles, consulte el Paso 3 en
que no le interesa recopilar. Consulte Uso
Configuracin de la aplicacin de polticas basadas en HIP.
de la informacin de host en la aplicacin
de polticas para obtener informacin
detallada acerca del uso de la funcin HIP.
51
Paso 10 Guarde la configuracin del cliente.
Paso 11 Prepare las configuraciones de cliente

para que la configuracin correcta se
implemente en cada agente.
Cuando se conecta un agente, el portal
comparar la informacin de origen en el
paquete con las configuraciones de cliente
que haya definido. Como con la
evaluacin de reglas de seguridad, el
portal busca una coincidencia empezando
por la parte superior de la lista. Cuando
encuentra una coincidencia, proporciona
la configuracin correspondiente al
agente o aplicacin.
Paso 12 Guarde la configuracin del portal.
52
1.

de dilogo Configuraciones.
2.
Si quiere aadir otra configuracin de cliente, repita el proceso

desde el Paso 2 hasta el Paso 10.
Para subir una configuracin de cliente en la lista de

configuraciones, seleccinela y haga clic en Mover hacia arriba.
Para bajar una configuracin de cliente en la lista de
configuraciones, seleccinela y haga clic en Mover hacia abajo.
1.

de dilogo Portal de GlobalProtect.
2.
Personalizacin del agente de GlobalProtect

La configuracin del cliente del portal le permite personalizar el modo en que interaccionan los usuarios finales
con los agentes de GlobalProtect instalados en sus sistemas o la aplicacin de GlobalProtect instalada en sus
dispositivos mviles. Puede definir configuraciones de agente diferentes para las distintas configuraciones
cliente de GlobalProtect que cree. Para obtener ms informacin sobre los requisitos de sistema de cliente,
Puede personalizar:
A qu mens y vistas pueden acceder los usuarios.
Si lo usuarios pueden o no guardar sus contraseas en el agente.
Si los usuarios pueden deshabilitar el agente (vlido solo para el mtodo de conexin de inicio de sesin del
usuario).
Si desea mostrar una pgina de bienvenida cuando el inicio de sesin se realice correctamente. Tambin
puede crear pginas de bienvenida y pginas de ayuda personalizadas que indiquen a sus usuarios cmo usar
GlobalProtect dentro de su entorno. Consulte Personalizacin de las pginas de inicio de sesin, bienvenida
y ayuda del portal de GlobalProtect.
Si las actualizaciones del agente se realizarn automticamente o si se les pedir a los usuarios que actualicen.
Tambin puede definir la configuracin del agente desde el registro de Windows o el archivo plist
global de Mac. Para los clientes de Windows, tambin puede definir la configuracin del agente
directamente desde el instalador de Windows (MSIEXEC). Los ajustes definidos en las
configuraciones del cliente del portal en la interfaz web siempre anulan a los ajustes definidos en
el registro de Windows/MSIEXEC o archivo plist de Mac. Si desea informacin ms detallada,
consulte Implementacin de la configuracin del agente de forma transparente.
Personalizacin del agente
Paso 1
Vaya a la pestaa Agente en la

configuracin del cliente que desea
personalizar.
1.
Seleccione Red > GlobalProtect > Portales y seleccione la

configuracin del portal para la que desea agrega una
configuracin de cliente (o haga clic en Aadir para aadir una
nueva configuracin).
2.
Seleccione la pestaa Configuracin clientes y seleccione la

configuracin del cliente que desea modificar (o haga clic en
Aadir para aadir una nueva configuracin).
3.
Seleccione la pestaa Agente.
53
Personalizacin del agente (Continuacin)
Paso 2
Defina lo que pueden hacer los usuarios

finales con esta configuracin desde el
agente.
La configuracin de la pestaa
Agente tambin se puede
configurar en el cliente final mediante la

poltica de grupo aadiendo ajustes al
registro de Windows/archivo plist de
Mac. En sistemas Windows, tambin
puede establecerlos usando la utilidad
msiexec desde la lnea de comandos
durante la instalacin del agente. Sin
embargo, la configuracin definida en la
interfaz web o CLI anular a la
configuracin del registro/archivo plist.
Consulte Implementacin de la
configuracin del agente de forma
transparente para obtener informacin
detallada.
De forma predeterminada, las funciones del agente se habilitan

completamente (lo que significa que se seleccionan todas las casillas
de verificacin). Para quitar funciones, desactive la casilla de
verificacin correspondiente para alguna o todas las opciones
siguientes:
Si quiere que los usuarios solo puedan ver informacin bsica de
estado desde la aplicacin, desactive la casilla de verificacin
Habilitar vista avanzada. De forma predeterminada, se habilita la
vista avanzada, lo que permite a los usuarios finales ver
informacin estadstica, de host y de solucin de problemas y
realizar tareas como cambiar sus contraseas.
Si desea ocultar el agente de GlobalProtect en los sistemas de
usuario final, desactive la casilla de verificacin Mostrar icono
GlobalProtect. Cuando est oculto, los usuarios no pueden
realizar otras tareas, como cambiar las contraseas, redescubrir la
red, reenviar informacin de host, ver informacin de solucin de
problemas o realizar una conexin a demanda. Sin embargo, los
mensajes de notificacin HIP, los mensajes de inicio de sesin y
los cuadros de dilogo de certificados seguirn mostrndose
como necesarios para interactuar con el usuario final.
Otra opcin para especificar si el

agente debe pedir al usuario final las Desactive la casilla de verificacin Permitir al usuario cambiar la
credenciales en caso de que la SSO de
direccin del portal para deshabilitar el campo Portal en la
Windows falle, es hacerlo mediante la
pestaa Configuracin en el agente GlobalProtect. Como el
lnea de comandos de Windows
usuario no podr entonces especificar un portal al que conectarse,
(MSIEXEC) o el registro de
debe proporcionar la direccin predeterminada del portal en el
Windows nicamente. De forma
registro de Windows: (HKEY_LOCAL_MACHINE\SOFTWARE\Palo
predeterminada, este ajuste del
Alto Networks\GlobalProtect\PanSetup con la clave Portal)
registro (can-prompt-usero el archivo plist de Mac (/Library/Preferences/com.
credential) se establece como yes.
paloaltonetworks.GlobalProtect.pansetup.plist con la
Para modificar este comportamiento,
clave Portal en el diccionario PanSetup). Para obtener ms
debe cambiar el valor en el registro o,
informacin, consulte Implementacin de la configuracin del
durante la instalacin del agente,
agente de forma transparente.
mediante MSIEXEC:
Si no desea que los usuarios guarden sus contraseas en el agente
msiexec.exe /
(es decir, forzarlos a proporcionar la contrasea, ya sea de forma
i GlobalProtect.msi
transparente mediante el cliente o introduciendo una
CANPROMPTUSERCREDENTIAL="no"
manualmente, cada vez que se conecten), desactive la casilla de
verificacin Permitir que el usuario guarde la contrasea.
Para evitar que los usuarios realicen un redescubrimiento de red,
desactive la casilla de verificacin Activar opcin para volver a
detectar la red.
Para evitar que los usuarios reenven manualmente los datos HIP
a la puerta de enlace, desactive la casilla de verificacin Activar
opcin para volver a enviar perfil de host. Esta opcin est
activada de forma predeterminada y es til en aquellos casos en los
que la poltica de seguridad basada en HIP evita que los usuarios
accedan a los recursos, ya que permite al usuario arreglar los
problemas de cumplimiento en el ordenador y, a continuacin,
reenviar el HIP.
54
Si no quiere que el agente establezca conexin con el portal en caso

de que el certificado del portal no sea vlido, desactive la casilla de
verificacin Permitir que el usuario contine si el certificado del
portal no es vlido. Tenga en cuenta que el portal solo
proporciona la configuracin del agente; no proporciona acceso de
red y, por lo tanto, la seguridad del portal es menos crtica que la
seguridad a la puerta de enlace. Sin embargo, si ha implementado
un certificado de servidor de confianza para el portal, anular la
seleccin de esta opcin puede evitar ataques de tipo "Man in the
middle" (MITM).
Paso 3
Especifique si desea que los usuarios

puedan desconectarse de GlobalProtect.
Para evitar que los usuarios en modo de inicio de sesin de usuario

se desconecten, seleccione deshabilitado en el men desplegable
Cancelacin del agente por el usuario.
Esto solo se aplica a configuraciones

cliente que tengan el mtodo de conexin Para permitir que los usuarios se desconecten si proporcionan un
cdigo de acceso, seleccione con cdigo de acceso en el men
(en la pestaa General) establecido en
desplegable Cancelacin del agente por el usuario y, a
user-logon. En modo de inicio de sesin
continuacin, introduzca (y confirme) el cdigo de acceso que
de usuario (user-logon), el agente se
deben proporcionar los usuarios finales.
conecta a GlobalProtect tan pronto como
el usuario inicia sesin en el sistema. Este Para permitir a los usuarios desconectarse si proporcionan un vale,
modo suele denominarse a veces
seleccione con vale en el men desplegable Cancelacin del
"siempre activado", que es la razn por la
agente por el usuario. En este caso, la accin de desconexin
cual el usuario debe anular este
activa el agente para generar un nmero de solicitud. El usuario
comportamiento para poder
final debe comunicar en ese momento el nmero de solicitud al
desconectarse.
administrador. Entonces, el administrador hace clic en Generar
vale en la pgina Red > GlobalProtect > Portales e introduce el
De forma predeterminada, a los usuarios
nmero
de solicitud desde el usuario final para general el vale. A
del modo de inicio de sesin de usuario se
continuacin,
el administrador proporciona el vale para el usuario
les pedir que proporcionen un
final,
que
lo
introduce
en el cuadro de dilogo Deshabilitar
comentario para poder desconectarse
GlobalProtect
para
permitir
la desconexin del agente.
(Cancelacin del agente por el usuario
establecido en con comentario).
Si el icono del agente no aparece, los
usuarios no podrn desconectarse.
Consulte el Paso 2 para obtener
Para restringir la duracin de la desconexin del usuario,

introduzca un valor (en minutos) en el campo Tiempo de espera
a la cancelacin del agente por el usuario. Un valor de 0
(predeterminado) indica que no hay restricciones sobre la duracin
que el usuario puede permanecer desconectado.
Para limitar el nmero de veces que el usuario puede
desconectarse, introduzca un valor en el campo Cancelacin del
agente por el usuario. El valor 0 (predeterminado) indica que la
desconexin del usuario no tiene limitacin.
55
Paso 4
Especifique cmo se producirn las

actualizaciones del agente de
GlobalProtect.
De forma predeterminada, el campo Actualizacin de agente se

establece para que solicite actualizar al usuario final. Para modificar
este comportamiento, seleccione una de las siguientes opciones:
Si desea controlar el momento en el que los Si quiere que las actualizaciones se produzcan sin ninguna
interaccin con el usuario, seleccione transparente.
usuarios pueden actualizarse, por ejemplo, si
desea probar una versin con un pequeo Para impedir las actualizaciones del agente, seleccione
grupo de usuarios antes de implementarla
deshabilitar.
en toda la base de usuarios, puede
Para permitir a los usuarios finales iniciar las actualizaciones del
personalizar el comportamiento de la
agente, seleccione manual. En este caso, el usuario seleccionar la
actualizacin del agente "por
opcin
Comprobar versin en el agente para determinar si hay
configuracin". En este caso, podra crear
una
nueva
versin del agente y, a continuacin, actualizar si lo
una configuracin que se aplique a los
desea.
Observe
que esta opcin no funcionar si el agente
usuarios de su grupo de TI solo para
GlobalProtect
est
oculto para el usuario. Consulte el Paso 2 para
permitirles actualizar y probar y deshabilitar
obtener
informacin
detallada.
la actualizacin en el resto de
configuraciones de usuario/grupo. A
continuacin, despus de haber probado
exhaustivamente la nueva versin, podra
modificar las configuraciones del agente
para el resto de usuarios, con el fin de
permitirles actualizar.
Paso 5
Especifique si desea mostrar una pgina

de bienvenida cuando el inicio de sesin
se realice correctamente.
De forma predeterminada, la nica indicacin de que el agente se ha

conectado correctamente a GlobalProtect es un mensaje de globo
que aparece en la bandeja del sistema/barra de mens. Tambin
puede optar por mostrar una pgina de bienvenida en el navegador
del cliente cuando el inicio de sesin se realice, de la siguiente forma:
1. Seleccione la casilla de verificacin Mostrar pgina de
bienvenida.
Una pgina de bienvenida puede ser til

para dirigir a los usuarios a los recursos
internos a los que solo pueden acceder
cuando estn conectados a
GlobalProtect, como su Intranet u otros 2.
servidores internos.
Paso 6
Guarde la configuracin del agente.
Seleccione la pgina de bienvenida para mostrar el men

desplegable. De forma predeterminada, hay una pgina de
bienvenida denominada predeterminada de fbrica. Sin
embargo, puede definir una o ms pginas de bienvenida
personalizadas con informacin especfica para usuarios o para
un grupo de usuarios concreto (basada en la configuracin de
portal que se implemente). Para ver informacin sobre cmo se
crean las pginas personalizadas, consulte Personalizacin de las
pginas de inicio de sesin, bienvenida y ayuda del portal de
GlobalProtect.
1.
Si ha terminado de crear la configuracin del cliente, haga clic

en ACEPTAR para cerrar el cuadro de dilogo Configuraciones.
De lo contrario, para obtener instrucciones sobre cmo
completar la configuracin del cliente, vuelva a Definicin de las
configuraciones de cliente de GlobalProtect.
2.
Si ha terminado de configurar el portal, haga clic en ACEPTAR

para cerrar el cuadro de dilogo Portal GlobalProtect.
3.
Cuando termine la configuracin del portal, seleccione

Compilar los cambios.
56
Personalizacin de las pginas de inicio de sesin, bienvenida y ayuda del

portal de GlobalProtect
GlobalProtect proporciona pginas de inicio de sesin, bienvenida y ayuda predeterminadas. Sin embargo,
puede crear sus propias pginas de personalizacin con su marca corporativa, polticas de uso aceptable y
enlaces a sus recursos internos.
Tambin puede Desactivar el acceso del navegador a la pgina de inicio de sesin en
el portal para evitar intentos no autorizados para autenticarse en el portal de
GlobalProtect (Red > GlobalProtect > Portales > Configuracin portal). Con la pgina
de inicio de sesin del portal desactivada, puede usar una herramienta de distribucin de
software, como System Center Configuration Manager de Microsoft (SCCM), para
permitir que sus usuarios descarguen e instalen el agente de GlobalProtect.
Personalizacin de la pgina de inicio de sesin de portal
Paso 1
Paso 2
Exporte la pgina de inicio de sesin del

portal predeterminada.
Edite la pgina exportada.
1.
Seleccione Dispositivo > Pginas de respuesta.
2.
Seleccione el enlace Pgina de inicio de sesin de portal de

GlobalProtect.
3.
Seleccione la pgina predefinida Valor predeterminado y haga

clic en Exportar.
1.
Con el editor de textos de HTML que prefiera, edite la pgina.
2.
Si desea editar la imagen del logotipo que aparece, aloje la nueva

imagen del logotipo en un servidor web que sea accesible desde
los clientes de GlobalProtect remotos. Por ejemplo, edite la
siguiente lnea del HTML para indicar la nueva imagen del
logotipo:
<img src="http://cdn.slidesharecdn.com/
Acme-logo-96x96.jpg?1382722588"/>
Paso 3
Importe la nueva pgina de inicio de

sesin.
3.
Guarde la imagen editada con un nuevo nombre de archivo.

Asegrese de que la pgina conserva su codificacin UTF-8.
1.
Seleccione Dispositivo > Pginas de respuesta.
2.
Seleccione el enlace Pgina de inicio de sesin de portal de

GlobalProtect.
3.
Haga clic en Importar y, a continuacin, introduzca la ruta y el

nombre de archivo en el campo Importar archivo o examine
para encontrar el archivo.
4.
(Opcional) Seleccione el sistema virtual en el que se usar esta

pgina de inicio de sesin en la lista desplegable Destino o
seleccione Compartido para que est disponible para todos los
sistemas virtuales.
5.
Haga clic en ACEPTAR para importar el archivo.
57
Personalizacin de la pgina de inicio de sesin de portal (Continuacin)
Paso 4
Paso 5
Configure el portal para utilizar la nueva

pgina de inicio de sesin.
Compruebe que aparece la nueva pgina

de inicio de sesin.
1.
Seleccione Red > GlobalProtect > Portales y, a continuacin,

seleccione el portal al que desea agregar la pgina de inicio de
sesin.
2.
En la pestaa Configuracin de portal, seleccione la nueva

pgina en el men desplegable de la pgina de inicio de sesin
personalizada.
3.
Haga clic en ACEPTAR para guardar la configuracin de portal.
4.
En un navegador, vaya a la URL de su portal (no aada el nmero de

puerto :4443 al final de la URL o se le redirigir a la interfaz web para
el cortafuegos). Por ejemplo, introduzca
https://myportal en lugar de https://myportal:4443.
Aparecer la pgina de inicio de sesin del portal.
58

Para poder conectar a GlobalProtect, un host final debe ejecutar el software cliente de GlobalProtect. El mtodo
de implementacin del software depende del tipo de cliente de la siguiente forma:
Hosts de Mac OS y Microsoft Windows hosts: necesitan el software del agente de GlobalProtect,
distribuido por el portal de GlobalProtect. Para habilitar el software para su distribucin, debe descargar la
versin que desea que utilicen los hosts de su red en el cortafuegos que aloja su portal de GlobalProtect y, a
continuacin, activar el software para su descarga. Para obtener instrucciones sobre cmo descargar y activar
el software del agente en el cortafuegos, consulte Implementacin del software del agente de GlobalProtect.
Dispositivos iOS y Android: necesitan la aplicacin de GlobalProtect. Como con otras aplicaciones para
dispositivos mviles, el usuario final debe descargar la aplicacin de GlobalProtect desde la AppStore de
Apple (dispositivos iOS) o desde Google Play (dispositivos Android). Descarga e instalacin de la aplicacin
mvil de GlobalProtect.
Si desea ms informacin, consulte Qu versiones de sistema operativo del cliente admite GlobalProtect?
Implementacin del software del agente de GlobalProtect

Hay varias formas de implementar el software del agente de GlobalProtect:
Directamente desde el portal: descargue el software del agente en el cortafuegos que aloja el portal y
actvelo para que los usuarios finales puedan instalar las actualizaciones cuando se conecten al portal. Esta
opcin proporciona una flexibilidad que le permitir controlar el modo y el momento en el que los usuarios
finales recibirn actualizaciones basadas en la configuracin del cliente definida para cada usuario, grupo o
sistema operativo. Sin embargo, si dispone de un gran nmero de agentes que necesitan actualizaciones,
puede que aumente la carga de su portal. Consulte Alojamiento de actualizaciones de agente en el portal para
obtener instrucciones.
Desde un servidor web: si tiene un gran nmero de hosts que necesiten actualizar el agente de forma
simultnea, considere alojar las actualizaciones del agente en un servidor web para reducir la carga del
cortafuegos. Consulte Alojamiento de actualizaciones de agente en un servidor web para obtener
instrucciones.
De forma transparente desde la lnea de comandos: para los clientes de Windows, puede implementar
la configuracin del agente automticamente en el Windows Installer (MSIEXEC). Sin embargo, para
actualizar a una versin del agente posterior utilizando MSIEXEC, primero debe desinstalar el agente
existente. Adems, MSIEXEC permite la implementacin de la configuracin del agente directamente en los
sistemas cliente estableciendo valores en el registro de Windows o el archivo plist de Mac. Consulte
Implementacin de la configuracin del agente de forma transparente.
Con reglas de polticas de grupo: en entornos Active Directory, el agente de GlobalProtect tambin se
puede distribuir a usuarios finales, utilizando polticas de grupo de directorios activas. Las polticas de grupos
de AD permiten la modificacin automtica de la configuracin de ordenadores host de Windows y de
software. Consulte el artculo http://support.microsoft.com/kb/816102 para obtener ms informacin
sobre cmo utilizar la poltica de grupo para distribuir automticamente programas para alojar ordenadores
o usuarios.
59
Alojamiento de actualizaciones de agente en el portal

La manera ms sencilla de implementar el software del agente de GlobalProtect es descargar el paquete de
instalacin del nuevo agente en el cortafuegos que aloja su portal y, a continuacin, activar el software para
descargar los agentes que se conectan al portal. Para hacerlo de forma automtica, el cortafuegos debe tener una
ruta de servicio que le permita acceder a Actualizar servidor de Palo Alto Networks. Si el cortafuegos no tiene
acceso a Internet, puede descargar manualmente el paquete de software del agente desde el sitio de asistencia
de actualizaciones de software de Palo Alto Networks a travs de un ordenador conectado a Internet y cargarlo
manualmente en el cortafuegos.
Usted define el modo en que las actualizaciones del software del agente se implementan en las configuraciones
de cliente que define en el portal: si se producen automticamente cuando un agente se conecta a un portal, si
se indica al usuario que actualice el agente o si el usuario final puede comprobar y descargar de forma manual
una nueva versin del agente. Para obtener informacin acerca de la configuracin de cliente, consulte
Definicin de las configuraciones de cliente de GlobalProtect.
Alojamiento del agente de GlobalProtect en el portal
Paso 1
Seleccione Dispositivo > Cliente de GlobalProtect.

Inicie la interfaz web en el cortafuegos
donde se aloja el portal de GlobalProtect
y vaya a la pgina Cliente de
GlobalProtect.
Paso 2
Compruebe si hay nuevas imgenes de

software del agente.
Si el cortafuegos tiene acceso a Actualizar servidor, haga clic en

Comprobar ahora para comprobar si hay actualizaciones recientes.
Si el valor de la columna Accin es Descargar, significa que hay
una actualizacin disponible.
Si el cortafuegos no tiene acceso a Actualizar servidor, vaya al sitio
de asistencia de actualizaciones de software de Palo Alto
Networks y Descargue el archivo en su ordenador. A
continuacin, regrese al cortafuegos para Cargar manualmente el
archivo.
Paso 3
60
Descargue la imagen de software.
Busque la versin del agente que quiere y haga clic en Descargar.

Cuando se complete la descarga del agente, el valor en la columna
Si su cortafuegos no tiene acceso a
Accin cambia a Activar.
Internet desde el puerto de gestin,
Si ha cargado manualmente el software del agente como se
puede descargar la actualizacin del
describe en el Paso 2, la columna Accin no se actualizar. Vaya
agente desde el sitio de asistencia tcnica
al siguiente paso para obtener instrucciones de cmo activar
de Palo Alto Networks
una imagen que se ha cargado de forma manual.
(https://support.paloaltonetworks.com).
Luego puede Cargar la actualizacin en
su cortafuegos y activarla haciendo clic en
Activar desde archivo.
Alojamiento del agente de GlobalProtect en el portal (Continuacin)
Paso 4
Active la imagen de software del agente

para que los usuarios finales puedan
descargarla desde el portal.
Solo se puede activar una imagen
del software del agente a la vez. Si
activa una nueva versin, pero tiene
algunos agentes que requieren una
versin previamente activada,
tendr que activar la versin
requerida de nuevo para habilitar la
descarga.
Si ha activado la imagen automticamente desde Actualizar

servidor, haga clic en Activar.
Si ha cargado la imagen en el cortafuegos de forma manual, haga
clic en Activar desde archivo y, a continuacin, seleccione el
Archivo de cliente de GlobalProtect que carg desde el men
desplegable. Haga clic en ACEPTAR para activar la imagen
seleccionada. Puede que tenga que actualizar la pantalla para que en
la versin se muestre Activado actualmente.
Alojamiento de actualizaciones de agente en un servidor web

Si tiene un gran nmero de sistemas cliente en los que necesitar instalar o actualizar el software del agente de
GlobalProtect, tal vez deba alojar las imgenes del software del agente de GlobalProtect en un servidor web
externo. As se reducir la carga en el cortafuegos cuando los usuarios se conecten para descargar el agente. Para
usar esta funcin, el cortafuegos donde se aloja el portal debe utilizar PAN-OS 4.1.7 o una versin posterior.
Alojamiento de imgenes de un agente de GlobalProtect en un servidor web
Paso 1
Descargue en el cortafuegos la versin

Siga los pasos para descargar y activar el software del agente en el
del agente de GlobalProtect que pretende cortafuegos, tal y como se describe en Alojamiento del agente de
alojar en el servidor web y actvela.
GlobalProtect en el portal.
Paso 2
Descargue la imagen del agente de

GlobalProtect que quiere alojar en su
servidor web.
Desde un navegador, vaya al sitio de actualizaciones de software de

Palo Alto Networks y descargue el archivo en su ordenador.
Debera descargar la misma imagen que

ha activado en el portal.
Paso 3
Publique los archivos en su servidor web. Cargue los archivos de imagen en su servidor web.
Paso 4
Redirija a los usuarios finales al servidor

web.
En el cortafuegos donde se aloja el portal, inicie sesin en la CLI e

introduzca los siguientes comandos del modo de operacin:
> set global-protect redirect on
> set global-protect redirect location <ruta>
donde <ruta> es la ruta a la carpeta donde se aloja la imagen, por

ejemplo https://acme/GP.
Paso 5
Compruebe la redireccin.
1.
Inicie su navegador web y vaya a la siguiente URL:

https://<portal address or name>
Por ejemplo, https://gp.acme.com.

2.
En la pgina de inicio de sesin del portal, introduzca su

nombre y contrasea de usuario y, a continuacin, haga clic en
Inicio de sesin. Tras iniciar sesin correctamente, el portal
debera redirigirle a la descarga.
61
Comprobacin de la instalacin del agente

Utilice el siguiente procedimiento para probar la instalacin del agente.
Comprobacin de la instalacin del agente
Paso 1
Cree una configuracin de cliente para

comprobar la instalacin del agente.
Se recomienda empezar a crear una configuracin de cliente limitada

a un grupo reducido de usuarios como, por ejemplo, administradores
del departamento de TI responsables de la administracin del
cortafuegos:
1. Seleccione Red > GlobalProtect > Portales y seleccione la
configuracin del portal que se debe editar.
Cuando instale inicialmente el

software del agente de
GlobalProtect en el sistema del
cliente, el usuario final debe haber
iniciado la sesin usando una cuenta 2.
con privilegios administrativos. Las
siguientes actualizaciones de
software del agente no necesitan
privilegios administrativos.
3.
Paso 2
Inicie sesin en el portal de

GlobalProtect.
Seleccione la pestaa Configuracin clientes y elija una

configuracin existente o haga clic en Aadir para aadir una
nueva configuracin que se implementar en usuarios/grupo de
prueba.
En la pestaa Usuario/grupo de usuarios, haga clic en Aadir
en la seccin Usuario/grupo de usuarios y, a continuacin,
seleccione el usuario o grupo que probar el agente.
4.
En la pestaa Agente, asegrese de que Actualizacin de

agente se establece en smbolo y, a continuacin, haga clic en
Aceptar para guardar la configuracin.
5.
(Opcional) Seleccione la configuracin de cliente que acaba de

crear/modificar y haga clic en Mover hacia arriba para que
quede por encima de cualquier configuracin ms genrica que
acabe de crear.
6.
1.
Inicie su navegador web y vaya a la siguiente URL:

https://<portal address or name>
Por ejemplo, https://gp.acme.com.

2.
En la pgina de inicio de sesin del portal, introduzca su

nombre y contrasea de usuario y, a continuacin, haga clic en
Inicio de sesin.
62
Comprobacin de la instalacin del agente (Continuacin)
Paso 3
Descargue el agente.
1.
Haga clic en el enlace que corresponda con el sistema operativo que

est ejecutando en su ordenador para iniciar la descarga.
2.
Cuando se le solicite ejecutar o guardar el software, haga clic en

Ejecutar.
3.
Cuando se le solicite, haga clic en Ejecutar para iniciar el Asistente

de configuracin de GlobalProtect.
Cuando instale inicialmente el software del agente de
GlobalProtect en el sistema del cliente, el usuario final debe
haber iniciado la sesin usando una cuenta con privilegios
administrativos. Las siguientes actualizaciones de software
del agente no necesitan privilegios administrativos.
Paso 4
Complete la configuracin del agente de

GlobalProtect.
1.
En el Asistente de configuracin de GlobalProtect, haga clic en

Siguiente.
2.
Haga clic en Siguiente para aceptar la carpeta de instalacin

predeterminada
(C:\Program Files\Palo Alto Networks\GlobalProtect) o
en Examinar para seleccionar una nueva ubicacin y, a
continuacin, haga clic en Siguiente dos veces.
3.
Despus de que la instalacin se realice correctamente, haga clic en

Cerrar. El agente de GlobalProtect se iniciar automticamente.
63
Comprobacin de la instalacin del agente (Continuacin)
Paso 5
Inicie sesin en GlobalProtect.
Cuando se le solicite, introduzca su nombre de usuario y contrasea

y, a continuacin, haga clic en Aplicar. Si la autenticacin es correcta, el
agente se conectar a GlobalProtect. Utilice el agente para acceder a los
recursos de la red corporativa, as como a recursos externos, segn se
define en las polticas de seguridad correspondientes.
Para implementar el agente en los usuarios finales, cree configuraciones

de cliente para los grupos de usuarios para los que desee habilitar el
acceso y establezca correctamente la configuracin de Actualizacin de
agente y, a continuacin, comunique la direccin del portal. Consulte
Definicin de las configuraciones de cliente de GlobalProtect para
obtener detalles sobre cmo establecer la configuracin del cliente.
Descarga e instalacin de la aplicacin mvil de GlobalProtect

La aplicacin de GlobalProtect proporciona una forma sencilla de ampliar las polticas de seguridad de empresa a los
dispositivos mviles. Como con otros hosts remotos que ejecutan el agente de GlobalProtect, la aplicacin mvil
proporciona acceso seguro a su red corporativa en el tnel de IPSec o SSL VPN. La aplicacin se conectar
automticamente a la puerta de enlace ms cercana a la ubicacin actual del usuario final. Adems, el trfico hasta y
desde el dispositivo mvil quedar sujeto automticamente a la aplicacin de la misma poltica de seguridad de los
otros hosts de la red corporativa. Como el agente de GlobalProtect, la aplicacin recoge informacin sobre la
configuracin del host, que puede utilizar para aplicar una poltica de seguridad basada en HIP.
Para conseguir una solucin de seguridad de dispositivo mvil ms completa, tambin puede utilizar el gestor de
seguridad mvil de GlobalProtect. Este servicio permite el aprovisionamiento automatizado de configuraciones de
dispositivos mviles, la aplicacin del cumplimiento de seguridad de dispositivos y visibilidad y gestin centralizadas
sobre los dispositivos mviles que acceden a la red. Adems, el gestor de seguridad mvil de GlobalProtect se integra
uniformemente con los otros servicios de GlobalProtect de su red, permitiendo el acceso seguro a sus recursos de red
desde cualquier ubicacin y la aplicacin de poltica granular basada en perfiles HIP. Para obtener ms informacin,
consulte Configuracin del gestor de seguridad mvil de GlobalProtect.
64
Utilice el siguiente procedimiento para instalar la aplicacin mvil de GlobalProtect.

Comprobacin de la instalacin de la aplicacin
Paso 1
Paso 2
Paso 3
Cree una configuracin de cliente para

comprobar la instalacin de la aplicacin.
Se recomienda empezar a crear una configuracin de cliente limitada a

un grupo reducido de usuarios como, por ejemplo, administradores del
departamento de TI responsables de la administracin del cortafuegos:
configuracin del portal que se debe editar.
2.
Seleccione la pestaa Configuracin clientes y elija una

configuracin existente o haga clic en Aadir para aadir una nueva
configuracin que se implementar en usuarios/grupo de prueba.
3.
En la pestaa Usuario/grupo de usuarios, haga clic en Aadir en

la seccin Usuario/grupo de usuarios y, a continuacin, seleccione
el usuario o grupo que probar el agente.
4.
En la seccin de SO, seleccione la aplicacin que est probando

(iOS o Android).
5.
(Opcional) Seleccione la configuracin de cliente que acaba de

crear/modificar y haga clic en Mover hacia arriba para que quede
por encima de cualquier configuracin ms genrica que acabe de
crear.
6.
Desde el dispositivo mvil, siga las

indicaciones para descargar e instalar la
aplicacin.
En dispositivos Android, busque la aplicacin en Google Play.
Inicie la aplicacin.
Cuando se haya instalado correctamente, el icono de la aplicacin de

GlobalProtect aparecer en la pantalla de inicio del dispositivo. Para
iniciar la aplicacin, toque el icono. Cuando se le solicite habilitar las
funciones de VPN de GlobalProtect, toque ACEPTAR.
En dispositivos iOS, busque la aplicacin en App Store.
65
Comprobacin de la instalacin de la aplicacin (Continuacin)
Paso 4
Conecte con el portal.
1.
Cuando se le solicite, introduzca el nombre o direccin del

portal, el nombre de usuario y la contrasea. El nombre del
portal debe ser un nombre de dominio completo (FQDN) y no

incluir https:// al principio.
2.
Toque Conectar y compruebe que la aplicacin establece

correctamente una conexin de VPN a GlobalProtect.
Si el gestor de seguridad mvil de GlobalProtect est
configurado, la aplicacin le pedir que se inscriba. Consulte
Verificacin de la configuracin del gestor de seguridad mvil
para obtener ms informacin comprobar esa configuracin.
66
Configuracin de la infraestructura
de GlobalProtect
Implementacin de la configuracin del agente de forma

transparente
Como alternativa a la implementacin de los ajustes del agente desde la configuracin del portal, puede
definirlos directamente desde el registro de Windows, archivo plist global de MAC o (solo en clientes de
Windows) en el instalador MSIEXEC. La ventaja es que permite la implementacin de la configuracin del
agente de GlobalProtect en los sistemas cliente antes de su primera conexin al portal de GlobalProtect.
Los ajustes definidos en la configuracin del portal siempre anulan a los ajustes definidos en el registro de
Windows o archivo plist de Mac. Esto significa que si define ajustes en el registro o plist, pero la configuracin
del portal especifica otros ajustes, los ajustes que recibe el agente del portal sobrescribirn los definidos por el
cliente. Esto incluye ajustes relacionados con el inicio de sesin como la conexin segn demanda, la utilizacin
de SSO o la conexin del cliente en caso de que el certificado del portal no sea vlido. Por lo tanto, no debe
definir ajustes que estn en conflicto. Adems, la configuracin del portal se almacena en la cach del sistema
del cliente. Esta configuracin en cach se utilizar si el agente de GlobalProtect o la mquina se reinician.
En las siguientes secciones se describen los ajustes de agente personalizables que hay disponibles y cmo
implementar esos ajustes de forma transparente en los clientes de Windows y Mac:
Ajustes personalizables del agente
Implementacin de los ajustes del agente para los clientes de Windows
Implementacin de los ajustes del agente para los clientes de Mac

Adems de usar el registro de Windows y la plist de Mac para implementar los ajustes de agente
de GlobalProtect, puede activar el agente de GlobalProtect para recopilar la informacin
especfica del registro de Windows y la plist de Mac de los clientes, incluidos los datos sobre las
aplicaciones instaladas en los clientes, los procesos que se ejecutan en los clientes y los
atributos o propiedades de esas aplicaciones y procesos. A continuacin puede supervisar los
datos y aadirlos a una regla de seguridad como criterios de coincidencia. El trfico de
dispositivos que coincida con ciertos ajustes de registro que haya definido puede ponerse en
vigor de acuerdo con la regla de seguridad. Configure las comprobaciones personalizadas en
Recopilacin de datos de procesos y aplicaciones de clientes.
Ajustes personalizables del agente

Adems de implementar previamente la direccin del portal, tambin puede definir los ajustes de configuracin
del agente. La Tabla: Ajustes personalizables del agente describe todos los ajustes personalizables del agente.
Los ajustes definidos en la configuracin del cliente del portal de GlobalProtect siempre anulan a los ajustes
definidos en el registro de Windows o archivo plist de Mac.
Con la excepcin del ajuste para activar un registro nico (SSO), los ajustes de SSO nicos
adicionales no tiene ajustes de configuracin del portal correspondientes en la interfaz web y
deben configurarse usando el registro de Windows o MSIEXEC. Estos ajustes adicionales de
SSO incluyen: can-prompt-user-credential, wrap-cp-guid y filter-non-gpcp.
67
de GlobalProtect
Tabla: Ajustes personalizables del agente

Configuracin del cliente de
portal
Registro de Windows/archivo
plist de Mac
Parmetro MSIEXEC
Valor
predeterm
inado
Habilitar vista avanzada
enable-advanced-view yes | no
ENABLEADVANCEDVIEW=yes|no
Mostrar icono GlobalProtect
show-agent-icon yes | no
SHOWAGENTICON=yes|no
Permitir al usuario cambiar la

direccin del portal
can-change-portal yes | no
CANCHANGEPORTAL=yes|no
Permitir que el usuario guarde

la contrasea
can-save-password yes | no
CANSAVEPASSWORD=yes|no
Activar opcin para volver a

detectar la red
rediscover-network yes | no
REDISCOVERNETWORK=yes|no
Activar opcin para volver a

enviar perfil de host
resubmit-host-info yes | no
RESUBMITHOSTINFO=yes|no
Permitir que el usuario

contine si el certificado de
servidor del portal no es vlido
can-continue-if-portal-certinvalid yes | no
CANCONTINUEIFPORTALCERTINVALID=ye
s|no
Intervalo de actualizacin de
configuracin (horas)
refresh-config-interval <hours>
REFRESHCONFIGINTERVAL=<hours>
24
Mtodo de conexin
connect-method on-demand |
pre-logon | user-logon
CONNECTMETHOD=on-demand |
pre-logon | user-logon
user-logon
Utilizar registro nico
use-sso yes | no
USESSO=yes|no
can-prompt-user-credential yes |
no
CANPROMPTUSERCREDENTIAL=yes | no
wrap-cp-guid {guid de proveedor

de credenciales externas}
WRAPCPGUID={guid_value]"
FILTERNONGPCP=yes|no
no
(Solo Windows)
Solo Windows/no en portal
Este ajuste se utiliza junto con el inicio
de sesin nico e indica si se deben
pedir o no al usuario las credenciales en
caso de que falle la SSO.

Este ajuste filtra el mosaico del
proveedor de credenciales externas de
la pgina de inicio de sesin de
Windows para que solo se muestre el
mosaico nativo de Windows.*
filter-non-gpcp no
Este ajuste es una opcin adicional

para el ajuste wrap-cp-guid y
permite que el mosaico del proveedor
de credenciales externas se muestre en
la pgina de inicio de sesin de
Windows, adems del mosaico de
inicio de sesin de Windows nativo.*
*Si desea conocer pasos detallados para activar estos ajustes con el registro de Windows o el instalador de Windows (MSIEXEC),
consulte Ajuste de SSO para proveedores de credenciales externas en clientes de Windows.
68
de GlobalProtect
Implementacin de los ajustes del agente para los clientes de Windows

Use el registro de Windows o el instalador de Windows (MSIEXEC) para implementar el agente de
GlobalProtect y los ajustes en los clientes de Windows de manera transparente.
Implementacin de configuracin del agente en el registro de Windows
Implementacin de configuracin del agente desde MSIEXEC
Ajuste de SSO para proveedores de credenciales externas en clientes de Windows
Implementacin de configuracin del agente en el registro de Windows

Puede habilitar la implementacin de la configuracin del agente de GlobalProtect en los sistemas cliente de
Windows antes de su primera conexin al portal de GlobalProtect usando el Registro de Windows. Use las
opciones que se describen en la siguiente tabla para empezar a usar el registro de Windows para personalizar los
ajustes de agente de los clientes de Windows.
Adems de usar el registro de Windows para implementar los ajustes de agente de
GlobalProtect, debe activar el agente de GlobalProtect para recopilar informacin especfica del
registro de Windows desde los clientes de Windows. A continuacin puede supervisar los datos
y aadirlo a una regla de seguridad como criterios de coincidencia. El trfico de dispositivos que
coincida con ciertos ajustes de registro que haya definido puede ponerse en vigor de acuerdo
con la regla de seguridad. Configure las comprobaciones personalizadas en Recopilacin de
datos de procesos y aplicaciones de clientes.
Uso del registro de Windows para implementar los ajustes de agente de GlobalProtect
Encuentre los ajustes de personalizacin del

Abra el registro de Windows (introduzca regedit en smbolo del
agente de GlobalProtect que se encuentran en el sistema) y vaya a:
registro de Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto
Networks\GlobalProtect\Settings\
69
de GlobalProtect
Uso del registro de Windows para implementar los ajustes de agente de GlobalProtect (Continuacin)
Defina el nombre del portal.
Si no quiere que el usuario introduzca manualmente la direccin del

portal ni siquiera en la primera conexin, puede implementar
previamente la direccin del portal mediante el registro de Windows:
(HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto
Networks\GlobalProtect\PanSetup with key Portal).
Vea la Tabla: Ajustes personalizables del agente si desea una lista

Implemente varios ajustes en el cliente de
Windows desde el registro de Windows, incluida completa de los comandos y valores que puede configurar usando el
la configuracin del mtodo de conexin para el registro de Windows.
agente de GlobalProtect y la activacin del
registro nico (SSO).
Permita que el agente de GlobalProtect ajuste Habilitacin del ajuste de SSO para credenciales externas con el
credenciales de terceros en el cliente de Windows registro de Windows.
para permitir el SSO incluso si se usa un
proveedor de credenciales de terceros.
Implementacin de configuracin del agente desde MSIEXEC

En los clientes de Windows tiene la opcin de implementar automticamente tanto el agente como la
configuracin desde Windows Installer (MSIEXEC) usando la siguiente sintaxis:
msiexec.exe /i GlobalProtect.msi <SETTING>="<value>"
Por ejemplo, para evitar que los usuarios se conecten al portal si el certificado no es vlido, puede cambiar la
configuracin de la siguiente forma:
msiexec.exe /i GlobalProtect.msi CANCONTINUEIFPORTALCERTINVALID="no"
Para obtener una lista de ajustes y de los correspondientes valores predeterminados, consulte Tabla: Ajustes
personalizables del agente.
Para configurar el agente de GlobalProtect para ajustar credenciales de terceros en un cliente
de Windows desde MSIEXEC, consulte Habilitacin del ajuste de SSO para credenciales
externas con el instalador de Windows.
70
de GlobalProtect
Ajuste de SSO para proveedores de credenciales externas en clientes de Windows

Si se habilita el registro nico (SSO), el agente de GlobalProtect ajusta las credenciales de inicio de sesin de
Windows del usuario para que se autentique automticamente y se conecte a la puerta de enlace y el portal de
GlobalProtect. SSO se ha mejorado en esta versin para que cuando se use un proveedor de credenciales
externo para ajustar las credenciales de inicio de sesin de Windows del usuario, el agente de GlobalProtect
pueda tambin ajustar las credenciales de terceros. Con esta funcin activada, los usuarios podrn autenticarse
con xito en Windows, GlobalProtect, y el proveedor de credenciales externo en un mismo paso usando las
credenciales de inicio de sesin de Windows para iniciar sesin en su sistema de Windows. Esta funcionalidad
de SSO extendida se admite en los clientes de Windows 7 y Windows Vista.
Use el registro de Windows o el instalador de Windows para permitir que GlobalProtect ajuste las credenciales
externas.
Habilitacin del ajuste de SSO para credenciales externas con el registro de Windows
Habilitacin del ajuste de SSO para credenciales externas con el instalador de Windows
El ajuste de SSO de GlobalProtect para proveedores de credenciales externos (CP) depende de
la configuracin del CP externo y, en algunos casos, el ajuste de SSO de GlobalProtect no
funcionar correctamente si la implementacin de CP externo no permite a GlobalProtect ajustar
con xito su CP.
Habilitacin del ajuste de SSO para credenciales externas con el registro de Windows
Siga estos pasos en el Registro de Windows para permitir que el SSO ajuste las credenciales externas en clientes
de Windows 7 y Windows Vista.
Uso del registro de Windows para permitir el ajuste de SSO de credenciales externas
Paso 1
Abra el registro de Windows y encuentre 1.

el identificador nico global (GUID) del
proveedor de credenciales externas que 2.
desea ajustar.
En el smbolo del sistema escriba el comando regedit para

abrir el registro de Windows.
Encuentre los proveedores de credenciales instalados
actualmente en la siguiente ubicacin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Authentication\Credential Providers.
3.
Copie la clave GUID del proveedor de credenciales que desee

ajustar (incluidas las llaves de apertura { y cierre } de ambos
extremos de la GUID):
71
de GlobalProtect
Uso del registro de Windows para permitir el ajuste de SSO de credenciales externas (Continuacin)
Paso 2
Habilite el ajuste de SSO para

proveedores de credenciales externas
aadiendo el ajuste wrap-cp-guid a la
configuracin de GlobalProtect.
1.
Vaya a la siguiente ubicacin del registro de Windows.

HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\
GlobalProtect\Settings:
2.
Aada un nuevo Valor de cadena:
3.
Introduzca los valores para el Valor de cadena:

Nombre: wrap-cp-guid
Datos de valor: {GUID del proveedor de credenciales externas}
En el campo Datos de valor, el valor de GUID que
haya introducido debe estar rodeado de llaves de
apertura y cierre: { y }.
A continuacin se incluye un ejemplo de la apariencia que
tendra una GUID de proveedor de credenciales externas en
el campo Datos de valor:
{A1DA9BCC-9720-4921-8373-A8EC5D48450F}
Para el nuevo valor de cadena, wrap-cp-guid aparece como el

nombre del valor de cadena y GUID como los datos.
72
de GlobalProtect
Uso del registro de Windows para permitir el ajuste de SSO de credenciales externas (Continuacin)
Siguientes pasos...
El ajuste de SSO para proveedores de credenciales externas se

configura con xito completando los pasos 1 y 2. Con esta
configuracin el mosaico de inicio de sesin de Windows nativo se
muestra a los usuarios. Los usuarios hacen clic en el mosaico e
inician sesin en el sistema con sus credenciales de Windows. El
inicio de sesin nico autentica a los usuarios en Windows,
GlobalProtect y el proveedor de credenciales externas.
(Opcional) Si desea mostrar dos mosaicos a los usuarios en el inicio
de sesin, el mosaico de Windows nativo y el mosaico del
proveedor de credenciales externas, contine en el Paso 3.
Paso 3
(Opcional) Permita que el mosaico del

proveedor de credenciales externas se
muestre a los usuarios en el inicio de
sesin.
Aada un segundo Valor de cadena con el Nombre

filter-non-gpcp e introduzca no en los Datos de valor de la
cadena:
Con este valor de cadena aadido a los ajustes de GlobalProtect, a los

usuarios se les mostrarn dos opciones de inicio de sesin en su
sistema Windows: el mosaico nativo de Windows y el del proveedor
de credenciales externas.
Habilitacin del ajuste de SSO para credenciales externas con el instalador de Windows
Use las siguientes opciones en el instalador de Windows (MSIEXEC) para permitir que el SSO ajuste las
credenciales externas en clientes de Windows 7 y Windows Vista.
Uso del instalador de Windows para permitir el ajuste de SSO de credenciales externas
Ajuste las credenciales externas y muestre el mosaico nativo a los usuarios en el inicio de sesin. Los usuarios
hacen clic en el mosaico e inician sesin en el sistema con sus credenciales nativas de Windows. El inicio de
sesin nico autentica a los usuarios en Windows, GlobalProtect y el proveedor de credenciales externas.
Utilice la siguiente sintaxis desde el instalador de Windows (MSIEXEC):
msiexec.exe /i GlobalProtect.msi WRAPCPGUID={guid_value} FILTERNONGPCP=yes
En la sintaxis anterior, el parmetro FILTERNONGPCPsimplifica la autenticacin para el usuario filtrando la

opcin para iniciar sesin en el sistema usando las credenciales externas.
Si desea que los usuarios tengan la opcin de iniciar sesin con credenciales externas, use la siguiente sintaxis
del MSIEXEC:
msiexec.exe /i GlobalProtect.msi WRAPCPGUID={guid_value} FILTERNONGPCP=no
En la sintaxis anterior, el parmetro FILTERNONGPCP, que filtra el mosaico de inicio de sesin del proveedor de
credenciales externas para que solo aparezca el mosaico nativo, se ha definido como "no. En este caso, tanto
el mosaico nativo de Windows como el del proveedor de credenciales externas se muestran a los usuarios
cuando inician sesin en el sistema de Windows.
73
de GlobalProtect
Implementacin de los ajustes del agente para los clientes de Mac

Puede definir los ajustes de personalizacin del agente de GlobalProtect en el archivo plist (lista de propiedades)
global de Mac. Esto permite la implementacin de la configuracin del agente de GlobalProtect en los sistemas
cliente de Mac antes de su primera conexin al portal de GlobalProtect.
En los sistemas Mac, los archivos plist se encuentran en /Library/Preferences o en
~/Library/Preferences (donde el smbolo de tilde "~" indica que la ubicacin est en la carpeta
particular del usuario actual). El agente de GlobalProtect de un cliente de Mac comprueba en primer lugar los
ajustes de plist de GlobalProtect que se usarn en /Library/Preferences. Si la plist no existe en esa
ubicacin, el agente de GlobalProtect busca los ajustes de plist en ~/Library/Preferences.
Adems de usar la plist de Mac para implementar los ajustes de agente de GlobalProtect, debe
activar el agente de GlobalProtect para recopilar informacin especfica de la plist de Mac de los
clientes. A continuacin puede supervisar los datos y aadirlo a una regla de seguridad como
criterios de coincidencia. El trfico de dispositivos que coincida con ciertos ajustes de registro
que haya definido puede ponerse en vigor de acuerdo con la regla de seguridad. Configure las
comprobaciones personalizadas en Recopilacin de datos de procesos y aplicaciones
de clientes.
Uso inicial de la plist de Mac para implementar los ajustes de agente de GlobalProtect.
Encuentre los ajustes de personalizacin del

Vaya a la siguiente ubicacin del archivo plist global de Mac:
agente de GlobalProtect que se encuentran en la /Library/Preferences/com.paloaltonetworks.GlobalProtec
lista de propiedades de Mac.
t.settings.plist
Defina el nombre del portal.
Si no quiere que el usuario introduzca manualmente la direccin del

portal ni siquiera en la primera conexin, puede implementar
previamente la direccin del portal mediante la plist de Mac. Vaya a
la ubicacin /Library/Preferences/com.
paloaltonetworks.GlobalProtect.settings.plist y configure
el Portal clave en el diccionario PanSetup.
Vea la Tabla: Ajustes personalizables del agente si desea una lista

Implemente varios ajustes en el cliente de Mac
desde la plist de Mac, incluida la configuracin del completa de los comandos y valores que puede configurar usando el plist
de Mac.
mtodo de conexin para el agente de
GlobalProtect y la activacin del registro nico
(SSO).
74
de GlobalProtect
Use la aplicacin iOS de GlobalProtect con un MDM de terceros
Use la aplicacin iOS de GlobalProtect con un MDM de

terceros
Aunque el gestor de seguridad mvil de GlobalProtect est integrado con la plataforma de seguridad de ltima
generacin de Palo Alto para proporcionar un permetro de seguridad para su empresa, la aplicacin
GlobalProtect para iOS se puede usar tambin con servicios MDM externos. Puede usar un MDM externo para
implementar la aplicacin GlobalProtect desde iOS App Store y despus usar el MDM para implementar un
perfil de configuracin de VPN para configurar la aplicacin GlobalProtect para el usuario final
automticamente.
Los siguientes temas muestran configuraciones y cargas de trabajo XML de ejemplo que le ayudarn a configurar
la aplicacin GlobalProtect con MDM de terceros para permitir que el MDM ofrezca configuraciones de VPN
a nivel de aplicacin y de dispositivo para la aplicacin GlobalProtect para iOS:
Ejemplo de configuracin de VPN a nivel de dispositivo de la aplicacin GlobalProtect iOS
Ejemplo de configuracin de VPN a nivel de aplicacin de la aplicacin GlobalProtect iOS
75
Use la aplicacin iOS de GlobalProtect con un MDM de terceros Configuracin de la infraestructura de GlobalProtect
Ejemplo de configuracin de VPN a nivel de dispositivo de la aplicacin

GlobalProtect iOS
Ejemplo: Configuracin de VPN a nivel de dispositivo
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadDescription</key>
<string>Configures VPN settings, including authentication.</string>
<key>PayloadDisplayName</key>
<string>VPN (VPN a nivel de dispositivo de muestra)</string>
<key>PayloadIdentifier</key>
<string>VPN a nivel de dispositivo de muestra.vpn</string>
<key>PayloadOrganization</key>
<string>Palo Alto Networks</string>
<key>PayloadType</key>
<string>com.apple.vpn.managed</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadUUID</key>
<string>5436fc94-205f-7c59-0000-011d</string>
<key>UserDefinedName</key>
<string>VPN a nivel de dispositivo de muestra</string>
<key>Proxies</key>
<dict/>
<key>VPNType</key>
<string>VPN</string>
<key>VPNSubType</key>
<string>com.paloaltonetworks.GlobalProtect.vpnplugin</string>
<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
</dict>
<key>VPN</key>
<dict>
<key>RemoteAddress</key>
<string>cademogp.paloaltonetworks.com</string>
<key>AuthName</key>
<string></string>
<key>DisconnectOnIdle</key>
<key>OnDemandEnabled</key>
<key>OnDemandRules</key>
<array>
<dict>
<key>Action</key>
<string>Connect</string>
</dict>
</array>
<key>AuthenticationMethod</key>
<string>Password</string>
</dict>
<key>VendorConfig</key>
<dict>
<key>AllowPortalProfile</key>
<key>FromAspen</key>
</dict>
</dict>
</array>
<string>VPN a nivel de dispositivo de muestra</string>
76
Configuracin de la infraestructura de GlobalProtectUse la aplicacin iOS de GlobalProtect con un MDM de terceros
Ejemplo de configuracin de VPN a nivel de aplicacin de la aplicacin

GlobalProtect iOS
Ejemplo: Configuracin de VPN a nivel de aplicacin
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<string>Configures VPN settings, including authentication.</string>
<string>VPN (VPN a nivel de aplicacin de muestra)</string>
<string>VPN a nivel de aplicacin de muestra.vpn</string>
<string>com.apple.vpn.managed.applayer</string>
<key>VPNUUID</key>
<string>cGFuU2FtcGxlIEFwcCBMZXZlbCBWUE52cG5TYW1wbGUgQXBwIExldmVsIFZQTg==</string>
<key>SafariDomains</key>
<array>
<string>*.paloaltonetworks.com</string>
</array>
<string>54370008-205f-7c59-0000-01a1</string>
<key>UserDefinedName</key>
<string>VPN a nivel de aplicacin de muestra</string>
<key>Proxies</key>
<dict/>
<key>VPNType</key>
<string>VPN</string>
<key>VPNSubType</key>
<string>com.paloaltonetworks.GlobalProtect.vpnplugin</string>
<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
</dict>
<key>VPN</key>
<dict>
<key>RemoteAddress</key>
<string>cademogp.paloaltonetworks.com</string>
<key>AuthName</key>
<string></string>
<key>OnDemandMatchAppEnabled</key>
<key>OnDemandEnabled</key>
<key>DisconnectOnIdle</key>
<key>AuthenticationMethod</key>
<string>Password</string>
</dict>
<key>VendorConfig</key>
<dict>
<key>OnlyAppLevel</key>
<key>AllowPortalProfile</key>
<key>FromAspen</key>
</dict>
</dict>
</array>
77
Use la aplicacin iOS de GlobalProtect con un MDM de terceros Configuracin de la infraestructura de GlobalProtect
Ejemplo: Configuracin de VPN a nivel de aplicacin (Continuacin)

key>PayloadDisplayName</key>
<string>Sample App Level VPN</string>
<string>Profile Description</string>
<string>Sample App Level VPN</string>
<string>Configuration</string>
<string>5436fc94-205f-7c59-0000-011c</string>
<key>PayloadRemovalDisallowed</key>
<false/>
</dict>
</plist>
78
de GlobalProtect
Referencia: Funciones criptogrficas del agente de

GlobalProtect
El agente de GlobalProtect usa la biblioteca 0.9.8p de OpenSSL para establecer una comunicacin segura con
el portal de GlobalProtect y las puertas de enlace de GlobalProtect. La siguiente tabla enumera cada funcin de
agente de GlobalProtect que requiere una funcin criptogrfica y detalla las claves criptogrficas que usa el
agente de GlobalProtect:
Funcin criptogrfica
Clave
Uso
Winhttp (Windows) y
NSURLConnection (MAC)
AES256-SHA
Clave dinmica negociada entre el

agente de GlobalProtect y el portal
o la puerta de enlace de
GlobalProtect para establecer la
conexin HHTTPS.
Sirve para establecer la conexin HTTPS

entre el agente de GlobalProtect y el
portal y la puerta de enlace de
GlobalProtect para la autenticacin.
OpenSSL
AES256-SHA
Clave dinmica negociada entre el

agente de GlobalProtect y la puerta
de enlace de GlobalProtect durante
el protocolo de enlace SSL.
Sirve para establecer la conexin SSL

entre el agente de GlobalProtect y la
puerta de enlace de GlobalProtect para el
envo de un informe HIP, la negociacin
de un tnel SSL y la deteccin de la red.
Cifrado IPsec y autenticacin

AES128-SHA1
La clave de sesin enviada desde la Sirve para establecer el tnel de IPsec

puerta de enlace de GlobalProtect. entre el agente de GlobalProtect y la
puerta de enlace de GlobalProtect.
79
80
de GlobalProtect
Configuracin del gestor de seguridad

Los dispositivos mviles son cada vez ms potentes, por lo que los usuarios finales confan ms en ellos para
realizar sus tareas comerciales. Sin embargo, los mismos dispositivos que acceden a sus redes de la empresa estn
conectando tambin a Internet sin proteccin contra amenazas y vulnerabilidades. El gestor de seguridad mvil
de GlobalProtect ofrece los mecanismos para configurar los ajustes de dispositivos y las cuentas y realizar
acciones con los dispositivos, como bloquear o borrar los dispositivos mviles robados o que se hayan perdido.
El gestor de seguridad mvil tambin publica el estado del dispositivo en las puertas de enlace de GlobalProtect
(en informes HIP) para que pueda crear polticas de acceso granular, por ejemplo permitindole denegar el
acceso a dispositivos que estn liberados o con el root desbloqueado.
Los siguientes temas describen el servicio de gestor de seguridad mvil de GlobalProtect y le muestran los pasos
bsicos para configurar la gestin de los dispositivos.
Recomendaciones de implementacin del gestor de seguridad mvil
Configuracin del acceso de gestin al gestor de seguridad mvil
Registro, licencia y actualizacin del gestor de seguridad mvil
Configuracin del gestor de seguridad mvil para la gestin de dispositivos
Configuracin del acceso de puerta de enlace al gestor de seguridad mvil
Definicin de polticas de implementacin
Configuracin del acceso administrativo en el gestor de seguridad mvil
81

Recomendaciones de implementacin del gestor de

seguridad mvil
El gestor de seguridad mvil de GlobalProtect (que se ejecuta en el dispositivo GP-100) colabora con el resto
de infraestructura de GlobalProtect para garantizar una solucin de seguridad mvil completa. Una
implementacin de gestor de seguridad mvil requiere conectividad entre los siguientes componentes:
Actualizaciones de Palo Alto: El gestor de seguridad mvil recupera actualizaciones de firmas de WildFire
que le permiten detectar malware en dispositivos gestionados de Android. Por defecto, el gestor de seguridad
mvil recupera las actualizaciones de WildFire desde el servidor de actualizaciones de Palo Alto Networks
en su interfaz de gestin. Sin embargo, si su red de gestin no proporciona acceso a Internet, podr
modificar la ruta de servicios para el servicio de actualizaciones de Palo Alto para usar la interfaz ethernet1.
Puertas de enlace de GlobalProtect: Para realizar el procedimiento de Configuracin de la aplicacin de

polticas basadas en HIP de dispositivos gestionados, las puertas de enlace de GlobalProtect recuperan los
informes HIP del dispositivo mvil desde el gestor de seguridad mvil. La mejor implementacin es activar
el servicio de gestin de puertas de enlace de GlobalProtect en ethernet1.
Servicios de notificaciones Push: Como el gestor de seguridad mvil no puede conectarse directamente
con los dispositivos mviles que gestiona, debe enviar notificaciones de envo a travs del servicio de
notificaciones Push de Apple (APNs) o los servicios de mensajera en la nube de Google (GCM) siempre
que necesite interactuar con un dispositivo, por ejemplo para enviar una solicitud de registro o realizar una
accin como el envo de un mensaje o una nueva poltica. Se recomienda configurar la ruta de servicio de
notificaciones Push para que use la interfaz ethernet1.
Dispositivos mviles: Los dispositivos mviles se conectan inicialmente desde la red externa para su
inscripcin y despus para registrarse y recibir la poltica de implementacin. Se recomienda usar ethernet1
para la inscripcin y registro de dispositivo, pero usar puertos de escucha distintos. Para evitar que el usuario
final vea advertencias de certificados, use el puerto 443 (predeterminado) para la inscripcin y otro puerto
diferente (configurable a 7443 o 8443) para el registro. Advertencia: Como el puerto de registro de
dispositivos se enva al dispositivo durante la inscripcin, si lo cambia tras la configuracin inicial los
dispositivos debern volver a inscribirse con gestor de seguridad mvil.
82

Ilustracin: Implementacin de prcticas recomendadas del gestor de seguridad

mvil
MGT
GP-100 enva
notificaciones push a
dispositivos en la
interfaz MGT.
Los dispositivos se conectan al GP-100 a
travs de ethernet1/1.
Inscripcin de dispositivos (puerto 443).
Registro de dispositivos (puerto 7443 o 8443).
Dispositivos
gestionados
WildFire
Las puertas de enlace
recuperan los informes HIP
para dispositivos gestionados
en ethernet1/1 (puerto 5008).
Firmas de APK actualizadas mediante

actualizaciones de contenido.
Usa MGT de forma predeterminada.
Crear una ruta de servicio en e1/1 si
GP-100 MGT no puede acceder al
servidor de actualizaciones.
Puertas de enlace
de GlobalProtect
83

Configuracin del acceso de gestin al gestor de seguridad

mvil
Por defecto, el puerto de gestin (MGT) del dispositivo GP-100 (tambin llamado el gestor de seguridad mvil)
tiene la direccin IP 192.168.1.1 y el nombre de usuario y contrasea admin/admin. Por motivos de seguridad,
debe cambiar estos ajustes antes de continuar con otras tareas de configuracin del gestor de seguridad mvil.
Esta configuracin inicial puede realizarse con una conexin fsica directa con el dispositivo (conexin serie al
puerto de consola o conexin RJ-45 a la interfaz de gestin). Durante la configuracin inicial asignar los ajustes
de red que le permiten conectar con la interfaz web del dispositivo para las tareas de configuracin siguientes.
Configuracin del acceso de red al dispositivo GP-100
Paso 1
Monte en rack el dispositivo GP-100.
Consulte la Gua de referencia de hardware del dispositivo GP-100

para obtener instrucciones.
Paso 2
Obtenga la configuracin de red necesaria Direccin IP para el puerto MGT

para la interfaz de gestin.
Mscara de red
Puerta de enlace predeterminada
Direccin de servidor DNS
Paso 3
Conecte su ordenador al dispositivo

GP-100.
Conctese al dispositivo de uno de estos modos:

Conecte un cable serie desde su ordenador al puerto de la consola
y conecte con el dispositivo usando el software de emulacin de
terminal (9600-8-N-1). Espere unos minutos a que se complete la
secuencia de inicio; cuando el dispositivo est listo aparecer el
mensaje de inicio de sesin.
Conecte un cable Ethernet RJ-45 a su ordenador y al puerto de
gestin del dispositivo. Use un navegador para ir a
https://192.168.1.1. Tenga en cuenta que tal vez deba cambiar la
direccin IP de su ordenador a una direccin de la red
192.168.1.0/24, como 192.168.1.2, para acceder a esta URL.
Paso 4
Cuando se le indique, inicie sesin en el

dispositivo.
Paso 5
Defina los ajustes y servicios de red para 1.

permitirlos en la interfaz de gestin.
84
Inicie sesin usando el nombre de usuario y contrasea

predeterminados (admin/admin). El dispositivo comenzar a
inicializarse.
Seleccione Configuracin > Configuracin y modifique la
Configuracin de interfaz de gestin. Introduzca la Direccin IP,
Mscara de red y Puerta de enlace predeterminada para
activar el acceso a la red en la interfaz de gestin.
2.
Asegrese de que Velocidad se define como negociacin

automtica.
3.
Seleccione los servicios de gestin que permitir en la interfaz.

Como mnimo, seleccione HTTPS, SSH y Ping.
4.
(Opcional) Para restringir el acceso del gestor de seguridad

mvil a direcciones IP especficas, introduzca las Direcciones IP
permitidas.
5.

Configuracin del acceso de red al dispositivo GP-100 (Continuacin)
Paso 6
Paso 7
Paso 8
(Opcional) Configure los ajustes

generales del dispositivo.
Configure DNS y, si lo desea, defina el

acceso a un servidor NTP.
Seleccione Configuracin > Configuracin > Gestin y edite la

Configuracin general.
2.
Introduzca un nombre de host para el dispositivo y el nombre

de dominio de su red. El nombre de dominio tan solo es una
etiqueta, no se usar para unirse al dominio.
3.
Introduzca cualquier texto de carcter informativo que desee

que aparezca a los administradores al iniciar sesin en el campo
Titular de inicio de sesin.
4.
Seleccione la Zona horaria y, si no est pensando en usar NTP,

introduzca la Fecha y Hora.
5.
1.
Seleccione Configuracin > Configuracin > Servicios y edite

los Servicios.
2.
Introduzca la direccin IP de su Servidor DNS principal y, de

manera opcional, de su Servidor DNS secundario.
3.
Para usar el clster virtual de servidores horarios de Internet,

introduzca el nombre de host ntp.pool.org como servidor NTP
principal o aada la direccin IP de su servidor NTP principal
y, de manera opcional, su servidor NTP secundario.
4.
Establezca una contrasea segura para la 1.

cuenta de administrador.
2.
Para obtener instrucciones sobre
cmo aadir cuentas
administrativas adicionales,
consulte Configuracin del acceso
administrativo en el gestor de
seguridad mvil.
Paso 9
1.

Al guardar los cambios de
configuracin, perder la conexin
con la interfaz web, ya que la
direccin IP habr cambiado.
Paso 10 Conecte el cortafuegos a su red.
Seleccione Dispositivo > Administradores.

Seleccione la funcin admin.
3.
Introduzca la contrasea predeterminada actual y la nueva

contrasea.
4.
Haga clic en Aceptar para guardar la configuracin.
Haga clic en Confirmar. El dispositivo puede tardar hasta 90

segundos en guardar sus cambios.
1.
Desconecte el dispositivo de su ordenador.
2.
Conecte el puerto de gestin a un puerto de conmutador en su

red de gestin usando un cable Ethernet RJ-45. Asegrese de
que el puerto de conmutacin que conecta al dispositivo
mediante un cable est configurado para negociacin
automtica.
85

Configuracin del acceso de red al dispositivo GP-100 (Continuacin)
Paso 11 Abra una sesin de gestin SSH en el

dispositivo GP-100.
Use un software de emulacin de terminal, como PuTTY, para iniciar

una sesin SSH en el cortafuegos usando la nueva direccin IP que
le ha asignado.
1. Introduzca la direccin IP que ha asignado al puerto de gestin
del cliente SSH.
2.
Utilice el puerto 22.
3.
Introduzca las credenciales de acceso administrativo cuando se

le soliciten. Despus de iniciar la sesin correctamente, aparece
el mensaje de la CLI en modo operativo. Por ejemplo:
admin@GP-100>
Paso 12 Verifique el acceso a la red para los

servicios externos requeridos para la
gestin del cortafuegos, como el servidor
de actualizaciones de Palo Alto Networks:
Compruebe que tiene acceso al y desde el dispositivo mediante la utilidad

de ping de la CLI. Asegrese de que tiene conexin a la puerta de enlace
predeterminada, servidor DNS y el servidor de actualizacin de Palo
Alto Networks como se muestra en el siguiente ejemplo:
admin@GP-100> ping al host updates.paloaltonetworks.com
Haciendo ping a updates.paloaltonetworks.com (67.192.236.252) con
56(84) bytes de datos.
64 bytes desde 67.192.236.252 : icmp_seq=1 ttl=243 tiempo=40.5 ms
Cuando haya comprobado la conectividad, pulse Ctrl+C para

detener los pings.
Paso 13 Inicie sesin en la interfaz web del gestor 1.
de seguridad mvil.
Abra una ventana del navegador y desplcese a la siguiente URL:

https://<Direccion_IP>
donde <Direcin_IP> es la direccin que acaba de asignar a la

interfaz de gestin.
Para obtener instrucciones sobre

cmo crear cuentas administrativas
adicionales, consulte Configuracin
del acceso administrativo en el
gestor de seguridad mvil.
Si activa una comprobacin de dispositivos en la interfaz

de gestin, deber incluir el nmero de puerto 4443 en la
URL para poder acceder a la interfaz web como sigue:
https://<Direccion_IP>:4433
2.
86
Inicie sesin con la nueva contrasea que ha asignado a la cuenta

de administracin.


Antes de poder empezar a usar el gestor de seguridad mvil para gestionar los dispositivos mviles, deber
registrar el dispositivo GP-100 y recuperar las licencias. Si planea gestionar ms de 500 dispositivos mviles
deber adquirir una licencia nica e indefinida del gestor de seguridad mvil de GlobalProtect segn el nmero
de dispositivos mviles que hay que gestionar. Adems, el dispositivo incluye 90 das de asistencia gratuita. Sin
embargo, cuando ese periodo de 90 das acabe, deber adquirir una licencia de asistencia para activar el gestor
de seguridad mvil para recuperar las actualizaciones de software y las actualizaciones de contenido dinmico.
Las siguientes secciones describen los procesos de registro, licencia y actualizacin:
Registro del dispositivo GP-100
Activacin/recuperacin de licencias
Instalacin de las actualizaciones de contenido y software de Panorama

Para gestionar todos los activos adquiridos en Palo Alto Networks, debe crear una cuenta y registrar los nmeros
de serie con la cuenta como se indica a continuacin.
Paso 1
Inicie sesin en la interfaz web del gestor Use una conexin segura (https) de un navegador web, inicie sesin
de seguridad mvil.
con la direccin IP y contrasea asignadas durante la configuracin
inicial (https://<Direccin IP> o https://<Direccin IP>:4443 si la
comprobacin de dispositivos est activada en la interfaz).
Paso 2
Busque el nmero de serie y cpielo en el El nmero de serie del dispositivo GP-100 aparece en el Panel;
portapapeles.
encuentre el Nmero de serie en la seccin Informacin general de
la pantalla.
Paso 3
Vaya al sitio de asistencia de Palo Alto

Networks.
Seleccione Configuracin > Asistencia tcnica > Vnculos y haga

clic en el vnculo hacia Pgina de inicio de asistencia.
Si su dispositivo no tiene conexin a Internet desde la interfaz
de gestin, en una nueva pestaa o ventana del navegador vaya
a https://support.paloaltonetworks.com.
87

Registro del dispositivo GP-100 (Continuacin)
Paso 4
Registre el dispositivo GP-100. El

proceso de registro depender de que
tenga o no un inicio de sesin en el sitio
de asistencia tcnica.
Si es el primer dispositivo de Palo Alto Networks que registra y an

no tiene un inicio de sesin, haga clic en Registrar en el lado
derecho de la pgina. Para registrarse, debe proporcionar su
direccin de correo electrnico y el nmero de serie del gestor de
seguridad mvil (que puede pegar desde el portapapeles). Cuando
se le solicite, establezca un nombre de usuario y una contrasea
para acceder a la comunidad de asistencia tcnica de Palo Alto
Networks.
Si ya dispone de una cuenta de asistencia tcnica, inicie sesin y
haga clic en Mis dispositivos. Desplcese hasta la seccin Registrar
dispositivo, en la parte inferior de la pantalla, e introduzca el
nmero de serie del gestor de seguridad mvil (que puede pegar
desde el portapapeles), su ciudad y su cdigo postal, y haga clic en
Registrar dispositivo.
Activacin/recuperacin de licencias
El gestor de seguridad mvil necesita una licencia de asistencia vlida que le permita recuperar las
actualizaciones de software y las actualizaciones de contenido dinmico. El dispositivo incluye 90 das de
asistencia gratuita; sin embargo, debe adquirir una licencia de asistencia para seguir recibiendo actualizaciones
tras este periodo introductorio. Si planea gestionar ms de 500 dispositivos mviles, necesitar una licencia del
gestor de seguridad mvil de GlobalProtect. Esta licencia nica y perenne permite gestionar hasta 1000, 2000,
5000, 10 000, 25 000, 50 000 o 100 000 dispositivos mviles.
Puede adquirir una suscripcin a WildFire para el gestor de seguridad mvil para habilitar las actualizaciones
dinmicas que contienen firmas de malware creadas como resultado del anlisis realizado por la nube de
WildFire. Si mantiene al da las actualizaciones de malware, podr evitar que los dispositivos Android
gestionados que contienen aplicaciones infectadas con malware se conecten a sus recursos de red. Debe adquirir
una suscripcin a WildFire que admita el mismo nmero de dispositivos que admite su licencia del gestor de
seguridad mvil. Por ejemplo, si tiene una licencia perenne del gestor de seguridad mvil para
10 000 dispositivos y desea activar la asistencia para detectar el malware ms reciente, deber adquirir una
suscripcin a WildFire para 10 000 dispositivos.
Para adquirir licencias, pngase en contacto con su ingeniero de sistemas de Palo Alto Networks o distribuidor.
Si desea ms informacin sobre requisitos de licencias, consulte Acerca de las licencias de GlobalProtect.
Despus de obtener una licencia, desplcese hasta Configuracin > Licencias para realizar las siguientes tareas
dependiendo de cmo recibe las licencias:
Recuperar claves de licencia del servidor de licencias: utilice esta opcin si la licencia se ha activado en
el portal de asistencia tcnica.
Activar caracterstica mediante cdigo de autorizacin: utilice el cdigo de autorizacin para activar
una licencia que no se ha activado anteriormente en el portal de asistencia tcnica.
88

Carga manual de la clave de licencia: Utilice esta opcin si la interfaz de

gestin del GP-100 no tiene conectividad con el servidor de actualizacin de
Palo Alto Networks. En este caso, en primer lugar debe descargar un archivo
de clave de licencia del sitio de asistencia tcnica a travs de un ordenador conectado a Internet y despus
cargarlo en el dispositivo.
Activacin de las licencias
Paso 1
Encuentre los cdigos de activacin del

producto/suscripcin que ha adquirido.
Encuentre el correo electrnico de la asistencia al cliente de Palo Alto

Networks que muestra el cdigo de autorizacin asociado con la
licencia que ha adquirido. Si no encuentra este correo electrnico,
pngase en contacto con atencin al cliente para recibir sus cdigos
antes de continuar.
Paso 2
Active las licencias.
1.
Para activar su suscripcin de asistencia (obligatoria tras 90 das),

seleccione Configuracin > Asistencia tcnica.
2.
Seleccione Activar caracterstica mediante cdigo de

autorizacin. Introduzca el Cdigo de autorizacin y, a
continuacin, haga clic en Aceptar.
3.
Compruebe que la suscripcin se haya activado correctamente.
Si el gestor de seguridad mvil va a

gestionar ms de 500 dispositivos
mviles, necesitar una licencia perenne
del gestor de seguridad mvil de
GlobalProtect.
Si el puerto de gestin del gestor de

seguridad mvil no tiene acceso a
Internet, descargue manualmente
los archivos de licencia desde el sitio
de asistencia tcnica y crguelos en 4.
el gestor de seguridad mvil usando
la opcin Clave de licencia de
5.
carga manual.
6.
Paso 3
En la pestaa Configuracin > Licencias, seleccione Activar

caracterstica mediante cdigo de autorizacin.
Cuando se le solicite, introduzca Cdigo de autorizacin para
usar el gestor de seguridad mvil y haga clic en ACEPTAR.
Compruebe que la licencia se ha activado correctamente y que
indica asistencia tcnica para el nmero correcto de dispositivos.
(No es necesario si ha completado el paso Utilice la opcin Recuperar claves de licencia del servidor de
licencias si ha activado las claves de licencia en el portal de asistencia
2) Recupere las claves de licencia del
servidor de licencias.
tcnica.
Seleccione Configuracin > Asistencia tcnica y seleccione
Recuperar claves de licencia del servidor de licencias.
89

Instalacin de las actualizaciones de contenido y

software de Panorama
Use el siguiente procedimiento para descargar las actualizaciones de malware de
Android Package (APK) ms recientes o actualizar el software del gestor de
seguridad mvil. Si mantiene al da las actualizaciones de APK, podr evitar que
los dispositivos Android gestionados que contienen aplicaciones infectadas con
malware se conecten con sus recursos de red.
Recepcin de las actualizaciones de software y contenido
Paso 1
Inicie la interfaz web del gestor de

seguridad mvil y vaya a la pgina de
actualizaciones dinmicas.
1.
Antes de actualizar el software, instale las

ltimas actualizaciones de contenido
2.
admitidas en esta versin.
Paso 2
Busque, descargue e instale la ltima

actualizacin de contenido del gestor de
seguridad mvil.
Las actualizaciones de contenido del
gestor de seguridad mvil incluye todas
las firmas de malware del paquete de
aplicaciones Android (APK), incluido el
nuevo malware que detecte WildFire.
Paso 3
Paso 4
Compruebe las actualizaciones de

software.
Descargar la actualizacin.
Si el gestor de seguridad mvil no
tiene acceso a Internet desde el
puerto de gestin, puede descargar
la actualizacin de software desde el
sitio de asistencia tcnica de Palo
Alto Networks. Despus podr
cargarla manualmente en el gestor
de seguridad mvil.
Paso 5
Instale la actualizacin.
1.
Use una conexin segura (https) de un navegador web, inicie

sesin con la direccin IP y contrasea asignadas durante la
configuracin inicial (https://<Direccin IP> o
https://<Direccin IP>:4443 si la comprobacin de
dispositivos est activada en la interfaz).
Seleccione Configuracin > Actualizaciones dinmicas.
Haga clic en Comprobar ahora para comprobar las
actualizaciones ms recientes. Si el valor de la columna Accin
es Descargar, significa que hay una actualizacin disponible.
2.
Haga clic en Descargar para obtener la versin deseada.
3.
Haga clic en el enlace Instalar de la columna Accin. Cuando

se complete la instalacin, aparecer una marca de verificacin
en la columna Instalado actualmente.
1.
Seleccione Configuracin > Software.
2.
Haga clic en Comprobar ahora para comprobar las

actualizaciones ms recientes. Si el valor de la columna Accin
es Descargar, significa que hay una actualizacin disponible.
Encuentre la versin a la que desea actualizar y haga clic en

Descargar. Cuando se complete la descarga, el valor en la columna
Accin cambia a Instalar.
1.
Haga clic en Instalar.
2.
Reinicie el dispositivo:
Si se le pide que reinicie, haga clic en S.
Si no se le pide que reinicie, seleccione Configuracin >
Ajustes > Operaciones y haga clic en Reiniciar dispositivo
en la seccin Operaciones de dispositivo de la pantalla.
90

Configuracin del gestor de seguridad mvil para la gestin

de dispositivos
Antes de poder empezar a usar el gestor de seguridad mvil para gestionar los dispositivos mviles, deber
configurar la infraestructura de gestin de dispositivos. Esto incluye la configuracin de una interfaz para el
registro de dispositivos, la obtencin de certificados necesarios para que el gestor de seguridad mvil enve las
notificaciones push a otros dispositivos mediante OTA (Over the Air) y la definicin de cmo autenticar
usuarios/dispositivos antes de la suscripcin y cmo emitir certificados a identidad a cada dispositivo.
Configuracin del gestor de seguridad mvil para el registro de dispositivos
Configuracin del gestor de seguridad mvil para la inscripcin

Cada hora (de forma predeterminada), el gestor de seguridad mvil enva un mensaje de notificacin a los
dispositivos que gestiona solicitando que se registren. Para enviar esos mensajes, llamados notificaciones push, el
gestor de seguridad mvil debe conectarse con los dispositivos mediante OTA (over-the-air). Para enviar
notificaciones push a dispositivos iOS, el gestor de seguridad mvil debe usar el servicio de notificacin Push
de Apple (APNs); para los dispositivos Android debe usar el servicio de Mensajera de Google Cloud (GCM).
Lo mejor es configurar la interfaz ethernet1 en el gestor de seguridad mvil como interfaz de orientacin
externa para acceder a la puerta de enlace y el dispositivo mvil. As, para configurar el gestor de seguridad mvil
para el registro de dispositivos debe configurar la interfaz ethernet1 y activarla para el registro de dispositivos.
Adems, debe configurar el gestor de seguridad mvil para enviar notificaciones de envo mediante
APNs/GCM.
91

El siguiente procedimiento detalla cmo configurar esta configuracin recomendada:

Paso 1
Configure la interfaz de registro de

dispositivos.
1.
2.
Aunque puede usar la interfaz de
gestin para registrar dispositivos, si
configura una interfaz distinta
podr separar el trfico de gestin 3.
del de datos. Si est usando la
interfaz de gestin para el registro
de dispositivos, omita el Paso 4.
Paso 2
92
Seleccione Configuracin > Red > ethernet1 para abrir el

cuadro de dilogo de ajuste Interfaz de red.
Defina los ajustes de acceso a la red de la interfaz, incluidas la
Direccin IP, Mscara de red y Puerta de enlace
predeterminada.
Habilite los servicios que desea permitir en esta interfaz

seleccionando las casillas de verificacin que correspondan.
Como mnimo, seleccione Registro de dispositivos mviles.
Puede que desee seleccionar tambin Ping para contribuir a la
conectividad de prueba.
4.

ACEPTAR.
5.
Conecte el puerto ethernet1 (con la etiqueta 1 en el panel frontal

del dispositivo) a su red con un cable de Ethernet RJ-45.
Asegrese de que el puerto de conmutacin al que conecta la
interfaz est configurado para la negociacin automtica.
6.
(Opcional) Aada un registro "A" DNS a su servidor DNS para

asociar la direccin IP de esta interfaz con un nombre de host.
(Opcional) Modifique la configuracin de 1.

registro del dispositivo.
Seleccione Configuracin > Configuracin > Servidor y

modifique Ajustes de registro del dispositivo.
Por defecto, el gestor de seguridad mvil 2.

est a la espera en el puerto 443 tanto para
las solicitudes de inscripcin como para
las de registro. Se recomienda configurar
el puerto de inscripcin a 443 y usar un
nmero de puerto distinto para el registro
de dispositivos. El proceso de registro de 3.
dispositivos requiere un certificado
cliente para establecer la sesin SSL,
mientras que el de inscripcin no. Si
ambos servicios se ejecutan en el mismo
puerto, el dispositivo mvil mostrar por 4.
error mensajes emergentes de certificados
durante el proceso de inscripcin, lo que
puede confundir a los usuarios finales.
Seleccione el Puerto de registro en el que el gestor de seguridad

mvil escuchar las solicitudes de registro de dispositivos. De
forma predeterminada, este puerto se configura como 443. Sin
embargo, debe cambiar el puerto de registro de dispositivos de
7443 a 8443 y la inscripcin para evitar que se pida a los usuarios
un certificado de cliente cuando se inscriban.
Por defecto, el gestor de seguridad mvil enviar notificaciones
push a los dispositivos que gestiona cada 60 minutos para
solicitar el registro. Para cambiar este intervalo, introduzca un
nuevo Intervalo de notificacin de registro del dispositivo
(rango: 30 minutos a 1440 minutos).

Configuracin del gestor de seguridad mvil para el registro de dispositivos (Continuacin)
Paso 3
1.
(Opcional) Si el puerto de gestin del
gestor de seguridad mvil no tiene acceso
a Internet, configure los enrutadores de 2.
servicio para permitir el acceso desde la
3.
interfaz de registro de dispositivos a los
recursos externos necesarios, como el
servicio de notificaciones push de Apple
(APNs) y el servicio de Mensajera de
Google Cloud (GCM) para el envo de
notificaciones push.
Seleccione Configuracin > Ajustes > Servicios >

Configuracin de ruta de servicios.
Haga clic en el botn de opcin Seleccionar.
Haga clic en la columna Interfaz que corresponde con el
servicio cuya ruta de servicio desee cambiar y seleccione la
interfaz ethernet1.
4.
Repita estos pasos en cada servicio que desee modificar. Para

configurar la interfaz ethernet1 para el registro de dispositivos
deber cambiar la ruta de servicio de Notificaciones push. Si no
tiene acceso a Internet desde la interfaz de gestin, deber
cambiar todas las rutas de servicio a esta interfaz.
5.
93

Paso 4
Importe un certificado de servidor para la Para importar un certificado y una clave privada, descargue el
certificado y el archivo de clave de la CA y asegrese de que son
interfaz de registro de dispositivos del
accesibles desde el sistema de gestin y que tiene la frase de
contrasea para descifrar la clave privada. Despus complete los
siguientes pasos en el gestor de seguridad mvil:
aplicable, de nombre alternativo del
1. Seleccione Configuracin > Gestin de certificados >
asunto (SAN) del certificado del gestor de
seguridad mvil deben coincidir
exactamente con la direccin IP o con el 2.
nombre de dominio completo (FQDN) 3.
de la interfaz de registro de dispositivos
(se admiten certificados de comodn).
4.
Aunque puede generar un certificado de
servidor autofirmado para la interfaz de 5.
registro de dispositivos del gestor de
6.
seguridad mvil (Configuracin >
Gestin de certificados > Certificados >
Generar), se recomienda usar un
7.
certificado de una CA pblica como
VeriSign o Go Daddy para garantizar que
los dispositivos finales puedan conectarse
para inscribirse. Si no usa un certificado 8.
en el que confen los dispositivos, deber
aadir el certificado de CA raz a la
configuracin del gestor de seguridad
mvil y la configuracin correspondiente
de clientes del portal para que el portal
pueda implementar el certificado en los
dispositivos tal y como se describe en
Definicin de las configuraciones de

Formato de archivo.

encontrarla.
Para configurar el gestor de seguridad mvil para usar este
certificado para el registro de dispositivos:
a. Seleccione Configuracin > Configuracin > Servidor y
modifique Ajustes de servidor SSL.
b. Seleccione el certificado que acaba de importar desde la lista
desplegable Certificado de servidor MDM.
c. (Opcional) Si el certificado no lo emiti una CA conocida,
seleccione el certificado de CA raz del remitente en el cuadro
desplegable Entidad de certificacin u opte por Importar
ahora.
d. Haga clic en ACEPTAR para guardar la configuracin.
94

Paso 5
Obtenga un certificado para el servicio de

notificaciones push de Apple (APNs).
1.
Para crear la CSR, seleccione Configuracin > Gestin de

certificados > Certificados y haga clic en Generar.
El certificado APN es necesario para que el

gestor de seguridad mvil pueda enviar
notificaciones push a los dispositivos iOS
que gestiona. Para obtener el certificado
debe crear una solicitud de firma de
certificado (CSR) en el gestor de seguridad
mvil, enviarla al servidor de firmas de Palo
Alto Networks para que lo firme y enviarla
a Apple.
2.
Introduzca un nombre de certificado y un nombre comn que

identifique su organizacin.
3.
En el campo Nmero de bits, seleccione 2048.
4.
En el campo Firmado por, seleccione Autoridad externa (CSR).
5.
En Resumen, seleccione sha1 y haga clic en Generar.
Cree un ID de Apple compartido

para su organizacin para asegurarse
de que tenga siempre acceso a sus
certificados.
6.
Seleccione la CSR en la lista de certificados y haga clic en Exportar.
7.
En el cuadro de dilogo Exportar CSR, seleccione Firmar CSR

para el Servicio de notificaciones Push de Apple en la lista
desplegable Formato de archivo y haga clic en ACEPTAR. El
gestor de seguridad mvil enviar automticamente la CSR al
servidor de firma de Palo Alto Networks, lo que devolver una CSR
(.csr) firmada que deber guardar en su disco local.
8.
Abra una nueva ventana de navegador y desplcese al portal de

certificados push de Apple en la siguiente URL:
https://identity.apple.com/pushcert
9.
Inicie sesin con su ID de Apple y contrasea y haga clic en Crear

un certificado. Si este es su primer inicio de sesin, debe Aceptar
las Condiciones de uso antes de crear un certificado.

10. Haga clic en Seleccionar archivo para buscar la ubicacin de la
CSR que ha generado y despus haga clic en Cargar. Cuando el
certificado se haya generado con xito aparecer una confirmacin.
11. Haga clic en Descargar para guardar el certificado en su equipo
local.
12. En el gestor de seguridad mvil, seleccione Configuracin >

Gestin de certificados > Certificados > Certificados de
dispositivo y haga clic en Importar.
13. En el campo Nombre de certificado, introduzca el mismo

nombre que us al crear la CSR.
14. En el campo Archivo de certificado, escriba la ruta y el nombre al
certificado (.pem) que descarg de Apple o seleccione Examinar
para buscar el archivo.
15. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuacin, haga clic en Aceptar. La
entrada de la CSR en la lista de certificados cambia a un certificado
con la Entidad de certificacin de integracin de la aplicacin
Apple del remitente y el Estado vlido.
95

Paso 6
Obtenga una clave e ID de remitente del 1.

servicio de Mensajera de Google Cloud
(GCM).
La clave GCM e ID de remitente son
obligatorios para que el gestor de
seguridad mvil pueda enviar
notificaciones push a los dispositivos
Android que gestiona.
Abra una nueva ventana de navegador y desplcese a la consola

API de Google en la siguiente URL:
https://cloud.google.com/console
2.
Haga clic en CREAR PROYECTO. Aparecer la pgina Nuevo

proyecto.
3.
Introduzca un Nombre de proyecto y un ID de proyecto y haga

clic en Crear. Si este es su primer proyecto, debe Aceptar las
Condiciones de uso antes de crear el proyecto.
4.
Seleccione APIs y autorizacin en el men desplegable de la

parte izquierda de la pgina.
5.
En la pgina de las API, desplcese hasta Mensajera de Google

Cloud para Android y cambie el ajuste a Activado.
6.
Seleccione Credenciales en el men de API y autenticacin de

la izquierda.
7.
En la seccin Acceso a la API pblica de la pgina, haga clic en

CREAR NUEVA CLAVE.
8.
En el cuadro de dilogo Crear nueva clave, haga clic en Clave de

servidor.
9.
En el cuadro de texto Aceptar solicitudes desde estas

direcciones IP de servidor, introduzca la direccin IP de la
interfaz de registro del dispositivo del gestor de seguridad mvil
y despus haga clic en Crear. La nueva clave de API se mostrar.
Esta es la clave que identifica su aplicacin de gestor de
seguridad mvil. Necesitar esta clave para configurar las
notificaciones push del gestor de seguridad mvil.
10. Para obtener su ID de remitente, seleccione Descripcin

general en el men de la izquierda de la pantalla. El ID de
remitente tambin se muestra como el Nmero de proyecto.
Necesitar este ID para configurar las notificaciones push del
96

Paso 7
Paso 8
Configure los ajustes de notificacin push 1.

en el gestor de seguridad mvil.

modifique Ajustes de notificacin de envo.
2.
Para habilitar las notificaciones push para los dispositivos iOS,

seleccione el Certificado APN de iOS que gener en el Paso 5.
3.
Para habilitar las notificaciones push de GCM, seleccione la

casilla de verificacin Mensajera de Google Cloud y despus
escriba la Clave de API GCM para Android y el ID del remitente
GCM para Android que consigui en Paso 6.
4.

Para que el gestor de seguridad mvil de GlobalProtect pueda gestionar un dispositivo mvil, este debe estar
inscrito en el servicio. La inscripcin se compone de dos fases:
Autenticacin: Para poder inscribir un dispositivo mvil, el usuario del mismo debe autenticarse en el gestor
de seguridad mvil para que pueda determinar la identidad del usuario y garantizar que forma parte de la
organizacin. El gestor de seguridad mvil de GlobalProtect admite los mismos mtodos de autenticacin
que se admiten en los otros componentes de GlobalProtect: autenticacin local, autenticacin externa en un
servicio LDAP, Kerberos o RADIUS externo (incluida la asistencia de una autenticacin OTP de dos
factores). Si desea informacin detallada sobre estos mtodos consulte Acerca de la autenticacin de
usuarios de GlobalProtect.
Generacin de certificados de identidad: Cuando haya autenticado con xito al usuario final, el gestor de
seguridad mvil emitir un certificado de identidad para el dispositivo. Para permitir que el gestor de
seguridad mvil emita certificados de identidad, genere un certificado de CA autofirmado que podr usar
para la firma. Adems, si tiene un servidor de protocolo de inscripcin de certificados simple (SCEP) de
empresa como el servidor Microsoft SCEP, puede el gestor de seguridad mvil para usar el servidor SCEP
para que emita certificados para los dispositivos iOS. Tras la inscripcin, el gestor de seguridad mvil usar
el certificado de identidad para autenticar el dispositivo mvil cuando se registre.
Para que los dispositivos Android reciban notificaciones push desde el Gestor de seguridad
mvil, tambin deber asegurarse de que su cortafuegos tiene conectividad con los servicios
GCM. Si est usando un cortafuegos de Palo Alto Networks, configure una poltica de seguridad
para permitir el trfico de la aplicacin google-cloud-messaging (en su cortafuegos, seleccione
Polticas > Seguridad). Si est usando un cortafuegos con gestin de puertos, abra los
puertos 5228, 5229 y 5230 en el cortafuegos para que los use GCM y establezca tambin el
cortafuegos para que acepte las conexiones salientes a todas las direcciones IP contenidas en
la lista de IP bloqueadas en el ASN 15169 de Google. Consulte Google Cloud Messaging for
Android (Google Cloud Messaging para Android) para obtener ms informacin.
97

Siga el procedimiento que se indica a continuacin para configurar la infraestructura de inscripcin en el gestor
de seguridad mvil:
Paso 1
1.
Cree un perfil de autenticacin para
autenticar los usuarios de dispositivos de
autenticacin cuando se conecten al
gestor de seguridad mvil para la
inscripcin.
Se recomienda usar el mismo servicio de
autenticacin que se usa para autenticar a
los usuarios finales para acceder a los
recursos de la empresa, como el correo
electrnico o la red Wi-Fi. Esto permite al
gestor de seguridad mvil capturar las
credenciales para usarlas en los perfiles de
configuracin que implementa en los
servicios. Por ejemplo, el gestor de
seguridad mvil puede implementar
2.
automticamente configuraciones que
incluyan las credenciales necesarias para
acceder a los recursos de la empresa,
como el correo electrnico y el Wi-Fi, del
dispositivo.
Paso 2
Configure el gestor de seguridad mvil

1.
para usar este perfil de autenticacin para
la inscripcin de dispositivos.
2.
3.
98
Configure el gestor de seguridad mvil para conectarse al

servicio de autenticacin que tiene intencin de utilizar para que
pueda acceder a las credenciales de autenticacin.
Si tiene la intencin de autenticar mediante LDAP, Kerberos
o RADIUS, deber crear un perfil de servidor que indique al
gestor de seguridad mvil cmo conectarse al servidor y
acceder a las credenciales de autenticacin de sus usuarios.
Seleccione Configuracin > Perfiles de servidor y aada un
nuevo perfil para el servicio especfico al que acceder.
Si tiene la intencin de utilizar una autenticacin de base de
datos local, primero deber crear la base de datos local.
Seleccione Configuracin > Base de datos de usuario >
Usuarios locales y aada los usuarios que deben
autenticarse.
Cree un perfil de autenticacin que haga referencia al perfil de
servidor o base de datos de usuario local que acaba de crear.
Seleccione Configuracin > Perfil de autenticacin y aada un
nuevo perfil. El nombre del perfil de autenticacin no puede
contener espacios.
modifique Ajustes de autenticacin.
Seleccione el Perfil de autenticacin en la lista desplegable.
(Opcional) Si desea que el gestor de seguridad mvil guarde la
contrasea que introduce el usuario del dispositivo mvil
durante la autenticacin, asegrese de que la casilla Guardar
contrasea de usuario en servidor est seleccionada. Si opta
por guardar la contrasea, el gestor de seguridad mvil podr
configurar automticamente las credenciales de usuario en los
ajustes de configuracin que enva al dispositivo. Por ejemplo,
puede usar las credenciales guardadas (el nombre de usuario
siempre se guardan en el servidor) para que configure
automticamente el perfil de correo electrnico que se enva al
dispositivo, de modo que el usuario final no tenga que definirlas
manualmente.

Configuracin del gestor de seguridad mvil para la inscripcin (Continuacin)
Paso 3
Defina qu certificado raz de CA debe usar el gestor de seguridad

mvil para emitir certificados de identidad a los dispositivos Android
y, si no usa SCEP, a dispositivos iOS. Si est usando una CA de
Aunque el gestor de seguridad
empresa, importe el certificado CA raz y la clave privada asociada
mvil puede emitir certificados de
(Configuracin > Gestin de certificados > Certificados >
identidad a todos los dispositivos
Importar). De lo contrario, genere un certificado de CA raz
mviles autenticados, puede optar
autofirmado:
por aprovechar un servidor SCEP
existente para emitir certificados de 1. Para crear un certificado de CA raz autofirmado en el gestor de
seguridad mvil, seleccione Configuracin > Gestin de
identidad para sus dispositivos iOS
certificados > Certificados > Certificados de dispositivos y, a
como se describe en el siguiente
continuacin, haga clic en Generar.
paso. Los dispositivos Android no
pueden usar SCEP y por ello debe 2. Introduzca un nombre de certificado, como CA_movilidad. El
nombre de certificado no puede contener espacios.
configure el gestor de seguridad
mvil para emitir certificados de
3. No seleccione ningn valor en el campo Firmado por (esto es
entidad para todos los dispositivos
lo que indica que est autofirmado).
Android.
4. Seleccione la casilla de verificacin Autoridad del certificado y,

para emitir certificados de identidad.
a continuacin, haga clic en Aceptar para generar el certificado.

El gestor de seguridad mvil usar automticamente este
certificado de forma para emitir certificados de identidad a los
dispositivos durante la inscripcin.
Paso 4
(Opcional) Configure el gestor de

seguridad mvil para que se integre con
un servidor SCEP de empresa existente
para emitir certificados de identidad a
dispositivos iOS.
La ventaja del SCEP es que la clave
privada nunca sale del dispositivo mvil.
Si planea usar el SCEP para emitir
certificados de identidad, asegrese
de que los dispositivos iOS que se
inscribirn tienen los certificados
raz de CA adecuados para
establecer una conexin con su
servidor SCEP.
1.
Configure el gestor de seguridad mvil para acceder al servidor

SCEP y definir las propiedades de certificado que se deben usar
al emitir certificados de identidad como se describen en
Definicin de una configuracin SCEP.
2.
Habilite SCEP en el gestor de seguridad mvil:

modifique Ajustes SCEP.
b. Seleccione la casilla de verificacin SCEP para activarlo.
c. Seleccione la configuracin de SCEP que cre en la lista
desplegable Inscripcin.
d. (Opcional) Si desea que el gestor de seguridad mvil verifique
el certificado cliente que el servidor SCEP emiti al
dispositivo antes de completar el proceso de inscripcin,
debe importar el certificado de CA raz del servidor SCEP y
crear un Perfil de certificado correspondiente.
e. Haga clic en ACEPTAR para guardar la configuracin.
99

Paso 5
Paso 6
Configure la configuracin de inscripcin. 1.

2.
Introduzca el nombre de host de la interfaz de registro del

dispositivo (FQDN o direccin IP; debe coincidir con el
contenido del campo de nombre comn del certificado del
gestor de seguridad mvil asociado con la interfaz de registro del
dispositivo).
3.
(Opcional) Seleccione el Puerto de inscripcin en el que el

gestor de seguridad mvil escuchar las solicitudes de
inscripcin. Est definido por defecto en 443, y se recomienda
que lo deje con este valor y use un nmero de puerto distinto
para el puerto de registro de dispositivos.
4.
Introduzca el identificador de organizacin y, opcionalmente,

un nombre de organizacin que se mostrar en los perfiles de
configuracin que el gestor de seguridad mvil enva a los
dispositivos.
5.
(Opcional) Introduzca un Mensaje de consentimiento que

informa a los usuarios de que se estn inscribiendo en su
servicio de gestin de dispositivos. Tenga en cuenta que este
mensaje no se mostrar a dispositivos que ejecuten iOS 5.1.
6.
Seleccione el certificado de CA que el gestor de seguridad mvil

debe usar para emitir los certificados desde el men desplegable
Entidad de certificacin y, si lo desea, modifique el valor de
Vencimiento del certificado de identidad (por defecto 365
das; en un rango de 60 a 3650 das).
7.
Para obligar a los usuarios de dispositivos mviles a que se vuelvan a

(Opcional) Obligue a los usuarios del
dispositivo a que se vuelvan a inscribir al inscribir cuando caduque el certificado:
caducar el certificado de identidad.
1. Seleccione Configuracin > Configuracin > Servidor y
modifique Ajustes de renovacin de inscripcin.
Por defecto, no se requiere a los usuarios
de dispositivos mviles que se vuelvan a 2.
inscribir cuando caduca el certificado de 3.
identidad; el gestor de seguridad mvil
volver a emitir certificados de identidad y
volver a inscribir los dispositivos.
4.
Paso 7
100

modifique Ajustes de inscripcin.
Seleccione la casilla de verificacin Exigir reinscripcin.
(Opcional) Personalice el Mensaje de renovacin que aparecer

en los dispositivos mviles para alertar a los usuarios finales de
que necesitan desapuntarse y volver a registrarse antes de que el
certificado expire para poder continuar con el servicio de
gestin de dispositivos del gestor de seguridad mvil. Cuando se
enva el mensaje al dispositivo, la variable {DAYS} se sustituye
por el nmero real de das que quedan para que caduque el
certificado.
Haga clic en ACEPTAR para guardar los ajustes de renovacin.

Paso 8
Configure el portal de GlobalProtect para Realice los siguientes pasos en el cortafuegos que aloja su portal de
redirigir los dispositivos mviles al gestor GlobalProtect:
de seguridad mvil para su inscripcin.
configuracin de portal que desea modificar.
Si desea informacin ms detallada,
consulte Configuracin del portal de
GlobalProtect.
2.
Seleccione la pestaa Configuracin clientes y seleccione la

configuracin de clientes para habilitar la gestin de seguridad
mvil.
3.
En la pestaa General, escriba la direccin IP o FQDN de la

interfaz de comprobacin del dispositivo en el gestor de
seguridad mvil GlobalProtect MDM.
4.
(Opcional) Defina el Puerto de inscripcin de GlobalProtect

MDM en el que el gestor de seguridad mvil escuchar las
solicitudes de inscripcin. Este valor debe coincidir con el valor
definido en el gestor de seguridad mvil.
5.
Haga clic en Aceptar dos veces para guardar la configuracin

del portal.
6.
101

Configuracin del acceso de puerta de enlace al gestor de

seguridad mvil
Si tiene planificada la Configuracin de la aplicacin de polticas basadas en HIP en sus cortafuegos, puede
configurar las puertas de enlace de GlobalProtect para recuperar los informes HIP para los dispositivos mviles
gestionados por el gestor de seguridad mvil.
Para habilitar la puerta de enlace para que recupere los informes HIP del gestor de seguridad mvil deber
activar una interfaz de acceso a la puerta de enlace y despus configurar las puertas de enlace para conectarlas
como se indica a continuacin:
Habilitacin del acceso de puerta de enlace al gestor de seguridad mvil
Paso 1
(Recomendado) Para usar la interfaz ethernet1 para acceder a la

Decida qu interfaz del gestor de
puerta de enlace, seleccione Configuracin > Red > ethernet1.
seguridad mvil se debe usar para
recuperar el HIP y habilitar el servicio de
Seleccione la casilla de verificacin Puertas de enlace de
puerta de enlace en la interfaz.
GlobalProtect y, a continuacin, haga clic en ACEPTAR.
Aunque puede configurar las puertas de Para usar la interfaz de gestin para acceder a la puerta de enlace,
seleccione Configuracin > Configuracin > Gestin y, a
enlace para que se conecten con la
continuacin, edite la Configuracin de interfaz de gestin.
interfaz de gestin o ethernet1, se
Seleccione la casilla de verificacin Puertas de enlace de
recomienda usar la interfaz ethernet1 para
GlobalProtect y, a continuacin, haga clic en ACEPTAR.
asegurarse de que sus puertas de enlace
remotas tienen acceso al dispositivo.
Si esta interfaz no se ha configurado an, debe suministrar
los ajustes de red (direccin IP, mscara de red y puerta de
enlace predeterminada) y conectar fsicamente el puerto
Ethernet a su red. Consulte Configuracin del gestor de
seguridad mvil para el registro de dispositivos para obtener
Paso 2
102
(Opcional) Importe un certificado de

servidor de la interfaz de gestin del
gestor de seguridad mvil para habilitar
las puertas de enlace de GlobalProtect
para que se conecten con esta interfaz.
Este certificado solo es necesario si las
puertas de enlace van a conectarse con la
interfaz de gestin en lugar de con la de
ethernet1 para recuperar el HIP.
Se recomienda usar el mismo certificado de CA que se usa para emitir

certificados autofirmados a los dems componentes de
GlobalProtect. Consulte Implementacin de certificados de
servidores en los componentes de GlobalProtect si desea
informacin detallada sobre el flujo de trabajo recomendado.

aplicable, de nombre alternativo del
asunto (SAN) del certificado del gestor de
seguridad mvil deben coincidir
exactamente con la direccin IP o con el
nombre de dominio completo (FQDN)
de la interfaz (se admiten certificados de
comodn).
2.
Introduzca un nombre de certificado.
3.
Introduzca la ruta y el nombre en Archivo de certificado o

seleccione Examinar para buscar el archivo.
4.

Formato de archivo.
5.
Introduzca la ruta y nombre en el archivo PKCS#12 en el

encontrarla.
6.
Vuelva a introducir la frase de contrasea que us para cifrar

la clave privada cuando la export desde el portal y despus haga
clic en ACEPTAR para importar el certificado y la clave.
Cuando haya generado un certificado de servidor para el gestor de

seguridad mvil, imprtelo como se indica:
1. Seleccione Configuracin > Gestin de certificados >
Certificados de dispositivos y haga clic en Importar.

Habilitacin del acceso de puerta de enlace al gestor de seguridad mvil (Continuacin)
Paso 3
Especifique qu certificado de servidor

debe usar el gestor de seguridad mvil
para permitir que la puerta de enlace
establezca una conexin HTTPS para
recuperar el HIP.
1.

modifique Ajustes de gateway de GlobalProtect.
2.
Seleccione la casilla de verificacin Recuperacin del informe

HIP para habilitar el acceso de la puerta de enlace al gestor de
seguridad mvil.
3.
Seleccione el certificado que acaba de importar desde la lista

desplegable Certificado de servidor MDM y haga clic en
Aceptar.
103

Paso 4
(Opcional) Cree un perfil de certificado

en el gestor de seguridad mvil para
permitir que las puertas de enlace
establezcan una conexin SSL mutua con
el gestor de seguridad mvil para
recuperar el informe HIP.
Para permitir una autenticacin mutua entre la puerta de enlace y el

gestor de seguridad mvil, cree un certificado cliente para la puerta de
enlace e importe la CA raz que emiti el certificado de cliente al gestor
de seguridad mvil. Siga el procedimiento siguiente para importar el
certificado de cliente en el gestor de seguridad mvil y definir un perfil
de certificado:
1. Descargue el certificado de CA que se us para generar los
certificados de puerta de enlace (en el flujo de trabajo
recomendado, el certificado de CA se encuentra en el portal).
b. Seleccione el certificado de CA y haga clic en Exportar.
c. Seleccione Certificado codificado en Base64 (PEM) en la lista
desplegable Formato de archivo y haga clic en ACEPTAR para
descargar el certificado. (No necesita exportar la clave privada.)
2.
En el gestor de seguridad mvil, importe el certificado

seleccionando Dispositivo > Gestin de certificados >
Certificados > Certificados de dispositivo, haciendo clic en
Importar y desplazndose hasta el certificado que acaba de
descargar. Haga clic en ACEPTAR para importar el certificado.
3.

certificados > Perfil de certificados, haga clic en Aadir e
introduzca un Nombre para identificar de forma exclusiva el
perfil, por ejemplo puertasEnlaceGP.
4.

el certificado de CA que acaba de importar y, a continuacin, haga
clic en ACEPTAR.
5.
6.
Configure el gestor de seguridad mvil para usar este perfil de

certificado para establecer una conexin HTTPS con las puertas de
enlace:
modifique Ajustes de gateway de GlobalProtect.
b. Seleccione el perfil de certificado que acaba de crear en la lista
desplegable Perfil de certificado.
c. Haga clic en ACEPTAR para guardar la configuracin.
7.
104
Compile los cambios en el gestor de seguridad mvil.

Paso 5
Configure las puertas de enlace para que

accedan al gestor de seguridad mvil.
En cada cortafuegos que aloje una puerta de enlace de GlobalProtect

realice lo siguiente:
1. Seleccione Red> GlobalProtect > MDM y haga clic en Aadir
para aadir el gestor de seguridad mvil.
2.
Escriba un Nombre para el gestor de seguridad mvil y

especifique el sistema virtual al que pertenece en el campo
Ubicacin (si procede).
3.
Introduzca la direccin IP o FQDN del Servidor de la interfaz

en el gestor de seguridad mvil donde la puerta de enlace se
conectar para recuperar informes HIP. El valor debe coincidir
con el campo CN (y, si corresponde, con el SAN) del certificado
del gestor de seguridad mvil asociado con la interfaz.
4.
(Opcional) Si desea usar la autenticacin mutua entre la puerta

de enlace y el gestor de seguridad mvil, seleccione el
Certificado de cliente que presentar la puerta de enlace
cuando establezca una conexin con el gestor de seguridad
mvil.
5.
En el campo CA raz de confianza, haga clic en Aadir y

seleccione el certificado de CA raz que se us para emitir el
certificado del gestor de seguridad mvil para la interfaz a la que
se conectar la puerta de enlace para recuperar los informes
HIP.
6.
Haga clic en ACEPTAR o guarde los ajustes y despus Compile

los cambios.
105
Configuracin del gestor de seguridad mvil de GlobalProtect

Cuando un dispositivo mvil se inscribe correctamente con el gestor de seguridad mvil de GlobalProtect, se
registra con el gestor para enviar sus datos de host a intervalos regulares (por defecto, cada hora). El gestor de
seguridad mvil usa las reglas de poltica de implementacin que defina para determinar qu perfiles de configuracin
enviar al dispositivo. Esto le permite tener un control granular de los perfiles de configuracin que se
implementan (si los hay) en el dispositivo o se eliminan de l. Por ejemplo, puede crear distintas configuraciones
para distintos grupos de usuarios que tengan diferentes necesidades de acceso. Tambin puede crear reglas de
polticas que solo permitan que las configuraciones se enven a dispositivos que cumplan con los estndares de
seguridad.
Las siguientes secciones ofrecen informacin sobre cmo planificar su estrategia de gestin de seguridad mvil
e instrucciones para configurar sus polticas y perfiles:
Acerca de la implementacin de la poltica del gestor de seguridad mvil
Recomendaciones sobre las polticas del gestor de seguridad mvil
Integracin del gestor de seguridad mvil con su directorio LDAP
Definicin de objetos y perfiles HIP
Creacin de perfiles de configuracin
Creacin de polticas de implementacin
Acerca de la implementacin de la poltica del gestor de seguridad mvil

Cuando un dispositivo mvil se inscribe correctamente con el gestor de seguridad mvil de GlobalProtect, se
registra con el gestor a intervalos regulares. El proceso de registro consta de cuatro pasos:
Autenticacin: Para conectar con el gestor de seguridad mvil para registrarse, el dispositivo mvil presenta
el certificado de identidad que se emiti durante la inscripcin. Si ha habilitado el acceso a su servidor de
LDAP, el gestor de seguridad mvil puede usar el nombre de usuario autenticado para determinar una
comparacin de poltica en funcin de una pertenencia a grupo o usuario. Consulte Integracin del gestor
de seguridad mvil con su directorio LDAP.
Recopilacin de datos de dispositivo: El dispositivo mvil proporciona datos HIP que el gestor de
seguridad mvil procesa para crear un informe HIP completo para el dispositivo. El informe HIP
proporciona informacin de identificacin sobre el estado del dispositivo (como si se ha liberado o tiene el
root desbloqueado, si tiene habilitado el cifrado o si se ha definido un cdigo de acceso) y una lista de todas
las aplicaciones instaladas en el dispositivo. En el caso de los dispositivos Android, el gestor de seguridad
mvil calcula un hash para cada aplicacin y usa estos datos para determinar si se sabe que alguna de las
aplicaciones instaladas tenga malware en funcin de las actualizaciones de contenido de APK ms recientes.
Si desea ms informacin sobre la recopilacin de datos HIP, consulte Recopilacin de datos de dispositivos.
Implementacin de polticas: Cada regla de poltica del gestor de seguridad mvil se compone de dos
partes, criterios de coincidencia y configuraciones. Cuando un dispositivo se registra, el gestor de seguridad mvil
compara la informacin de usuario asociada con el dispositivo y los datos HIP recopilados con el dispositivo
con los criterios de coincidencia. Cuando encuentra la primera regla coincidente, enva las configuraciones
correspondientes al dispositivo.
106
Criterios de coincidencia: El gestor de seguridad mvil usa el nombre de usuario del usuario del
dispositivo y la coincidencia HIP para determinar una coincidencia de polticas. El uso del nombre de
usuario le permite implementar polticas en funcin de la pertenencia de grupos. Consulte Acerca de la
comparacin de usuarios y grupos. Use la coincidencia de HIP para enviar polticas de implementacin
en funcin del cumplimiento de la seguridad del dispositivo y mediante otras caractersticas de
identificacin del dispositivo, como la versin de SO, etiqueta o modelo de dispositivo. Consulte Acerca
de la evaluacin HIP.
Configuraciones: Contiene los ajustes de configuracin, certificados, perfiles de aprovisionamiento

(solo iOS) y restricciones de dispositivo para realizar los envos a los dispositivos que coincidan con la
regla de poltica correspondiente. Como los sistemas operativos iOS y Android admiten distintos
ajustes y usan diferentes sintaxis, deber crear configuraciones diferentes para enviarlas a cada SO;
puede adjuntar tanto una configuracin para iOS como una para Android en la misma regla de poltica
y el gestor de seguridad mvil enviar automticamente la configuracin correcta al dispositivo. Si desea
informacin detallada sobre cmo crear configuraciones, consulte Creacin de perfiles de
configuracin.
Notificacin de incumplimiento: En algunos casos, un dispositivo puede no cumplir ninguna de las reglas
de poltica que ha definido. Por ejemplo, si ha creado un perfil HIP que solo coincide con dispositivos que
cumplan los estndares de seguridad (es decir, que estn cifrados y no estn liberados ni tengan el root
desbloqueado) y lo adjunta a sus reglas de polticas de implementacin. En este caso, las configuraciones solo
se envan a los dispositivos que coincidan con el perfil HIP. Puede definir un mensaje de notificacin HIP
para enviarlo a los dispositivos que no coinciden con el perfil para explicar por qu no reciben ninguna
configuracin. Si desea informacin ms detallada, consulte Acerca de la notificacin HIP.
Recopilacin de datos de dispositivos

El gestor de seguridad mvil recopila la siguiente informacin (segn corresponda) desde un dispositivo mvil
cada vez que se registra:
Categora
Datos recopilados
Informacin de host
Informacin sobre el propio dispositivo, incluyendo el SO y versin del SO, la versin de la

aplicacin GlobalProtect, el nombre y modelo del dispositivo e informacin identificativa
incluyendo el nmero de telfono, el nmero de identificacin internacional de equipos
mviles (IMEI) y el nmero de serie. Adems, si ha asignado etiquetas al dispositivo, esta
informacin tambin se comunica.
Configuracin
Informacin sobre el estado de seguridad del dispositivo, como si est liberado/tiene la raz
desbloqueada, si est cifrado y si el usuario ha definido un cdigo de acceso en el dispositivo.
Aplicaciones
Incluye una lista de todos los paquetes de aplicaciones que estn instalados en el dispositivo,
si el dispositivo contiene aplicaciones reconocidas como portadoras de software
malintencionado (solo dispositivos Android), y, de manera opciones, la ubicacin GPS del
dispositivo. Puede optar por recopilar o excluir una lista de aplicaciones instaladas en el
dispositivo que no estn gestionadas por el gestor de seguridad mvil.
Ubicacin GPS
Incluye la ubicacin GPS del dispositivo, en caso de que tenga habilitados los servicios de
ubicacin. Sin embargo, por motivos de privacidad puede configurar el gestor de seguridad
mvil para excluir esta informacin de los datos recopilados.
107
Acerca de la comparacin de usuarios y grupos

Para poder definir las polticas de implementacin de dispositivos mviles en funcin de un usuario o grupo, el
gestor de seguridad mvil debe recuperar la lista de grupos y la lista de miembros correspondiente en su servidor
de directorios. Para habilitar esta funcin, debe crear un perfil de servidor LDAP que indique al gestor de
seguridad mvil cmo conectarse al servidor y autenticarlo, as como el modo de buscar en el directorio la
informacin de usuarios y grupos. Cuando el gestor de seguridad mvil est totalmente integrado en el servidor
de directorios, deber poder seleccionar los usuarios o grupos cuando defina las polticas de implementacin de
dispositivos mviles. El gestor de seguridad mvil admite una variedad de servidores de directorios LDAP,
incluidos Microsoft Active Directory (AD), Novell eDirectory y Sun ONE Directory Server. Consulte
Integracin del gestor de seguridad mvil con su directorio LDAP si desea instrucciones sobre la configuracin
de la comparacin de grupos y usuarios.
Acerca de la evaluacin HIP

Cree objetos y perfiles HIP en el gestor de seguridad mvil para definir qu atributos de dispositivos desea
supervisar y usar para la implementacin de polticas:
Objetos HIP: Proporcionan los criterios de evaluacin con los que filtrar la informacin de host que desea
usar para aplicar las polticas. Por ejemplo, si desea identificar los dispositivos que tienen vulnerabilidades,
puede crear objetos HIP para cada estado de dispositivo que considera una vulnerabilidad. Por ejemplo,
puede crear un objeto HIP para los dispositivos que estn liberados/tiene la raz desbloqueada, otro para los
dispositivos que no estn cifrados y un tercero para los dispositivos que contienen malware.
Perfiles HIP: Una coleccin de objetos HIP que se evalan juntos mediante una lgica booleana que evala
los datos HIP con el perfil HIP resultante y determina si coinciden o no. Por ejemplo, si solo desea
implementar perfiles de configuracin en dispositivos que no tengan una vulnerabilidad, puede crear un
perfil HIP para adjuntarlo a su poltica y que solo coincida con dispositivos que no estn liberados, no tengan
la raz desbloqueada, estn cifrados y no contengan malware.
Para obtener instrucciones sobre cmo configurar las evaluaciones HIP, consulte Definicin de objetos y
perfiles HIP.
Acerca de la notificacin HIP

Por defecto, a los usuarios finales no se les informa de las decisiones sobre polticas derivadas de aplicar una
poltica de seguridad tipo HIP. Sin embargo, puede habilitar esta funcionalidad definiendo que se muestren
mensajes de notificacin HIP cuando un perfil HIP concreto coincida o no.
La decisin de cundo mostrar un mensaje (es decir, si aparece cuando el dispositivo coincide con un perfil HIP
de la poltica o cuando no coincide), depende en gran medida de su poltica y de lo que el usuario entiende por
coincidencia (o no coincidencia) de HIP. Es decir, si se produce la coincidencia se enviarn los perfiles de
configuracin correspondientes al dispositivo? O el dispositivo no recibir el perfil de configuracin hasta que
cumpla los requisitos?
108
Por ejemplo, imagnese estas situaciones:
Crea un perfil HIP que evala si la versin de SO del dispositivo es mayor o igual a un nmero de versin
especfico. En este caso, puede que quiera crear un mensaje de notificacin HIP para dispositivos que no coincidan
con el perfil HIP, en el que indica a los usuarios del dispositivo que deben actualizar el SO del dispositivo para
poder recibir los perfiles de configuracin de la empresa.
Crea un perfil HIP que evala si la versin de SO del dispositivo es inferior a un nmero de versin especfico. En
este caso, en su lugar puede crear el mensaje para dispositivos que s coincidan con este perfil.
Las polticas del gestor de seguridad mvil que implemente le permiten asegurarse de que los dispositivos que accedan
a su red cumplan con sus polticas de seguridad y uso aceptable, le proporcionan un mecanismo de envo y simplifican
la implementacin de los ajustes de configuracin, certificados y perfiles de aprovisionamiento necesarios para acceder
a sus recursos de la empresa.
La forma en la que elija gestionar y configurar los dispositivos mviles depender de los requisitos especficos de su
compaa y la sensibilidad de los recursos a los que las configuraciones ofrecen acceso. Si desea informacin sobre
cmo configurar los mensajes de notificacin HIP, consulte Definicin de objetos y perfiles HIP.
Recomendaciones sobre las polticas del gestor de seguridad mvil

Antes de definir los perfiles de configuracin, los perfiles de aprovisionamiento y las restricciones de dispositivo
para enviarlos a los dispositivos gestionados, considere las siguientes recomendaciones:
Cree una regla de

poltica
predeterminada
que busque
vulnerabilidades
de dispositivos.
Dada su utilidad, los
dispositivos mviles
(incluso los que son
propiedad de la empresa) se usan con numerosos fines, ms all de los comerciales, lo que puede exponerlos
a vulnerabilidades y robos. Del mismo modo que se asegura de que los ordenadores y porttiles que acceden
a su red se mantienen y aseguran adecuadamente, debe asegurarse de que los dispositivos mviles que
acceden a los sistemas de la empresa estn libres de vulnerabilidades conocidas. Use perfiles HIP que
comprueben si un dispositivo cumple los requisitos que defina para asegurarse de que los perfiles de
configuracin que dan acceso a los recursos de la empresa solo se envan tras valorar si el dispositivo tiene
o no vulnerabilidades conocidas, est liberado/tiene la raz desbloqueada o contiene aplicaciones que se
saben que son portadoras de malware. La mejor forma de hacerlo es crear una regla de poltica
predeterminada que identifique los dispositivos que contienen una vulnerabilidad mediante una evaluacin
HIP. Para los dispositivos que cumplan esa regla, la poltica podra o bien enviar un perfil vaco (es decir, no
adjuntar ningn perfil) o bien enviar un perfil que solo contengan un requisito de contrasea (en caso de que
el dispositivo vulnerable contenga datos de la empresa o tenga acceso a sistemas de la empresa). En este caso
tambin debera crear una notificacin de coincidencia HIP para informar a sus usuarios del motivo por el
que no reciben sus ajustes de cuenta.
109
Exija cdigo de acceso y cifrado de datos complejos.

Los dispositivos mviles son, por naturaleza, fciles de
perder y de robar. Si un dispositivo sin cdigo de acceso
cae en las manos equivocadas cualquier sistema
empresarial al que se tenga acceso desde el dispositivo
estar en peligro. Por ello, siempre exigir un cdigo de acceso en los dispositivos que gestione. Adems,
como los dispositivos Android no cifran automticamente los datos al definir un cdigo de acceso, como s
hacen los dispositivos iOS, deber exigir siempre que los dispositivos Android gestionados tengan habilitado
el cifrado de datos. Aunque hay varias formas de imponer estos requisitos, la ms sencilla es incluir los
requisitos de cdigo de acceso y cifrado en cada perfil de configuracin que enve. Si incluye los requisitos
para el dispositivo en los perfiles de configuracin que permiten acceder a sus recursos de la empresa (como
el correo electrnico, la VPN o la red Wi-Fi), obligar al usuario del dispositivo mvil a definir un cdigo de
acceso que cumpla sus requisitos y a habilitar el cifrado de datos antes de instalar el perfil, lo que evitar que
los usuarios finales accedan a la cuenta correspondiente hasta que el dispositivo cumpla lo estipulado.
Enve
un perfil de configuracin de VPN de

GlobalProtect VPN para simplificar la
implementacin. Para simplificar la implementacin de
los ajustes del agente GlobalProtect en los dispositivos
iOS que gestiona, cree un perfil de configuracin iOS y
configure los ajustes de VPN de modo que el dispositivo
pueda conectar automticamente con su VPN de
GlobalProtect cuando implemente la poltica
correspondiente.
Cree perfiles de configuracin

distintos para acceder a las distintas
cuentas. Aunque puede crear perfiles
de seguridad que enven ajustes a
mltiples cuentas, puede simplificar la
administracin y mejorar la capacidad
de uso creando perfiles de
configuracin diferentes para cada
servicio. Esto permite a los usuarios
eliminar perfiles de cuentas que no
necesitan o quieren. Del mismo modo,
cuando un usuario necesita un cambio de servicio concreto, basta con cambiar los ajustes de implementacin
de polticas para que el perfil se elimine automticamente de los dispositivos de usuario o se agreguen a ellos
como corresponda. Adems, si segrega las configuraciones de cuenta en archivos separados, podr crear ms
fcilmente polticas adaptadas a las necesidades de acceso de sus grupos de usuarios.
Use los perfiles de aprovisionamiento iOS para simplificar la implementacin de aplicaciones

empresariales. Los perfiles de aprovisionamiento ofrecen un mtodo cmodo y automatizado para
distribuir aplicaciones de empresa desarrolladas internamente a los dispositivos iOS gestionados de su red.
Aunque el gestor de seguridad mvil simplifica la implementacin de perfiles de aprovisionamiento en un
gran nmero de dispositivos mviles, hay algunos factores de seguridad que se deben tener en cuenta.
Cuando revoque el acceso a una aplicacin habilitada a travs de un perfil de aprovisionamiento, la
aplicaciones seguir ejecutndose en el dispositivo hasta que lo apague, aunque la poltica del gestor de
110
seguridad mvil elimine el perfil. Adems, como los perfiles de aprovisionamiento estn sincronizados con
iTunes, el perfil puede reinstalarse la siguiente vez que el usuario final sincronice el dispositivo con iTunes.
Considere las siguientes recomendaciones:
Exija una autenticacin para usar la aplicacin. Esto impide el acceso a aquellos usuarios que no estn
autorizados a usar la aplicacin pero tienen instalado el perfil de aprovisionamiento en sus dispositivos.
Para asegurar que no realicen copias de seguridad de los datos de aplicaciones de la empresa en iCloud
o iTunes, donde podran estar al alcance de usuarios no autorizados, asegrese de que las aplicaciones
que desarrolle internamente usen a carpeta Caches de la aplicacin para almacenar los datos, ya que esta
carpeta se excluye de la copia de seguridad.
Cuando elimine los privilegios de acceso a la aplicacin de un usuario, no confe nicamente en la

eliminacin del perfil de aprovisionamiento de la poltica del gestor de seguridad mvil, debe desactivar
tambin la cuenta del usuario en sus servidores internos.
Asegrese de tener la capacidad de borrar los datos de aplicaciones locales en el dispositivo mvil
cuando se elimina el acceso a la aplicacin.
111
Integracin del gestor de seguridad mvil con su directorio LDAP

Utilice el siguiente procedimiento para conectarse a su directorio LDAP y as habilitar que el gestor de seguridad
mvil recupere informacin de usuario y grupo:
Integracin con el servidor de directorios
Paso 1
Cree un perfil de servidor LDAP que especifique cmo conectarse a los servidores de directorio que desee que utilice
el cortafuegos para obtener informacin de asignacin de grupos.
1. Seleccione Configuracin >
Perfiles de servidor > LDAP.
2. Haga clic en Aadir y, a
continuacin, introduzca un
Nombre para el perfil.
3. Haga clic en Aadir para aadir una
nueva entrada de servidor LDAP y,
a continuacin, introduzca un
nombre de Servidor para
identificar al servidor (de 1 a 31
caracteres) y el nmero de
Direccin IP y Puerto que debera
utilizar el cortafuegos para
conectarse al servidor LDAP (valor predeterminado=389 para LDAP; 636 para LDAP sobre SSL). Puede aadir
hasta cuatro servidores LDAP al perfil; sin embargo, todos los servidores que aada a un perfil debern ser del
mismo tipo. Para la redundancia, debera aadir como mnimo dos servidores.
4. Introduzca el nombre de Dominio de LDAP para preceder a todos los objetos obtenidos del servidor. El valor que
introduzca aqu depender de su implementacin:
Si est utilizando Active Directory, deber introducir el nombre de dominio NetBIOS; NO el FQDN (por
ejemplo, introduzca acme, no acme.com). Tenga en cuenta que si necesita recopilar datos de varios dominios,
deber crear perfiles de servidor separados. Aunque el nombre de dominio se puede determinar
automticamente, la prctica recomendada es introducir el nombre de dominio siempre que sea posible.
Si est utilizando un servidor de catlogo global, deje este campo en blanco.
5. Seleccione el Tipo de servidor LDAP al que se est conectando. Los valores de asignacin de grupos se
cumplimentarn automticamente segn su seleccin. Sin embargo, si ha personalizado su esquema, puede que
tenga que modificar los ajustes predeterminados.
6. En el campo Base, especifique el punto donde desee que el gestor de seguridad mvil comience su bsqueda de
informacin de usuarios y grupos dentro del rbol de LDAP.
7. Introduzca las credenciales de autenticacin para el enlace con el rbol de LDAP en los campos Enlazar DN,
Enlazar contrasea y Confirmar contrasea de enlace. El valor de Enlazar DN puede tener el formato
Nombre principal del usuario (UPN)
(p. ej., administrador@acme.local) o puede ser un nombre de LDAP completo
(p. ej., cn=administrador,cn=usuarios,dc=acme,dc=local).
8. Si desea que el gestor de seguridad mvil se comunique con los servidores LDAP a travs de una conexin segura,
seleccione la casilla de verificacin SSL. Si habilita SSL, asegrese de que tambin ha especificado el nmero de
puerto adecuado.
112
Integracin con el servidor de directorios (Continuacin)
Paso 2
Aada el perfil de servidor LDAP a la configuracin de integracin con directorio.

1. Seleccione Configuracin > Base de datos de
usuario > Integracin con directorio y haga
clic en Aadir.
2. Seleccione el Perfil de servidor que acaba de
crear.
3. Asegrese de que la casilla de verificacin
Habilitado est seleccionada.
4. (Opcional) Si desea limitar los grupos que se
muestran en la poltica de implementacin,
seleccione la pestaa Lista de inclusin de
grupos y, a continuacin, examine el rbol de
LDAP para localizar los grupos que desea
poder utilizar en la poltica. En el caso de cada
grupo que desee incluir, seleccinelo en la lista
Grupos disponibles y haga clic en el icono de
adicin para moverlo a la lista Grupos incluidos. Repita este paso para cada grupo que desee poder utilizar
en sus polticas.
5. Haga clic en ACEPTAR para guardar la configuracin.
Paso 3
Haga clic en Confirmar para guardar la configuracin.
113
Definicin de objetos y perfiles HIP

El uso de perfiles HIP en la poltica de gestor de seguridad mvil permite la implementacin de configuraciones
y asegura que los dispositivos mviles cumplen con los requisitos de seguridad de la empresa para recibir los
perfiles de configuracin que permite el acceso a sus recursos de la empresa. Por ejemplo, antes de enviar las
configuraciones que permiten el acceso a sus sistemas de la empresa, puede que desee asegurarse de que los
datos del dispositivo se han cifrado y los dispositivos no estn liberados ni tienen la raz desbloqueada. Para ello,
debe crear un perfil HIP que evale los dispositivos que cumplen estos criterios y adjuntarlos a las reglas de
polticas de implementacin.
114
Creacin de objetos y perfiles HIP
Paso 1
Cree objetos HIP para filtrar los datos de 1.

los que informa el dispositivo.
2.
La funcin de pestaa le permite
crear etiquetas personalizadas para
los dispositivos que desee gestionar 3.
para agruparlos fcilmente. Por
ejemplo, puede crear etiquetas para
distinguir dispositivos personales de
dispositivos de la empresa. A
continuacin, puede crear objetos
HIP que coincidan con etiquetas
especficas, lo cual ofrece
posibilidades infinitas de agrupar
los dispositivos gestionados para la
implementacin de la
configuracin. Si desea ms
informacin sobre la creacin de
etiquetas, consulte Agrupacin de
dispositivos por etiqueta para
simplificar la administracin de
dispositivos.
Si desea obtener informacin
detallada sobre un campo de objeto
HIP especfico, consulte la ayuda en
lnea.
Seleccione Polticas > Informacin de host > Objetos HIP y

haga clic en Aadir.
En la pestaa General, introduzca un Nombre y, si lo desea, una
Descripcin para el objeto.
Defina los criterios de evaluacin del objeto HIP como se
indica:
Para evaluar las caractersticas de identificacin del
dispositivo mvil, como SO, versin de aplicacin
GlobalProtect o nmero de telfono seleccione la casilla de
verificacin Informacin de host y defina los valores que
desea evaluar. En cada elemento que desea evaluar, seleccione
un operador en la lista desplegable que indique si el valor
especificado Es, No es o Contiene el valor que ha
introducido o seleccionado. Por ejemplo, si usa este objeto
para crear un perfil para usarlo en polticas que se
implementarn en los dispositivos iOS, seleccione Es e iOS
en las listas desplegables del campo SO.
Para evaluar el estado del dispositivo, por ejemplo si est
liberado/tiene la raz desbloqueada o tiene un cdigo de
acceso, seleccione la pestaa Ajustes y seleccione S o No
para determinar cmo comparar el ajuste. Por ejemplo, si
desea que el objeto evale dispositivos que no tienen un
cdigo de acceso definido, seleccione No en el campo Cdigo
de acceso.
Para evaluar segn las aplicaciones especficas instaladas en el
dispositivo, seleccione Aplicaciones > Incluir y haga clic en
Aadir para especificar uno o ms paquetes de aplicaciones
que evaluar. La lista de aplicaciones que defina puede ser una
lista negra o una lista segura, en funcin de cmo configure
el perfil HIP para que evale el objeto. Por ejemplo, para
crear una lista negra de aplicaciones debe aadir una lista de
aplicaciones aqu y despus configurar el perfil HIP en que
No coincida con el objeto.
La coincidencia HIP se produce

cuando el dispositivo tiene instalada
alguna de las aplicaciones de la lista.
(Solo dispositivos Android) Para evaluar si el dispositivo tiene

o no instaladas aplicaciones infectadas con malware,
seleccione Aplicaciones > Criterios y seleccione un valor en
la lista desplegable Tiene malware. Tambin, para permitir
aplicaciones especficas que segn WildFire contienen
malware, seleccione S, haga clic en Aadir y especifique los
paquetes de aplicaciones que desea que no se consideren
malware.
4.
Haga clic en ACEPTAR para guardar el objeto HIP.
5.
Repita estos pasos para crear los objetos HIP adicionales que
necesite.
115
Creacin de objetos y perfiles HIP (Continuacin)
Paso 2
Cree los perfiles HIP que tiene pensado

usar en sus polticas.
1.
2.
Cuando crea sus perfiles HIP, puede
combinar objetos HIP que haya creado
previamente (as como otros perfiles HIP) 3.
usando lgica booleana como la que se
usa cuando un flujo de trfico se evala 4.
con respecto al perfil HIP resultante con
el que tendr, o no, coincidencia. Si
coincide, la regla de poltica
correspondiente se aplicar; si no
coincide, el flujo se evaluar con respecto
a la siguiente regla, como con cualquier
otro criterio de coincidencia de poltica.
Paso 3
Paso 4
116
Introduzca un Nombre descriptivo para el perfil y,

opcionalmente, una Descripcin.
Haga clic en Aadir criterios de coincidencia para abrir el
generador de objetos/perfiles HIP.
Seleccione el primer objeto o perfil HIP que desea utilizar como
criterio de bsqueda y, a continuacin, haga clic en Aadir
para moverlo sobre el cuadro de texto Coincidencia en el
cuadro de dilogo Perfil HIP. Tenga en cuenta que, si desea que
el perfil HIP evale el objeto como una coincidencia solo
cuando el criterio del objeto no sea verdadero para un flujo,
seleccione la casilla de verificacin NO antes de aadir el objeto.
5.
Contine aadiendo criterios de coincidencia como

corresponda para el perfil que est creando, seleccionando el
botn de opcin del operador booleano apropiado (Y u O) cada
vez que aada un elemento (y, de nuevo, use la casilla de
verificacin NO cuando corresponda).
6.
Si est creando una expresin booleana compleja, debe aadir

manualmente el parntesis en los lugares adecuados del cuadro
de texto Coincidencia para asegurarse de que el perfil HIP se
evala usando la lgica que desea.
7.
Cuando termine de aadir criterios de evaluacin haga clic en

ACEPTAR para guardar el perfil.
8.
Repita estos pasos para crear cada perfil HIP adicional que
necesite.
(Opcional) Por motivos de privacidad, la 1.

ubicacin GPS del dispositivo mvil no se
incluye en los datos de HIP de los que la 2.
aplicacin informa por defecto. Sin
embargo, puede habilitar la ubicacin
GPS si necesita esta informacin para la
implementacin de polticas.
Compruebe que los objetos HIP y los
perfiles HIP que ha creado coinciden con
los dispositivos gestionados segn lo
esperado.
Seleccione Polticas > Informacin de host > Perfiles HIP y

haga clic en Aadir.
Seleccione Polticas > Informacin de host > Recopilacin de

datos y modifique la seccin Recopilacin de datos.
Seleccione la casilla de verificacin Habilitar identificacin de
usuarios y, a continuacin, haga clic en ACEPTAR.
Seleccione Supervisar > Logs > Coincidencias HIP. Este log muestra
todas las coincidencias que el gestor de seguridad mvil ha
identificado cuando evalu los datos de dispositivo de los que
inform la aplicacin y los compar con los objetos HIP y los
perfiles HIP.
Creacin de objetos y perfiles HIP (Continuacin)
Paso 5
1.
Defina los mensajes de notificacin que
vern los usuarios finales cuando se aplique
una regla de poltica con un perfil HIP.
2.
La decisin de cundo mostrar un mensaje
(es decir, si aparece cuando la configuracin 3.
del usuario coincide con un perfil HIP en la
poltica o cuando no coincide), depende en
gran medida de su poltica y de lo que el
usuario entiende por coincidencia (o no
coincidencia) de HIP. Es decir, significa la
coincidencia que se concede total acceso a 4.
los recursos de su red? O significa que tiene
acceso limitado debido a un problema de
incumplimiento?
5.
Por ejemplo, suponga que crea un perfil
HIP para dispositivos cuyos datos no estn 6.
cifrados como exige la poltica de la
empresa. En este caso, puede crear un
7.
mensaje de notificacin HIP para usuarios
que coinciden con el perfil HIP y les indica
que deben habilitar el cifrado de disco para
poder recibir los perfiles de configuracin
que les dan acceso a los recursos de la
empresa. Por el contrario, si su perfil HIP
coincide con los dispositivos que s tengan el
cifrado habilitado, puede crear el mensaje
para aquellos usuarios que no se ajusten al
perfil.
Paso 6
Guarde la configuracin HIP.
Seleccione Polticas > Informacin de host > Notificaciones y

haga clic en Aadir.
desplegable.
objetivos para la poltica.
(Solo mensajes de coincidencia) Seleccione la casilla de verificacin
Incluir lista de aplicaciones para indicar qu aplicaciones
activaron la coincidencia de HIP en el mensaje de notificacin.
Seleccione la casilla de verificacin Habilitar e introduzca el texto
de su mensaje en el cuadro de texto Plantilla.
Haga clic en ACEPTAR para guardar el mensaje de
notificacin HIP.
Repita este procedimiento para cada mensaje que quiera definir.
117

Los perfiles de configuracin del gestor de seguridad mvil proporcionan un mecanismo simplificado para
enviar configuraciones, restricciones y aplicaciones a grupos de dispositivos gestionados. Como los perfiles de
configuracin que define se envan a dispositivos mviles en funcin de las coincidencias de polticas, puede
definir configuraciones muy especficas o muy amplias y despus implementarlas a usuarios y grupos especficos
en funcin del estado del dispositivo y su cumplimiento de los requisitos de seguridad de la empresa.
Asimismo, puede usar perfiles de configuracin para aplicar restricciones de seguridad a un dispositivo o a
aplicaciones instaladas en el dispositivo, tales como forzar el uso de un cdigo de acceso, restringir las
funcionalidades del dispositivo (como el uso de la cmara) o deshabilitar la copia de seguridad en iCloud o
iTunes de los datos de una aplicacin iOS.
Iconos de clips web: si planea implementar clips web para proporcionar accesos directos a sitios web o
aplicaciones basadas en la web, deber importar los iconos de clip web asociados antes de crear las polticas
de configuracin que correspondan. Consulte Importacin de iconos de clip web.
Perfiles de configuracin: Contienen los ajustes de configuracin, restricciones, aplicaciones y clips web
que se enviarn a los dispositivos gestionados durante el registro. Deber crear perfiles de configuracin
distintos para los dispositivos iOS y Android, ya que estos sistemas operativos tienen diferentes
funcionalidades. Si desea detalles de creacin de los perfiles, consulte Creacin de un perfil de configuracin
Android y Creacin de un perfil de configuracin iOS. Tambin puede usar un perfil de configuracin para
automatizar el proceso de configuracin de los dispositivos mviles para conectar con la VPN de
GlobalProtect. Consulte Definicin de una configuracin VPN de GlobalProtect si desea instrucciones
especficas sobre esta configuracin.
Perfiles de aprovisionamiento iOS. Es necesario implementar un perfil de aprovisionamiento para que los
usuarios de iOS puedan iniciar aplicaciones empresariales desarrolladas a nivel interno. Puede crear
configuraciones que le permitan implementar perfiles de aprovisionamiento en dispositivos tal y como se
describe en Importacin de un perfil de aprovisionamiento iOS.
Configuraciones SCEP. Son configuraciones que permiten a los dispositivos iOS usar el protocolo de
inscripcin de certificados simple (SCEP) para obtener certificados de una CA con SCEP, como el servidor
SCEP de Microsoft. El SCEP puede usarse para emitir los certificados de identidad que requiere el gestor
de seguridad mvil o bien para emitir certificados para otros servicios necesarios en el dispositivo. Para
obtener ms informacin, consulte Definicin de una configuracin SCEP.
Despus de crear los perfiles de configuracin que necesite para los dispositivos que gestione el gestor de
seguridad mvil, deber crear las polticas de implementacin que garanticen que las configuraciones se envan
a los dispositivos adecuados. Consulte Creacin de polticas de implementacin para obtener informacin
detallada.
118
Importacin de iconos de clip web

Los clips web proporcionan accesos directos a sitios web o aplicaciones basadas en la web. Cuando un usuario
toca un icono de clip web, automticamente abre la URL asociada. El gestor de seguridad mvil pueden
implementar automticamente clips web a los dispositivos gestionados para proporcionar accesos directos que
ofrezcan a los usuarios un acceso rpido a los sistemas internos, como las bases de datos de seguimiento de
errores internos, la Intranet o los sistemas de RR. HH. Si planea incluir clips web en las configuraciones que
implemente, puede que quiera crear iconos asociados para mostrarlos en la pantalla de inicio.
Debe importar los iconos de clip web en el gestor de seguridad mvil como se indica a continuacin antes de
crear los perfiles de configuracin que incluyen los clips web. Si no asocia un icono con un clip web, se mostrar
un cuadrado blanco en su lugar.
Creacin de iconos de clips web
Paso 1
Cree los archivos de imgenes que desee

usar como iconos de clip web.
Los iconos que cree para usarlos
con sus clips web deben cumplir
criterios especficos de nombre e imagen
para que el SO los muestre
adecuadamente. Si desea
recomendaciones sobre cmo crear
iconos para dispositivos Android,
consulte el siguiente documento en el sitio
de desarrolladores de Android:
Directrices para el diseo de iconos (en
ingls). Si desea recomendaciones sobre
cmo crear iconos para dispositivos iOS,
consulte el siguiente documento en el sitio
de desarrolladores de iOS: Directrices
para la creacin de imgenes e iconos
personalizados (en ingls).
Directrices para iconos Android
Utilice archivos PNG de 32 bits con un canal alfa para la

transparencia. Use diferentes dimensiones para cada densidad de
pantalla, tal y como se indica:
Densidad baja 36x36 px
Densidad media 48x48 px
Densidad alta 72x72 px
Densidad superalta 96x96 px
Si la imagen es mayor de 96 px, se ajusta automticamente a
96x96 px en el dispositivo.
Directrices para iconos iOS
Use archivos PNG no entrelazados. Si desea que iOS aada sus

efectos estndar (esquinas redondeadas, sombra paralela y brillo
reflectante), asegrese de que la imagen tiene esquinas en 90 y no
tiene ningn brillo o satinado. Cree diferentes imgenes con distintas
dimensiones para cada plataforma iOS como se indica a
continuacin:
Para iPhone y iPod touch: 57x57 px (114x114 px para una alta
resolucin)
Para iPad: 72x72 px (144x144 px para una alta resolucin)
Paso 2
Paso 3
Importe cada icono de clip web en el

Guarde sus cambios.
1.
Seleccione Polticas > Configuracin > Iconos de clip web y

haga clic en Aadir.
2.
Introduzca un Nombre y una Descripcin del icono.
3.
Seleccione Examinar y vaya hasta la ubicacin del icono de clip

web y haga clic en Abrir. El nombre de archivo y ruta aparecen
en el campo Archivo.
4.
119
Creacin de un perfil de configuracin iOS

El perfil de configuracin iOS contiene los ajustes de configuracin, certificados, clips web y restricciones para
enviarlos a un grupo especfico de dispositivos iOS. Si tiene grupos de usuarios de dispositivos iOS que
necesitan acceso a diferentes servicios o distintos niveles de restricciones, deber crear un perfil de
configuracin de iOS distinto para cada uno.
Creacin de un perfil de configuracin iOS
Paso 1
Aada un perfil de configuracin.
1.
Seleccione Polticas > Configuracin > iOS y haga clic en

Aadir.
Paso 2
Paso 3
Paso 4
Introduzca la informacin de
identificacin para la configuracin.
(Opcional) Defina cmo puede

modificarse el perfil.
Especifique los requisitos de cdigo de

acceso del dispositivo.
Si especifica requisitos de cdigo de
acceso, los usuarios de los dispositivos
debern respetar los ajustes de cdigo de
acceso que defina.
120
1.
En la pestaa General, escriba un Nombre para mostrar para la

configuracin en la interfaz web del gestor de seguridad mvil.
2.
Introduzca un Nombre para mostrar para que aparezca en la

pantalla de detalles/perfiles en el dispositivo mvil, as como en
el informe HIP del dispositivo.
3.
Introduzca un Identificador para la configuracin en formato

de estilo DNS inverso. Por ejemplo, si este perfil va a usarse para
enviar una configuracin base de iOS a los dispositivos, puede
asignar a la configuracin un nombre parecido a
com.acme.perfiliOS.
4.
(Opcional) Introduzca tambin una Descripcin para que se

muestre en la pantalla Detalles del dispositivo mvil.
1.
Por defecto, el usuario puede eliminar un perfil de

configuracin del dispositivo. Para evitar que los usuarios
eliminen esta configuracin, seleccione Nunca en la lista
desplegable El usuario puede eliminar el perfil. Para exigir una
contrasea para la eliminacin seleccione Con autorizacin y
defina la Contrasea de autorizacin.
2.
(iOS 6.0 y posteriores) Por defecto el perfil no se eliminar

automticamente. Sin embargo, puede seleccionar un valor de la
lista desplegable Eliminar perfil automticamente para
eliminar el perfil automticamente tras un nmero de das
especficos o en una fecha concreta.
1.
Si desea obligar a los usuarios de dispositivos que reciben esta

configuracin a usar un cdigo de acceso en el dispositivo,
seleccione la pestaa Cdigo de acceso y seleccione la casilla de
verificacin Cdigo de acceso para habilitar la restriccin. Con
solo habilitar este campo obligar a usar un cdigo de acceso de
un mnimo de 4 caracteres sin imponer requisitos adicionales.
2.
(Opcional) Especifique requisitos adicionales de cdigo de

acceso que desee aplicar, como la longitud o la complejidad, la
frecuencia con la que el usuario debe cambiar el cdigo de
acceso o si debe forzar el dispositivo a bloquearse
automticamente tras un nmero especificado de minutos.
Creacin de un perfil de configuracin iOS (Continuacin)
Paso 5
(Opcional) Enviar una aplicacin

gestionada al dispositivo.
Para obtener ms informacin acerca de
la adicin de aplicaciones gestionadas al
gestor de seguridad mvil y extender la
seguridad empresarial a aplicaciones
comerciales en dispositivos mviles,
consulte Gestin de datos y aplicaciones
comerciales con una tienda de
aplicaciones empresariales.
Seleccione la pestaa Aplicaciones y aada aplicaciones para

enviarlas al dispositivo, desde la seleccin desplegable de aplicaciones
gestionadas que ha aadido al gestor de seguridad mvil.
Al aadir una nueva aplicacin para su envo al dispositivo o
modificar una aplicacin existente que est instalada en el dispositivo,
puede especificar una configuracin adicional para la aplicacin, que
puede incluir si la aplicacin es Obligatoria u Opcional para el
dispositivo, y seleccionar una configuracin VPN que use la
aplicacin para enrutar el trfico.
Paso 6
(Opcional) Defina restricciones para que Seleccione la pestaa Restricciones de datos de aplicaciones y la
solo determinadas aplicaciones y cuentas
casilla de verificacin correspondiente. A continuacin, seleccione
de un dispositivo puedan usarse para abrir
una o ambas opciones para controlar la funcionalidad Abrir en
datos comerciales de aplicaciones
disponible en aplicaciones y correo electrnico mvil que permite
gestionadas, cuentas o dominios web.
a los usuarios abrir documentos o archivos adjuntos de una
aplicacin o cuenta en un dispositivo mvil desde otra aplicacin o
cuenta.
la restriccin de datos para aplicaciones y
dominios web en dispositivos mviles y Seleccione la pestaa Dominios y habilite Dominios gestionados.
A continuacin, establezca que los documentos abiertos desde un
cmo configurarla, consulte Aislamiento
dominio especfico en el navegador Safari del dispositivo mvil
de datos comerciales.
solo se puedan abrir en aplicaciones o cuentas gestionadas.
Tambin puede habilitar la aplicacin Mail para resaltar todos los
contactos de correo electrnico externos a su red e indicar a los
usuarios de dispositivos mviles que estn redactando un correo
electrnico para un contacto que no forma parte de su dominio
corporativo.
Paso 7
Defina las restricciones sobre lo que el

usuario puede hacer con el dispositivo.
1.
Seleccione la pestaa Restricciones y despus la casilla de

verificacin Restricciones para permitir que la configuracin
controle lo que el usuario puede hacer con el dispositivo mvil.
2.
Seleccione o cancele la seleccin de las casillas de verificacin en las

pestaas Funcionalidad del dispositivo, Aplicaciones, iCloud,
Seguridad y privacidad y Valoracin del contenido para definir
las restricciones de dispositivos que desee. Por ejemplo, si no desea
que los usuarios usen la cmara, cancele la seleccin de la casilla de
verificacin Permitir uso de la cmara.
121
Paso 8
Proporciones los ajustes de configuracin

que permiten el acceso del dispositivo a
uno o ms de los siguientes servicios:
Wi-Fi
VPN (GlobalProtect)
Correo electrnico
Intercambiar Active Sync
LDAP
Para habilitar los ajustes de configuracin para un tipo de recurso

especfico:
1. Seleccione la pestaa y la casilla de verificacin correspondiente
para habilitar la configuracin. Por ejemplo, para habilitar una
configuracin Wi-Fi, debe seleccione la pestaa Wi-Fi y despus
la casilla de verificacin Wi-Fi.
2.
Haga clic en Aadir para abrir la ventana de configuracin.
3.
Cumplimente los campos como sea necesario para permitir que

los dispositivos mviles accedan al servicio (los campos con el
fondo amarillo son obligatorios). Consulte la ayuda en lnea si
desea informacin sobre qu introducir en un campo especfico.
Repita este paso para cada servicio para el

que desee enviar los ajustes en este perfil
de configuracin. Puede incluso definir
4.
mltiples configuraciones para el mismo
tipo de servicio, por ejemplo si desea
enviar ajustes de envo para unirse a
mltiples redes Wi-Fi. Si desea
instrucciones especficas sobre cmo
crear una configuracin VPN de
GlobalProtect, consulte Definicin de
5.
una configuracin VPN de
GlobalProtect.
En las configuraciones que requieran un Nombre de usuario, la

configuracin usar por defecto el nombre de usuario del
usuario final que se proporcion cuando se autentic en el
gestor de seguridad mvil durante la inscripcin (Usar
guardado). Para especificar un nombre de usuario diferente,
seleccione Fijado e introduzca un nombre de usuario en el
cuadro de texto.
En las configuraciones que requieran una Contrasea, la
configuracin usar una contrasea que el usuario define en el
dispositivo mvil (Definida en el dispositivo) por defecto. Para
usar la contrasea que el usuario final proporcion al
autenticarse en el gestor de seguridad mvil durante la
inscripcin (Usar guardada). O para especificar una contrasea
diferente, seleccione Fijada e introduzca una contrasea en el
cuadro de texto.
En las configuraciones Wi-Fi hay un ajuste de contrasea
adicional, Definir por cada conexin, que requiere que el
usuario del dispositivo introduzca la contrasea al
volverse a unir a la red.
122
Paso 9
Cree accesos directos a los sitios web o las 1.

aplicaciones basadas en web (llamados
2.
clips web) para mostrarlos en la pantalla
Inicio del dispositivo.
3.
Los clips web son tiles para ofrecer
acceso rpido a los sitios web a los que sus 4.
usuarios mviles necesitan acceder, como
su Intranet o el sistema de seguimiento de
5.
errores internos. Antes de crear una
configuracin que incluya un clip web,
6.
debe importar el icono asociado para
mostrarlo en la pantalla del dispositivo.
Consulte Importacin de iconos de clip
web para obtener instrucciones.
7.
A causa de un error conocido de

iOS, la modificacin o eliminacin 8.
de un clip web de una configuracin
provocar un artefacto en la
pantalla de inicio del dispositivo
9.
hasta que se reinicie la siguiente vez.
Seleccione la pestaa Clips web y haga clic en Aadir.

Introduzca un Nombre para el clip web que se usar con el
Introduzca una Etiqueta para que el clip web se muestre en la
pantalla de inicio.
Escriba la URL que se cargar cuando el usuario toque el clip
web.
Seleccione un Icono que haya importado previamente o haga
clic en Icono en el men desplegable para importar uno nuevo.
Para evitar que los usuarios eliminen el clip web de la pantalla
Inicio, borre la casilla de verificacin Eliminable.
Si desea evitar que iOS aada efectos estndar al icono (esquinas
redondeadas, sombra paralela y brillo reflectante), seleccione la
casilla de verificacin Precompuesto.
Si desea que la pgina web se muestre en pantalla completa en
lugar de iniciar Safari para que muestre el contenido, seleccione
Pantalla completa.
Haga clic en ACEPTAR para guardar el clip web.
1.
Paso 10 Aada certificados para enviarlos a los
dispositivos mviles. Pueden ser
2.
certificados que gener en el gestor de
seguridad mvil o certificados que
3.
import de una CA distinta. Puede enviar
cualquier certificado que el dispositivo
vaya a necesitar para conectar con sus
aplicaciones y servicios internos.
Seleccione la pestaa Certificados y haga clic en Aadir.
1.
Paso 11 Defina un nombre de punto de acceso
(APN) para que el dispositivo mvil lo use
para presentarlo al operador para
2.
identificar el tipo de conexin de red que
suministrar.
Seleccione la pestaa APN y despus la casilla de verificacin

APN para habilitar el servicio en los dispositivos gestionados.
Paso 12 Guarde el perfil de configuracin.
1.
Haga clic en ACEPTAR para guardar los ajustes de configuracin

que ha definido y cerrar el cuadro de dilogo Configuracin iOS.
2.
Seleccione un certificado existente en la lista o elija Importar un

certificado generado por una CA diferente.
Si el certificado contiene una clave privado, tambin debe
introducir la Contrasea que se usar para descifrar la clave.
Introduzca el Nombre de punto de acceso para la red de datos

de paquete (PDN) u otro servicio, como un servidor de
protocolo de aplicaciones inalmbricas o (WAP) o servicio de
mensajera multimedia (MMS) para permitir que los dispositivos
mviles se comuniquen con l.
123
Definicin de una configuracin VPN de GlobalProtect

Aunque el gestor de seguridad mvil de GlobalProtect le permite enviar ajustes de configuracin que ofrecen acceso
a sus recursos empresariales y ofrece un mecanismo para imponer restricciones a los dispositivos, no asegura la
conexin entre el dispositivo mvil y los servicios con los que conecta. Para habilitar que el cliente establezca
conexiones de tnel seguras, debe activar la compatibilidad VPN en el dispositivo. Para una configuracin simplificada
de VPN de GlobalProtect en los dispositivos iOS y Android, puede enviar los ajustes de configuracin VPN de
GlobalProtect al dispositivo en el perfil de configuracin tal y como se describe en las siguientes secciones:
Creacin de una configuracin de VPN de GlobalProtect para dispositivos iOS
Creacin de una configuracin de VPN de GlobalProtect para dispositivos Android

Use la siguiente tarea de Definicin de una configuracin VPN de GlobalProtect para dispositivos iOS. La
configuracin VPN se puede aadir en el perfil de configuracin para el dispositivo iOS. Si desea informacin general
sobre configuracin, consulte Creacin de un perfil de configuracin iOS.
Paso 1
Paso 2
124
Seleccione o aada un perfil de

configuracin iOS al que aadir los
ajustes de configuracin VPN de
GlobalProtect.
Seleccione Polticas > Configuracin > iOS y haga clic en Aadir o

seleccione una configuracin existente a la que aadir los ajustes
VPN.
Si se trata de un nuevo perfil de configuracin, introduzca
informacin de identificacin del perfil y defina otros ajustes y
restricciones de configuracin como corresponda. Consulte
Creacin de un perfil de configuracin iOS para obtener
Defina los ajustes de conexin de VPN de 1.

GlobalProtect.
Seleccione la pestaa VPN y haga clic en Aadir para abrir el

cuadro de dilogo VPN.
2.
Introduzca un Nombre para identificar esta configuracin en el

3.
Introduzca un Nombre de conexin para mostrarlo en el

dispositivo.
4.
Introduzca la direccin IP o FQDN del portal de GlobalProtect

en el campo Servidor. El valor que introduzca debe coincidir
con el campo CN del certificado del servidor del portal.
5.
Asegrese de que Tipo de conexin se define como Palo Alto

Networks GlobalProtect.
Creacin de una configuracin de VPN de GlobalProtect para dispositivos iOS (Continuacin)
Paso 3
Especifique cmo cumplimentar los

1.
ajustes de nombre de usuario y contrasea
de cuenta VPN.
Especifique dnde obtener el nombre de usuario VPN

seleccionando un valor en la lista desplegable Cuenta. Por
defecto, la configuracin VPN de GlobalProtect se define como
Usar guardado, lo que le permite usar el nombre de usuario que
el usuario del dispositivo proporcion durante la inscripcin.
Tambin puede especificar un nombre de usuario Fijado para
todos los dispositivos que usen esta configuracin o bien
permitir al usuario del dispositivo definir el nombre de usuario
de la cuenta seleccionando Definido en el dispositivo.
2.
Por defecto, se usar la Contrasea VPN que el usuario del

dispositivo tenga Definida en el dispositivo. Sin embargo, si
desea usar la contrasea que suministr el usuario del
dispositivo cuando se autentic durante la inscripcin,
seleccione Usar guardada, o defina una contrasea Fijada para
que la usen todos los dispositivos que tengan esta configuracin.
3.
(Opcional) Por defecto, cuando una poltica del gestor de

seguridad mvil se enva a un dispositivo mvil, todos los
perfiles que envi el gestor de seguridad mvil que no se
adjuntan a la regla de poltica coincidente se eliminan
automticamente del dispositivo. Sin embargo, el gestor de
seguridad mvil no elimina los perfiles VPN enviados al
dispositivo por el portal GlobalProtect, lo que permite al
usuario cambiar de perfil. Para permitir que el gestor de
seguridad mvil elimine los perfiles VPN de GlobalProtect,
cancele la seleccin de la casilla de verificacin Habilitar perfil
de portal.
125
Paso 4
Paso 5
(Opcional) Especifique un certificado de

cliente para que los dispositivos mviles lo
usen para autenticarse en las puertas de
enlace de GlobalProtect durante el
establecimiento del tnel VPN. Si en su
lugar desea enviar un certificado de cliente a
los dispositivos desde la configuracin de
cliente del portal, o si no est usando una
autenticacin de certificado en sus puertas
de enlace, puede omitir este paso.
a. Seleccione Ninguno en el campo Credencial.

Para usar los certificados de cliente emitidos por el servidor de su SCEP de la
empresa:
a. Seleccione SCEP en el campo Credencial.

b. Definicin de una configuracin SCEP.
Para usar un certificado de cliente emitido por el gestor de seguridad mvil:
Esta funcin es til para evitar que los

dispositivos que no gestiona el gestor
de seguridad mvil se conecten a la VPN de
GlobalProtect. Sin embargo, si rechaza las
conexiones de dispositivos no gestionados
perder visibilidad de ese trfico. Para
controlar el trfico de dispositivos mviles
no gestionados, se recomienda crear un
perfil HIP que evale si el dispositivo est
gestionado y adjuntarlo a sus polticas de
seguridad. Consulte Uso de la informacin
de host en la aplicacin de polticas si
desea ms informacin sobre la creacin de
polticas de seguridad HIP.
a. Importe un certificado de cliente para enviarlo a los dispositivos

mviles y al gestor de seguridad mvil o generar un certificado
autofirmado en el gestor de seguridad mvil. Esta opcin es
similar a la de implementar certificados de cliente desde el portal
de GlobalProtect. En esta configuracin especifica un nico
certificado de cliente para que lo usen todos los dispositivos
mviles que empleen este perfil de configuracin iOS.
1.
(Opcional) Especifique qu trfico de
dispositivo enviar a travs de VPN. Por
defecto, la aplicacin GlobalProtect
tuneliza todo el trfico como se especifica 2.
en su configuracin de cliente del portal
correspondiente. Sin embargo, puede
sobrescribir la configuracin del tnel del
portal definiendo el ajuste de VPN bajo
demanda en la configuracin del gestor de
seguridad mvil.
Para cancelar la configuracin definida en la configuracin del

portal, seleccione Tipo de VPN y, a continuacin, seleccione VPN
a nivel de dispositivo.
La VPN a nivel de dispositivo es

til en un entorno donde se
gestionan dispositivos propiedad
de la empresa (en lugar de
dispositivos personales) para
garantizar que todo el trfico de
dispositivos usa la VPN.
126
Para usar el certificado de identidad enviado al dispositivo mvil durante la

inscripcin:
b. Seleccione Certificado y despus el certificado de cliente que

desea usar en la lista desplegable.
Si especifica una Credencial en esta configuracin,
asegrese de que la configuracin de cliente que el portal
implementar en los dispositivos mviles correspondientes
no contiene tambin un certificado de cliente, de lo contrario
el certificado de configuracin del portal sobrescribir el
certificado especificado aqu.
Seleccione la casilla de verificacin Habilitar VPN bajo

demanda y, a continuacin, haga clic en Aadir para definir las
excepciones del siguiente modo:
Introduzca una direccin IP, nombre de host, nombre de
dominio o subred en el campo Dominio coincidente para
especificar un destino de tunelizacin.
Seleccione la Accin correspondiente para especificar cundo
tunelizar el trfico al Dominio especificado (siempre, nunca
o a peticin para permitir que el usuario final invoque
manualmente la VPN).
Repita este paso para cada destino de tnel que desee
sobrescribir.
Paso 6
(Opcional) Especifique que el trfico de Seleccione Tipo de VPN y elija una de las siguientes configuraciones
aplicaciones gestionadas solo se tunelice a para el Aislamiento del trfico comercial en un dispositivo mvil:
travs de la VPN.
Seleccione VPN por aplicacin para permitir a las aplicaciones
gestionadas en el dispositivo enrutar todo el trfico a travs de la
VPN por aplicacin es til en
VPN.
entornos donde se gestionan
dispositivos personales (en lugar de Habilite VPN por aplicacin bajo demanda para activar
dispositivos propiedad de la
automticamente una conexin de VPN para aplicaciones
empresa) para garantizar que el
gestionadas cuando estas se inician.
trfico de aplicaciones comerciales
Aada dominios coincidentes para Safari para permitir la
gestionadas atraviesa la VPN,
activacin de una conexin de VPN para un dominio.
mientras que el trfico personal no.
Para obtener ms informacin e
instrucciones detalladas para
configurar VPN por aplicacin,
consulte Aislamiento del trfico
comercial.
Paso 7
Paso 8
Guarde el perfil de configuracin.
1.
Haga clic en ACEPTAR para guardar los ajustes de

configuracin VPN.
2.
Haga clic en ACEPTAR para guardar el perfil de configuracin iOS.
3.
Configure las puertas de enlace para usar Complete los siguientes pasos en cada puerta de enlace:
cuando el certificado cliente especificado 1. Importe el certificado CA raz que se us para emitir los
habilite los dispositivos mviles con esta
certificados de dispositivos mviles (el emisor del certificado de
configuracin para establecer las
identidad, la CA del servidor SCEP o el certificado de CA
conexiones HTTPS.
autofirmado del gestor de seguridad mvil en funcin del tipo
de certificado cliente que est usando).
2.
Aada el certificado de CA al perfil de certificado que se us en

la configuracin de la puerta de enlace.

Use la siguiente tarea de Definicin de una configuracin VPN de GlobalProtect para dispositivos Android. La
configuracin VPN se puede aadir en el perfil de configuracin para el dispositivo Android. Si desea
informacin general sobre configuracin, consulte Creacin de un perfil de configuracin Android.
Paso 1
Aada la configuracin VPN de

GlobalProtect a un perfil de
configuracin de Android nuevo o
existente.
Seleccione Polticas > Configuracin > Android y haga clic en

Aadir o seleccione una configuracin existente para modificarla.
restricciones de configuracin. Consulte Creacin de un perfil de
configuracin Android para obtener informacin detallada.
127
Creacin de una configuracin de VPN de GlobalProtect para dispositivos Android (Continuacin)
Paso 2
Habilite y defina los ajustes de conexin

de VPN de GlobalProtect.
1.
Seleccione la pestaa VPN y seleccione VPN para seguir

definiendo la configuracin de la conexin de VPN.
2.
Introduzca un Nombre de conexin para mostrarlo en el

dispositivo Android.
3.
Introduzca la direccin o FQDN del portal de GlobalProtect.

El valor que introduzca debe coincidir con el campo CN del
certificado del servidor del portal.
4.
Especifique dnde obtener el nombre de usuario VPN

seleccionando un valor en la lista desplegable Cuenta. Por
defecto, la configuracin VPN de GlobalProtect se define como
Usar guardado, lo que le permite usar el nombre de usuario que
el usuario del dispositivo proporcion durante la inscripcin.
Tambin puede especificar un nombre de usuario Fijado para
todos los dispositivos que usen esta configuracin o bien
permitir al usuario del dispositivo definir el nombre de usuario
de la cuenta seleccionando Definido en el dispositivo.
5.
Especifique el mtodo de conexin para la VPN:

Inicio de sesin de usuario: La aplicacin de GlobalProtect
iniciar la deteccin de redes y establecer conexiones
automticamente.
A peticin: Permite a los usuarios establecer una conexin
bajo demanda. En este caso, el usuario puede iniciar una
conexin manualmente cuando intente conectarse a una
VPN de forma remota. Si se selecciona, el mtodo de
conexin A peticin tiene prioridad sobre el mtodo de
conexin definido en la configuracin de cliente del portal de
GlobalProtect.
El mtodo de conexin de VPN definido en el perfil de
configuracin de Android tiene prioridad con respecto
al mtodo de conexin definido en la configuracin de
cliente del portal de GlobalProtect.
6.
128
De manera predeterminada, la contrasea para la autenticacin

de los usuarios en la VPN la define en el dispositivo el propio
usuario, lo que significa que los usuarios tendrn que introducir
manualmente sus contraseas para autenticarse. Sin embargo,
para permitir el uso automtico de la contrasea establecida por
los usuarios para la autenticacin, seleccione Usar guardada o
defina una contrasea Fijada para usarla en todos los
dispositivos que tengan esta configuracin.
Creacin de una configuracin de VPN de GlobalProtect para dispositivos Android (Continuacin)
Paso 3
(Opcional) Especifique un certificado de

cliente para que los dispositivos mviles lo
usen para autenticarse en las puertas de
enlace de GlobalProtect durante el
establecimiento del tnel VPN. Si en su
lugar desea enviar un certificado de cliente a
los dispositivos desde la configuracin de
cliente del portal, o si no est usando una
autenticacin de certificado en sus puertas
de enlace, puede omitir este paso.
Para usar el certificado de identidad enviado al dispositivo mvil durante la

inscripcin:
Seleccione Ninguno en el campo Credencial.

Para usar un certificado de cliente emitido por el gestor de seguridad mvil:
1.
Esta funcin es til para evitar que los

dispositivos que no gestiona el gestor
de seguridad mvil se conecten a la VPN de 2.
GlobalProtect. Sin embargo, si rechaza las
conexiones de dispositivos no gestionados
perder visibilidad de ese trfico. Para
controlar el trfico de dispositivos mviles
no gestionados, se recomienda crear un
perfil HIP que evale si el dispositivo est
gestionado y adjuntarlo a sus polticas de
seguridad. Consulte Uso de la informacin
de host en la aplicacin de polticas si
desea ms informacin sobre la creacin de
polticas de seguridad HIP.
Paso 4
Paso 5
Importe un certificado de cliente para enviarlo a los dispositivos

mviles y al gestor de seguridad mvil o generar un certificado
autofirmado en el gestor de seguridad mvil. Esta opcin es similar
a la de implementar certificados de cliente desde el portal de
GlobalProtect. En esta configuracin, especifica un nico
certificado de cliente para que lo usen todos los dispositivos mviles
que empleen este perfil de configuracin Android.
Seleccione Certificado y despus el certificado de cliente que desea
usar en la lista desplegable.
Si especifica una Credencial en esta configuracin,
asegrese de que la configuracin de cliente que el portal
implementar en los dispositivos mviles correspondientes
no contiene tambin un certificado de cliente, de lo contrario
el certificado de configuracin del portal sobrescribir el
certificado especificado aqu.
1.
Haga clic en ACEPTAR para guardar los ajustes de

configuracin VPN.
2.
Configure las puertas de enlace para usar Complete los siguientes pasos en cada puerta de enlace:
cuando el certificado cliente especificado 1. Importe el certificado CA raz que se us para emitir los
habilite los dispositivos mviles con esta
certificados de dispositivos mviles (el emisor del certificado de
configuracin para establecer las
identidad, la CA del servidor SCEP o el certificado de CA
conexiones HTTPS.
autofirmado del gestor de seguridad mvil en funcin del tipo
de certificado cliente que est usando).
2.
Aada el certificado de CA al perfil de certificado que se us en

la configuracin de la puerta de enlace.
129
Creacin de un perfil de configuracin Android

El perfil de configuracin Android contiene los ajustes de configuracin, certificados, clips web y restricciones
para enviarlos a un grupo especfico de dispositivos Android. Si tiene grupos de usuarios de dispositivos
Android que necesitan acceso a diferentes servicios o distintos niveles de restricciones, deber crear un perfil de
configuracin de Android distinto para cada uno.
Creacin de un perfil de configuracin Android
Paso 1
Aada un perfil de configuracin.
1.
Seleccione Polticas > Configuracin > Android y haga clic en

Aadir.
Paso 2
Paso 3
Introduzca la informacin de
identificacin para la configuracin.
Especifique los requisitos de cdigo de

acceso de los dispositivos.
Si especifica requisitos de cdigo de
acceso, los usuarios de los dispositivos
debern respetar los ajustes de cdigo de
acceso que defina.
Paso 4
Defina las restricciones sobre lo que el

usuario puede hacer con el dispositivo.
1.
En la pestaa General, escriba un Nombre para mostrar para la

configuracin en la interfaz web del gestor de seguridad mvil.
2.
Introduzca un Nombre para mostrar para que aparezca en la

pantalla de detalles/perfiles en el dispositivo mvil, as como en
el informe HIP del dispositivo.
3.
Introduzca un Identificador para la configuracin en formato

de estilo DNS inverso. Por ejemplo, si este perfil va a usarse para
enviar una configuracin base de iOS a los dispositivos, puede
asignar a la configuracin un nombre parecido a
com.acme.perfilAndroid.
4.
(Opcional) Introduzca tambin una Descripcin para que se

muestre en la pantalla Detalles del dispositivo mvil.
1.
Si desea obligar a los usuarios de dispositivos que reciben esta

configuracin a usar un cdigo de acceso en el dispositivo,
seleccione la pestaa Cdigo de acceso y seleccione la casilla de
verificacin Cdigo de acceso para habilitar la restriccin. Con
solo habilitar este campo obligar a usar un cdigo de acceso de
un mnimo de 4 caracteres sin imponer requisitos adicionales.
2.
(Opcional) Especifique requisitos adicionales de cdigo de

acceso que desee aplicar, como la longitud o si forzar al
dispositivo a bloquearse automticamente tras un nmero
especificado de minutos.
1.
Seleccione la pestaa Restricciones y despus la casilla de

verificacin Restricciones para permitir que la configuracin
controle lo que el usuario puede hacer con el dispositivo mvil.
2.
Modifique los ajustes de restriccin predeterminada como

desee:
Por ejemplo, si no desea que los usuarios con esta
configuracin usen la cmara, cancele la seleccin de la casilla
de verificacin Permitir uso de la cmara.
Si desea asegurarse de que los datos de los dispositivos
mviles estn cifrados, seleccione la casilla de verificacin
Exigir cifrado de los datos almacenados.
130
Creacin de un perfil de configuracin Android (Continuacin)
Paso 5
1.
Proporcione los ajustes de configuracin
que permiten el acceso del dispositivo a una 2.
o ms redes Wi-Fi.
Si desea informacin detallada sobre cada
campo, consulte la ayuda en lnea.
Seleccione la pestaa Wi-Fi y haga clic en Aadir.

En la pestaa Configuracin, introduzca un Nombre para
identificar esta configuracin Wi-Fi en el gestor de seguridad mvil.
3.
Escriba el Identificador de red (SSID) de la red inalmbrica. El

SSID es el nombre de difusin de la red Wi-Fi; suele ser un nombre
fcil de recordar que permite a los usuarios identificar las redes a las
que se conectan. Si no va a difundir su SSID, seleccione la casilla de
verificacin Red oculta.
4.
Por defecto, los dispositivos que reciben esta configuracin se unen

automticamente a la red cuando el dispositivo est en el rango, para
cambiar esto cancele la seleccin de la casilla de verificacin Unirse
automticamente.
5.
En la pestaa Seguridad seleccione el Tipo de seguridad en uso

en la red inalmbrica. En funcin del tipo de seguridad que
seleccione, se mostrarn campos adicionales donde podr indicar
los ajustes necesarios para conectarse como la contrasea, el
protocolo o el certificado a usar.
6.
Para los tipos de seguridad que requieran credenciales de usuario

final (tipos de seguridad de empresa), seleccione lo siguiente:
Nombre de usuario: La configuracin usar por defecto el
nombre de usuario del usuario final que se proporcion cuando
se autentic en el gestor de seguridad mvil durante la
inscripcin (Usar guardado). Para especificar un nombre de
usuario diferente, seleccione Fijado e introduzca un nombre de
usuario en el cuadro de texto.
Contrasea: La configuracin usar una contrasea que el
usuario define en el dispositivo mvil (Definida en el
dispositivo) por defecto. Para usar la contrasea que el usuario
final proporcion al autenticarse en el gestor de seguridad mvil
durante la inscripcin (Usar guardada). O para especificar una
contrasea diferente, seleccione Fijada e introduzca una
contrasea en el cuadro de texto.
7.
Paso 6
Establezca los ajustes de configuracin que Seleccione la pestaa VPN y seleccione la casilla de verificacin
permitan al dispositivo acceder a su VPN. correspondiente para empezar a definir ajustes de conexin de la VPN
de GlobalProtect.
Si desea instrucciones especficas sobre cmo crear una configuracin
VPN de GlobalProtect, consulte Definicin de una configuracin
VPN de GlobalProtect.
131
Creacin de un perfil de configuracin Android (Continuacin)
Paso 7
Cree accesos directos a los sitios web o las 1.

aplicaciones basadas en web (llamados clips 2.
web) para mostrarlos en la pantalla Inicio del
dispositivo.
3.
Los clips web son tiles para ofrecer acceso
rpido a los sitios web a los que sus usuarios 4.
mviles necesitan acceder, como su Intranet
5.
o el sistema de seguimiento de errores
internos. Antes de crear una configuracin
6.
que incluya un clip web, debe importar el
Seleccione la pestaa Clips web y haga clic en Aadir.

Introduzca un Nombre para el clip web que se usar con el gestor
de seguridad mvil.
Introduzca una Etiqueta para que el clip web se muestre en la
pantalla de inicio.
Escriba la URL que se cargar cuando el usuario toque el clip web.
Seleccione un Icono que haya importado previamente o haga clic
en Icono en el men desplegable para importar uno nuevo.
Haga clic en ACEPTAR para guardar el clip web.
icono asociado para mostrarlo en la pantalla

del dispositivo. Consulte Importacin de
iconos de clip web para obtener
instrucciones.
Paso 8
1.

que ha definido y cerrar el cuadro de dilogo Configuracin de
Android.
2.
Importacin de un perfil de aprovisionamiento iOS

Para evitar la propagacin de aplicaciones potencialmente dainas, iOS solo permite a los usuarios instalar aplicaciones
de recursos aprobados mediante App Store. Para permitir que los usuarios instalen aplicaciones desarrolladas
internamente en sus dispositivos iOS, debe obtener un perfil de aprovisionamiento en el Programa empresarial de
desarrolladores de iOS (iDEP). Despus podr implementar el perfil de aprovisionamiento a los dispositivos finales
autorizados para permitirles instalar la aplicacin. Para simplificar el proceso de distribucin de perfiles de
implementacin, importe los perfiles en el gestor de seguridad mvil e implemntelo en los dispositivos gestionados
a travs de la poltica.
Aunque el gestor de seguridad mvil simplifica la implementacin de perfiles de
aprovisionamiento en un gran nmero de dispositivos mviles, hay algunos factores de
seguridad que se deben tener en cuenta. Cuando revoque el acceso a una aplicacin habilitada
a travs de un perfil de aprovisionamiento, la aplicaciones seguir ejecutndose en el dispositivo
hasta que lo apague, aunque la poltica del gestor de seguridad mvil elimine el perfil. Adems,
como los perfiles de aprovisionamiento estn sincronizados con iTunes, el perfil puede
reinstalarse la siguiente vez que el usuario final sincronice el dispositivo con iTunes.
Siga el procedimiento siguiente para importar un perfil de aprovisionamiento iOS en el gestor de seguridad
mvil:
Importacin de un perfil de aprovisionamiento iOS
Paso 1
132
Obtenga los archivos de

aprovisionamiento que necesita para
habilitar los usuarios de dispositivos para
instalar sus aplicaciones iOS
desarrolladas internamente.
Si desea ms informacin sobre cmo crear perfiles de

aprovisionamiento e implementar aplicaciones desarrolladas a nivel
interno, vaya a la siguiente URL:
http://www.apple.com/business/accelerator/deploy/
Importacin de un perfil de aprovisionamiento iOS (Continuacin)
Paso 2
Paso 3
Cuando haya firmado su perfil de

1.
aprovisionamiento, imprtelo al gestor de
seguridad mvil.
2.
Guarde sus cambios.
Seleccione Polticas > Configuracin > Perfiles de

aprovisionamiento iOS y haga clic en Aadir.
Introduzca un Nombre para el perfil.
3.
Seleccione Examinar y vaya hasta la ubicacin del perfil de

aprovisionamiento y haga clic en Abrir. El nombre de archivo y
ruta aparecen en el campo Archivo.
4.
Definicin de una configuracin SCEP

El protocolo de inscripcin de certificados simple (SCEP) ofrece un mecanismo para emitir certificados a un
gran nmero de dispositivos iOS. En el gestor de seguridad mvil, puede habilitar SCEP para identificar los
certificados de identidad a los dispositivos durante el proceso de inscripcin. Tambin puede usar el protocolo
SCEP para obtener los certificados necesarios para otras configuraciones. Use el siguiente procedimiento para
crear una configuracin SCEP, ya sea para usarla en la inscripcin de gestor de seguridad mvil o con otras
configuraciones iOS.
Definicin de una configuracin SCEP
Paso 1
Configure el gestor de seguridad mvil para 1.

que se integre con un servidor SCEP de
empresa existente para emitir certificados 2.
de identidad a dispositivos iOS.
Seleccione Polticas > Configuracin > SCEP y haga clic en

Aadir.
Introduzca un Nombre para identificar la CA, como
CA_inscripcin. Este nombre distingue esta instancia de SCEP de
otras instancias que puede usar en los perfiles de configuracin.
133
Definicin de una configuracin SCEP (Continuacin)
Paso 2
Seleccione una de las siguientes opciones de Desafo SCEP:

Especifique el tipo de desafo que se va a
usar. El desafo es una contrasea de un solo Ninguna: El servidor SCEP emite el certificado sin una OTP.
uso (OTP) que comparten el gestor de
Fijada: El gestor de seguridad mvil proporcionar una OTP esttica
seguridad mvil y el servidor SCEP. El
que se usa para todos los dispositivos mviles. Obtenga la OTP desde
gestor de seguridad mvil incluye la OTP en
el servidor SCEP e introdzcala en el cuadro de texto. Tambin
la configuracin SCEP que enva al
deber definir el valor del registro UseSinglePassword del servidor
dispositivo mvil y el dispositivo lo usa para
SCEP para forzarle a usar una contrasea nica para todas las
autenticarse en el servidor SCEP.
inscripciones de certificados de cliente.
Dinmica: El gestor de seguridad mvil obtiene una OTP nica del
servidor SCEP para cada dispositivo mvil durante la inscripcin
usando un intercambio desafo-respuesta NTLM entre los dos
servidores. Si selecciona esta opcin deber configurar la Ruta del
servidor donde el gestor de seguridad mvil puede conectarse con el
servidor SCEP e introducir las credenciales que deber usar para
iniciar sesin. Adems, puede seleccionar la casilla de verificacin SSL
para exigir una conexin HTTPS para la solicitud de desafo. Si
habilita el SSL, deber seleccionar el Certificado de CA raz del
servidor SCEP. Tambin puede habilitar la autenticacin SSL mutua
entre el servidor SCEP y el gestor de seguridad mvil seleccionando
un Certificado de cliente.
Paso 3
Especifique cmo conectar con el servidor 1.

SCEP.
Especifique la URL de servidor que el dispositivo mvil debe usar

para llegar al servidor SCEP. Por ejemplo,
http://<nombrehost>/certsrv/mscep_admin/mscep.dll
2.
134
Introduzca una cadena (hasta 255 caracteres de longitud) para

identificar el servidor SCEP en el campo Nombre CA-IDENT.
Definicin de una configuracin SCEP (Continuacin)
Paso 4
Especifique los atributos de los certificados 1.

que se deben generar.
Escriba un nombre de Asunto para los certificados generados por

el servidor SCEP. El nombre de asunto debe ser un nombre
distinguido en el formato <atributo>=<valor> y debe incluir la
clave de nombre comn (CN). Hay dos formas de especificar el
CN:
(Recomendada) CN basado en token. Introduzca uno de
los tokens admitidos $USERNAME o $UDID en lugar de la parte de
CN del nombre de asunto. Cuando el gestor de seguridad mvil
enve los ajustes SCEP al dispositivo, la parte de CN del nombre
de asunto se sustituir por el UDID del dispositivo o nombre de
usuario real del propietario del certificado. Este mtodo
garantiza que cada certificado que genere el servidor SCEP es
nico para el usuario o dispositivo especfico. Por ejemplo,
O=acme,CN=$USERNAME.
CN esttico: El nombre comn que especifique no se usar
como asunto para todos los certificados que emita el servidor
SCEP. Por ejemplo, O=acme,CN=acmescep.
2.
(Opcional) Defina las extensiones de certificado que desee incluir

en los certificados:
Tipo de nombre alternativo del asunto: Si planifica
suministrar un nombre alternativo del asunto (SAN), especifique
el formato del SAN seleccionando uno de los siguientes valores:
rfc822Name, dnsName, o uniformResourceIdentifier.
Valor de nombre alternativo del asunto: El valor SAN que se
desea incluir en el certificado, en el formato especificado
anteriormente.
Nombre principal NT: Objeto de usuario para el dispositivo
que se puede usar para igualar el certificado de usuario con una
cuenta.
Paso 5
Guarde el perfil SCEP.
3.
Defina el Tamao de clave para que coincida con el tamao de

clave definido en la plantilla de certificado del servidor SCEP.
4.
(Opcional) Si el dispositivo mvil va a obtener su certificado a

travs de HTTP, introduzca la Huella digital (SHA1 o MD5) del
certificado de CA del dispositivo que se usar para autenticar el
servidor SCEP. La Huella digital debe coincidir con el valor de
Huella digital del servidor SCEP.
1.

que ha definido y cerrar el cuadro de dilogo Configuracin iOS.
2.
135

Cuando un dispositivo se ha inscrito y registrado con xito, el gestor de seguridad mvil usa el nombre de
usuario del usuario del dispositivo o los datos HIP de los que se ha informacin para crear una poltica de
implementacin.
Paso 1
Paso 2
Cree una nueva regla de poltica.
Especifique a qu usuarios de dispositivos

mviles desea implementar esta
configuracin. Hay dos formas de
especificar qu dispositivos gestionados
recibirn la configuracin: por nombre de
usuario/grupo o por coincidencia HIP.
1.
Seleccione Polticas > Polticas y haga clic en Aadir
2.
Escriba un Nombre descriptivo para identificar la regla de

poltica.
Seleccione la pestaa Usuarios/Perfiles HIP y especifique cmo

determinar una coincidencia de configuracin para esta regla de poltica:
Para implementar esta configuracin en un usuario o grupo

especficos, haga clic en Aadir en la seccin Usuario de la ventana y
despus seleccione el usuario o grupo que desea que reciba esta
configuracin en la lista desplegable. Repita este paso para cada
usuario/grupo que desee aadir.
El gestor de seguridad mvil usa los ajustes
de Usuarios/Perfiles HIP que especifique Para implementar esta configuracin en dispositivos que coincidan
para determinar qu configuracin
con un perfil HIP especfico, haga clic en Aadir en la seccin
implementar en un dispositivo en el registro.
Perfiles HIP de la ventana y despus seleccione un perfil HIP.
As, si tiene mltiples configuraciones,
Es recomendable probar sus polticas de implementacin antes
deber asegurarse de ordenarlas
de enviarlas a toda la base de usuarios mviles. Considere crear
correctamente. En cuanto el gestor de
al principio una configuracin que se aplique solo a los usuarios
seguridad mvil encuentre una coincidencia
de su grupo de TI para que puedan inscribirse en el gestor de
distribuir la configuracin. As, las
seguridad mvil y probar las polticas de implementacin.
configuraciones ms especficas debern
Cuando haya probado detenidamente la configuracin, podra
preceder a las ms generales. Consulte en
modificar la poltica de implementacin para enviar las
Paso 4 las instrucciones sobre cmo
implementaciones a los usuarios mviles.
ordenar la lista de reglas.
Antes de poder crear reglas de
polticas para implementar las
configuraciones en usuarios o grupos
especificados, deber configurar el
gestor de seguridad mvil para
acceder a su directorio de usuario
como se describe en Integracin del
gestor de seguridad mvil con su
directorio LDAP.
136
Creacin de polticas de implementacin (Continuacin)
Paso 3
Especifique los perfiles de configuracin 1.

que se deben implementar en los
dispositivos que coincidan con los
criterios de perfil de usuario/HIP
definidos.
Adjunte los perfiles de configuracin en la regla de poltica. Si su

regla est diseada para coincidir con dispositivos iOS y
Android, debe adjuntar perfiles de configuracin distintos de la
siguiente forma:
Para aadir un perfil de configuracin de iOS o un perfil de
aprovisionamiento de iOS, haga clic en Aadir en la seccin
iOS y, a continuacin, seleccione el perfil que debe aadir.
Repita este paso con cada perfil de iOS que se deba
implementar en los dispositivos que coincidan con esta regla.
Para aadir un perfil de configuracin de Android, haga clic
en Aadir en la seccin Android y, a continuacin, seleccione
el perfil para aadir a la regla. Repita este paso con cada perfil
de configuracin que se deba implementar en los dispositivos
que coincidan con esta regla.
2.
Haga clic en ACEPTAR para guardar la regla de poltica.
3.
Repita del Paso 1 al Paso 3 con cada regla de poltica que

necesite.
Paso 4
Para subir una regla de poltica de implementacin en la lista de

Prepare las reglas de poltica de
reglas, seleccinela y haga clic en Mover hacia arriba.
implementacin para que la configuracin
correcta se implemente en todos los
Para bajar una regla de poltica de implementacin en la lista de
dispositivos al realizar el registro.
reglas, seleccinela y haga clic en Mover hacia abajo.
Cuando un dispositivo se registra, el
gestor de seguridad mvil comparar el
nombre de usuario y los datos HIP que el
dispositivo ha proporcionado con las
polticas que ha definido. Como con la
evaluacin de la regla de seguridad en el
cortafuegos, el gestor de seguridad mvil
busca una coincidencia empezando por la
parte superior de la lista. Cuando
encuentra una coincidencia, aplica las
configuraciones correspondientes en el
dispositivo.
Paso 5
Guarde las reglas de poltica de

implementacin.
137

Verificacin de la configuracin del gestor de seguridad

mvil
Una vez terminada la configuracin del gestor de seguridad mvil (configurar la interfaz de registro del
dispositivo, habilitar la inscripcin y definir la configuracin y los perfiles de implementacin) y la configuracin
del portal de GlobalProtect con la URL para la interfaz de registro del dispositivo, debe comprobar que puede
inscribir correctamente un dispositivo y que el perfil del gestor de seguridad mvil se ha instalado y aplicado
correctamente.
Paso 1
Paso 2
Configure las polticas de

implementacin que se enviarn a los
usuarios de prueba.
Descargue e instale la aplicacin de

GlobalProtect y acceda al portal de
GlobalProtect.
Se recomienda empezar a implementar las polticas en un grupo

reducido de usuarios, como por ejemplo los administradores del
departamento de TI responsables de la administracin del gestor de
seguridad mvil:
1. Seleccione Polticas > Polticas y seleccione la poltica de
implementacin que se debe editar.
2.
En la pestaa Usuarios/Perfiles HIP, haga clic en Aadir en la

seccin Usuario/grupo de usuarios y, a continuacin, seleccione
el usuario o grupo que probar la poltica.
3.
(Opcional) Seleccione la regla de poltica de implementacin

que acaba de crear/modificar y haga clic en Mover hacia arriba
para que quede por encima de cualquier regla ms genrica que
acabe de crear.
4.
1.
Descargue la aplicacin.
En dispositivos Android, descargue la aplicacin en Google
Play.
En dispositivos iOS, descargue la aplicacin de App Store.
2.
Toque el icono de GlobalProtect en la pantalla Inicio para iniciar

la aplicacin.
3.
Toque ACEPTAR para habilitar las funciones de VPN en el

dispositivo.
4.
En la pantalla Configuracin de GlobalProtect, introduzca el

nombre o direccin del portal, nombre de usuario y
contrasea y, a continuacin, toque Conectar. El nombre del
portal introducido debe ser un nombre de dominio completo
(FQDN) y no incluir https:// al principio.
Si el gestor de seguridad mvil se ha configurado en el portal, el
dispositivo se redirigir automticamente a la pantalla de
inscripcin despus de que se autentique con xito en el portal.
Para completar el proceso de inscripcin el dispositivo
mvil debe contar con conexin a Internet.
138

Verificacin de la configuracin del gestor de seguridad mvil (Continuacin)
Paso 3
Paso 4
Inscriba el dispositivo mvil en el gestor

de seguridad mvil de GlobalProtect.
Compruebe que los perfiles de

configuracin que esperaba se han
aplicado en el dispositivo.
1.
Cuando se le solicite inscribirse en la gestin de dispositivos

mviles de GlobalProtect, toque Inscripcin.
2.
Cuando se le solicite recibir notificaciones push desde

GlobalProtect, toque ACEPTAR.
3.
Si el certificado de la interfaz de comprobacin de dispositivos

no lo emiti una CA de confianza, debe instalar el certificado
de CA para continuar con la inscripcin. Si tiene un cdigo de
acceso en el dispositivo, debe introducirlo para poder instalar el
certificado.
4.
En la pantalla Instalar perfil, toque Instalar para instalar el perfil

y, a continuacin, toque Instalar ahora para confirmar que la
inscripcin cambiar la configuracin del iPad. Si tiene un
cdigo de acceso en el dispositivo, debe introducirlo para poder
instalar el perfil. En la pantalla de advertencia, toque Instalar
para continuar.
5.
Cuando el perfil se haya instalado correctamente, toque Listo. Si

est recopilando informacin de ubicacin de GPS, la aplicacin
le pedir que permita a GlobalProtect utilizar su ubicacin
actual.
Por ejemplo:
Si ha aplicado el requisito del cdigo de acceso en el dispositivo,
se le pedir que establezca una nueva contrasea en 60 minutos.
Toque Continuar para cambiar/establecer el cdigo de acceso.
Introduzca el cdigo de acceso actual, escriba el nuevo cdigo de
acceso cuando se le solicite y, a continuacin, toque Guardar. El
cuadro de dilogo debe mostrar cualquier requisito que deba
cumplir el nuevo cdigo de acceso.
Si ha aplicado la configuracin Exchange Active Sync en el
dispositivo, compruebe que puede conectar al servidor Exchange
y enviar y recibir correo electrnico.
Si ha aplicado una configuracin VPN de GlobalProtect,
compruebe que el dispositivo puede establecer una conexin de
VPN.
Pruebe cualquier clip web que haya aplicado en el dispositivo y
compruebe que puede conectarse a las URL asociadas.
Si ha aplicado restricciones en el dispositivo, compruebe que no
puede realizar las acciones restringidas.
139

Verificacin de la configuracin del gestor de seguridad mvil (Continuacin)
Paso 5
Paso 6
140
En el gestor de seguridad mvil,

compruebe que las notificaciones push
funcionan.
Enve las polticas al resto de su base de

usuarios.
1.
Seleccione Dispositivos y busque y seleccione su dispositivo en

la lista.
2.
Haga clic en Mensaje e introduzca el texto que se debe enviar al

dispositivo en Cuerpo del mensaje y, a continuacin, haga clic
en ACEPTAR.
3.
Compruebe que recibe el mensaje en el dispositivo.
Despus de verificar que las polticas y configuracin de su gestor de

seguridad mvil funcionan como se esperaba, actualice las polticas
para implementar el resto de su base de usuarios.

Configuracin del acceso administrativo en el gestor de

seguridad mvil
De forma predeterminada, el gestor de seguridad mvil de GlobalProtect viene preconfigurado con una cuenta
administrativa predeterminada (admin), que proporciona acceso completo de lectura-escritura (tambin
conocido como acceso de superusuario) al dispositivo. Es recomendable que cree una cuenta administrativa
diferente para cada persona que necesite acceder a las funciones de administracin o informes del dispositivo.
Esto evita la configuracin no autorizada (o modificacin) y permite el registro de acciones de cada uno de los
administradores.
El acceso administrativo se configura en dos pasos:
Configuracin de la autenticacin administrativa
Creacin de una cuenta administrativa
Configuracin de la autenticacin administrativa

Hay tres formas de autenticar a usuarios administrativos:
Cuenta de administrador local con autenticacin local: tanto las credenciales de la cuenta de
administrador como los mecanismos de autenticacin son locales para el dispositivo. Puede aadir un nivel
de proteccin adicional a la cuenta del administrador local creando un perfil de contrasea que defina un
perodo de validez para las contraseas y estableciendo ajustes de complejidad de la contrasea para todo el
dispositivo. Con este tipo de cuenta no necesita realizar ninguna tarea de configuracin para poder crear la
cuenta administrativa. Vaya a Creacin de una cuenta administrativa.
Cuenta de administrador local con autenticacin externa: las cuentas de administrador se gestionan en
el cortafuegos local, pero las funciones de autenticacin se derivan a un servicio LDAP, Kerberos o RADIUS
existente. Para configurar este tipo de cuenta, antes debe crear un perfil de autenticacin que defina el modo
de acceso al servicio de autenticacin externa y despus crear una cuenta para cada administrador que haga
referencia al perfil. Consulte Creacin de un perfil de autenticacin para obtener instrucciones sobre cmo
configurar el acceso a servicios de autenticacin externos.
Cuenta de administrador local con autenticacin basada en certificado: con esta opcin, puede crear
las cuentas de administrador en el dispositivo, pero la autenticacin se basa en certificados SSH (para acceso
a CLI) o certificados de cliente/tarjetas de acceso comn (para la interfaz web). Consulte Activacin de la
autenticacin basada en certificado para la interfaz web o Activacin de la autenticacin basada en certificado
de SSH para la interfaz de la lnea de comandos para ver las instrucciones.
141

Creacin de un perfil de autenticacin

Un perfil de autenticacin especifica el servicio de autenticacin que valida las credenciales del administrador y
define cmo acceder a dicho servicio. Debe crear un perfil de servidor en primer lugar para que el gestor de
seguridad mvil pueda acceder a un servidor de autenticacin RADIUS, Kerberos o LDAP.
Creacin de un perfil de autenticacin
Paso 1
Paso 2
Paso 3
142
Cree un perfil de servidor que defina

cmo conectar con el servidor de
autenticacin.
1.
Seleccione Configuracin > Perfiles de servidor y, a

continuacin, seleccione el tipo de servicio de autenticacin al
que conectarse (LDAP, RADIUS o Kerberos).
2.
Haga clic en Aadir y, a continuacin, introduzca un Nombre

para el perfil.
3.
Seleccione la casilla de verificacin nicamente uso de

administrador, si corresponde.
4.
Haga clic en Aadir para aadir una nueva entrada de servidor

e introduzca la informacin necesaria para conectarse al
servicio. Para obtener detalles sobre los valores de campo
necesarios para cada tipo de servicio, consulte la ayuda en lnea.
5.
1.
Seleccione Configuracin > Perfil de autenticacin y, a

continuacin, haga clic en Aadir.
2.
Introduzca un nombre de usuario para identificar un perfil de

autenticacin.
3.
En el men desplegable Autenticacin, seleccione el tipo de

autenticacin que utilizar.
4.

Activacin de la autenticacin basada en certificado para la interfaz web

Una alternativa ms segura al uso de contrasea para autenticar a un usuario administrativo es activar la
autenticacin basada en certificado para asegurar el acceso al gestor de seguridad mvil. Con la autenticacin
basada en certificado se intercambia y verifica una firma, en lugar de una contrasea.
Utilice las siguientes instrucciones para activar la autenticacin basada en certificado.
Activacin de la autenticacin basada en certificado
Paso 1
Genere un certificado de CA en el gestor Para generar un certificado de CA en el gestor de seguridad mvil:

de seguridad mvil.
1. Inicie sesin en la interfaz web del gestor de seguridad mvil.
Si desea utilizar certificados de un 2.
tercero de confianza o CA de
empresa, debe importar el
3.
certificado de CA al gestor de
seguridad mvil para que confe en
los certificados de cliente que
genera.
Paso 2
Cree el perfil del certificado que se

utilizar para asegurar el acceso a la
interfaz web.
Seleccione Configuracin > Gestin de certificados >

Certificados y haga clic en Generar.
Introduzca un nombre de certificado y aada la direccin IP o
FQDN que necesita que aparezca en el certificado del campo
Nombre comn. Opcionalmente, puede cambiar los ajustes
criptogrficos y definir las opciones de certificados como el pas,
la organizacin, el estado, etc.
4.
Asegrese de dejar en blanco la opcin Firmado por y

seleccionar la opcin Autoridad del certificado.
5.
Haga clic en Generar para crear el certificado usando los

detalles especificados anteriormente.
1.
Seleccione Configuracin > Gestin de certificados > Perfil

del certificado y haga clic en Aadir.
2.
Introduzca un nombre para el perfil del certificado y en Campo

de nombre de usuario seleccione Asunto.
3.
Paso 3
1.
para que utilice el perfil de certificado del
cliente para la autenticacin
administrativa.
2.
3.
Seleccione Aadir en la seccin de certificados de CA y, en el

men desplegable Certificado de CA, seleccione el certificado
de CA creado en el Paso 1.
En la pestaa Configuracin > Configuracin, haga clic en el
icono Editar de la seccin Configuracin de autenticacin de la
pantalla.
En el campo Perfil del certificado, seleccione el perfil del
certificado del cliente creado en el Paso 2.
Haga clic en ACEPTAR para guardar los cambios.
143

Activacin de la autenticacin basada en certificado (Continuacin)
Paso 4
Cree o modifique una cuenta de

administrador para activar el certificado
del cliente en la cuenta.
1.
Seleccione Configuracin > Administradores y, a continuacin,

haga clic en Aadir.
2.
Introduzca un nombre de inicio de sesin para el administrador;

el nombre distingue entre maysculas y minsculas.
3.
Seleccione Utilizar nicamente el certificado de autenticacin

de cliente (web) para activar el uso del certificado para la
autenticacin.
Paso 5
Cree y exporte el certificado del cliente

que se utilizar para autenticar un
administrador.
4.
Seleccione la funcin que se asignar a este administrador.

Puede seleccionar una de las funciones dinmicas predefinidas o
seleccionar una funcin personalizada y adjuntar un perfil de
autenticacin que especifique los privilegios de acceso para este
administrador.
5.
(Opcional) Para funciones personalizadas, seleccione los grupos

de dispositivos, las plantillas y el contexto del dispositivo que el
usuario administrativo puede modificar.
6.
Haga clic en ACEPTAR para guardar los ajustes de la cuenta.
1.
Utilice el certificado de CA para generar un certificado de cliente

para cada uno de los usuarios administrativos.
a. Seleccione Configuracin > Gestin de certificados >
Certificados y haga clic en Generar.
b. En el campo Nombre comn, introduzca el nombre del
administrador para el que est generando el certificado. La
sintaxis del nombre debe coincidir con el formato usado por
el mecanismo de autenticacin local o externo.
c. En el campo Firmado por, seleccione el mismo certificado
de CA creado en el Paso 1.
d. Haga clic en Generar para crear el certificado usando los
detalles especificados anteriormente.
2.
Exporte el certificado del cliente que acaba de generar.

a. Seleccione el certificado que acaba de crear y haga clic en
Exportar.
b. Para cifrar la clave privada, seleccione PKCS12 como
formato de archivo.
c. Introduzca una frase de contrasea para cifrar la clave privada
y confirmar la entrada.
d. Haga clic en Aceptar para exportar el certificado.
Paso 6
Guarde sus cambios de configuracin.

Se cerrar su sesin de la interfaz web.
144

Activacin de la autenticacin basada en certificado (Continuacin)
Paso 7
Paso 8
Importe el certificado del cliente del

administrador en el navegador web del
cliente que el administrador utilizar para
acceder a la interfaz web del gestor de
seguridad mvil.
Por ejemplo, en Firefox:

1. Seleccione el men Herramientas > Opciones > Avanzado.
2.
Haga clic en el botn Ver certificados.
3.
Seleccione la pestaa Your Certificates (Sus certificados) y

haga clic en Importar. Acceda a la ubicacin en la que ha
guardado el certificado del cliente.
4.
Cuando se le solicite, introduzca la frase de contrasea para

descifrar la clave privada.
Inicie sesin en la interfaz web del gestor 1.

de seguridad mvil.
Acceda a la direccin IP o nombre de host del gestor de

seguridad mvil.
2.
Cuando se le solicite, seleccione el certificado cliente que ha

importado en el Paso 7. Aparecer una advertencia de
certificacin.
3.
Aada el certificado a la lista de excepciones e inicie sesin en la

interfaz web del gestor de seguridad mvil.
Activacin de la autenticacin basada en certificado de SSH para la interfaz de la lnea

de comandos
Para habilitar la autenticacin basada en certificados de SSH, complete el siguiente flujo de trabajo para cada
usuario administrativo:
Habilitacin de la autenticacin de SSH (basada en clave pblica)
Paso 1
Utilice una herramienta de generacin de

claves de SSH para crear un par de claves
asimtricas en la mquina cliente.
Los formatos de clave admitidos son: IETF
SECSH y Open SSH; los algoritmos
admitidos son: DSA (1024 bits) y RSA
(768-4096 bits).
Para saber los comandos necesarios para generar el par de claves,

consulte la documentacin del producto para el cliente de SSH.
La clave pblica y la privada son dos archivos diferentes; gurdelos
ambos en una ubicacin a la que el gestor de seguridad mvil pueda
acceder. Para una mayor seguridad, introduzca una frase de contrasea
para cifrar la clave privada. Se le solicitar este cdigo de acceso cuando
inicie sesin en el gestor de seguridad mvil.
145

Habilitacin de la autenticacin de SSH (basada en clave pblica) (Continuacin)
Paso 2
Cree una cuenta para el administrador y

permita la autenticacin basada en
certificado.
1.

haga clic en Aadir.
2.
Introduzca un nombre y contrasea para el administrador.

Tendr que configurar una contrasea. Asegrese de introducir una
contrasea fuerte o compleja y gurdela en un lugar seguro; solo se
le pedir en caso de que los certificados estn daados o que se
produzca un fallo del sistema.
3.
(Opcional) Seleccione un Perfil de autenticacin.
4.
Habilite Utilizar autenticacin de clave pblica (SSH).
5.
Haga clic en Importar clave y acceda a la clave pblica que guard

en el Paso 1 para importarla.
6.
Seleccione la funcin que se asignar a este administrador. Puede

seleccionar una de las funciones dinmicas predefinidas o un perfil
basado en funcin personalizado.
7.
Haga clic en ACEPTAR para guardar la cuenta.
Paso 3
Paso 4
Compruebe que el cliente SSH utiliza su

1.
clave privada para autenticar la clave pblica
presentada por el gestor de seguridad mvil. 2.
Configure el cliente SSH para utilizar la clave privada para autenticar

en el gestor de seguridad mvil.
Vuelva a iniciar sesin en la CLI del gestor de seguridad mvil.

Cuando haya definido los mecanismos de autenticacin de los usuarios administrativos deber crear una cuenta para
cada administrador. Cuando cree una cuenta deber definir cmo autenticar al usuario. Adems, deber especificar un
rol para el administrador. Una funcin define el tipo de acceso al sistema que tiene el administrador asociado. Se
pueden asignar dos tipos de funciones:
Funciones dinmicas. Funciones integradas que proporcionan acceso como superusuario, superusuario (de
solo lectura) o administrador de dispositivos al gestor de seguridad mvil. Con las funciones dinmicas solo tendr
que preocuparse de actualizar las definiciones de funcin, ya que se aaden nuevas caractersticas cuando las
funciones se actualizan automticamente.
Perfiles de funcin de administrador: Le permiten crear sus propias definiciones de funcin para ofrecer un
control de acceso ms granular a las diversas reas funcionales de la interfaz web, CLI o API XML. Por ejemplo,
podra crear un perfil de funcin de administrador para su personal de operaciones que proporcione acceso a las
reas de configuracin de red y dispositivo de la interfaz web y un perfil separado para los administradores de
seguridad que proporcione acceso a la definicin de poltica de seguridad, logs e informes. Tenga en cuenta que
con los perfiles de funcin de administrador deber actualizar los perfiles para asignar privilegios de forma explcita
para nuevos componentes/caractersticas que se aadan al producto.
146

El siguiente ejemplo muestra el modo de crear una cuenta de administrador local con autenticacin local:
Paso 1
Si pretende usar perfiles de funciones de Complete los siguientes pasos para cada funcin que desee crear:
administrador en lugar de funciones
1. Seleccione Configuracin > Funciones de administrador y, a
dinmicas, cree los perfiles que definan
qu tipo de acceso, de haberlo, se dar a 2. En las pestaas Interfaz web o API XML, establezca los niveles
las diferentes secciones de la interfaz
de acceso para cada rea funcional de la interfaz haciendo clic en
web, CLI y API XML para cada
el icono para cambiarlo al ajuste deseado:
administrador asignado a la funcin.
Habilitar
Solo lectura
Deshabilitar
Se recomienda restringir la accin de borrado de
dispositivo a solo uno o dos administradores muy
familiarizados con el gestor de seguridad mvil para
garantizar que los dispositivos de usuarios finales no se
borran por accidente.
Paso 2
(Opcional) Establezca requisitos para

contraseas definidas por usuarios
locales.
3.
En la pestaa Lnea de comandos, especifique el tipo de acceso

que permitir a la CLI: superuser, superreader, deviceadmin,
devicereader o Ninguno para deshabilitar por completo el
acceso a la CLI.
4.
Introduzca un nombre para el perfil y haga clic en Aceptar para

guardarlo.
Crear perfiles de contrasea: Defina la frecuencia con que los

administradores debern cambiar sus contraseas. Puede crear varios
perfiles de contrasea y aplicarlos a las cuentas de administrador segn
sea necesario para imponer la seguridad deseada. Para crear un perfil
de contrasea, seleccione Configuracin > Perfiles de la
contrasea y haga clic en Aadir.
Configurar ajustes de complejidad mnima de la contrasea:
Defina reglas que rijan la complejidad de la contrasea, lo que obligar
a los administradores a crear contraseas ms difciles de adivinar,
descifrar o evitar. A diferencia de los perfiles de contrasea, que se
pueden aplicar a cuentas individuales, estas reglas son para todo el
dispositivo y se aplican a todas las contraseas. Para configurar los
ajustes, seleccione Configuracin > Ajustes > Gestin y, a
continuacin, modifique la seccin Complejidad de contrasea
mnima.
147

Creacin de una cuenta administrativa (Continuacin)
Paso 3
Cree una cuenta para cada administrador. 1.

haga clic en Aadir.
2.
Introduzca un nombre para el administrador.
3.
Especifique cmo autenticar el administrador:

Para usar la autenticacin local, introduzca una Contrasea y
despus reptala en el campo Confirmar contrasea.
Para usar la autenticacin externa seleccione un Perfil de
autenticacin.
Para usar la autenticacin basada en certificados/clave ,
seleccione la casilla de verificacin Utilizar nicamente el
certificado de autenticacin de cliente (web) para acceder a
la interfaz web y seleccione Utilizar autenticacin de clave
pblica (SSH) para acceder a la CLI. Tambin deber
introducir un valor en Contrasea, que solo ser obligatorio
en caso de que los certificados se daen o se produzca un
fallo del sistema.
Paso 4
148
4.
Seleccione la funcin que se asignar a este administrador.

Puede seleccionar una de las funciones dinmicas predefinidas
o un perfil basado en funcin personalizado si ha creado uno
en Paso 1.
5.
(Opcional) Seleccione un perfil de contrasea.
6.
Haga clic en ACEPTAR para guardar la cuenta.
Gestin de dispositivos mviles

Una vez inscritos los usuarios de dispositivos mviles en el gestor de seguridad mvil de GlobalProtect, puede
supervisar los dispositivos y garantizar que su mantenimiento se realiza conforme a sus normas para proteger
los recursos de su empresa y sus normas de integridad de datos. Aunque el Gestor de seguridad mvil de
GlobalProtect simplifica la administracin de los dispositivos mviles y le permite implementar
automticamente los ajustes de su configuracin de cuenta de empresa a los dispositivos que cumplen las
normas, tambin puede usar el gestor de seguridad mvil para resolver las infracciones de seguridad
interaccionando con el dispositivo afectado. De este modo se logra proteger tanto la informacin de la empresa
con la informacin personal del usuario final. Por ejemplo, si un usuario final pierde su dispositivo, puede enviar
una solicitud al dispositivo mediante OTA (over-the-air) para que emita una alarma que le facilite la bsqueda
al usuario. O bien, si el usuario final informa de la prdida o sustraccin del dispositivo, puede bloquearlo de
forma remota a travs del gestor de seguridad mvil o incluso borrar toda o parte de la informacin del
dispositivo.
Adems de las funciones de aprovisionamiento de cuentas y gestin remota del dispositivo que ofrece el gestor
de seguridad mvil, al integrarlo con su infraestructura VPN de GlobalProtect ya existente, puede alojar la
informacin que el dispositivo remite al gestor de seguridad mvil para aplicar las polticas de seguridad de
acceso a aplicaciones a travs de la puerta de enlace de GlobalProtect y usar las herramientas de supervisin
integradas en el cortafuegos de prxima generacin de Palo Alto para supervisar el trfico del dispositivo mvil
y el uso de aplicaciones.
En los siguientes temas se describe cmo gestionar los dispositivos mviles desde el gestor de seguridad mvil
y cmo integrar la informacin obtenida por el gestor de seguridad mvil en su infraestructura de seguridad
existente.
Agrupacin de dispositivos por etiqueta para simplificar la administracin de dispositivos
Supervisin de dispositivos mviles
Administracin de dispositivos remotos
Creacin de polticas de seguridad para aplicacin de trfico de dispositivos mviles
149
Agrupacin de dispositivos por etiqueta para simplificar la

administracin de dispositivos
Agrupacin de dispositivos por etiqueta para simplificar

la administracin de dispositivos
Una etiqueta es una marca de texto que puede asignar a un dispositivo mvil gestionado para simplificar la
administracin de dispositivos habilitando su agrupacin. Las etiquetas que defina servirn para identificar un
grupo de dispositivos al que se aplicarn las mismas polticas, interaccionar con OTA (p. ej., para enviar una
nueva poltica o un mensaje). Despus de asignar una etiqueta a un dispositivo, esta se incluye en el perfil de
informacin del host (HIP) para el dispositivo. Dado que el perfil HIP tambin se comparte con la puerta de
enlace de GlobalProtect, puede crear perfiles HIP en la puerta de enlace que le permitan aplicar la poltica de
seguridad basada en el valor de la etiqueta.
Puesto que puede crear las etiquetas manualmente, le proporcionan un mecanismo flexible para lograr cualquier
tipo de aprovisionamiento de dispositivos o aplicaciones de seguridad que le puedan hacer falta. Por ejemplo,
puede crear etiquetas para distinguir dispositivos personales de dispositivos de la empresa. A continuacin,
puede crear objetos HIP que coincidan con etiquetas especficas, lo cual ofrece posibilidades infinitas de agrupar
los dispositivos gestionados para la implementacin de la configuracin.
O bien, si quiere tener la capacidad de aprobar dispositivos antes de aplicarles la poltica, puede asignar una
etiqueta a los dispositivos aprobados y, a continuacin, crear un perfil HIP para enviar la poltica solo a los
dispositivos con la etiqueta de aprobacin.
Hay dos formas diferentes de asignar etiquetas a dispositivos mviles:
Etiquetar dispositivos manualmente
Preetiquetado de dispositivos
Etiquetar dispositivos manualmente

Para etiquetar dispositivos manualmente, puede crear las etiquetas en el gestor de seguridad mvil y luego
asignarlas a los dispositivos tras la inscripcin, como se describe en el siguiente flujo de trabajo:
Creacin de etiquetas y asignacin a los dispositivos gestionados
Paso 1
150
Defina las etiquetas que necesita para

supervisar dispositivos, enviar polticas
de implementacin o aplicar polticas de
seguridad en la puerta de enlace de
GlobalProtect.
1.
Seleccione Configuracin > Etiquetas y, a continuacin, haga

clic en Aadir.
2.
Introduzca un Nombre descriptivo para la etiqueta. El nombre

introducido ser el que har coincidir cuando cree objetos /
perfiles HIP para implementaciones o polticas de seguridad.
3.
(Opcional) Introduzca un comentario (hasta 63 caracteres

alfanumricos, incluidos los caracteres especiales) que describa
el uso previsto para esta etiqueta.
4.
Haga clic en ACEPTAR para guardar la etiqueta.

Creacin de etiquetas y asignacin a los dispositivos gestionados (Continuacin)
Paso 2
Asigne las etiquetas a los dispositivos

mviles gestionados.
Tambin puede usar este
procedimiento para eliminar
etiquetas de los dispositivos; para
ello, seleccione las etiquetas que
quiere eliminar y haga clic en
Anular etiqueta.
1.
Vaya a la pestaa Dispositivos.
2.
Seleccione los dispositivos a los que quiere asignar la etiqueta

haciendo clic en la fila que corresponde a la entrada del
dispositivo. Para simplificar el proceso, puede ordenar los
dispositivos por cualquiera de los encabezados de columna o
usar uno de los filtros predefinidos en el panel izquierdo.
3.
Haga clic en Etiqueta.
4.
Asocie las etiquetas con los dispositivos seleccionados de una de

las siguientes formas:
Haga clic en Aadir para mostrar la lista de etiquetas que ha
creado y poder hacer clic en una, o bien haga clic en Nueva
etiqueta para definir una nueva etiqueta en el momento.
Para navegar por la lista de etiquetas que ha creado, haga clic
en Examinar y, a continuacin, busque las etiquetas que
quiere asociar a los dispositivos seleccionados haciendo clic
en
para aadir cada etiqueta a la lista de etiquetas
asociadas con los dispositivos seleccionados. Repita este paso
con cada etiqueta para que cada una se asocie con el
dispositivo seleccionado.
5.
Paso 3
Haga clic en Etiqueta para guardar las asociaciones de etiquetas.
Preetiquetado de dispositivos
Para simplificar las polticas de administracin de dispositivos proporcionados por la empresa, puede
preetiquetar los dispositivos de empresa compilando una lista de nmeros de serie para los dispositivos con
formato de archivo de valores separados por comas (CSV) y, a continuacin, importndola desde el gestor de
seguridad mvil. Por defecto, a los dispositivos importados se les asigna la etiqueta "Importado". Tiene la
opcin de aadir una segunda columna a su archivo CSV/XLS para el nombre de etiqueta si quiere especificar
cualquier etiqueta adicional con el fin de asignarla a dispositivos importados; por ejemplo, si tiene diferentes
niveles de acceso para diferentes grupos de usuarios que reciben dispositivos de empresa. No tiene que asignar
la misma etiqueta a todos los dispositivos importados.
151

Importacin de un grupo de dispositivos
Paso 1
Cree el archivo CSV en dos columnas sin aadir encabezados de

Cree un archivo CSV o una hoja de
clculo de Microsoft Excel que contenga columnas del siguiente modo y, a continuacin, gurdelo en su
ordenador local o en un recurso de red compartido:
la lista de nmeros de serie de
dispositivos en la primera columna y, si lo
desea, una lista de etiquetas para
asignarlas a los dispositivos en la segunda
columna.
Paso 2
Importe la lista de dispositivos.
Paso 3
152
1.
Vaya a la pestaa Dispositivos y haga clic en Importar.
2.
Introduzca la ruta y el nombre del archivo CSV o XLS que ha

creado, o bien, use Examinar para encontrarlo.
3.
Haga clic en ACEPTAR para importar la lista de dispositivos y

asocie la etiqueta Importados con los dispositivos, junto con
otras etiquetas que definiera para cada dispositivo dentro del
archivo.
En la pestaa Dispositivos, haga clic en Ver importados. Verifique

que el dispositivo que acaba de importar aparece en la lista. Tenga en
cuenta que los nmeros de serie para los que no especific un valor
En cuanto el dispositivo se inscribe en la
de etiqueta reciben solo la etiqueta importados, mientras que los
lista importada, las etiquetas que asoci al
nmeros de serie para los que especific uno o ms valores de
nmero de serie se asignarn
etiquetas contienen esas etiquetas, adems de la etiqueta importados:
automticamente al dispositivo.
Verifique que la importacin del
dispositivo se realiz correctamente.

Uno de los problemas de permitir el acceso de dispositivos mviles a sus recursos de empresa es la falta de
visibilidad del estado de los dispositivos y la informacin de identificacin necesaria para localizarlos, que
suponen una amenaza para su red y sus aplicaciones.
Use el Panel para ver informacin de los

dispositivos gestionados de un vistazo.
La pestaa Panel ofrece una serie de widgets que muestran

informacin acerca del estado del gestor de seguridad mvil, as
como informacin acerca de los dispositivos mviles que gestiona.
Puede definir qu widgets se muestran y la ubicacin de cada uno en
la pantalla. El panel le permite supervisar la informacin de los
dispositivos mviles en las siguientes categoras.
Tendencias de dispositivo: Muestra recuentos rpidos durante la
ltima semana de dispositivos inscritos y desapuntados,
dispositivos que no se registraron y el nmero diario total de
dispositivos en mantenimiento. Puede hacer clic en cada grfico
para ver estadsticas actualizadas minuto a minuto.
Resumen de dispositivo: Muestra grficos circulares que le
permiten ver la distribucin por modelo de los dispositivos
gestionados, modelo Android, modelo iOS y sistema operativo.
Cumplimiento de dispositivo: Le permite ver un recuento rpido
de los dispositivos que pueden suponer una amenaza, tales como
dispositivos infectados con software malintencionado,
dispositivos que no tienen un cdigo de acceso establecido o que
estn modificados o desbloqueados. Haga clic en un widget para
ver una lista de estadsticas detallada de los dispositivos que no
cumplen los requisitos
153
Supervisin de dispositivos mviles (Continuacin)
Use la pestaa Dispositivos para ver estadsticas La pestaa Dispositivos muestra informacin acerca de los
de dispositivos detalladas acerca de los
dispositivos que gestiona actualmente el gestor de seguridad mvil y
dispositivos gestionados (o gestionados
los dispositivos mviles que ha gestionado en el pasado.
previamente).
Consejos:
Seleccione un filtro predefinido de la lista
Filtros.
Introduzca a mano un filtro en el cuadro

de texto del filtro. Por ejemplo, para ver
todos los dispositivos Nexus, debera
introducir (model contains 'Nexus') y
hacer clic en el botn Aplicar filtro.
Modifique las columnas que se muestran
pasando el puntero del ratn por encima
del nombre de una columna y haciendo clic
en el icono de flecha hacia abajo.
Para realizar una accin en un dispositivo
o grupo de dispositivos, seleccione los
dispositivos y haga clic en el botn de
accin en la parte inferior de la mquina.
Para obtener ms informacin, consulte
Administracin de dispositivos remotos.
154
Desde la interfaz web del gestor de seguridad mvil, seleccione

Supervise los logs MDM para obtener
informacin sobre las actividades de los
Supervisar > Logs > MDM.
dispositivos, como registros, mensajes en la nube
y difusin de informes o puerta de enlace HIP. El
log MDM tambin le avisar de eventos de
gravedad, como que un dispositivo informe de un
estado modificado o desbloqueado. Asimismo, el
log MDM ofrece informacin de los usuarios de
dispositivos que se desconectan manualmente de
la VPN de GlobalProtect.
Haga clic en el icono de detalles de log

para ver el informe HIP
del dispositivo completo asociado con la entrada de log. El informe
HIP recopilado por el gestor de seguridad mvil es una versin
extendida del informe HIP, que incorpora informacin detallada,
incluyendo informacin de identificacin del dispositivo, como el
nmero de serie, el nmero de telfono (si se aplica) y el IMEI,
informacin del estado del dispositivo y una lista de todas las
aplicaciones instaladas en el dispositivo, que incluye una lista de las
aplicaciones consideradas portadoras de software malintencionado.
155
Supervise los logs de coincidencias HIP en el

Desde la interfaz web del gestor de seguridad mvil, seleccione

Supervisar > Logs > Coincidencias HIP. Haga clic en un
encabezamiento de columna para elegir las columnas que quiere ver.
Desde la interfaz web en el cortafuegos que aloja la puerta de enlace de

Supervise los logs de coincidencias HIP en la
puerta de enlace de GlobalProtect. En la puerta GlobalProtect, seleccione Supervisar > Logs > Coincidencias HIP.
de enlace, se genera un log de coincidencia HIP
cada vez que la puerta de enlace recibe un
informe HIP de un cliente de GlobalProtect que
cumple los criterios de un objeto HIP o perfil
HIP definido en la puerta de enlace. En la puerta
de enlace, se usan los perfiles HIP en la aplicacin
de polticas de seguridad para el trfico iniciado
por el cliente. O bien, supervise los logs de
coincidencias HIP en Panorama para obtener una
vista global de los datos de coincidencia HIP en
todas las puertas de enlace de GlobalProtect
gestionadas.
156
Examine los informes integrados o cree informes Seleccione Supervisar > Informes. Para ver los informes, haga clic
personalizados.
en los nombres de informes en la parte derecha de la pgina
(Informes de aplicacin, Informes de dispositivo e Informes de
El gestor de seguridad mvil proporciona
resumen en PDF).
diversos informes de las estadsticas de 50
dispositivos principales, bien del da anterior,
bien de un da seleccionado de la semana anterior.
De forma predeterminada, aparecen todos los
informes del da de calendario anterior. Para ver
informes de cualquiera de los das anteriores,
seleccione una fecha de creacin de informe en el
calendario de la parte inferior de la pgina.
Los informes aparecen en secciones. Puede
visualizar la informacin en cada informe del
perodo de tiempo seleccionado. Para exportar el
log en formato CSV, haga clic en Exportar a CSV.
Para abrir la informacin de log en formato PDF,
haga clic en Exportar a PDF. Los archivos en
PDF se abren en una nueva ventana. Haga clic en
los iconos en la parte superior de la ventana para
imprimir o guardar el archivo.
Supervise el ACC en el cortafuegos que aloja la Desde la interfaz web del cortafuegos que aloja la puerta de enlace
de GlobalProtect, seleccione ACC y consulte la seccin
puerta de enlace de GlobalProtect. O bien,
supervise el ACC en Panorama para obtener una Coincidencias HIP.
vista global de los datos de coincidencia HIP en
todas las puertas de enlace de GlobalProtect
gestionadas.
157

Una de las funciones ms potentes del Gestor de seguridad mvil de GlobalProtect es la capacidad de
administrar dispositivos gestionados (en cualquier lugar del mundo) enviando notificaciones push mediante
OTA (over-the-air). Para dispositivos iOS, el gestor de seguridad mvil enva mensajes a travs del servicio
Notificaciones Push de Apple (APN). Para dispositivos Android, el gestor de seguridad mvil enva mensajes a
travs de Mensajera de Google Cloud (GCM). De este modo, puede reaccionar rpidamente si duda de la
seguridad de un dispositivo o si un empleado abandona su organizacin y quiere asegurarse de que se ha
deshabilitado el acceso al sistema de su empresa. Tambin sirve para enviar un mensaje especfico a un grupo
de usuarios de dispositivos mviles.
Interaccin con dispositivos
Reaccin ante la prdida o sustraccin de un dispositivo
Eliminacin de dispositivos
Interaccin con dispositivos

Siempre que quiera interactuar con un dispositivo mvil, seleccione el dispositivo mvil o grupo de dispositivos
de la pestaa Dispositivos y, a continuacin, haga clic en uno de los botones de la parte inferior de la pgina,
como se describe a continuacin:
Realizacin de una accin en un dispositivo remoto
Paso 1
Seleccione los dispositivos con los que

quiere interaccionar.
1.
Seleccione la pestaa Dispositivos.
2.
Seleccione los dispositivos con los que interaccionar de uno de

estos modos:
Seleccione un filtro predefinido de la lista Filtros. Puede
seleccionar varios filtros para mostrar una vista personalizada
de los dispositivos mviles inscritos en el gestor de seguridad
mvil.
Introduzca a mano un filtro en el cuadro de texto del filtro.
Por ejemplo, para ver todos los dispositivos Nexus que
ejecutan Android 4.1.2, debera introducir (model contains
'Nexus') y (os-version eq '4.1.2') y, a continuacin,
hacer clic en el botn Aplicar filtro. Tambin puede aadir
filtros al cuadro de texto haciendo clic en un campo en una
de las entradas de dispositivos. Por ejemplo, al hacer clic en
una entrada de Android en la columna OS, se aadir
automticamente el filtro (os eq 'android').
Para crear un filtro mediante la interfaz de usuario, haga clic
en el botn Aadir filtro, cree el filtro aadiendo pares de
valores de atributos, separados por operadores, y haga clic en
para aplicar el filtro.
158
Realizacin de una accin en un dispositivo remoto (Continuacin)
Paso 2
Seleccione una accin.
Haga clic en uno de los botones de la parte inferior de la pantalla para

realizar la accin correspondiente en los dispositivos seleccionados.
Por ejemplo:
Para enviar un mensaje a los usuarios finales propietarios de los
dispositivos seleccionados, haga clic en Mensaje, introduzca el
Cuerpo del mensaje y, a continuacin, haga clic en ACEPTAR.
Para solicitar el registro de un dispositivo, por ejemplo en una lista
filtrada de dispositivos que no se han registrado el da anterior
(last-checkin-time leq '2013/09/09'), seleccione los
dispositivos y, a continuacin, haga clic en Registro para enviar
una notificacin push a los dispositivos que lo soliciten el registro
con el gestor de seguridad mvil.
Para desbloquear un dispositivo mvil de forma remota (por
ejemplo, si el usuario final ha olvidado el cdigo de acceso),
seleccione el dispositivo y haga clic en Desbloquear. El
dispositivo se desbloquear y se le pedir al usuario que defina un
nuevo cdigo de acceso.
Reaccin ante la prdida o sustraccin de un dispositivo

Si un usuario final informa de la prdida o sustraccin de un dispositivo gestionado, debe reaccionar
inmediatamente para proteger los datos del dispositivo. Seleccione el dispositivo en la pestaa Dispositivos y, a
continuacin, lleve a cabo una de las siguientes acciones en funcin de la situacin:
Proteccin de un dispositivo perdido o sustrado
Bloquee el dispositivo.
Tan pronto como un usuario le informe de la prdida o sustraccin

de un dispositivo, debe bloquear el mismo para garantizar que los
datos que contiene no acaben en manos de quien no deben.
Seleccione el dispositivo y haga clic en Bloquear para bloquear el
dispositivo inmediatamente. Para acceder a las aplicaciones y a los
datos del dispositivo, el usuario del mismo debe volver a introducir
el cdigo de acceso.
Trate de localizar el dispositivo.
Seleccione el dispositivo y haga clic en Localizar para que emita una

alarma.
Elimine el acceso a sistemas corporativos y borre Si cree que el dispositivo puede estar en posesin de alguien que no
los datos corporativos.
es de confianza, pero el usuario no quiere que borre sus datos
personales, puede hacer el clic en Borrado selectivo.
Se eliminarn todos los perfiles que permitieron el acceso a sus
sistemas corporativos y las aplicaciones enviadas al dispositivo desde
el gestor de seguridad mvil, incluido cualquier dato asociado a esas
aplicaciones. La accin Borrado selectivo conserva en el dispositivo
las configuraciones y las aplicaciones que no fueron enviadas desde
159
Proteccin de un dispositivo perdido o sustrado (Continuacin)
Borre todos los datos del dispositivo. Este

procedimiento se denomina borrado porque
elimina todos los datos del dispositivo, no solo el
acceso a los sistemas de la empresa.
Para proteger tanto los datos de la empresa en el dispositivo como

los datos personales del usuario, el usuario final puede solicitarle que
borre todos los datos del dispositivo. Para ello, seleccione el
dispositivo y haga clic en Borrar.
Eliminacin de dispositivos
Aunque los usuarios finales pueden desapuntarse manualmente de la aplicacin del Gestor de seguridad mvil
de GlobalProtect, como administrador tambin puede desapuntar dispositivos mediante OTA. Esta opcin es
til cuando un empleado ha abandonado la empresa sin desapuntar su dispositivo personal del gestor de
seguridad mvil. Para desapuntar dispositivos, seleccione los dispositivos que quiere eliminar en la pestaa
Dispositivos y siga una de las dos opciones siguientes:
Eliminacin de dispositivos desde gestin
Desapuntar dispositivos.
Para eliminar un dispositivo del gestor de seguridad mvil de

GlobalProtect sin borrar su entrada en el gestor, seleccione el
dispositivo y haga clic en Desapuntar. Es una buena opcin si el
usuario final sigue trabajando en su empresa, pero el dispositivo va a
dejar de estar gestionado permanente o temporalmente. Al dejar la
entrada del dispositivo en el gestor, podr seguir viendo la
informacin del dispositivo, incluyendo el historial de logs de
coincidencia HIP, informes y estadsticas del dispositivo.
Eliminar dispositivos.
Para eliminar un dispositivo mvil de la gestin y eliminar su entrada

en el gestor de seguridad mvil, seleccione el dispositivo y haga clic
en Eliminar. Es una buena opcin si quiere limpiar la base de datos
y eliminar entradas de usuarios que ya no pertenecen a la empresa o
eliminar los dispositivos que han sido reemplazados. No obstante,
tenga en cuenta que esta accin eliminar el dispositivo de la base de
datos de forma permanente. Asimismo, si el dispositivo est inscrito
en el momento de realizar la eliminacin, el dispositivo se
desapuntar y despus el registro se eliminar de la base de datos del
160
Creacin de polticas de seguridad para aplicacin de trfico

de dispositivos mviles
Creacin de polticas de seguridad para aplicacin de

trfico de dispositivos mviles
Las polticas de implementacin que crea en el Gestor de seguridad mvil de GlobalProtect ofrecen
aprovisionamiento de cuentas simplificado para que los usuarios de dispositivos mviles puedan acceder a las
aplicaciones de la empresa. Aunque tiene un control granular de la asignacin de polticas a los usuarios, que
controlan a qu aplicaciones tienen acceso (basadas en usuario/grupo o cumplimiento del dispositivo), el gestor
de seguridad mvil no proporciona aplicacin de trfico del trfico de dispositivos mviles. Mientras que la
puerta de enlace de GlobalProtect ya cuenta con la capacidad de aplicar polticas de seguridad para usuarios de
la aplicacin de GlobalProtect, la oferta de informacin de coincidencias HIP para dispositivos mviles es un
tanto limitada. Sin embargo, dado que el gestor de seguridad mvil recopila de forma exhaustiva datos HIP de
los dispositivos que gestiona (aprovechando los datos HIP que recopila el gestor de seguridad mvil), puede
crear polticas de seguridad granulares en sus puertas de enlace de GlobalProtect que le permitan tener en cuenta
el cumplimiento del dispositivo y las etiquetas del gestor de seguridad mvil. Por ejemplo, podra crear una
poltica de seguridad en la puerta de enlace que permita a los dispositivos mviles con la etiqueta "dispositivo
de la empresa" acceder sin restricciones a su red y proporcionar una segunda poltica de seguridad a los
dispositivos mviles con la etiqueta "dispositivo personal" para acceder solamente a Internet.
Creacin de polticas de seguridad para dispositivos gestionados en la puerta de enlace GlobalProtect
Paso 1
Configure las puertas de enlace de

GlobalProtect para recuperar informes
HIP desde el gestor de seguridad mvil.
Consulte las instrucciones detalladas de Configuracin del acceso de

puerta de enlace al gestor de seguridad mvil.
Aunque el valor de Puerto de

conexin se puede configurar en la
puerta de enlace, el gestor de
seguridad mvil requiere que defina
el valor a 5008. La opcin para
configurar este valor se proporciona
para habilitar la integracin con
soluciones MDM de terceros.
161
Creacin de polticas de seguridad para aplicacin de

trfico de dispositivos mviles
Creacin de polticas de seguridad para dispositivos gestionados en la puerta de enlace GlobalProtect
Paso 2
Consulte las instrucciones detalladas de Agrupacin de dispositivos

(Opcional) En el gestor de seguridad
mvil, defina las etiquetas que quiere usar por etiqueta para simplificar la administracin de dispositivos.
para la aplicacin de la poltica de
seguridad en la puerta de enlace y
asgnelas a los dispositivos mviles
gestionados.
Paso 3
En las puertas de enlace de

GlobalProtect, cree los objetos HIP y
perfiles HIP que necesitar para la
aplicacin de polticas de trfico de
dispositivos mviles.
Paso 4
Adjunte el perfil HIP a la poltica de

seguridad y, a continuacin, Compile los
cambios en la puerta de enlace.
162
Consulte las instrucciones detalladas de Configuracin de la

aplicacin de polticas basadas en HIP.
Gestin de datos y aplicaciones

comerciales con una tienda de
aplicaciones empresariales
Puede ampliar la gestin de sus dispositivos mviles inscritos en GlobalProtect para gestionar aplicaciones,
cuentas y datos comerciales. Use el Gestor de seguridad mvil de GlobalProtect para aprobar aplicaciones para
sus usuarios con fines comerciales, poner a disposicin de los usuarios una tienda de aplicaciones empresariales
desde la que puedan explorar e instalar las aplicaciones comerciales y aislar datos comerciales en dispositivos
mviles para aplicaciones y cuentas comerciales.
Los siguientes temas describen cmo configurar una tienda de aplicaciones empresariales, de modo que pueda
habilitar un acceso seguro a las mismas y el uso de recursos comerciales en dispositivos mviles, y cmo usar el
gestor de seguridad mvil para gestionar aplicaciones y datos comerciales:
Descripcin general de la tienda de aplicaciones empresariales
Conceptos de la tienda de aplicaciones empresariales
Adicin de aplicaciones gestionadas
Configuracin de la tienda de aplicaciones
Gestin y supervisin de aplicaciones
Aislamiento del trfico comercial
Aislamiento de datos comerciales
Habilitacin del modo de aplicacin nica
163
Descripcin general de la tienda de aplicaciones

empresariales
Gestin de datos y aplicaciones comerciales con una

tienda de aplicaciones empresariales
Descripcin general de la tienda de aplicaciones

empresariales
Use una tienda de aplicaciones comerciales para distribuir aplicaciones comerciales a sus usuarios, lo que les
permitir acceder a recursos comerciales de forma segura a travs de sus dispositivos mviles y protegiendo al
mismo tiempo los datos comerciales. Aada aplicaciones empresariales, aplicaciones de la tienda App Store de
Apple, aplicaciones de Google Play o aplicaciones adquiridas para grupos de usuarios a travs del Programa de
compras por volumen de Apple (PCV) como aplicaciones que aprueba para su uso como recursos comerciales
gestionados en dispositivos mviles. Antes de distribuir las aplicaciones a sus usuarios, configure los ajustes que
se establecer en la aplicacin y los datos de aplicaciones en los dispositivos mviles para garantizar que las
aplicaciones comerciales se usen cumpliendo sus estndares de seguridad. Puede proteger los datos comerciales
limitndolos a las aplicaciones y cuentas comerciales en dispositivos mviles, mientras que los datos personales
de los usuarios siguen siendo privados y permanecen separados. Enve Aplicaciones gestionadas a los usuarios,
asignando las aplicaciones a usuarios seleccionados o a grupos ms amplios, a travs de la implementacin de
polticas. Los usuarios recibirn las Aplicaciones requeridas y opcionales asignadas al registrar el dispositivo.
Los usuarios pueden explorar e instalar las aplicaciones asignadas desde la aplicacin GlobalProtect.
La aplicacin GlobalProtect tanto para iOS como para Android tiene un nuevo icono en la barra de mens en
la que los usuarios pueden hacer clic para acceder a la tienda de aplicaciones empresariales. Las siguientes
imgenes muestran la tienda de aplicaciones empresariales tal y como se muestran en la aplicacin GlobalProtect
para un usuario de iOS (izquierda) y un usuario de Android (derecha).
El gestor de seguridad mvil le ofrece una visibilidad y un control continuo de las aplicaciones, cuentas y datos
comerciales en los dispositivos donde est instalado, y le permite al mismo tiempo preservar la intimidad de los
usuarios y la experiencia mvil nativa.
La creacin de una tienda de aplicaciones empresariales en el gestor de seguridad mvil incluye los siguientes
pasos y opciones:
164
Adicin de una aplicacin empresarial. Puede incluir la personalizacin de la aplicacin desarrollada

internamente.

una tienda de aplicaciones empresariales
Descripcin general de la tienda de aplicaciones empresariales
Adicin de aplicaciones de Google Play o Apple, adems de establecer como requisito que estn
gestionadas para que se puedan usar con fines comerciales desde un dispositivo mvil.
Adiciones de aplicaciones del PCV como aplicaciones gestionadas para sincronizar su cuenta del PCV con
el gestor de seguridad mvil, lo que le permite comprar y, a continuacin, distribuir aplicaciones a grupos
de usuarios.
Aislamiento del trfico comercial y Aislamiento de datos comerciales para proteger y contener los datos
comerciales en aplicaciones y cuentas comerciales. Los datos personales y el trfico de red pueden
funcionar por separado y de forma privada.
Configuracin de la tienda de aplicaciones para distribuir aplicaciones gestionadas a los usuarios asignados.
Gestin y supervisin de aplicaciones instaladas en dispositivos mviles. Puede incluir la habilitacin de

actualizaciones automticas para aplicaciones, la visualizacin del estado de las aplicaciones gestionadas en
los dispositivos mviles y si estn o no incluidas en polticas, as como la visualizacin de las aplicaciones
gestionadas instaladas en dispositivos y las instaladas pero no gestionadas. Tambin puede Gestin de los
recursos del PCV desde el gestor de seguridad mvil para administrar licencias de aplicaciones.
165


Consulte los siguientes temas para conocer los conceptos de la tienda de aplicaciones de GlobalProtect:
Aplicaciones gestionadas
Aplicaciones requeridas y opcionales
Programa de compras por volumen de Apple (PCV)
Aplicaciones gestionadas
Una aplicacin gestionada es una aplicacin que tiene como requisito o recomendacin por su parte el ser
gestionada por el gestor de seguridad mvil para que sus usuarios puedan utilizar de forma segura con fines
comerciales en sus dispositivos mviles. Puede asignar aplicaciones gestionadas a usuarios, grupos o dispositivos
especficos, o bien distribuirlas cmodamente a un grupo ms amplio de usuarios. El administrador de la red
comunica de manera explcita la condicin de aplicacin gestionada a los usuarios; la primera vez que enve una
aplicacin requerida a un dispositivo, el usuario ver un mensaje que le solicitar reconocimiento y confirmacin
de la instalacin de la aplicacin como aplicacin gestionada.
Puede aadir aplicaciones empresariales, aplicaciones pblicas (de la tienda App Store de Apple o Google Play)
o aplicaciones compradas (del Programa de compras por volumen de Apple (PCV)) como aplicaciones
gestionadas. Aada aplicaciones gestionadas al gestor de seguridad mvil que quiere usar como herramienta
comercial o que cree que tiene probabilidades de ser usada para productividad y colaboracin ocupacional o
educativa. Gestionar las aplicaciones que aade al gestor de seguridad mvil permite proteger los datos
corporativos contenidos o compartidos entre las aplicaciones usadas con fines comerciales.
Tras aadir una aplicacin gestionada al gestor de seguridad mvil, puede:
Asignar la aplicacin a los usuarios
Actualizar la aplicacin a la ltima versin
Agrupar la aplicacin con otras aplicaciones para enviarlas fcilmente a los usuarios con la misma
configuracin de seguridad
Configurar la aplicacin para enrutar todo el trfico a travs de su VPN corporativa
Evitar que la aplicacin haga copias de seguridad de los datos en iCloud o iTunes
Permitir que la aplicacin comparta datos solamente con otras aplicaciones y cuentas gestionadas
Permitir que la aplicacin abra datos solamente de otras aplicaciones y cuentas gestionadas
Revocar el uso de la aplicacin por parte de usuario o dispositivo
Adems, designar las aplicaciones como gestionadas le permite distinguir de manera efectiva y aplicar de manera
apropiada diferentes tratamientos a las aplicaciones que no estn gestionadas en el dispositivo de un usuario. Las
aplicaciones instaladas en dispositivos inscritos que no estn gestionados se identifican como aplicaciones no
gestionadas. Puede elegir excluir la recopilacin de datos de aplicaciones no gestionadas o borrar un dispositivo
de manera selectiva para eliminar la configuracin y las aplicaciones corporativas dejando intactas las
166

aplicaciones y configuraciones personales. La distincin entre aplicaciones gestionadas (aplicaciones

comerciales) y no gestionadas (aplicaciones personales) permite proteger las aplicaciones gestionadas y aislar los
datos de las mismas sin interferir en los datos personales.
Empiece por Adicin de aplicaciones gestionadas.
Aplicaciones requeridas y opcionales

Puede designar una aplicacin gestionada como obligatoria u opcional. Las aplicaciones definidas como
obligatorias se instalan automticamente en el dispositivo durante el registro del mismo. La primera vez que se
enva una aplicacin obligatoria a un dispositivo, se solicita al usuario que reconozca y confirme la instalacin
de la aplicacin como una aplicacin gestionada por el administrador de la red. Los usuarios pueden abrir la
aplicacin GlobalProtect y seleccionar Obligatorias para mostrar las aplicaciones obligatorias que tienen
asignadas e instaladas en sus dispositivos mviles. En las siguientes imgenes se muestra el men Obligatorias
como seleccionado en la aplicacin GlobalProtect para iOS (izquierda) y Android (derecha):
Defina una aplicacin como obligatoria para especificar que debe estar gestionada en un dispositivo mvil para
que accedan a recursos corporativos y para usarlos de forma colaborativa para trabajar. Si se instala una versin
no gestionada de una aplicacin obligatoria en un dispositivo gestionado, puede avisar al usuario para que
elimine la versin no gestionada de la aplicacin y que pueda as instalar la versin comercial gestionada
correctamente (seleccione Configuracin > Configuracin > Servidor > Configuracin de notificaciones de
cuentas/aplicaciones gestionadas). La versin gestionada de la aplicacin no se instalar hasta que se elimine la
versin no gestionada de la misma. Cuando el usuario elimine la versin no gestionada de la aplicacin, se
instalar automticamente la versin gestionada de la misma la prxima vez que se registre el dispositivo.
Tambin puede seleccionar que una aplicacin gestionada sea opcional para sus usuarios. Las aplicaciones
opcionales no se instalan automticamente en los dispositivos inscritos. Los usuarios pueden abrir la aplicacin
GlobalProtect y seleccionar Opcionales para examinar las aplicaciones opcionales recomendadas para ellos y
elegir las que quieren instalar en su dispositivo mvil. En las siguientes imgenes se muestra el men Opcionales
como seleccionado en la aplicacin GlobalProtect para iOS (izquierda) y Android (derecha):
Defina una aplicacin como opcional para sus usuarios para recomendrsela como recurso comercial.
167

Programa de compras por volumen de Apple (PCV)

El Programa de compras por volumen de Apple (PCV) es un servicio ofrecido por Apple que permite comprar
aplicaciones en grandes cantidades. Puede sincronizar su cuenta de PCV con el gestor de seguridad mvil para
distribuir rpida y fcilmente los recursos adquiridos usando el PCV. Las aplicaciones del PCV pueden asignarse
y enviarse a usuarios como aplicaciones gestionadas, al igual que con cualquier aplicacin de Apple, Google Play
u otras aplicaciones empresariales gestionadas. El usuario puede ver e instalar recursos del PCV, junto con otras
aplicaciones aprobadas, en la tienda de aplicaciones de GlobalProtect del dispositivo gestionado. Para
sincronizar su cuenta del PCV con el gestor de seguridad mvil para aadir compras del PCV como aplicaciones
gestionadas, consulte Adiciones de aplicaciones del PCV como aplicaciones gestionadas.
168


Para distribuir aplicaciones a sus usuarios, primero aada como Aplicaciones gestionadas las aplicaciones que
quiere aprobar para sus usuarios. Consulte los siguientes temas para aadir aplicaciones empresariales, pblicas
(App Store de Apple o Google Play) o adquiridas en el Programa de compras por volumen de Apple (PCV):
Adicin de una aplicacin empresarial
Adicin de aplicaciones de Google Play o Apple
Adiciones de aplicaciones del PCV como aplicaciones gestionadas
Adicin de una aplicacin empresarial

Aada y personalice una aplicacin empresarial, para que pueda distribuirse a sus usuarios en la tienda de
aplicaciones de GlobalProtect. La creacin de una aplicacin empresarial incluye la importacin del archivo
binario de la aplicacin en el gestor de seguridad mvil y la personalizacin y descripcin de la aplicacin para
la tienda de aplicaciones.
Creacin de una aplicacin empresarial para iOS o Android
Paso 1
Busque el archivo binario de la aplicacin.
Asegrese de que se puede acceder al archivo binario de la aplicacin

empresarial que quiere aadir para importarlo en el gestor de seguridad
mvil o de que conoce la URL del binario de la aplicacin:
Guarde el archivo binario de la aplicacin en su sistema local para que
se pueda importar fcilmente en el gestor de seguridad mvil.
Si el archivo binario de la aplicacin se almacena en un servidor
externo, puede hacer referencia a la URL del binario de la aplicacin.
El dispositivo mvil al que enve la aplicacin se descargar la
aplicacin directamente de la URL binaria de la aplicacin.
169

Creacin de una aplicacin empresarial para iOS o Android (Continuacin)
Paso 2
Aada la aplicacin empresarial al gestor de 1.

seguridad mvil.
En su gestor de seguridad mvil, seleccione Aplicaciones >

Tienda y haga clic en Aadir.
2.
Introduzca un Nombre descriptivo para la aplicacin. Este nombre

sirve para que el administrador pueda identificar fcilmente la
aplicacin cuando la aada a los perfiles y polticas de
configuracin. No es el nombre de la aplicacin, ya que se mostrar
en la tienda de aplicaciones de GlobalProtect (para aplicaciones
iOS, el nombre de la aplicacin mostrado en la tienda de
aplicaciones se extrae del archivo binario de la aplicacin. Para
aplicaciones Android, debe aadir el nombre de la aplicacin
manualmente, como se describe en el siguiente paso).
3.
Seleccione la pestaa Aplicacin empresarial e introduzca los

Detalles de la aplicacin:
a. Seleccione el sistema operativo de la aplicacin (iOS o
Android).
b. Cargue el archivo binario de la aplicacin empresarial.
Si la aplicacin se guarda en su sistema local, busque y
seleccione el binario de la aplicacin.
Si el archivo binario de la aplicacin se guarda externamente,
seleccione Servidor externo e introduzca la URL del binario
de la aplicacin. Cuando enve esta aplicacin a un
dispositivo, se instalar directamente desde la URL que indique
aqu.
c. (Solo aplicaciones Android) Introduzca el Nombre pblico que
quiere que muestre la aplicacin en la tienda de aplicaciones
empresariales, el Nombre del paquete de la aplicacin y la
Versin de la aplicacin.
Al importar el archivo binario de la aplicacin, estos
campos se rellenan automticamente en el caso de
aplicaciones para iOS.
d. (Opcional) Introduzca el Nombre del desarrollador y la
Categora de la aplicacin. Puede categorizar la aplicacin para
que su uso previsto sea an ms fcil de identificar para los
usuarios (por ejemplo, "Consulta" o "Comunicacin").
170

Creacin de una aplicacin empresarial para iOS o Android (Continuacin)
Paso 3
(Opcional) Personalice el aspecto y los

detalles de la aplicacin para la tienda de
aplicaciones.
Siga en la pestaa Aplicacin empresarial y seleccione la pestaa

secundaria Metadatos de la aplicacin.
(Solo para Android) Examine y seleccione un Icono de aplicacin

con el que se mostrar la aplicacin en la tienda de aplicaciones
Puede modificar el aspecto y los
empresariales.
detalles de una aplicacin
empresarial existente en cualquier Introduzca una Descripcin de la aplicacin que ayude a los usuarios
momento completando este paso y
a comprender cmo pueden usar la aplicacin o las funciones que
compilando los cambios.
ofrece. La descripcin se muestra debajo de Detalles de la aplicacin.
Si est modificando una aplicacin empresarial existente, puede
introducir actualizaciones en Novedades de la aplicacin desde la
versin anterior.
Aada Capturas de pantalla de la aplicacin para resaltar las
funciones de la misma o mostrar su aspecto a los usuarios. Puede
aadir capturas de pantalla de acuerdo con el tipo de pantalla para el
que estn diseadas:
(Aplicaciones para iOS) Aada capturas de pantalla para una
pantalla Retina de 3,5 pulgadas, una pantalla Retina de
4 pulgadas y un iPad (se aplica tanto a iPad como iPad Mini).
(Android) Aada capturas de pantalla diseadas para un
telfono Android, una tableta de 7 pulgadas o una tableta
de 10 pulgadas.
Paso 4
Guarde la aplicacin empresarial.
Haga clic en Aadir y Compile la configuracin.

La aplicacin empresarial recin creada se muestra en la pgina
Tienda > Aplicaciones como aplicacin gestionada.
Paso 5
Distribuya su aplicacin empresarial a los Configuracin de la tienda de aplicaciones.

dispositivos de los usuarios.
171

Adicin de aplicaciones de Google Play o Apple

Puede aadir aplicaciones disponibles pblicamente en la tienda App Store de Apple o en Google Play al gestor de
seguridad mvil como Aplicaciones gestionadas. Aadir aplicaciones pblicas como aplicaciones gestionadas le
permite distribuir aplicaciones que se usan con frecuencia con fines comerciales (aplicaciones de Box o de Salesforce,
por ejemplo) a sus usuarios, protegiendo al mismo tiempo las aplicaciones y datos corporativos a los que acceden las
aplicaciones. Siga este procedimiento para aadir una aplicacin pblica al gestor de seguridad mvil como aplicacin
gestionada.
Adicin de una aplicacin de la tienda App Store de Apple o de Google Play
Paso 1
Seleccione aplicaciones pblicas para

aadirlas como aplicaciones gestionadas.
1.
Seleccione Tienda > Aplicaciones y haga clic en Aadir.
2.
Introduzca un Nombre descriptivo para la aplicacin.

Use este nombre cuando aada la aplicacin a los perfiles o
polticas de configuracin. El nombre de la aplicacin en la
tienda App Store de Apple o Google Play es el nombre que
vern tambin los usuarios.
3.
4.
Seleccione la pestaa App Store de Apple/Google Play.

Introduzca una URL de aplicacin en App Store de Apple o
Google Play.
Tambin puede seleccionar los enlaces de la tienda App Store de

Apple y Google Play para buscar la URL de la aplicacin.
5.
Haga clic en Aadir.
Paso 2
Guarde la aplicacin gestionada de la tienda Compile la configuracin.

App Store de Apple o de Google Play
Seleccione Tienda > Aplicaciones y vea la lista de aplicaciones
empresariales y pblicas gestionadas.
Paso 3
Aplique la configuracin de seguridad a la

aplicacin pblica y asgnela a los
dispositivos de los usuarios de la tienda de
aplicacin.
Configuracin de la tienda de aplicaciones.
Adiciones de aplicaciones del PCV como aplicaciones gestionadas

Puede usar el Programa de compras por volumen de Apple (PCV) para comprar aplicaciones en grandes
cantidades y luego usar el gestor de seguridad mvil para distribuirlas a sus usuarios como Aplicaciones
gestionadas. Al enviar una aplicacin del PCV a un dispositivo por primera vez, Apple solicita al usuario que se
registre y se inscriba en Apple usando un ID de Apple. El ID de Apple del usuario se registra en el servicio PCV
de Apple y no es visible para los administradores del gestor de seguridad mvil. Cuando el usuario ha iniciado
sesin y se ha registrado correctamente en el servicio PCV usando un ID de Apple, el dispositivo inscrito puede
recibir recursos del PCV asignado durante el registro del dispositivo. Las aplicaciones del PCV se envan al
dispositivo directamente desde la tienda App Store de Apple.
Los siguientes temas describen cmo sincronizar sus compras en el PCV con el gestor de seguridad mvil y
luego continuar administrando las aplicaciones del PCV:
Sincronizacin de los recursos del PCV de Apple con el gestor de seguridad mvil
Gestin de los recursos del PCV desde el gestor de seguridad mvil
172

Siga este procedimiento para permitir que las compras realizadas con sus cuentas del PCV se sincronicen con
el gestor de seguridad mvil. Tras esto, podr distribuir fcilmente a sus usuarios las compras realizadas en
grandes cantidades.
Vaya a la pgina del programa de implementacin de Apple

(https://deploy.apple.com/qforms/web/index/avs) e inscrbase
Para la inscripcin en el PCV se requiere
en el Programa de compras por volumen.
un ID de Apple, adems de proporcionar
detalles de la organizacin a Apple,
incluido el nmero D-U-N-S de su
organizacin.
Paso 1
Inscriba su organizacin en el PCV.
Paso 2
Obtenga un token del PCV.
Paso 3
Sincronice su cuenta del PCV con el gestor 1.

de seguridad mvil
La tienda del PCV ofrece una interfaz web para la integracin con
MDM. Una vez haya iniciado sesin en la tienda del PCV, vaya a
Resumen de la cuenta y descargue un token para enlazar el gestor de
seguridad mvil con su cuenta de PCV.
2.
3.
Seleccione Configuracin > Configuracin > Servidor y la

seccin Programa de compras por volumen de Apple.
Seleccione Programa de compras por volumen.
Importe el token de PCV que ha descargado de Apple en el
Paso 2.
La poltica de Apple requiere un nuevo token una vez al
ao.
Paso 4
Invite a los usuarios a inscribirse en el PCV. 1.

Se recomienda este paso para
inscribir a un gran nmero de
usuarios al mismo tiempo. No
obstante, a los usuarios que no estn 2.
inscritos en el PCV se les solicitar 3.
que se inscriban la primera vez que
se les enve una aplicacin del PCV,
momento en el cual podrn
inscribirse para continuar recibiendo
recursos del PCV.
En la pestaa Dispositivos, seleccione la casilla de verificacin

situada ms arriba para invitar a todos los dispositivos gestionados
a que se inscriban en el PCV, o bien aplique un filtro y seleccione
dispositivos especficos para que se inscriban en el PCV.
Seleccione Acciones y haga clic en Invitar al PCV.
Se enva una notificacin push a la aplicacin GlobalProtect en los
dispositivos seleccionados, mediante la que se invita a los usuarios a
inscribirse en el PCV.
Paso 5
Aplique la configuracin de seguridad a las Configuracin de la tienda de aplicaciones.

aplicaciones del PCV y distribyalas a los
usuarios de la tienda de aplicaciones.
Paso 6
Supervise y gestione las aplicaciones

del PCV.
Gestin de los recursos del PCV desde el gestor de seguridad

mvil.
173


Tras la Adiciones de aplicaciones del PCV como aplicaciones gestionadas, puede supervisar y gestionar todas
las aplicaciones del PCV que ha asignado a los usuarios directamente desde el gestor de seguridad mvil.
Revoque el uso de la aplicacin por parte de usuario o dispositivo, solicite que los nuevos usuarios se inscriban
en el PCV o desapunte a los usuarios que no deban seguir recibiendo recursos del PCV (por ejemplo, si
abandonan la empresa o estn inactivos).
Vea sus recursos y detalles de licencia del PCV.
Seleccione Tienda > Programa de compras por volumen de Apple

para ver sus compras de la aplicacin PCV. Esta pgina muestra el
Nmero de licencias adquiridas, la cantidad de Licencias disponibles
para asignarlas a los usuarios y cuntas licencias hay en uso para cada
aplicacin del PCV (Licencias canjeadas).
Revoque el uso de la aplicacin por parte de usuario 1.

o dispositivo especficos.
Seleccione Tienda > Programa de compras por volumen de

Apple y seleccione la aplicacin que quiere revocar para un usuario
o dispositivo.
2.
Haga clic en Devolver licencia para mostrar una ventana

emergente donde se enumeran todos los usuarios y dispositivos a
los que se ha asignado la aplicacin.
3.
Seleccione el usuario o dispositivo al que quiere revocar la licencia

de la aplicacin y haga clic en Devolver licencia.
4.
Al devolver la licencia de la aplicacin, Apple enva una notificacin

al dispositivo para indicarle que dispone de un periodo de gracia de
30 das durante el cual podr seguir usando la aplicacin, guardar
cualquier dato o adquirir una copia personal de la aplicacin.
5.
Asegrese de que la aplicacin no se vuelve a asignar al mismo

usuario durante el siguiente registro del dispositivo eliminando la
aplicacin de la poltica implementada al usuario.
a. Seleccione Polticas > Configuracin > iOS y seleccione el
perfil de configuracin asociado al usuario en la poltica
implementada.
b. En la pestaa Aplicaciones, elimine la aplicacin que quiere
revocar al usuario y haga clic en ACEPTAR.
6.
Invite a los usuarios seleccionados a inscribirse en el 1.
PCV independientemente de la implementacin de
la poltica.
2.
3.
Revoque al usuario el acceso y el uso de todos los 1.
recursos del PCV.
174
Compile la configuracin.
En la pestaa Dispositivos, seleccione los dispositivos que podrn

recibir los recursos del PCV.
Seleccione Acciones y haga clic en Invitar al PCV para enviar
notificaciones push a los usuarios para invitarles a inscribirse en el
PCV de Apple.
En la pestaa Dispositivos, seleccione los dispositivos que ya no
podrn acceder a los recursos del PCV.
2.
Seleccione Acciones y haga clic en Revocar PCV.
3.


Use el gestor de seguridad mvil para configurar la tienda de aplicaciones empresariales. La configuracin de la
tienda de aplicaciones incluye aadir aplicaciones gestionadas a los perfiles y ajustes de configuracin para
proteger las aplicaciones comerciales gestionadas y los datos de aplicaciones en los dispositivos gestionados.
Despus de aadir aplicaciones gestionadas a un perfil de configuracin, puede asignar y enviar aplicaciones
gestionadas a usuarios especficos o a un nmero amplio de usuarios usando la implementacin de polticas de
GlobalProtect. Las aplicaciones gestionadas se presentan a los usuarios en la tienda de aplicaciones
empresariales en la aplicacin GlobalProtect.
Use el siguiente procedimiento para configurar su tienda de aplicaciones como una ubicacin centralizada para
que pueda distribuir aplicaciones comerciales gestionadas a los usuarios y que estos puedan examinar e instalar
las aplicaciones que se les han asignado.
Configuracin de su tienda de aplicaciones
Paso 1
Seleccione la pestaa Tienda para ver sus aplicaciones gestionadas o

Asegrese de que las aplicaciones que
quiere distribuir a los usuarios en la
para la Adicin de aplicaciones gestionadas.
tienda de aplicaciones se aadan al gestor
de seguridad mvil como aplicaciones
gestionadas.
Paso 2
Cree un grupo de aplicaciones.

Puede agrupar las aplicaciones para
aadirlas fcilmente a un perfil de
configuracin.
Resulta til si quiere enviar varias
aplicaciones a varios usuarios al mismo
tiempo y las aplicaciones requieren la
misma configuracin.
1.
Seleccione Tienda > Grupos de aplicaciones y haga clic en

Aadir.
2.
Dele al grupo de aplicaciones un nombre descriptivo.
3.
De entre sus aplicaciones gestionadas, seleccione cualquier

aplicacin empresarial, aplicaciones de la tienda App Store de
Apple, aplicaciones de Google Play o compras del PCV
disponibles para incluirlas en un grupo de aplicaciones.
4.
Si un grupo de aplicaciones
contiene aplicaciones tanto de iOS
como de Android, las aplicaciones
se envan en funcin del sistema
operativo del dispositivo: Las
aplicaciones de Android se envan
a dispositivos Android y las
aplicaciones de iOS se envan a
dispositivos iOS.
175

Configuracin de su tienda de aplicaciones (Continuacin)
Paso 3
Aada la aplicacin gestionada a un perfil Use un perfil de configuracin de Android para aplicaciones de Android:
de configuracin.
1. Seleccione Polticas > Configuracin > Android y Aada un
nuevo perfil de configuracin de Android o seleccione un perfil
Use el perfil de configuracin para
existente para modificarlo.
configurar ajustes de seguridad para la
2. En la pestaa Aplicaciones, haga clic en Aadir y seleccione una
aplicacin, entre los que se incluyen la
aplicacin de la lista de aplicaciones gestionadas.
habilitacin de VPN por aplicacin o la
deshabilitacin de la aplicacin de los
datos de copias de seguridad.
3.
Seleccione una opcin de instalacin de la aplicacin:

Obligatoria u Opcional. Las aplicaciones obligatorias se instalan
automticamente en los dispositivos gestionados. Los usuarios
pueden examinar y decidir instalar las aplicaciones opcionales que
tengan asignadas en la pantalla Aplicaciones de la aplicacin
GlobalProtect.
4.
(Opcional) Seleccione Eliminar aplicacin al anular la

suscripcin para eliminar automticamente la aplicacin y sus
datos si el dispositivo deja de estar gestionado por GlobalProtect.
5.
Use un perfil de configuracin de iOS para aplicaciones de iOS:

1. Seleccione Polticas > Configuracin > iOS y aada un nuevo
perfil de configuracin de iOS o seleccione un perfil existente para

modificarlo.
2.
En la pestaa Aplicaciones, aada una nueva aplicacin al perfil

de configuracin.
a. Seleccione el nombre de la aplicacin del men desplegable de
aplicaciones gestionadas.
b. Seleccione una opcin de instalacin de la aplicacin:
Obligatoria u Opcional. Las aplicaciones obligatorias se
instalan automticamente en los dispositivos gestionados. Los
usuarios pueden examinar y decidir instalar las aplicaciones
opcionales que tengan asignadas en la pantalla Aplicaciones de la
aplicacin GlobalProtect.
c. (Opcional) Habilite opciones adicionales para proteger la
aplicacin y su trfico cuando se instale en un dispositivo:
Seleccione una configuracin VPN por aplicacin para que la
aplicacin enrute todo su trfico a travs de VPN. Consulte
Aislamiento del trfico comercial para configurar esta
funcin.
Seleccione Eliminar aplicacin al anular la suscripcin
para eliminar automticamente la aplicacin si el dispositivo
deja de estar gestionado por GlobalProtect.
Seleccione No hacer copias de seguridad en iCloud o
iTunes para impedir que la aplicacin transfiera datos a iCloud
o iTunes.
Aada valores a las configuraciones de aplicaciones, lo que
le permite configurar de manera remota los ajustes y valores
predeterminados de una aplicacin Consulte la ayuda en lnea
para obtener ms informacin.
176

Configuracin de su tienda de aplicaciones (Continuacin)
3.
(Opcional) Seleccione la pestaa Restricciones de datos de

aplicaciones o Dominios para habilitar configuraciones que
permitan controlar el movimiento de los datos desde y hacia las
aplicaciones, cuentas y dominios web (consulte Aislamiento de
datos comerciales).
Paso 4
4.
Haga clic en ACEPTAR para guardar el perfil de configuracin.
Adjunte el perfil de configuracin a una

poltica de implementacin.
1.
Seleccione Polticas > Polticas y seleccione una poltica para

modificarla (o aadir una nueva poltica).
Para ver pasos detallados sobre la

creacin de una poltica de
implementacin, consulte Creacin de
polticas de implementacin
2.
Deje el valor predeterminado Cualquiera seleccionado para

Usuarios y Perfiles HIP para enviar las aplicaciones gestionadas
a todos los dispositivos gestionados.
3.
Seleccione Configuraciones y aada el perfil de configuracin

de iOS o Android.
Si la regla est diseada para aplicarse a dispositivos iOS
y Android, adjunte perfiles de configuracin distintos:
4.
Paso 5
Guarde los cambios.
Haga clic en ACEPTAR para guardar la poltica.
177


Puede usar el gestor de seguridad mvil para seguir gestionando aplicaciones que se han distribuido a sus
usuarios y poder ver las aplicaciones instaladas en los dispositivos inscritos. Use la configuracin descrita en la
siguiente tabla para gestionar aplicaciones distribuidas a los usuarios.
Consulte Gestin de los recursos del PCV desde el gestor de seguridad mvil para obtener
informacin sobre la gestin de aplicaciones y licencias del PCV.
Gestin de la tienda de aplicaciones
Vea las aplicaciones gestionadas en un

dispositivo.
Seleccione Dispositivos:
La columna Aplicaciones gestionadas muestra las aplicaciones
instaladas gestionadas para cada entrada.
Seleccione los detalles de entrada de cualquier dispositivo. El
informe HIP muestra una lista de aplicaciones instaladas en el
dispositivo seleccionado que estn gestionadas. Aplicaciones
instaladas: gestionadas
(Solo iOS) Habilite las actualizaciones

automticas de aplicaciones.
Defina una programacin para actualizar las versiones de las

aplicaciones gestionadas automticamente. De este modo, se
actualizarn todas las aplicaciones gestionadas a la versin ms
reciente disponible en la tienda App Store de Apple.
1. Seleccione Configuracin > Configuracin > Servidor >
Programa de actualizaciones automticas de aplicaciones y
edite el programa de actualizaciones automticas de

aplicaciones.
2.
Defina la frecuencia con la que le gustara que se actualicen las

aplicaciones gestionadas: Diario o Semanal.
Las actualizaciones automticas estn desactivadas de
manera predeterminada, con la configuracin
predeterminada en Ninguno.
3.
178

Gestin de la tienda de aplicaciones (Continuacin)
Recopile (o excluya) una lista de aplicaciones que 1.

no estn gestionadas en un dispositivo.
Configure la recopilacin de datos para aplicaciones no

gestionadas (o excluya la recopilacin de datos para aplicaciones
no gestionadas):
a. Seleccione Polticas > Informacin de host > Recopilacin
de datos y edite Exclusiones de recopilacin de datos.
b. Excluya o recopile datos de aplicaciones no gestionadas:
No informar sobre aplicaciones no gestionadas: no se
recopilar ninguna lista de las aplicaciones no gestionadas
en un dispositivo. Tampoco se recopilarn datos de las
aplicaciones no gestionadas; no se informa en ningn caso
de si las aplicaciones no gestionadas estn instaladas en un
dispositivo gestionado o de cules son las aplicaciones no
gestionadas.
Informar sobre aplicaciones no gestionadas: se
recopilar una lista de las aplicaciones no gestionadas en un
dispositivo. En este caso, los datos de las aplicaciones no se
recopilan y solo se informa del nombre de la aplicacin y de
su estado no gestionado.
c. Haga clic en ACEPTAR.
2.
Si ha elegido informar de las aplicaciones no gestionadas, puede

ver una lista de las aplicaciones no gestionadas en un nico
dispositivo:
Seleccione Dispositivos y seleccione los detalles de entrada de
cualquier dispositivo. El informe HIP muestra una lista de
aplicaciones en el dispositivo seleccionado que no estn
gestionadas. Aplicaciones instaladas: no gestionadas
179

Gestin de la tienda de aplicaciones (Continuacin)
Habilite y personalice una alerta para que los

usuarios eliminen una versin no gestionada de
una aplicacin o cuenta de Exchange de sus
dispositivos.
Seleccione Habilitar notificacin de aplicaciones/cuentas

gestionadas para alertar a los usuarios de que deben eliminar una
versin no gestionada de una aplicacin o cuenta de Exchange que
est instalada en sus dispositivos. El usuario ver esta notificacin
cuando le enve una configuracin de aplicacin o cuenta gestionada
a un dispositivo que cuenta ya con una versin no gestionada de la
aplicacin o cuenta. Las aplicaciones y cuentas de Exchange
gestionadas solo se pueden enviar al dispositivo cuando el usuario
elimine la versin no gestionada de la misma aplicacin o elimine la
configuracin de la cuenta de Exchange.
Estas notificaciones sirven para indicar a los usuarios de manera
automtica que deben eliminar una aplicacin o configuracin de
cuenta de su dispositivo.
Puede usar el mensaje predeterminado o personalizarlo para su
organizacin:
1. En la pestaa Configuracin > Configuracin > Servidor, edite
Configuracin de notificaciones de cuentas/aplicaciones
gestionadas.
2.
Seleccione Habilitar notificacin de aplicaciones gestionadas

y, de manera opcional, modifique el mensaje predeterminado.
3.
Una vez que el usuario elimina la aplicacin o configuracin de

cuenta no gestionada del dispositivo, el gestor de seguridad mvil
enva la aplicacin o cuenta de configuracin gestionada durante el
siguiente registro del dispositivo.
180


Se puede permitir el trfico desde aplicaciones comerciales en un dispositivo mvil a travs de su VPN
corporativa, lo que separa el trfico comercial del personal en un dispositivo mvil.
Asle el trfico comercial en un dispositivo mvil gestionado usando la configuracin VPN por aplicacin en el
gestor de seguridad mvil. Esta funcin acta permitindole especificar que solamente el trfico procedente de
aplicaciones comerciales pueda atravesar su VPN corporativa. VPN por aplicacin es particularmente til en
entornos donde los usuarios utilizan dispositivos personales para acceder a la red de su organizacin; en este
caso, puede habilitar VPN por aplicacin para garantizar que los datos corporativos desde la aplicacin
gestionada atraviesen la VPN, mientras que los datos personales, de aplicaciones no gestionadas no lo hagan.
Para las aplicaciones comerciales con VPN por aplicacin habilitada, si la aplicacin no puede conectar a la VPN
configurada, la aplicacin no estar disponible para el usuario y no enviar trfico hasta que se establezca una
conexin segura.
Use el gestor de seguridad mvil para configurar VPN por aplicacin para aplicaciones gestionadas. La
configuracin de VPN por aplicacin incluye habilitar una configuracin VPN que se use para VPN por
aplicacin y habilitar VPN por aplicacin para una aplicacin gestionada o un grupo de aplicaciones.
.
Aislamiento de trfico comercial para aplicaciones de iOS
Paso 1

Asegrese de que las aplicaciones que
quiere que usen VPN se aadan al gestor para la Adicin de aplicaciones gestionadas.
de seguridad mvil como aplicaciones
gestionadas.
Paso 2
(Opcional) Cree un grupo de aplicaciones Cree un grupo de aplicaciones.

que incluya las aplicaciones para las que
quiere enrutar trfico a travs de la VPN
corporativa.
Agrupe las aplicaciones para
habilitar VPN por aplicacin para
varias aplicaciones al mismo
tiempo, en lugar de tener que
habilitarlas una a una.
Paso 3 Habilite una configuracin VPN para

usarla con VPN por aplicacin.
1.
Seleccione Polticas > Configuracin > iOS y aada un nuevo

perfil de configuracin de iOS o seleccione un perfil existente
para modificarlo.
2.
Seleccione una configuracin de VPN para habilitarla en VPN

por aplicacin.
Para crear una nueva configuracin VPN de
GlobalProtect, consulte Definicin de una configuracin
VPN de GlobalProtect.
181

Aislamiento de trfico comercial para aplicaciones de iOS (Continuacin)
Paso 4
Defina la configuracin de VPN para las

1.
Seleccione Tipo de VPN y habilite VPN por aplicacin (las

aplicaciones configuradas enviarn el trfico por VPN).
Con esta configuracin habilitada, todo el trfico de las aplicaciones
gestionadas en un dispositivo mvil se enrutar a travs la VPN.
2.
Habilite VPN por aplicacin bajo demanda, parecida a VPN

bajo demanda, para activar automticamente una conexin de VPN
para aplicaciones con VPN por aplicacin habilitado cuando se
inicien las aplicaciones (por s solo, VPN por aplicacin habilitado
no ordena una conexin de VPN cuando se inicia la aplicacin; solo
garantiza que el trfico de la aplicacin viaje a travs de la VPN).
3.
Permita que se active una conexin de VPN para un dominio web

de Safari cuando se acceda desde un dispositivo mvil. Aada una
direccin IP, nombre de host, nombre de dominio o subred a los
dominios coincidentes para el navegador Safari. Cuando se
haya establecido la conexin de VPN, todo el trfico para esta
sesin de Safari viajar a travs de la VPN.
Por ejemplo, puede aadir un sitio interno de la empresa como
dominio coincidente para que, en el caso de que un usuario que se
encuentre en las instalaciones de la oficina intente acceder al sitio
interno de manera remota, se active una conexin de VPN y que el
usuario pueda acceder al sitio correctamente.
Si quiere controlar los documentos o archivos adjuntos
abiertos desde un sitio corporativo en un dispositivo mvil,
puede especificar que los documentos que se abran desde
un dominio web en Safari solo se puedan abrir en
aplicaciones o cuentas comerciales gestionadas. Consulte
Aislamiento de datos comerciales.
Paso 5
Habilite una VPN por aplicacin para una

aplicacin o grupo de aplicaciones.
4.
Haga clic en ACEPTAR para guardar la configuracin VPN para

1.
En el mismo perfil de configuracin, seleccione Aplicaciones y

aada el grupo de aplicaciones (o aplicacin individual) al perfil de
configuracin, o bien seleccione la aplicacin existente o el grupo
de aplicaciones que quiere modificar.
Paso 6
Guarde el perfil de configuracin de iOS.
Siguientes pasos...
2.
En el men desplegable VPN por aplicacin, seleccione la misma

configuracin VPN que ha habilitado para VPN por aplicacin.
1.
2.
Si ha modificado un perfil de configuracin existente que ya est

vinculado a una poltica de implementacin, la configuracin
actualizada para aislar el trfico comercial se enviar a los usuarios la
prxima vez que se registre el dispositivo.
Si ha creado un nuevo perfil de configuracin, el siguiente paso es
adjuntar el perfil de configuracin a una poltica de implementacin.
Consulte Creacin de polticas de implementacin.
182


Los usuarios pueden abrir documentos de la empresa en sus dispositivos mviles o transferir documentos desde
su ubicacin original usando la opcin nativa Abrir en. Esta opcin permite a los usuarios abrir documentos
desde una aplicacin, cuenta de correo electrnico o dominio web en una aplicacin o cuenta diferentes en su
dispositivo mvil. Controle qu aplicaciones y cuentas abren y comparten documentos comerciales en un
dispositivo mvil, y avise a los usuarios cuando enven un correo electrnico a un contacto que no forma parte
de su dominio corporativo, de modo que puedan aislar y proteger los datos comerciales en un dispositivo mvil.
Para ello, puede habilitar la configuracin para controlar la opcin Abrir en cuentas comerciales gestionadas,
aplicaciones gestionadas y dominios web gestionados (en la aplicacin del navegador Safari) para proteger los
datos comerciales desde esas aplicaciones, cuentas y dominios para que no se compartan fuera de su red
corporativa. Con esta funcin, la opcin Abrir en no se puede usar para mover, por ejemplo, un documento
confidencial disponible en su intranet corporativa a una aplicacin personal, donde dejara de estar bajo su
control y se podra perder o redistribuir fcilmente.
Las opciones para aislar datos comerciales tambin incluyen habilitar la aplicacin Mail para resaltar los
contactos de correo electrnico externos a su red. Esto permite informar a sus usuarios de que estn redactando,
reenviando o respondiendo a un destinatario de correo electrnico que no pertenece a su empresa.
Para aislar datos comerciales en dispositivos y cuentas gestionadas, habilite la configuracin de Restricciones de
datos de aplicaciones y Dominios gestionados, que se pueden aplicar de manera selectiva o exhaustiva para aislar
datos comerciales.
Aislamiento de datos comerciales para aplicaciones de iOS
Paso 1
Aada o modifique un perfil de

configuracin de iOS.
1.
Seleccione Polticas > Configuracin > iOS y aada un nuevo

perfil de configuracin de iOS o seleccione un perfil existente
para modificarlo.
2.
Paso 2
Si est creando un nuevo perfil de configuracin, seleccione la

pestaa Aplicaciones y aada las aplicaciones o grupo de
aplicaciones a las que quiere aplicar la restriccin de datos de
aplicaciones.
Controle qu aplicaciones y cuentas

Seleccione la pestaa Restricciones de datos de aplicaciones y
pueden abrir documentos comerciales en habilite Restricciones de datos de aplicaciones. Seleccione una o
un dispositivo mvil.
las dos siguientes opciones:
Bloquear Abrir en desde las aplicaciones y cuentas
gestionadas a aplicaciones no gestionadas
Impide que las aplicaciones y cuentas gestionadas abran archivos

en aplicaciones o cuentas personales (aplicaciones o cuentas que
no estn gestionadas).
Bloquear Abrir en desde las aplicaciones y cuentas no
gestionadas a aplicaciones gestionadas
Bloquea las aplicaciones y cuentas personales para que no puedan

abrir archivos en aplicaciones gestionadas.
183

Aislamiento de datos comerciales para aplicaciones de iOS (Continuacin)
Paso 3
Controle qu aplicaciones y cuentas

1.
pueden abrir documentos comerciales en
un navegador web Safari.
2.
Seleccione la pestaa Dominios y habilite Dominios

gestionados.
Aada un Dominio para el navegador Safari.

Los documentos o archivos adjuntos desde el dominio que
aada (por ejemplo, su sitio corporativo) solo se pueden abrir
desde dispositivos mviles en otras aplicaciones o cuentas
comerciales gestionadas.
Dado que este ajuste le permite controlar la opcin Abrir en
para usuarios en la aplicacin Safari, el ajuste se aplica en
funcin de las restricciones de datos de aplicaciones que haya
habilitado en el Paso 2.
Paso 4
Resalte los contactos de correo

electrnico externos a su red en la
aplicacin Mail.
Contine en la pestaa Dominios y aada, por ejemplo, su dominio

corporativo a la tabla Dominios resaltados en la aplicacin de
correo electrnico.
Cualquier contacto de correo electrnico que no forme parte de los
dominios que aada se aparece resaltado en la aplicacin Mail.
En este ejemplo, si aade su dominio corporativo, cualquier contacto
de correo electrnico que no forme parte de su dominio corporativo
se resaltar en la aplicacin Mail cuando los usuarios redacten,
reenven o respondan a un correo electrnico que incluya ese
contacto como destinatario. Esto alerta a los usuarios antes de que
enven fuera de su red datos relacionados con la empresa que puedan
ser confidenciales.
Paso 5
Guarde el perfil de configuracin de iOS.
Siguientes pasos...
1.
2.
Si ha modificado un perfil de configuracin existente que ya est

adjuntado a una poltica de implementacin, las configuraciones
Restricciones de datos de aplicaciones y Dominios gestionados se
enviarn actualizadas a los usuarios durante el siguiente registro del
dispositivo.
Si ha creado un nuevo perfil de configuracin, el siguiente paso es
adjuntar el perfil de configuracin a una poltica de implementacin.
Consulte Creacin de polticas de implementacin.
184


El modo de aplicacin nica le permite restringir el uso de un dispositivo a una nica aplicacin de iOS para
guiar a los usuarios a realizar solamente las tareas o funciones disponibles dentro de la aplicacin. El modo de
aplicacin nica se puede habilitar con una aplicacin desarrollada internamente o con cualquier aplicacin
pblica o adquirida, y es una herramienta potente en entornos comerciales o educativos, tales como tiendas,
restaurantes, museos, universidades e instalaciones para pasajeros. Por ejemplo, podra implementar el modo de
aplicacin nica en un restaurante informal, donde los clientes pueden elegir y pedir el men desde un puesto
diseado a tal efecto. Tambin podra usarse en los dispositivos que un centro universitario pone a disposicin
de los estudiantes para que realicen exmenes o proyectos completos de manera segura y sin distracciones. Una
organizacin podra implementar el modo de aplicacin nica para garantizar que los dispositivos propiedad de
la empresa se utilicen siempre de manera eficiente y efectiva para el propsito con el que fueron diseados,
adems de facilitar una experiencia sencilla y guiada para que los usuarios realicen tareas selectivas.
La nueva configuracin Bloqueo de aplicaciones del gestor de seguridad mvil es compatible con el modo de
aplicacin nica y ofrece opciones para ajustar, anular o aplicar funcionalidades de dispositivos mientras la
aplicacin bloqueada est en uso.
Habilite la opcin Bloqueo de aplicaciones para:
Dedicar un dispositivo a una aplicacin particular.
Deshabilitar botones de hardware, como volumen, timbre o activacin/reposo.
Habilite funciones como Voz en off, Zoom, Leer seleccin o Assistive Touch para facilitar el uso de la
aplicacin (puede ser til si las funciones de hardware estn deshabilitadas y quiere continuar ofreciendo a
los usuarios un uso limitado de las funcionalidades).
Deshabilite funciones predeterminadas, tales como Rotacin de la pantalla y Bloqueo automtico.
Puede habilitar o deshabilitar cualquier configuracin de bloqueo de aplicaciones de manera selectiva para
garantizar que un dispositivo y la aplicacin especfica se utilizan para un fin concreto en un entorno controlado.
Use el siguiente procedimiento para habilitar el modo de aplicacin nica en uno o varios dispositivos al mismo
tiempo.
Paso 1
Asegrese de que la aplicacin de iOS

que quiere bloquear est gestionada por

para la Adicin de aplicaciones gestionadas.
185

Habilitacin del modo de aplicacin nica (Continuacin)
Paso 2
Cree un perfil de configuracin dedicado

especficamente para enviar la aplicacin
bloqueada a dispositivos gestionados.
1.
Seleccione Polticas > Configuracin > iOS y haga clic en Aadir.
2.
Dele un nombre descriptivo al perfil de configuracin de iOS que

le permita identificarlo fcilmente (por ejemplo, Aplicacin con men
bloqueado), un nombre pblico visible para el usuario (por ejemplo,
Men) y un identificador.

otras opciones disponibles para la creacin
de un perfil de configuracin, consulte
3.
Seleccione la pestaa lateral Bloqueo de aplicaciones y habilite

Bloqueo de aplicaciones.
4.
Seleccione el nombre de aplicacin de la aplicacin que quiere

bloquear.
5.
Seleccione la configuracin opcional que quiere aplicar a la

aplicacin bloqueada. Se pueden usar las siguientes configuraciones
para anular o aplicar funcionalidades del dispositivo que faciliten el
acceso o el uso de la aplicacin:
Deshabilitar funciones tctiles: deshabilita los controles
tctiles bsicos del dispositivo, como los de tocar o pellizcar.
Deshabilitar el botn de volumen: deshabilita los botones de
volumen para que no se pueda ajustar.
Deshabilitar el botn de activacin/reposo: deshabilita el
botn de activacin/reposo para que no active ni ponga en
reposo el dispositivo.
Habilitar voz en off: permite que los controles de voz en off
puedan usarse para navegar, introducir texto o realizar otras
tareas en el dispositivo mediante la voz. Voz en off permite al
dispositivo leer en voz alta elementos cuando el usuario los pulsa
en la pantalla.
Habilitar inversiones de colores: mantiene habilitada la
opcin de inversin de colores. Los colores invertidos en la
pantalla ofrecen un alto contraste, lo que puede resultar til para
personas con diversos problemas de visin.
Habilitar Leer seleccin: mantiene habilitada la opcin Leer
seleccin.
Deshabilitar rotacin del dispositivo: desactiva la rotacin del
dispositivo.
Deshabilitar el interruptor del timbre: deshabilita la
funcionalidad del interruptor del timbre para que no pueda
usarse para silenciar el sonido del dispositivo.
Deshabilitar el bloqueo automtico: anula las funciones de
bloqueo automtico del dispositivo que ponen el dispositivo en
reposo despus de un periodo de tiempo concreto.
186

Habilitacin del modo de aplicacin nica (Continuacin)
Habilitar zoom: habilita las funciones de zoom, que permiten

ampliar la pantalla arrastrando tres dedos sobre la misma.
Habilitar Assistive Touch: habilita Assistive Touch como un
modo alternativo para que los usuarios interacten con la
pantalla y permite el uso de un accesorio de adaptacin
compatible.
Habilitar audio en mono: habilita el audio en mono para que
todo el sonido se pueda reproducir por un nico canal mono.
6.
Paso 3
Cree un nuevo perfil de configuracin

para enviar la aplicacin bloqueada al
dispositivo.
Haga clic en ACEPTAR para guardar el perfil de configuracin.
1.
Seleccione Polticas > Polticas y haga clic en Aadir
2.
Dele a la regla de poltica un nombre descriptivo.
3.
Seleccione la pestaa Usuarios/Perfiles HIP y especifique

cmo determinar una coincidencia de configuracin para esta
regla de poltica:
Consulte Creacin de perfiles de

configuracin.
Para implementar esta configuracin en un usuario o grupo

especficos, haga clic en Aadir en la seccin Usuario y
despus seleccione el usuario o grupo que desea que reciba
esta configuracin en la lista desplegable. Repita este paso
para cada usuario o grupo que desee aadir.
Para implementar esta configuracin en dispositivos que
coincidan con un perfil HIP especfico, haga clic en Aadir
en la seccin Perfiles HIP y despus seleccione un perfil HIP.
Paso 4
Guarde sus cambios.
4.
Seleccione Configuraciones y aada el perfil de configuracin

de iOS que ha creado en el Paso 2 para la aplicacin bloqueada.
5.
Compile la configuracin.
187
188

Uso de la informacin de host en la

aplicacin de polticas
Aunque puede que la seguridad del lmite de su red corporativa sea muy estricta, en realidad la seguridad de su
red se reduce a la seguridad los dispositivos que acceden a la misma. La fuerza de trabajo de hoy en da es cada
vez ms mvil, lo que a veces requiere acceso a recursos de la empresa desde distintos lugares (aeropuertos,
cafeteras, hoteles, etc.) y desde diversos dispositivos (tanto de la empresa como del empleado). A consecuencia
de ello, lgicamente debe extender la seguridad de su red a los terminales para garantizar una aplicacin de la
seguridad de forma exhaustiva y constante. La funcin Perfil de informacin del host (HIP) de GlobalProtect
le permite recopilar informacin acerca del estado de seguridad de sus hosts de extremo (p. ej., si tienen
instalados los parches de seguridad ms recientes y las definiciones de antivirus; si tienen habilitado el cifrado
de disco; si el dispositivo est desbloqueado o modificado (solo dispositivos mviles), o si funciona con un
software especfico que es obligatorio en su organizacin, incluidas las aplicaciones personalizas) para poder
fundamentar la decisin de si se permite o deniega el acceso a un host especfico basndose en el cumplimiento
de las polticas de host que defina.
En los siguientes temas se presenta informacin acerca del uso de la informacin del host en la aplicacin de
las polticas. Incluye las siguientes secciones:
Acerca de la informacin del host
Configuracin de la aplicacin de polticas basadas en HIP
Recopilacin de datos de procesos y aplicaciones de clientes
189
Uso de la informacin de host en la aplicacin de polticas

Una de las tareas del agente de GlobalProtect consiste en recopilar informacin acerca del host en el que se
ejecuta. A continuacin, el agente enva la informacin del host a la puerta de enlace de GlobalProtect tras una
conexin correcta. La puerta de enlace compara esta informacin sin procesar enviada por el agente con
cualquiera de los objetos HIP y perfiles HIP que ha definido. Si encuentra una coincidencia, genera una entrada
en el log de coincidencias HIP. Asimismo, si encuentra una coincidencia con un perfil HIP en una poltica de
reglas, aplica la correspondiente poltica de seguridad.
El uso de los perfiles de informacin del host para la aplicacin de polticas posibilita una seguridad granular
que garantiza que los hosts remotos que acceden a sus recursos crticos posean un mantenimiento adecuado y
conforme a sus normas de seguridad antes de que se les permita acceder a los recursos de su red. Por ejemplo,
antes de permitir el acceso a los sistemas de datos ms importantes, tal vez quiera asegurarse de que los hosts
que acceden a los mismos tienen habilitado el cifrado en sus unidades de disco duro. Puede aplicar esta poltica
creando una regla de seguridad que solo permita acceder a la aplicacin si el sistema cliente tiene habilitado el
cifrado. Adems, en el caso de clientes que no cumplan esta regla, puede crear un mensaje de notificacin que
alerte a los usuarios del motivo por el cual se les deniega el acceso y los redirija al recurso compartido de archivos,
donde podrn acceder al programa de instalacin del software de cifrado que les falta (evidentemente, para
permitir al usuario acceder a dicho recurso compartido, debera crear la correspondiente regla de seguridad que
permita acceder al recurso compartido a los hosts que coincidan con un perfil HIP concreto).
Qu datos recopila el agente de GlobalProtect?
Cmo usa la puerta de enlace la informacin del host para aplicar las polticas
Cmo pueden saber los usuarios si sus sistemas cumplen los requisitos?
Cmo puedo consultar el estado de los clientes finales?
Qu datos recopila el agente de GlobalProtect?

Por defecto, el agente de GlobalProtect recopila datos especficos del proveedor relativos a los paquetes de
seguridad del usuario final que se ejecutan en el ordenador (segn la compilacin del programa de asociacin
global OPSWAT) y remite estos datos a la puerta de enlace de GlobalProtect para que se usen en la aplicacin
de la poltica.
Puesto que el software de seguridad debe evolucionar continuamente para garantizar la proteccin del usuario
final, las licencias de portal y puerta de enlace de GlobalProtect tambin le permiten recibir actualizaciones
dinmicas del archivo de datos de GlobalProtect con los parches y las versiones de software ms recientes
disponibles para cada paquete.
Mientras el agente recopila una gran cantidad de datos acerca del host en el que se est ejecutando, puede que
exija a sus usuarios finales que ejecuten software adicional para conectarse a su red o acceder a determinados
recursos. En este caso, puede definir comprobaciones personalizadas que indiquen al agente que recopile
informacin especfica del registro (en clientes Windows), informacin lista de preferencias (plist, en clientes
Mac OS) o que recopile informacin acerca de si se ejecutan en el host los servicios especficos.
El agente recopila datos acerca de las siguientes categoras de informacin de forma predeterminada para
ayudarle a identificar el estado de seguridad del host.
190
Tabla: Categoras de recopilacin de datos

Categora
Datos recopilados
General
Informacin acerca del propio host, incluido el nombre del host, el dominio de inicio
de sesin, el sistema operativo, la versin del cliente y, para sistemas Windows, el
dominio al que pertenece el equipo.
Para el dominio de clientes de Windows, el agente de GlobalProtect recopila el
dominio definido para ComputerNameDnsDomain, que es el dominio DNS
asignado al ordenador local o el clster asociado al equipo local. Esta
informacin es la que se muestra para el dominio de clientes de Windows en los
detalles de log de Coincidencias HIP (Supervisar > Coincidencias HIP).
Administracin de parches
Informacin acerca de cualquier software de administracin de parches habilitado o

instalado en el host e informacin de cualquier parche que falte.
Cortafuegos
Informacin acerca de cualquier cortafuegos del cliente instalado o habilitado en el host.
Antivirus
Informacin acerca del software antivirus habilitado o instalado en el host, de si est

habilitada o no la proteccin en tiempo real, la versin de definicin de virus, la hora del
ltimo anlisis, el proveedor y el nombre del producto.
Antispyware
Informacin acerca del software antispyware habilitado o instalado en el host, de si est

habilitada o no la proteccin en tiempo real, la versin de definicin de virus, la hora del
ltimo anlisis, el proveedor y el nombre del producto.
Copia de seguridad de disco
Informacin de si est instalado el software de copia de seguridad del disco, la hora de

la ltima copia de seguridad y el proveedor y el nombre de producto del software.
Cifrado de disco
Informacin acerca de si est instalado el software de cifrado del disco, las unidades o
rutas configuradas para el cifrado y el proveedor y el nombre de producto del software.
Prevencin de prdida de datos
Informacin acerca de si est instalado o no el software de prevencin de prdida de

datos (DLP) para evitar que la informacin corporativa confidencial salga de la red o se
almacene en un dispositivo potencialmente inseguro. Esta informacin solo se obtiene
de clientes de Windows.
Dispositivos mviles
Informacin de identificacin del dispositivo mvil, como el nmero de modelo, el

nmero de telfono, el nmero de serie y el nmero IMEI (Identidad Internacional de
Equipo Mvil). Asimismo, el agente recopila informacin acerca de configuraciones
especficas en el dispositivo, tales como si se ha definido un cdigo de acceso, si el
dispositivo est liberado, si hay una lista de aplicaciones instaladas en el dispositivo que
estn gestionadas por el gestor de seguridad mvil, si el dispositivo contiene aplicaciones
reconocidas como portadoras de software malintencionado (solo dispositivos Android)
y, de manera opcional, la ubicacin GPS del dispositivo y una lista de aplicaciones que
no estn gestionadas por el gestor de seguridad mvil. Tenga en cuenta que para
dispositivos iOS, algunos de los datos son recopilados por la aplicacin GlobalProtect
.y otros son remitidos directamente por el sistema operativo. Si usa el Gestor de
seguridad mvil de GlobalProtect, recopila informacin HIP ampliada desde
dispositivos mviles inscritos y la comparte con las puertas de enlace para usarla en la
aplicacin de polticas. Consulte Configuracin del acceso de puerta de enlace al
gestor de seguridad mvil para obtener informacin detallada.
191
Puede excluir la recopilacin de ciertas categoras de informacin en determinados hosts (para evitar ciclos de
CPU y mejorar el tiempo de respuestas del cliente). Para ello, cree una configuracin en el portal donde se
excluyan las categoras que no le interesen. Por ejemplo, si no tiene pensado crear una poltica basada en que los
sistemas del cliente ejecuten o no software de copia de seguridad, puede excluir esta categora y el agente no
recopilar informacin acerca de copias de seguridad.
Tambin puede optar por excluir la recopilacin de informacin de dispositivos personales para respetar la
intimidad del usuario. Aqu se puede excluir la ubicacin del dispositivo y una lista de aplicaciones instaladas en
el dispositivo que no estn gestionadas por el gestor de seguridad mvil (aplicaciones personales). Use el gestor
de seguridad mvil para excluir estos dos tipos de informacin de la informacin recopilada de los dispositivos
mviles (Polticas > Informacin de host > Recopilacin de datos).
Cmo usa la puerta de enlace la informacin del host para aplicar las
polticas
Mientras el agente obtiene informacin acerca de la informacin que debe recopilar de la configuracin del
cliente descargada desde el portal, puede definir qu atributos le interesa supervisar o usar para la aplicacin de
la poltica mediante la creacin de objetos HIP y perfiles HIP en la puerta o puertas de enlace.
Objetos HIP: Proporcionan los criterios de coincidencia que filtran la informacin de host que est
interesado en utilizar para aplicar la poltica a partir de los datos sin formato de los que ha informado el
agente. Por ejemplo, aunque los datos de host sin formato pueden incluir informacin sobre varios paquetes
antivirus instalados en el cliente, puede que solo est interesado en una aplicacin concreta que necesite en
su organizacin. En este caso, creara un objeto HIP que coincidiera la aplicacin especfica que est
interesado en aplicar.
La mejor forma de determinar qu objetos HIP necesita es determinar cmo utilizar la informacin de host
que recopila para aplicar la poltica. Tenga en cuenta que los objetos HIP son solo los ladrillos que le
permiten crear los perfiles HIP que se utilizan en sus polticas de seguridad. Por lo tanto, puede que desee
mantener la sencillez de sus objetos, de forma que solo coincidan con un elemento, como la presencia de un
tipo concreto de software necesario, la pertenencia a un dominio especfico o la presencia de un SO cliente
determinado. De este modo, tendr la flexibilidad de crear una poltica aumentada HIP muy granular (y muy
potente).
Perfiles HIP: Una coleccin de objetos HIP que deben evaluarse en conjunto, para supervisin o para la
aplicacin de polticas de seguridad. Cuando crea sus perfiles HIP, puede combinar objetos HIP que haya
creado previamente (as como otros perfiles HIP) usando lgica booleana como la que se usa cuando un
flujo de trfico se evala con respecto al perfil HIP resultante con el que tendr, o no, coincidencia. Si
coincide, la regla de poltica correspondiente se aplicar; si no coincide, el flujo se evaluar con respecto a la
siguiente regla, como con cualquier otro criterio de coincidencia de poltica.
A diferencia de un log de trfico, que solo crea una entrada de log si hay una coincidencia de poltica, el log de
coincidencias HIP genera una entrada siempre que los datos sin procesar enviados por un agente coincidan con
un objeto HIP o un perfil HIP que haya definido. Por este motivo, el log de coincidencias HIP es un buen
recurso para supervisar el estado de los hosts en su red a lo largo del tiempo, antes de adjuntar sus perfiles HIP
a polticas de seguridad, para ayudarle a determinar exactamente qu polticas cree que necesitan aplicarse.
Consulte Configuracin de la aplicacin de polticas basadas en HIP para obtener informacin sobre cmo crear
objetos HIP y perfiles HIP y usarlos como criterio de coincidencia de polticas.
192
Cmo pueden saber los usuarios si sus sistemas cumplen los requisitos?
Por defecto, los usuarios finales no reciben informacin acerca de decisiones de polticas tomadas como
consecuencia de la aplicacin de una regla de seguridad HIP. Sin embargo, puede habilitar esta funcionalidad
definiendo que se muestren mensajes de notificacin HIP cuando un perfil HIP concreto coincida o no.
La decisin de cundo mostrar un mensaje (es decir, si aparece cuando la configuracin del usuario coincide con
un perfil HIP en la poltica o cuando no coincide), depende en gran medida de su poltica y de lo que el usuario
entiende por coincidencia (o no coincidencia) de HIP. Es decir, significa la coincidencia que se concede total
acceso a los recursos de su red? O significa que tiene acceso limitado debido a un problema de incumplimiento?
Por ejemplo, imagnese estas situaciones:
Crea un perfil HIP que coincide si el antivirus requerido por la empresa y los paquetes de software
antispyware no estn instalados. En este caso, tal vez quiera crear un mensaje de notificacin HIP para los
usuarios que coincidan con el perfil HIP que les avise de que necesitan instalar el software (y, de manera
opcional, les proporcione un enlace al recurso compartido de archivos, donde podrn acceder al instalador
del software correspondiente).
Crea un perfil HIP que coincide si esas mismas aplicaciones estn instaladas, y quizs quiera crear el mensaje
para usuarios que no coincidan con el perfil y dirigirlos a la ubicacin del paquete de instalacin.
Consulte Configuracin de la aplicacin de polticas basadas en HIP para obtener informacin sobre cmo crear
objetos HIP y perfiles HIP y usarlos para definir mensajes de notificacin HIP.
Cmo puedo consultar el estado de los clientes finales?

Siempre que un host de extremo se conecta a GlobalProtect, el agente presenta sus datos HIP a la puerta de enlace. A
continuacin, la puerta de enlace usa estos datos para determinar qu objetos o perfiles HIP coinciden con el host. Para
cada coincidencia, genera una entrada de log de coincidencias HIP. A diferencia de un log de trfico, que solo crea una
entrada de log si hay una coincidencia de poltica, el log de coincidencias HIP genera una entrada siempre que los datos sin
procesar enviados por un agente coincidan con un objeto HIP o un perfil HIP que haya definido. Por este motivo, el log
de coincidencias HIP es un buen recurso para supervisar el estado de los hosts en su red a lo largo del tiempo, antes de
adjuntar sus perfiles HIP a polticas de seguridad, para ayudarle a determinar exactamente qu polticas cree que necesitan
aplicarse.
Dado que solo se genera un log de coincidencias HIP cuando el estado del host coincide con un objeto HIP que ha creado,
para conocer completamente el estado del host debe crear varios objetos HIP para generar logs de coincidencias HIP de
los hosts que cumplen con un estado particular (con fines de aplicacin de polticas de seguridad) as como hosts que no
cumplen (por motivos de visibilidad). Por ejemplo, supongamos que quiere evitar que un host que no tiene instalado ningn
software antivirus se conecte a la red. En este caso, debera crear un objeto HIP que coincida con hosts que tienen un
software Antivirus concreto instalado. Al incluir este objeto en un perfil HIP y adjuntarlo a la regla de poltica de seguridad
que permite acceder desde su zona VPN, puede asegurarse de que solo puedan conectarse los hosts protegidos por
software antivirus.
Sin embargo, en este caso no podra ver en el log de coincidencias HIP que hosts concretos no cumplen este requisito. Si
quiere ver tambin un log de hosts que no tienen software antivirus instalado para poder hacer un seguimiento de los
usuarios, debe crear un objeto HIP que coincida con la condicin de que no haya software antivirus instalado. Dado que
este objeto solo es necesario para el inicio de sesin, no necesita aadirlo a un perfil HIP o adjuntarlo a una regla de poltica
de seguridad.
193
Uso de la informacin de host en la aplicacin

de polticas

Para habilitar el uso de la informacin del host en la aplicacin de polticas, debe seguir estos pasos. Para obtener
ms informacin sobre la funcin HIP, consulte Acerca de la informacin del host.
Habilitacin de la comprobacin de HIP
Paso 1
Verifique que las comprobaciones HIP

tienen la licencia adecuada.
Para usar la funcin HIP, debe haber comprado e instalado una

licencia del portal de GlobalProtect en el cortafuegos donde est
configurado su portal y una licencia de suscripcin a la puerta de
enlace de GlobalProtect en cada puerta de enlace que vaya a realizar
comprobaciones de HIP. Para verificar el estado de sus licencias en
cada portal y puerta de enlace, seleccione Dispositivo > Licencias.
Pngase en contacto con su ingeniero de ventas o distribuidor de
Palo Alto Networks si no tiene todas las licencias necesarias. Si desea
ms informacin sobre licencias, consulte Acerca de las licencias de
GlobalProtect.
Paso 2
(Opcional) Defina cualquier informacin de

host personalizada que desee que recopile el
agente. Por ejemplo, si tiene aplicaciones
necesarias que no estn incluidas en la lista
de productos o de proveedores para crear
objetos HIP, puede crear una
comprobacin personalizada que le permita
determinar si se ha instalado esa aplicacin
(tiene un registro o clave plist que
corresponde) o se est ejecutando (tiene un
proceso en ejecucin que corresponde).
Tanto el Paso 2 como el Paso 3 dan
por hecho que ya ha creado una
configuracin de portal. Si an no
ha configurado su portal, consulte
las instrucciones en Configuracin
del portal de GlobalProtect.
1.
En el cortafuegos donde se aloja su portal de GlobalProtect,

seleccione Red > GlobalProtect > Portales.
2.
Seleccione su configuracin para abrir el cuadro de dilogo del

portal de GlobalProtect.
3.
En la pestaa Configuracin clientes, seleccione la configuracin

del cliente que quiere aadir a una comprobacin HIP
personalizada o haga clic en Aadir para crear una nueva
configuracin de cliente.
4.
Seleccione Recopilacin de datos > Comprobaciones

personalizadas y, a continuacin, defina los datos que quiere
recopilar de los hosts que ejecutan esta configuracin de cliente del
siguiente modo:
Para recopilar informacin acerca de los procesos en
ejecucin: Seleccione la pestaa apropiada (Windows o Mac)
y, a continuacin, haga clic en Aadir en la seccin Lista de
procesos. Introduzca el nombre del proceso del que quiere que
el agente recopile informacin.
Para recopilar informacin acerca de claves de registro
especficas: En la pestaa Windows, haga clic en Aadir en la
seccin Clave de registro. Introduzca la Clave de registro para
la que recopilar datos. Tambin tiene la posibilidad de hacer clic
en Aadir para restringir la recopilacin de datos a uno o varios
valores de registro especficos. Haga clic en ACEPTAR para
guardar la configuracin.
194

de polticas
Habilitacin de la comprobacin de HIP (Continuacin)
Para recopilar informacin acerca de listas de

propiedades especficas: En la pestaa Mac, haga clic en
Aadir en la seccin Plist. Introduzca la Plist para la que
recopilar datos. Tambin tiene la posibilidad de hacer clic en
Aadir para restringir la recopilacin de datos a valores de Clave
especficos. Haga clic en ACEPTAR para guardar la
configuracin.
Paso 3
(Opcional) Excluya categoras de la

coleccin.
5.
Si se trata de una nueva configuracin de cliente, complete el resto

de la configuracin segn sus necesidades. Para obtener
instrucciones, consulte Definicin de las configuraciones de
6.
Haga clic en ACEPTAR para guardar la configuracin de cliente.
7.
1.
En el cortafuegos donde se aloja su portal de GlobalProtect,

seleccione Red > GlobalProtect > Portales.
2.
Seleccione su configuracin para abrir el cuadro de dilogo del

portal de GlobalProtect.
3.
En la pestaa Configuracin clientes, seleccione la

configuracin del cliente de la que quiere excluir categoras o
haga clic en Aadir para crear una nueva configuracin de
cliente.
4.
Seleccione Recopilacin de datos > Excluir categoras y, a

continuacin, haga clic en Aadir. Aparecer el cuadro de
dilogo Editar categora de exclusin.
5.
Seleccione la Categora que quiere excluir de la lista desplegable.
6.
(Opcional) Si quiere excluir de la recopilacin a proveedores o

productos especficos dentro de la categora seleccionada en
lugar de excluir toda la categora, haga clic en Aadir. A
continuacin, puede seleccionar el proveedor que quiere excluir
del men desplegable en el cuadro de dilogo Editar proveedor
y, si lo desea, hacer clic en Aadir para excluir productos
concretos de dicho proveedor. Cuando haya terminado de
definir a dicho proveedor, haga clic en ACEPTAR. Puede aadir
a varios proveedores y productos a la lista de exclusin.
7.
Repita el paso 5 y el paso 6 para cada categora que quiera

excluir.
8.
Si se trata de una nueva configuracin de cliente, complete el

resto de la configuracin segn sus necesidades. Para obtener
ms informacin sobre la definicin de configuraciones de
cliente, consulte Definicin de las configuraciones de cliente de
GlobalProtect.
9.
Haga clic en ACEPTAR para guardar la configuracin de cliente.
10. Confirme los cambios.
195

de polticas
Paso 4
Cree objetos HIP para filtrar los datos del

host sin procesar recopilados por los
agentes.
1.
La mejor forma de determinar qu objetos 2.

HIP necesita es determinar cmo utilizar la 3.
informacin de host que recopila para
aplicar la poltica. Tenga en cuenta que los
objetos HIP son solo los ladrillos que le
permiten crear los perfiles HIP que se
utilizan en sus polticas de seguridad. Por lo
tanto, puede que desee mantener la sencillez
de sus objetos, de forma que solo coincidan
con un elemento, como la presencia de un
tipo concreto de software necesario, la
pertenencia a un dominio especfico o la
presencia de un SO cliente determinado. De
este modo, tendr la flexibilidad de crear una
poltica aumentada HIP muy granular (y
muy potente).
En la puerta de enlace (o en Panorama si tiene pensado compartir

los objetos HIP con varias puertas de enlace), seleccione Objetos >
GlobalProtect > Objetos HIP y haga clic en Aadir.
En la pestaa General, introduzca un Nombre para el objeto.
Seleccione la pestaa que corresponde a la categora de
informacin del host que le interesa comparar y seleccione la casilla
de verificacin para habilitar la comparacin del objeto con esta
categora. Por ejemplo, para crear un objeto que busque
informacin acerca de software Antivirus, seleccione la pestaa
Antivirus y, a continuacin, seleccione la casilla de verificacin
Antivirus para habilitar los campos correspondientes. Complete
los campos para definir los criterios de correspondencia que desea.
Por ejemplo, la siguiente captura de pantalla muestra cmo crear un
objeto que coincidir si est instalada la aplicacin Symantec
Norton AntiVirus 2004 Professional, si Real Time Protection est
habilitada y si se han actualizado las definiciones de virus en los 5
ltimos das.
Para obtener informacin detallada

sobre un campo o categora HIP
especficos, consulte la ayuda en lnea.
Repita este paso para cada categora que quiera comparar con este
objeto. Para obtener ms informacin, consulte Tabla: Categoras
de recopilacin de datos.
196
4.
Haga clic en ACEPTAR para guardar el objeto HIP.
5.
Repita estos pasos para crear cada objeto HIP adicional que
necesite.
6.

de polticas
Paso 5
Cree los perfiles HIP que tiene pensado

usar en sus polticas.
1.
Cuando crea sus perfiles HIP, puede

combinar objetos HIP que haya creado
previamente (as como otros perfiles HIP) 2.
usando lgica booleana como la que se
usa cuando un flujo de trfico se evala 3.
con respecto al perfil HIP resultante con
el que tendr, o no, coincidencia. Si
4.
coincide, la regla de poltica
correspondiente se aplicar; si no
coincide, el flujo se evaluar con respecto
a la siguiente regla, como con cualquier
otro criterio de coincidencia de poltica.
En la puerta de enlace (o en Panorama si tiene pensado

compartir los perfiles HIP con varias puertas de enlace),
seleccione Objetos > GlobalProtect > Perfiles HIP y haga clic en
Aadir.
Introduzca un Nombre descriptivo para el perfil y,
opcionalmente, una Descripcin.
Seleccione el primer objeto o perfil HIP que desea utilizar como
criterio de bsqueda y, a continuacin, haga clic en Aadir
para moverlo sobre el cuadro de texto Coincidencia en el
cuadro de dilogo Perfil HIP. Tenga en cuenta que, si desea que
el perfil HIP evale el objeto como una coincidencia solo
cuando el criterio del objeto no sea verdadero para un flujo,
seleccione la casilla de verificacin NO antes de aadir el objeto.
5.
Contine aadiendo criterios de coincidencia como

corresponda para el perfil que est creando, seleccionando el
botn de opcin del operador booleano apropiado (Y u O) cada
vez que aada un elemento (y, de nuevo, use la casilla de
verificacin NO cuando corresponda).
6.
Si est creando una expresin booleana compleja, debe aadir

manualmente el parntesis en los lugares adecuados del cuadro
de texto Coincidencia para asegurarse de que el perfil HIP se
evala usando la lgica que desea. Por ejemplo, el siguiente perfil
HIP buscar coincidencias con el trfico desde un host que
tenga cifrado de disco FileVault (en sistemas de SO Mac) o
TrueCrypt (en sistemas Windows), que pertenezca al dominio
requerido y que tambin tenga instalado un cliente antivirus de
Symantec:
7.
Cuando termine de aadir criterios de evaluacin haga clic en

ACEPTAR para guardar el perfil.
8.
Repita estos pasos para crear cada perfil HIP adicional que
necesite.
9.
197

de polticas
En las puertas de enlace a las que se conectan sus usuarios de

GlobalProtect, seleccione Supervisar > Logs > Coincidencias HIP.
Este log muestra todas las coincidencias que ha identificado la puerta
de enlace durante la evaluacin de los datos de HIP sin procesar
suministrados por los agentes en comparacin con los objetos HIP
Puede supervisar objetos y perfiles
y los perfiles HIP. A diferencia de otros logs, una coincidencia HIP
HIP para supervisar el estado de
no requiere una coincidencia de poltica de seguridad para ser
seguridad y la actividad de los
registrada.
extremos de su host. Al supervisar
la informacin del host durante un
tiempo, podr entender mejor
dnde se encuentran sus problemas
de seguridad y conformidad y usar
esta informacin como orientacin
para crear una poltica til. Si desea
ms informacin, consulte Cmo
puedo consultar el estado de los
clientes finales?
Paso 6
Compruebe que los objetos HIP y los

perfiles HIP que ha creado coinciden con
el trfico de su cliente GlobalProtect
segn lo esperado.
Paso 7
1.
Habilite User-ID (ID de usuario) en las
zonas de origen que contengan los usuarios 2.
de GlobalProtect que enviarn solicitudes
que requieran controles de acceso basados
3.
en HIP. Debe habilitar User-ID incluso
aunque no piense usar la funcin de
identificacin de usuarios, ya que de lo
contrario el cortafuegos no generar
ninguna entrada de coincidencia HIP.
198
Seleccione Red > Zonas.

Haga clic en el Nombre de la zona en la que desee habilitar
User-ID para abrir el cuadro de dilogo Zona.
Seleccione la casilla de verificacin Habilitacin de la
identificacin de usuarios y, a continuacin, haga clic en
Aceptar.

de polticas
Paso 8
Consulte Configuracin del acceso de puerta de enlace al gestor de

(Opcional) Configure las puertas de
enlace para recopilar informes HIP desde seguridad mvil para obtener instrucciones.
Este paso solo se aplica si est usando
el Gestor de seguridad mvil de
GlobalProtect para gestionar dispositivos
mviles y quiere usar en la puerta de
enlace los datos HIP extendidos que
recopila el gestor de seguridad mvil en la
aplicacin de polticas de seguridad.
Paso 9
Cree las reglas de seguridad HIP en sus

puertas de enlace.
Aada los perfiles HIP a sus reglas de seguridad:

1. Seleccione Polticas > Seguridad y seleccione la regla a la que
quiere aadir un perfil HIP.
Es recomendable que cree sus reglas de

seguridad y que pruebe que coinciden con 2.
los flujos esperados basndose en los
criterios de origen y destino segn lo
3.
esperado antes de aadir sus perfiles de
HIP. Esto le permitir determinar mejor
la ubicacin adecuada de las reglas HIP 4.
dentro de la poltica.
5.
En la pestaa Origen, asegrese de que la Zona de origen es una

zona para la que ha habilitado User-ID Paso 7.
En la pestaa Usuario, haga clic en Aadir en la seccin
Perfiles HIP y seleccione los perfiles HIP que quiere aadir a la
regla (puede aadir hasta 63 perfiles HIP a una regla).
Haga clic en ACEPTAR para guardar la regla.
199

de polticas
1.
Paso 10 Defina los mensajes de notificacin que
vern los usuarios finales cuando se aplique
una regla de seguridad con un perfil HIP.
La decisin de cundo mostrar un mensaje
(es decir, si aparece cuando la configuracin
del usuario coincide con un perfil HIP en la
poltica o cuando no coincide), depende en
gran medida de su poltica y de lo que el
usuario entiende por coincidencia (o no
coincidencia) de HIP. Es decir, significa la
coincidencia que se concede total acceso a
los recursos de su red? O significa que tiene
acceso limitado debido a un problema de
incumplimiento?
2.
Seleccione su configuracin de puerta de enlace previamente

definida para abrir el cuadro de dilogo de la puerta de enlace de
GlobalProtect.
3.
Seleccione Configuracin clientes > Notificacin HIP y, a

4.

desplegable.
5.

objetivos para la poltica. Para el mensaje de coincidencia, tambin
puede habilitar la opcin que permite incluir la lista de
aplicaciones con coincidencia en el mensaje e indicar qu
aplicaciones activan la coincidencia HIP.
Por ejemplo, suponga que crea un perfil

HIP que coincide si el antivirus requerido
por la empresa y los paquetes de software
antispyware no estn instalados. En este
caso, puede que quiera crear un mensaje de
notificacin HIP para los usuarios que
6.
coincidan con el perfil HIP que les indique
que necesitan instalar el software. Por el
contrario, si su perfil HIP coincida si esas
7.
mismas aplicaciones estaban instaladas,
puede que quiera crear el mensaje para
aquellos usuarios que no coinciden con el
perfil.
200
En el cortafuegos donde se alojan sus puertas de enlace de

GlobalProtect, seleccione Red > GlobalProtect > Puertas de
enlace.
Seleccione la casilla de verificacin Habilitar y seleccione si quiere

mostrar el mensaje como Mensaje emergente o como Icono en
la barra de tareas.
Introduzca el texto de su mensaje en el cuadro de texto Plantilla y,
a continuacin, haga clic en ACEPTAR. El cuadro de texto permite
una visualizacin del aspecto real del texto y una del cdigo HTML,
entre las que puede alternar usando el icono Mostrar cdigo fuente
. La barra de herramientas ofrece asimismo muchas opciones
para dar formato al texto y crear hiperenlaces
a documentos
externos, por ejemplo, para enlazar a los usuarios directamente a la
URL de descarga de un programa de software requerido.
8.
Repita este procedimiento para cada mensaje que quiera definir.
9.

de polticas
Paso 11 Compruebe que sus perfiles HIP

funcionan segn lo esperado.
Puede supervisar qu trfico cumple la poltica HIP usando el log de

trfico del siguiente modo:
1. Desde la puerta de enlace, seleccione Supervisar > Logs >
Trfico.
2.
Filtre el log para mostrar solo el trfico que coincida con la regla
que tiene adjunto el perfil HIP que le interesa supervisar. Por
ejemplo, para buscar trfico que coincida con una regla de
seguridad con el nombre "Apps iOS" debera introducir ( rule
eq 'Apps iOS' ) en el cuadro de texto de filtro del siguiente
modo:
201
Recopilacin de datos de procesos y aplicaciones

de clientes

de polticas

de clientes
El registro de Windows y la plist de Mac pueden usarse para configurar y almacenar configuraciones y opciones
para los sistemas operativos Windows y Mac, respectivamente. Puede crear una comprobacin personalizada
que le permita determinar si una aplicacin est instalada (si tiene una clave de registro o de plist
correspondiente) o est en ejecucin (si tiene un proceso en ejecucin correspondiente) en un cliente Windows
o Mac. La habilitacin de las comprobaciones personalizadas indica al agente de GlobalProtect que debe
recopilar informacin especfica del registro (claves del registro y valores de claves del registro en clientes
Windows) o informacin de listas de preferencias (plist y claves plist de clientes Mac OS). La informacin que
defina para su recopilacin en una comprobacin personalizada se incluye en los datos de informacin sin
procesar recopilados por el agente de GlobalProtect y, a continuacin, se enva a la puerta de enlace de
GlobalProtect cuando se conecta el agente.
Para supervisar los datos recopilados con comprobaciones personalizadas, puede crear un objeto HIP. A
continuacin, puede aadir un objeto HIP a un perfil HIP a fin de usar los datos recopilados para que coincidan
con el trfico del dispositivo y aplicar las reglas de seguridad. La puerta de enlace puede usar el objeto HIP (que
compara los datos definidos en la comprobacin personalizada) para filtrar la informacin de host sin procesar
enviada por el agente. Cuando la puerta de enlace encuentra una coincidencia entre los datos del cliente y un
objeto HIP, se genera una entrada de log de coincidencias HIP para los datos. Un perfil HIP permite a la puerta
de enlace buscar coincidencias entre los datos recopilados y una regla de seguridad. El perfil HIP se usa como
criterio para una regla de poltica de seguridad, la puerta de enlace aplicar esa regla de seguridad al trfico
coincidente.
Use la siguiente tarea para habilitar las comprobaciones personalizadas para recopilar datos de clientes Windows
y Mac. Esta tarea incluye los pasos opcionales para crear un objeto HIP y un perfil HIP para una comprobacin
personalizada, en el caso de que quiera usar los datos del cliente como criterios de coincidencia para una poltica
de seguridad para supervisar, identificar y actuar sobre el trfico.
Para obtener ms informacin acerca de cmo definir la configuracin del agente desde el
registro de Windows o el archivo plist global de Mac, consulte Implementacin de la
configuracin del agente de forma transparente.
202

de polticas
Habilitacin y verificacin de comprobaciones personalizadas para clientes de Windows o Mac
Paso 1
Recopilacin de datos de un cliente de Windows:

Habilite el agente de GlobalProtect para
recopilar informacin del registro de
1. Seleccione Red > GlobalProtect > Portales > Configuracin
Windows desde clientes de Windows o
clientes > Recopilacin de datos > Comprobaciones
informacin de Plist desde clientes de Mac.
personalizadas > Windows.
El tipo de informacin recopilada puede
2. Aada la clave del registro sobre la que quiere recopilar
incluir si la aplicacin est instalada o no en
informacin. Si quiere restringir la recopilacin de datos a un valor
el cliente, o atributos o propiedades
contenido en la clave del registro, aada el valor de registro
especficos de usa aplicacin.
correspondiente.
Este paso permite que el agente genere logs
de datos sobre aplicaciones y
configuraciones del cliente. (El Paso 5 y el
Paso 6 le muestran cmo supervisar y usar
los datos de logs para identificar o realizar
acciones sobre el trfico de determinados
dispositivos.)
Recopilacin de datos de un cliente de Mac:
1. Seleccione Red > GlobalProtect > Portales > Configuracin
clientes > Recopilacin de datos > Comprobaciones
personalizadas > Mac.
2.
Aada la Plist de la que quiere recopilar informacin y la clave de

Plist correspondiente para determinar si est instalada la aplicacin.
Por ejemplo, aada la Plist com.apple.screensaver y la clave

askForPassword para recopilar informacin acerca de si se
requiere contrasea para activar el cliente de Mac una vez iniciado
el protector de pantalla:
Confirme que la Plist y clave se han aadido a las comprobaciones

personalizadas de Mac:
203

de clientes

de polticas
Paso 2
(Opcional) Compruebe si se est

ejecutando un proceso especfico en el
cliente.
1.
Contine desde el Paso 1 en la pestaa Comprobaciones

personalizadas (Red > GlobalProtect > Portales >
Configuracin clientes > Recopilacin de datos) y seleccione
la pestaa Windows o Mac.
2.
Aada el nombre del proceso sobre el que quiere recopilar

informacin a la lista de procesos.
Paso 3
Guarde la comprobacin personalizada.
Haga clic en ACEPTAR y seleccione Confirmar los cambios.
Paso 4
Compruebe que el agente GlobalProtect

est recopilando los datos definidos en la
comprobacin personalizada desde el
cliente.
Para clientes de Windows:
En el cliente de Windows, haga doble clic en el icono de GlobalProtect

en la barra de tareas y haga clic en la pestaa Estado de host para ver la
informacin que el agente de GlobalProtect est recopilando del cliente
de Mac. En el men desplegable comprobaciones personalizadas,
compruebe que se muestran los datos que ha definido para su
recopilacin en el Paso 1:
Para clientes de Mac:
En el cliente de Mac, haga clic en el icono de GlobalProtect en la barra

de mens, haga clic en Vista avanzada y haga clic en Estado de host
para ver la informacin que el agente de GlobalProtect est recopilando
del cliente de Mac. En el men desplegable comprobaciones
personalizadas, compruebe que se muestran los datos que ha definido
para su recopilacin en el Paso 1:
204

de polticas
Paso 5
(Opcional) Cree un objeto HIP para que

coincida con una clave del registro
(Windows) o plist (Mac). Esto puede
permitirle filtrar la informacin de host
sin procesar recopilada desde el agente de
GlobalProtect para supervisar los datos
para la comprobacin personalizada.
1.
Seleccione Objetos > GlobalProtect > Objetos HIP y aada un

Objeto HIP.
2.
Seleccione y habilite Comprobaciones personalizadas.
Para clientes de Windows:
3.
Con un objeto HIP definido para los

datos de comprobacin personalizados, la
puerta de enlace buscar coincidencias en
los datos enviados por el agente al objeto 4.
HIP y se generar una entrada de log de
coincidencias HIP para los datos
(Supervisar > Coincidencias HIP).
5.
Para comprobar una clave de registro especfica en los clientes

de Windows, seleccione Clave de registro y aada el registro en
el que buscar coincidencias. Para identificar solamente clientes
que no tengan la clave de registro especificada, seleccione La
clave no existe o coincide con datos de valor especificados.
Para buscar coincidencias con valores concretos en la clave de
registro, haga clic en Aadir y, a continuacin, introduzca el
valor de registro y los datos de valor. Para identificar clientes que
explcitamente no tengan el valor o datos de valor especificados,
seleccione la casilla de verificacin Negar.
Haga clic en ACEPTAR para guardar el objeto HIP. Puede

compilar para ver los datos en los logs de Coincidencias HIP la
prxima vez que se registre el dispositivo o continuar al Paso 6.
Para clientes de Mac:
3.
Seleccione la pestaa Plist y Aadir e introduzca un nombre de

Plist en la que quiera comprobar clientes de Mac. (En cambio,
si quiere buscar coincidencias en clientes de Mac que no tengan
la Plist especificada, seleccione Plist no existe).
4.
(Opcional) Puede buscar coincidencias en el trfico con un par

clave-valor especfico dentro de la Plist introduciendo la clave y
el valor correspondientes para la bsqueda de coincidencias. (Si
quiere identificar clientes que no tienen una clave y valor
especficos, tambin puede seleccionar Negar tras rellenar los
campos clave y valor).
5.
Haga clic en ACEPTAR para guardar el objeto HIP. Puede

compilar para ver los datos en los logs de Coincidencias HIP la
prxima vez que se registre el dispositivo o continuar al Paso 6.
205

de clientes

de polticas
Paso 6
1.
(Opcional) Cree un perfil HIP para
permitir que el objeto HIP que ha creado 2.
en el Paso 5 sea evaluado con respecto al
trfico.
3.
El perfil HIP se puede aadir a una
poltica de seguridad como una
comprobacin adicional del trfico que 4.
coincide con la poltica. Al buscar
coincidencias entre el trfico y el perfil
HIP, la poltica de seguridad se aplicar al
trfico.
Seleccione Objetos > GlobalProtect > Perfiles HIP.

Seleccione el objeto HIP que desea utilizar como criterio de
bsqueda y, a continuacin, muvalo al cuadro Coincidencia en
el cuadro de dilogo Perfil HIP.
Cuando haya terminado de aadir objetos al nuevo perfil HIP,
haga clic en ACEPTAR y en Compilar.

la creacin de perfiles HIP, consulte
Configuracin de la aplicacin de polticas
basadas en HIP.
Paso 1
206
Aada el perfil HIP a una poltica de

seguridad para que los datos recopilados
con la comprobacin personalizada se
puedan usar para buscar coincidencias y
actuar sobre el trfico.
Seleccione Polticas > Seguridad y Aadir o modifique una poltica

de seguridad. Vaya a la pestaa Usuario y aada un perfil HIP a la
poltica. Para obtener ms informacin sobre componentes de
polticas de seguridad y el uso de polticas de seguridad para buscar
coincidencias y actuar sobre el trfico, consulte Poltica de seguridad.
Configuraciones rpidas de
GlobalProtect
En la siguiente seccin se proporcionan instrucciones detalladas para configurar algunas implementaciones
globales de GlobalProtect:
VPN de acceso remoto (Perfil de autenticacin)
VPN de acceso remoto (Perfil del certificado)
VPN de acceso remoto con autenticacin de dos factores
Configuracin de VPN siempre activada
VPN de acceso remoto con funcin anterior al inicio de sesin
Configuracin de varias puertas de enlace de GlobalProtect
GlobalProtect para comprobacin de HIP interna y acceso basado en usuario
Configuracin de puerta de enlace externa e interna combinada
207
Configuraciones rpidas de GlobalProtect

En la Ilustracin: VPN de GlobalProtect para acceso remoto, el portal y la puerta de enlace de GlobalProtect
se configuran en Ethernet1/2, la interfaz fsica donde se conectan los clientes de GlobalProtect. Despus de
que los clientes se conecten y se autentiquen correctamente en el portal y en la puerta de enlace, el agente
establece un tnel VPN desde su adaptador virtual, al que se le ha asignado una direccin en el grupo de
direcciones IP asociado con la configuracin tunnel.2 de la puerta de enlace 10.31.32.3-10.31.32.118 en este
ejemplo. Como los tneles VPN de GlobalProtect terminan con una zona corp-vpn independiente, tendr
visibilidad sobre el trfico VPN, as como la capacidad de adaptar la poltica de seguridad para usuarios remotos.
Ver el vdeo.
Ilustracin: VPN de GlobalProtect para acceso remoto
El siguiente procedimiento proporciona los pasos de configuracin para este ejemplo. Tambin puede ver el
vdeo.
Configuracin rpida: Acceso remoto de VPN
Paso 1

GlobalProtect.
Utilice el enrutador virtual
Seleccione Red > Interfaces > Ethernet y configure ethernet1/2

como interfaz Ethernet de capa 3 con la direccin IP 199.21.7.42 y
asgnela a la zona l3-nofiable y al enrutador virtual predeterminado.
Cree un registro "A" DNS que asigne la direccin IP 199.21.7.42 a

gp.acme.com.
configuraciones de la interfaz eviten
tener que crear el enrutamiento entre Seleccione Red > Interfaces > Tnel y aada la interfaz tnel.2 y
zonas.
adala a una nueva zona llamada corp-vpn. Asgnela al enrutador
virtual predeterminado.
predeterminado para que todas las
Habilite la identificacin de usuario en la zona corp-vpn.
208
Configuracin rpida: Acceso remoto de VPN (Continuacin)
Paso 2
Cree una poltica de seguridad para habilitar 1.

el flujo de trfico entre la zona corp-vpn y la
zona l3-fiable y permitir el acceso a sus
2.
recursos internos.
Seleccione Polticas > Seguridad y haga clic en Aadir para

aadir una nueva regla.
Para este ejemplo, puede definir la regla con la siguiente
configuracin:
NombreAcceso VPN
Zone de origencorp-vpn
Zone de destinol3-fiable
Paso 3
Paso 4
Obtenga un certificado de servidor para la

interfaz que aloja el portal y la puerta de
enlace de GlobalProtect con uno de los
siguientes mtodos:
(Recomendado) Importe un certificado
de servidor desde una CA externa
conocida.
Genere un nuevo certificado de
servidor autofirmado.
Seleccione Dispositivo > Gestin de certificados > Certificados para

gestionar certificados de la siguiente forma:
Obtenga un certificado de servidor. Como el portal y la puerta de
enlace se encuentran en la misma interfaz, se puede utilizar el mismo
certificado de servidor para ambos componentes.
El CN del certificado debe coincidir con el FQDN, gp.acme.com.
Para permitir a los clientes conectarse con el portal sin que reciban
errores de certificado, utilice un certificado de servidor desde una CA
pblica.
Cree el perfil de servidor para conectarse al servidor LDAP:
El perfil de servidor ensea al cortafuegos

cmo conectarse al servicio de
autenticacin. Los mtodos de
autenticacin locales, RADIUS, Kerberos y
LDAP son compatibles. En este ejemplo se
muestra un perfil de autenticacin LDAP
para autenticar a los usuarios con respecto a
Active Directory.
Dispositivo > Perfiles de servidor > LDAP
209
Configuracin rpida: Acceso remoto de VPN (Continuacin)
Paso 5
Instale el perfil del servidor a un perfil de autenticacin:

Dispositivo > Perfil de autenticacin.
Paso 6
Configuracin de una puerta de enlace de Seleccione Red > GlobalProtect > Portales y aada la siguiente
configuracin:
GlobalProtect.
Interfaz: ethernet1/2
Direccin IP: 199.21.7.42
Certificado de servidorGP-server-cert.pem emitido por Go Daddy
Perfil de autenticacin: Corp-LDAP
Interfaz de tnel: tunnel.2
Grupo de IP: 10.31.32.3 - 10.31.32.118
Paso 7

GlobalProtect.
Seleccione Red > GlobalProtect > Portales y aada la siguiente

configuracin:
1. Configuracin del acceso al portal de GlobalProtect. En este
ejemplo se utilizan los siguientes ajustes:
Certificado de servidorGP-server-cert.pem emitido por
Go Daddy
2.

usando los siguientes ajustes:
Mtodo de conexin: segn demanda
Direccin de puerta de enlace externa: gp.acme.com
Paso 8
Paso 9
Implementacin del software del agente

de GlobalProtect.
(Optativo) Permita el uso de la aplicacin

En este ejemplo, utilice el procedimiento para Alojamiento de
actualizaciones de agente en el portal.
Compre e instale una suscripcin a GlobalProtect Gateway
(Dispositivo > Licencias) para habilitar el uso de la aplicacin.
Paso 10 Guarde la configuracin de GlobalProtect. Haga clic en Confirmar.
210

Cuando se autentican usuarios con autenticacin de certificado, el cliente debe presentar un certificado de
cliente nico que identifique al usuario final para poder conectar a GlobalProtect. Cuando se utiliza como nico
mtodo de autenticacin, el certificado que presenta el cliente debe contener el nombre de usuario en uno de
los campos de certificado; normalmente, el nombre de usuario corresponde al nombre comn (CN) del campo
Asunto del certificado. Cuando la autenticacin es correcta, el agente de GlobalProtect establece un tnel de
VPN con la puerta de enlace y se le asigna una direccin IP desde el grupo de IP en la configuracin de tnel
de la puerta de enlace. Para habilitar la aplicacin de polticas basadas en el usuario en sesiones de la zona
corp-vpn, el nombre de usuario del certificado se asigna a la direccin IP asignada por la puerta de enlace. Si se
necesita un nombre de dominio para la aplicacin de polticas, el valor de dominio especificado en el perfil de
certificado se adjunta al nombre de usuario.
Ilustracin: Configuracin de autenticacin del certificado de cliente de GlobalProtect
Esta configuracin rpida utiliza la misma topologa que la Ilustracin: VPN de GlobalProtect para acceso
remoto. La nica diferencia de configuracin es que, en lugar de autenticar a los usuarios con respecto a un
servidor de autenticacin, esta configuracin utiliza solo la autenticacin del certificado de cliente.
Configuracin rpida: Acceso remoto de VPN con autenticacin de certificado de cliente
Paso 1

GlobalProtect.
Seleccione Red > Interfaces > Ethernet y configure ethernet1/2 a

una interfaz Ethernet de capa 3 con direccin IP 199.21.7.42 y
asgnela a la zona de seguridad l3-nofiable y al enrutador virtual
predeterminado.
configuraciones de la interfaz eviten Cree un registro "A" DNS que asigne la direccin IP 199.21.7.42 a
gp.acme.com.
tener que crear el enrutamiento entre
zonas.
Seleccione Red > Interfaces > Tnel y aada la interfaz tnel.2 y
211
Configuracin rpida: Acceso remoto de VPN con autenticacin de certificado de cliente (Continuacin)
Paso 2
Cree una poltica de seguridad para

corp-vpn y la zona l3-fiable y permitir el
acceso a sus recursos internos.
1.

2.

configuracin:
NombreAcceso VPN
Paso 3
Paso 4
Paso 5

siguientes mtodos:
(Recomendado) Importe un
certificado de servidor desde una CA
externa conocida.


1.

2.

1.
Seleccione Dispositivo > Gestin de certificados > Perfil de

certificados, haga clic en Aadir e introduzca un Nombre como

enlace se encuentran en la misma interfaz, se puede utilizar el
mismo certificado de servidor para ambos componentes.
errores de certificado, utilice un certificado de servidor desde una
CA pblica.
GP-client-cert.
212
2.
Seleccione Asunto en el men desplegable Campo de nombre

de usuario.
3.
Haga clic en Aadir en la seccin Certificados de CA, seleccione

el certificado de CA que emitieron los certificados de cliente y
haga clic en ACEPTAR dos veces.
Configuracin rpida: Acceso remoto de VPN con autenticacin de certificado de cliente (Continuacin)
Paso 6
Configuracin de una puerta de enlace de Seleccione Red > GlobalProtect > Puertas de enlace y aada la
GlobalProtect.
siguiente configuracin:
Consulte el diagrama de topologa que se Interfaz: ethernet1/2
muestra en la Ilustracin: VPN de
GlobalProtect para acceso remoto.
Certificado de servidorGP-server-cert.pem emitido por Go
Daddy
Perfil del certificado GP-client-cert
Grupo de IP: 10.31.32.3 - 10.31.32.118
Paso 7

GlobalProtect.

configuracin:
1. Configuracin del acceso al portal de GlobalProtect:
Certificado de servidorGP-server-cert.pem emitido por Go
Daddy
2.
Definicin de las configuraciones de cliente de GlobalProtect:

Paso 8
Paso 9

de GlobalProtect.
(Optativo) Permita el uso de la aplicacin

Compre e instale una suscripcin a GlobalProtect Gateway
Paso 10 Guarde la configuracin de GlobalProtect. Haga clic en Confirmar.
213

Cuando configura un portal o puerta de enlace de GlobalProtect con un perfil de autenticacin y un perfil de
certificado (denominada autenticacin de dos factores), se le pedir al usuario final que autentique
correctamente en ambos antes de que se le permita el acceso. En cuanto a la autenticacin de portales, esto
significa que los certificados deben implantarse previamente en clientes finales antes de su conexin inicial al
portal. Adems, los certificados presentados por los clientes deben coincidir con lo definido en el perfil del
certificado.
Si el perfil del certificado no especifica ningn campo de nombre de usuario (es decir, Campo de nombre de
usuario est definido como Ninguno), el certificado de cliente no necesitar contar con un nombre de usuario.
En este caso, el cliente debe proporcionar el nombre de usuario cuando autentique con este perfil de
autenticacin.
Si el perfil del certificado especifica un campo de nombre de usuario, el certificado que presenta el cliente
debe contener un nombre de usuario en el campo correspondiente. Por ejemplo, si el perfil del certificado
especifica que el campo del nombre de usuario es el asunto, el certificado presentado por el cliente debe
contener un valor en el campo de nombre comn o la autenticacin fallar. Adems, cuando se necesite el
campo del nombre de usuario, el valor del campo de nombre de usuario del certificado se cumplimentar
automticamente con el nombre de usuario cuando el usuario trate de introducir la autenticacin en el perfil
de autenticacin. Si no quiere obligar a los usuarios a autenticar con un nombre de usuario del certificado,
no especifique ningn campo de nombre de usuario en el perfil del certificado.
Esta configuracin rpida utiliza la misma topologa que la Ilustracin: VPN de GlobalProtect para acceso
remoto. Sin embargo, en esta configuracin, los clientes deben autenticar con un perfil de certificado y un perfil
de autenticacin. Para obtener ms detalles sobre un tipo especfico de autenticacin de dos factores, consulte
los siguientes temas:
214
Configuracin rpida: Acceso remoto de VPN con autenticacin de dos factores
Paso 1

GlobalProtect.

predeterminado.
gp.acme.com.
tener que crear el enrutamiento
entre zonas.
Paso 2
Cree una poltica de seguridad para

corp-vpn y la zona l3-fiable y permitir el
acceso a sus recursos internos.
1.

2.

configuracin:
NombreAcceso VPN
Paso 3
Paso 4

siguientes mtodos:
externa conocida.

CA pblica.
1.

2.

215
Configuracin rpida: Acceso remoto de VPN con autenticacin de dos factores (Continuacin)
Paso 5
1.
Seleccione Dispositivo > Gestin de certificados > Perfil de

certificados, haga clic en Aadir e introduzca un Nombre como
GP-client-cert.
2.
Especifique dnde obtener el nombre de usuario que se utilizar

para autenticar al usuario final:
De usuario: si quiere que el usuario final proporcione un
nombre de usuario cuando se autentique en el servicio
especificado en el perfil de autenticacin, seleccione Ninguno
como Campo de nombre de usuario.
De certificado: si desea extraer el nombre de usuario del
certificado, seleccione Asunto como Campo de nombre de
usuario. Si utiliza esta opcin, el CN contenido en el
certificado cumplimentar automticamente el campo de
nombre de usuario cuando al usuario se le solicite iniciar
sesin en el portal/puerta de enlace. Al usuario se le pedir
que inicie sesin usando ese nombre de usuario.
3.
Paso 6
Paso 7
Haga clic en Aadir en la seccin Certificados de CA, seleccione

el certificado de CA que emitieron los certificados de cliente y
haga clic en ACEPTAR dos veces.
Cree el perfil de servidor para conectarse al servidor LDAP:
El perfil de servidor ensea al cortafuegos

cmo conectarse al servicio de
autenticacin. Los mtodos de
autenticacin locales, RADIUS, Kerberos
y LDAP son compatibles. En este
ejemplo se muestra un perfil de
autenticacin LDAP para autenticar a los
usuarios con respecto a Active Directory.
Dispositivo > Perfiles de servidor > LDAP
Instale el perfil del servidor a un perfil de autenticacin:

Dispositivo > Perfil de autenticacin.
216
Configuracin rpida: Acceso remoto de VPN con autenticacin de dos factores (Continuacin)
Paso 8
GlobalProtect.
Consulte el diagrama de topologa que se Interfaz: ethernet1/2
Go Daddy
Grupo de IP: 10.31.32.3 - 10.31.32.118
Paso 9

GlobalProtect.

configuracin:
Go Daddy
2.

Paso 10 Implementacin del software del agente

de GlobalProtect.

Paso 11 (Optativo) Permita el uso de la aplicacin Compre e instale una suscripcin a GlobalProtect Gateway
Paso 12 Guarde la configuracin de
GlobalProtect.
217

En una configuracin de GlobalProtect "siempre activada", el agente se conecta al portal de GlobalProtect al
iniciar sesin el usuario para enviar informacin de usuario y de host y recibir la configuracin de cliente.
Establece automticamente el tnel de VPN a la puerta de enlace especificada en la configuracin del cliente
distribuida por el portal sin la intervencin del usuario final como se muestra en la siguiente ilustracin.
Para cambiar a cualquier configuracin de VPN de acceso remoto anterior en una configuracin "siempre
activada", solo tiene que cambiar el mtodo de conexin:
Cambio a una configuracin "siempre activada"
1.
Seleccione Red > GlobalProtect > Portales y seleccione la configuracin de portal para abrirla.
2.
Seleccione la pestaa Configuracin clientes y, a continuacin, seleccione la configuracin de cliente que desea modificar.
3.
Seleccione Inicio de sesin de usuario como mtodo de conexin. Repita esto para cada una de las configuraciones del
cliente.
4.
Haga clic en ACEPTAR dos veces para guardar la configuracin de cliente y la de portal y, a continuacin, compile el
cambio.
218
VPN de acceso remoto con funcin anterior al inicio de

sesin
El mtodo de conexin anterior al inicio de sesin de GlobalProtect es una funcin que permite a GlobalProtect
autenticar al agente y establecer el tnel de VPN en la puerta de enlace de GlobalProtect usando un certificado
de mquina preinstalado antes de que el usuario haya iniciado sesin. Como el tnel ya est establecido, las
secuencias de comandos de dominio se pueden ejecutar cuando el usuario inicia sesin, en lugar de usar
credenciales en cach.
Antes de que el usuario inicie sesin, no hay ningn nombre de usuario asociado con el trfico. Por lo tanto,
para permitir que el sistema de cliente acceda a los recursos de la zona fiable, debe crear polticas de seguridad
que coincidan con el usuario, con el modo anterior al inicio de sesin. Estas polticas solo deben permitir el
acceso a servicios bsicos necesarios para iniciar el sistema, como DHCP, DNS, Active Directory (por ejemplo,
para cambiar una contrasea vencida), antivirus o servicios de actualizacin del sistema operativo. A
continuacin, despus de que el usuario inicie sesin en el sistema y realice la autenticacin, el tnel de VPN
cambia su nombre para incluir el nombre de usuario, de forma que esa poltica basada ese grupo y usuario se
pueda aplicar.
Los sistemas Windows y los sistemas Mac tienen comportamientos distintos en una
configuracin anterior al inicio de sesin. A diferencia del comportamiento de Windows descrito
anteriormente, en los sistemas Mac OS el tnel se desconecta cuando el usuario inicia sesin y
entonces se establece un nuevo tnel.
Con el modo anterior al inicio de sesin, cuando un agente se conecta al portal por primera vez, el usuario final
debe autenticar (mediante el perfil de autenticacin o un perfil de certificado configurado para validar un
certificado de cliente que contiene un nombre de usuario). Una vez que la autenticacin finaliza con xito, el
portal aplica la configuracin del cliente al agente junto con una cookie que se utilizar para la autenticacin de
portal con el objetivo de recibir una actualizacin de configuracin. Entonces, cuando un sistema de cliente trata
de conectar en modo anterior al inicio de sesin, utilizar la cookie para autenticarse en el portal y recibir su
configuracin de cliente anterior al inicio de sesin. En ese momento, se conectar a la puerta de enlace
especificada en la configuracin y autenticar usando su certificado de mquina (segn se especifica en un perfil
de certificado configurado en la puerta de enlace) y establecer el tnel de VPN.
Cuando el usuario final inicia sesin posteriormente en el ordenador, si se habilita el registro nico (SSO) en la
configuracin del cliente, el nombre de usuario y la contrasea se capturarn cuando el usuario inicie sesin y
se usarn para autenticar la puerta de enlace, por lo que puede cambiarse el nombre del tnel (Windows). Si SSO
no est habilitado en la configuracin del cliente o si SSO no es compatible con el sistema del cliente (por
ejemplo, si es un sistema Mac OS) las credenciales del usuario debern guardarse en el agente (es decir, la casilla
de verificacin Recordarme debe estar seleccionada en el agente). Tras una autenticacin correcta en la puerta
de enlace, el tnel cambiar de nombre (Windows) o se generar de nuevo (Mac) y se podr aplicar la poltica
basada en el usuario o en el grupo.
219
Este ejemplo utiliza la topologa de GlobalProtect que se muestra en Ilustracin: VPN de GlobalProtect para
acceso remoto.
Configuracin rpida: VPN de acceso remoto con funcin anterior al inicio de sesin
Paso 1

GlobalProtect.

predeterminado.
gp.acme.com.
entre zonas.
220
Configuracin rpida: VPN de acceso remoto con funcin anterior al inicio de sesin (Continuacin)
Paso 2
Cree las reglas de poltica de seguridad.
Esta configuracin requiere las siguientes polticas (Polticas >

Seguridad):
En primer lugar, cree una regla que permita el acceso del usuario
anterior al inicio de sesin a los servicios bsicos necesarios para
que aparezca el ordenador, como servicios de autenticacin, DNS,
DHCP y actualizaciones de Microsoft.
En segundo lugar, cree una regla que permita el acceso entre la
zona corp-vpn y la zona l3-fiable a cualquier usuario conocido,
despus de que el usuario inicie sesin con xito.
Paso 3
Paso 4

siguientes mtodos:
externa conocida.

CA pblica.
1.
Genere un certificado de mquina para
cualquier sistema cliente que se conecte a
GlobalProtect e imprtelos al almacn de 2.
certificados personales de cada mquina.
Aunque podra generar certificados
autofirmados para cada sistema cliente,
recomendamos utilizar su propia
infraestructura de clave pblica (PKI)
para emitir y distribuir certificados para
sus clientes.
Emita certificados de cliente para mquinas/usuarios de

GlobalProtect.
los sistemas cliente. (Almacn del equipo local en Windows o
llavero del sistema en SO Mac)
221
Paso 5
Importe el certificado de CA raz de

confianza desde la CA que gener los
certificados de mquina al portal y las
puertas de enlace.
1.
Descargue el certificado de CA en el formato Base64.
2.
Importe el certificado en todos los cortafuegos que alojan un

portal o puerta de enlace de la siguiente forma:
Certificados > Certificados de dispositivos y haga clic en
Importar.
No necesita importar la clave

privada.
b. Introduzca un Nombre de certificado que identifique al

certificado como su certificado de CA de cliente.
c. Seleccione Examinar para desplazarse al Archivo del
certificado que descarg de la CA.
d. Seleccione Certificado codificado en Base64 (PEM) como
Formato de archivo y, a continuacin, haga clic en Aceptar.
e. Seleccione el certificado que acaba de importar en la pestaa
Certificados de dispositivos para abrirlo.
f. Seleccione CA raz de confianza y, a continuacin, haga clic
en Aceptar.
Paso 6
Paso 7
222
1.
En todos los cortafuegos que alojan una
puerta de enlace de GlobalProtect, cree un
perfil de certificado para identificar qu
certificado de CA utilizar para validar los
certificados de mquina cliente.
2.

certificados > Perfil de certificados, haga clic en Aadir e
introduzca un nombre para identificar de forma exclusiva el perfil,
De forma optativa, si planea utilizar la

3.
autenticacin de certificados del cliente para
autenticar a los usuarios cuando inician
sesin en el sistema, asegrese de que en el
perfil del certificado se hace referencia al
4.
certificado de CA que emite los certificados
de cliente, adems de al certificado de CA
que emiti los certificados de mquina, en el
5.
caso de que sean distintos.
(Optativo) Si quiere utilizar la autenticacin de certificado de cliente

para autenticar a los usuarios al iniciar sesin, aada el certificado de
CA que emiti los certificados del cliente si es distinto al que emiti
los certificados de mquina.
por ejemplo PreLogonCert.

Establezca el Campo nombre de usuario en Ninguno.

el certificado de CA raz de confianza que import en el Paso 5 y, a
continuacin, haga clic en Aceptar.
GlobalProtect.
Consulte el diagrama de topologa que se
Aunque debe crear un perfil de certificado

para el modo de acceso anterior al inicio de
sesin a la puerta de enlace, puede utilizar la
autenticacin de certificado del cliente o la
autenticacin basada en perfil para aquellos
usuarios que han iniciado sesin. En este
ejemplo, se usa el mismo perfil de LDAP
que el usado para autenticar a usuarios en el
portal.
Perfil del certificado: PreLogonCert

Certificado de servidorGP-server-cert.pem emitido por Go Daddy
Grupo de IP: 10.31.32.3 - 10.31.32.118
Confirmar la configuracin de la puerta de enlace.
Paso 8

GlobalProtect.

configuracin:
Para esta configuracin, cree dos

configuraciones cliente: una que se
aplicar al agente cuando el usuario no
haya iniciado sesin (Usuario/Grupo de
usuarios es anterior al inicio de sesin) y
otro que se aplicar cuando el usuario
haya iniciado sesin (Usuario/Grupo de
usuarios es cualquiera). Puede que desee
limitar el acceso de la puerta de enlace a 2.
una nica puerta de enlace a los usuarios
con el modo anterior al inicio de sesin,
pero proporcionar acceso a varias puertas
de enlace a los usuarios que ya hayan
iniciado sesin.
Se recomienda habilitar el inicio de
sesin nico en la segunda
configuracin cliente para
garantizar que se indica
inmediatamente el nombre de
usuario correcto a la puerta de
enlace cuando el usuario inicia
sesin en la mquina. Si el inicio de
sesin nico no est habilitado, se
utilizar el nombre de usuario
guardado en el panel de
configuracin del agente de
GlobalProtect.
Paso 9
GlobalProtect.
Go Daddy
Perfil del certificado: Ninguno

para usuarios del modo anterior al inicio de sesin y usuarios
que ya han iniciado sesin:
Configuracin del primer cliente:
Mtodo de conexin: modo anterior al inicio de sesin
Usuario/grupo de usuarios: modo anterior al inicio de sesin
Modificador de autenticacin: Autenticacin de cookies para
Configuracin del segundo cliente:

Utilizar registro nico: habilitado
Mtodo de conexin: modo anterior al inicio de sesin
Usuario/grupo de usuarios: cualquiera
Modificador de autenticacin: Autenticacin de cookies para
3.
Asegrese de que la configuracin del cliente en modo anterior

al inicio de sesin est la primera en la lista de configuraciones.
Si no es as, seleccinela y haga clic en Mover hacia arriba.
223

En la Ilustracin: Topologa de puerta varias puertas de enlace de GlobalProtect se ha aadido una segunda
puerta de enlace a la configuracin. En todas las configuraciones anteriores de ejemplo se admiten varias puertas
de enlace. Las instrucciones adicionales explican la instalacin de una licencia de portal de GlobalProtect para
permitir el uso de varias puertas de enlace y la configuracin del segundo cortafuegos como puerta de enlace de
GlobalProtect. Adems, cuando se establecen las configuraciones cliente que se van a implementar en el portal,
puede decidir si desea acceder a todas las puertas de enlace o especificar diferentes puertas de enlace para
diferentes configuraciones.
Si una configuracin cliente contiene ms de una puerta de enlace, el agente tratar de conectar a todas las
puertas de enlace indicadas en su configuracin cliente. El agente utilizar la prioridad y el tiempo de respuesta
para determinar a qu puerta de enlace conectarse.
Ilustracin: Topologa de puerta varias puertas de enlace de GlobalProtect
224
Configuracin rpida: Configuracin de varias puertas de enlace de GlobalProtect
Paso 1

GlobalProtect.
En el cortafuegos que aloja el portal/puerta de enlace (puerta de enlace 1):

En esta configuracin, debe configurar las
interfaces de cada cortafuegos que alberga
predeterminado.
una puerta de enlace.
gp1.acme.com.
configuraciones de la interfaz eviten Seleccione Red > Interfaces > Tnel y aada la interfaz tnel.2 y
entre zonas.
En el cortafuegos que aloja la segunda puerta de enlace (puerta de enlace 2):

una interfaz Ethernet de capa 3 con direccin IP 192.0.2.4 y asgnela
a la zona de seguridad l3-nofiable y al enrutador virtual
predeterminado.
gp2.acme.com.
Seleccione Red > Interfaces > Tnel y aada la interfaz tnel.2. A
continuacin, adala a la nueva zona denominada corp-vpn.
Asgnela al enrutador virtual predeterminado.
Paso 2
Adquiera e instale una licencia de portal

de GlobalProtect en el cortafuegos que
aloja el portal. Esta licencia es necesaria
para permitir una configuracin de varias
puertas de enlace.
Despus de adquirir la licencia de portal y de recibir su cdigo de

activacin, instale la licencia en el cortafuegos que aloja el portal de
la siguiente forma:
1. Seleccione Dispositivo > Licencias.
2.
Tambin necesitar una suscripcin
de puerta de enlace de
3.
GlobalProtect en todas las puertas
de enlace si tiene usuarios que
4.
utilizarn la aplicacin
GlobalProtect en sus dispositivos
mviles o si planea utilizar la
poltica de seguridad HIP.
Paso 3
Cree una poltica de seguridad en cada

cortafuegos que aloje una puerta de
enlace de GlobalProtect:

autorizacin.
Cuando se le indique, introduzca el Cdigo de autorizacin y
haga clic en Aceptar.
Compruebe que la licencia se haya activado correctamente.
Esta configuracin requiere reglas de polticas para habilitar el flujo

de trfico entre la zona corp-vpn y la zona l3-fiable y permitir el
acceso a sus recursos internos (Polticas > Seguridad).
225
Configuracin rpida: Configuracin de varias puertas de enlace de GlobalProtect (Continuacin)
Paso 4
Paso 5
Obtenga certificados de servidor para las

interfaces que alojan el portal de
GlobalProtect y para cada una de las puertas
de enlace de GlobalProtect siguiendo estas
recomendaciones:
(En el cortafuegos que aloja el portal o
portal/puerta de enlace) Importe un
externa conocida.
(En un cortafuegos que solo aloja una
puerta de enlace) Genere un nuevo
certificado de servidor autofirmado.
En todos los cortafuegos que alojan un portal/puerta de enlace o puerta

de enlace, seleccione Dispositivo > Gestin de certificados >
Certificados para gestionar certificados de la siguiente forma:
Obtenga un certificado de servidor para el portal/puerta de enlace 1:
Como el portal y la puerta de enlace se encuentran en la misma
interfaz, debe utilizar el mismo certificado de servidor. El CN del
certificado debe coincidir con el FQDN, gp1.acme.com. Para
permitir a los clientes conectarse con el portal sin que reciban errores
de certificado, utilice un certificado de servidor desde una CA pblica.
Obtenga un certificado de servidor para la interfaz que aloja la puerta
de enlace 2: Como esta interfaz aloja una puerta de enlace, solo puede
utilizar un certificado autofirmado. El CN del certificado debe
coincidir con el FQDN, gp2.acme.com.
Defina cmo autenticar a los usuarios en el Puede utilizar cualquier combinacin de perfiles de certificado o perfiles
portal y las puertas de enlace.
de autenticacin como sea necesario para garantizar la seguridad del
portal y las puertas de enlace. Los portales y las puertas de enlace
individuales tambin pueden utilizar distintos esquemas de
autenticacin. Consulte las siguientes secciones para obtener
instrucciones detalladas:
Configuracin de autenticacin externa (perfil de autenticacin)
Configuracin de la autenticacin de certificado de cliente (perfil
del certificado)
Configuracin de la autenticacin en dos fases (basada en token
u OTP)
Necesitar hacer referencia al perfil del certificado o perfiles de
autenticacin que ha definido en las configuraciones de puerta de enlace
y portal.
Paso 6
Configure las puertas de enlace.
En este ejemplo se muestra la configuracin para gp1 y gp2 que aparece

en la Ilustracin: Topologa de puerta varias puertas de enlace de
GlobalProtect. Consulte Configuracin de una puerta de enlace de
GlobalProtect para ver instrucciones detalladas sobre cmo crear
configuraciones de puerta de enlace.
En el cortafuegos que aloja gp1, configure los ajustes En el cortafuegos que aloja gp2, configure los ajustes de la puerta de
de la siguiente:
enlace de la siguiente forma:
Seleccione Red > GlobalProtect > Puertas de
enlace y aada la siguiente configuracin:
Seleccione Red > GlobalProtect > Puertas de enlace y aada la

Direccin IP: 198.51.100.42
Certificado de servidor: GP1-server-cert.pem
Certificado de servidor : certificado autofirmado,
emitido por Go Daddy
GP2-server-cert.pem
Grupo de IP: 10.31.32.3 - 10.31.32.118
Grupo de IP: 10.31.33.3 - 10.31.33.118
226
Configuracin rpida: Configuracin de varias puertas de enlace de GlobalProtect (Continuacin)
Paso 7

GlobalProtect.

configuracin:
Direccin IP: 198.51.100.42
Certificado de servidor: GP1-server-cert.pem emitido por
Go Daddy
2.

El nmero de configuraciones cliente que crea depende de sus
requisitos de acceso especficos, incluido si necesita la aplicacin
de una poltica basada en usuario/grupo o HIP.
Paso 8
Paso 9

de GlobalProtect.
GlobalProtect.
Haga clic en Confirmar en el cortafuegos que aloja el portal y las

puertas de enlace.

227
GlobalProtect para comprobacin de HIP interna y acceso

basado en usuario

basado en usuario
Junto con el ID de usuario o las comprobaciones HIP, se puede utilizar una puerta de enlace interna para ofrecer
un mtodo preciso y seguro con el que identificar y controlar el trfico por usuario o estado del dispositivo,
sustituyendo otros servicios de control de acceso para redes (NAC). Las puertas de enlace internas son tiles en
entornos confidenciales que requieren acceso autenticado a los recursos crticos.
En una configuracin que solo tenga puertas de enlace internas, todos los clientes deben configurarse con inicio
de sesin de usuario; el modo segn demanda no es compatible. Adems, se recomienda que configure todas
las configuraciones cliente que se deben utilizar para el inicio de sesin nico (SSO). De igual forma, como los
hosts internos no necesitan establecer una conexin de tnel con la puerta de enlace, se utiliza la direccin IP
del adaptador de red fsico del sistema cliente.
En esta configuracin rpida, se utilizan las puertas de enlace internas para aplicar polticas basadas en grupos
que permitan el acceso de los usuarios del grupo tcnico a las bases de datos de errores y control de origen
interno y el acceso de los usuarios del grupo de finanzas a las aplicaciones CRM. Todos los usuarios autenticados
tienen acceso a recursos Web internos. Adems, los perfiles HIP configurados en la puerta de enlace
comprueban todos los hosts para garantizar el cumplimiento con los requisitos de mantenimiento internos (si
estn instalados los parches de seguridad y las definiciones de antivirus ms recientes, si est habilitado el cifrado
de disco o si est instalado el software necesario).
Ilustracin: Configuracin de puerta de enlace interna de GlobalProtect
228
GlobalProtect para comprobacin de HIP interna y acceso basado

en usuario
Configuracin rpida: Configuracin de puerta de enlace interna de GlobalProtect
Paso 1
En todos los cortafuegos que alojan un portal/puerta de enlace:

1. Seleccione un puerto Ethernet para alojar el portal/puerta de
enlace y, a continuacin, configure una interfaz de capa 3 con
una direccin IP en la zona de seguridad l3-fiable. (Red >
interfaces de cada cortafuegos que aloje
Interfaces > Ethernet).
un portal o puerta de enlace. Como esta
2. Habilite la identificacin de usuarios en la zona l3-fiable.
configuracin solo utiliza puertas de
enlace internas, debe configurar el portal y
las puertas de enlace en interfaces de la
red interna.
GlobalProtect.


entre zonas.
Paso 2

aloja las suscripciones de portal y de
puerta de enlace en cada cortafuegos que
aloje una puerta de enlace interna. Esto es
necesario para habilitar una configuracin
de puerta de enlace interna y habilitar las
comprobaciones HIP.
Despus de adquirir la licencia de portal y de recibir su cdigo de

activacin, instale la licencia en el cortafuegos que aloja el portal de
la siguiente forma:
2.

autorizacin.
3.

4.
Compruebe que la licencia se haya activado correctamente.

GlobalProtect.
Paso 3
Obtenga certificados de servidor para el

portal de GlobalProtect y todas las
puertas de enlace de GlobalProtect.
El flujo de trabajo recomendado es el siguiente:

1. En el cortafuegos que aloja el portal:
Para conectarse al portal por primera vez,

los clientes finales deben confiar en el
certificado de CA raz utilizado para
emitir el certificado de servidor del portal.
Puede utilizar un certificado autofirmado
en el portal e implementar el certificado
de CA raz en los clientes finales antes de 2.
la primera conexin de portal u obtener
un certificado de servidor para el portal
desde una CA de confianza.
a. Importe un certificado de servidor desde una CA externa

conocida.
b. Cree el certificado de CA raz para la emisin de certificados
c. Genere un nuevo certificado de servidor autofirmado. Repita
este paso para cada puerta de enlace.
En todos los cortafuegos que alojan una puerta de enlace
interna:
a. Implemente los certificados de servidor autofirmados.
Puede utilizar certificados autofirmados

en las puertas de enlace.
229

basado en usuario
Configuracin rpida: Configuracin de puerta de enlace interna de GlobalProtect (Continuacin)
Paso 4
Defina cmo autenticar a los usuarios en Puede utilizar cualquier combinacin de perfiles de certificado o
el portal y las puertas de enlace.
perfiles de autenticacin como sea necesario para garantizar la
seguridad del portal y las puertas de enlace. Los portales y las puertas
de enlace individuales tambin pueden utilizar distintos esquemas de
del certificado)
u OTP)
autenticacin que ha definido en las configuraciones de puerta de
enlace y portal.
Paso 5
1.
Cree los perfiles HIP que necesitar para
aplicar la poltica de seguridad en el acceso a
la puerta de enlace.
Consulte Uso de la informacin de host
en la aplicacin de polticas para obtener
ms informacin sobre las
evaluaciones HIP.
2.
Cree objetos HIP para filtrar los datos del host sin procesar
recopilados por los agentes. Por ejemplo, si est interesado en
avisar a usuarios no actualizados sobre los parches que necesitan,
puede que quiera crear un objeto HIP con el que coincidir si el
software de gestin de parches est instalado y que todos los
parches con una gravedad determinada estn actualizados.
Cree los perfiles HIP que tiene pensado usar en sus polticas.
Por ejemplo, si quiere asegurarse de que solo los usuarios de
Windows con parches actualizados puedan acceder a sus
aplicaciones internas, puede que desee adjuntar el siguiente perfil
HIP que coincidir con los hosts a los que NO les falte ningn
parche:
230
GlobalProtect para comprobacin de HIP interna y acceso basado

en usuario
Paso 6
Configure las puertas de enlace internas.
Seleccione Red > GlobalProtect > Puertas de enlace y agregue la

Interfaz
Direccin IP
Perfil de autenticacin o Perfil de configuracin

Observe que no es necesario configurar los ajustes de la
configuracin cliente en las configuraciones de la puerta de enlace (a
no ser que desee establecer las notificaciones HIP) porque las
conexiones de tnel no son necesarias. Consulte Configuracin de
una puerta de enlace de GlobalProtect para ver instrucciones
detalladas sobre cmo crear configuraciones de puerta de enlace.
Paso 7

GlobalProtect.

configuracin:
Aunque todas las configuraciones

anteriores pueden utilizar un
mtodo de conexin de inicio de
sesin de usuario o segn
demanda, la configuracin de la
puerta de enlace interna siempre
2.
debe estar activada y, por lo tanto,
necesita un mtodo de conexin de
inicio de sesin de usuario.
Certificado de servidor: GP-server-cert.pem emitido por
Go Daddy con CN=gp.acme.com
Creacin de una configuracin de cliente de GlobalProtect:

Mtodo de conexin:
inicio de sesin de usuario
Direccin de puerta de enlace interna: california.acme.com,
newyork.acme.com
3.
Paso 8

de GlobalProtect.
Compile la configuracin del portal.

231

basado en usuario
Paso 9
Cree las reglas de seguridad HIP o

Agregue las siguientes reglas de seguridad para este ejemplo:
basadas en grupo/usuario en sus puertas 1. Seleccione Polticas > Seguridad y haga clic en Aadir.
de enlace.
2. En la pestaa Origen, establezca la zona de origen en l3-fiable.
3.
En la pestaa Usuario, aada el perfil HIP y el usuario/grupo

que se debe evaluar.
Haga clic en Aadir en la seccin Perfiles HIP y seleccione el
perfil HIP MissingPatch.
Haga clic en Aadir en la seccin Usuario de origen y
seleccione el grupo (Finanzas o Tcnico segn la regla que
est creando).
232
4.
Haga clic en ACEPTAR para guardar la regla.
5.
Confirmar la configuracin de la puerta de enlace.
Configuracin de puerta de enlace externa e interna

combinada
En una configuracin de puerta de enlace interna y externa combinada de GlobalProtect, configure puertas de
enlace independientes para el acceso de VPN y para el acceso a sus recursos internos confidenciales. Con esta
configuracin, los agentes realizan la deteccin de host interno para determinar si se encuentran en una red
interna o externa. Si el agente determina que la red es externa, tratar de conectar a las puertas de enlace externas
que se indican en su configuracin cliente y establecer una conexin de VPN (tnel) con la puerta de enlace
con la prioridad ms alta y el menor tiempo de respuesta.
Como las polticas de seguridad se definen de forma independiente en cada puerta de enlace, dispondr de un
control granular sobre los recursos a los que tendrn acceso los usuarios externos e internos. Adems, tambin
tendr un control granular sobre a qu puertas de enlace tendrn acceso los usuarios configurando el portal para
implementar las distintas configuraciones cliente segn la pertenencia a un grupo/usuario o la coincidencia del
perfil HIP.
En este ejemplo, los portales y las tres puertas de enlace (una externa y dos internas) se implementan en
cortafuegos distintos. La puerta de enlace externa en gpvpn.acme.com proporciona acceso de VPN remoto a
la red corporativa mientras las puertas de enlace internas proporcionan acceso granular a recursos especializados
del centro de datos segn la pertenencia a un grupo u otro. Adems, las comprobaciones HIP se utilizan para
garantizar que los hosts que tienen acceso al centro de datos tienen los parches de seguridad actualizados.
Ilustracin: Implementacin de GlobalProtect con puertas de enlace internas y externas
233
Configuracin rpida: Configuracin de puerta de enlace externa e interna combinada de GlobalProtect
Paso 1

GlobalProtect.
En el cortafuegos que aloja la puerta de enlace del portal (gp.acme.com):
Seleccione Red > Interfaces > Ethernet y configure ethernet1/2

a una interfaz Ethernet de capa 3 con direccin IP 198.51.100.42
y asgnela a la zona de seguridad l3-nofiable y al enrutador virtual
interfaces en el cortafuegos que aloja un
predeterminado.
portal y en todos los cortafuegos que
alojan una puerta de enlace.
gp.acme.com.
predeterminado para que todas las Seleccione Red > Interfaces > Tnel y aada la interfaz tnel.2 y
entre zonas.
En el cortafuegos que aloja la puerta de enlace externa (gpvpn.acme.com):

una interfaz Ethernet de capa 3 con direccin IP 192.0.2.4 y asgnela
a la zona de seguridad l3-nofiable y al enrutador virtual
predeterminado.
Cree un registro "A" DNS que asigne la direccin IP 192.0.2.4 en
gpvpn.acme.com.
Seleccione Red > Interfaces > Tnel y aada la interfaz tnel.3. A
continuacin, adala a la nueva zona denominada corp-vpn.
Asgnela al enrutador virtual predeterminado.
En el cortafuegos que aloja las puertas de enlace internas
(california.acme.com y newyork.acme.com):
Seleccione Red > Interfaces > Ethernet y configure la interfaz de

Ethernet de capa 3 con direcciones IP en la red interna y asgnelas a
la zona de seguridad l3-fiable y al enrutador virtual predeterminado.
Cree un registro "A" DNS que asigne las direcciones IP internas
california.acme.com y newyork.acme.com.
Habilite la identificacin de usuarios en la zona l3-fiable.
234
Paso 2

aloja las suscripciones de portal y de
puerta de enlace en cada cortafuegos que
aloje una puerta de enlace (interna y
externa).
Despus de adquirir la licencia del portal y las suscripciones de la

puerta de enlace y recibir su cdigo de activacin, instale la licencia
en el cortafuegos que aloja el portal e instale las suscripciones de la
puerta de enlace en los cortafuegos que alojan sus puertas de enlace
de la siguiente forma:
2.

autorizacin.
3.

4.
Compruebe que la licencia y las suscripciones se hayan activado

correctamente.

GlobalProtect.
Paso 3
Obtenga certificados de servidor para el

portal de GlobalProtect y todas las
puertas de enlace de GlobalProtect.
El flujo de trabajo recomendado es el siguiente:

1. En el cortafuegos que aloja el portal:
a. Importe un certificado de servidor desde una CA externa
conocida.
Para conectarse al portal por primera vez,

los clientes finales deben confiar en el
certificado de CA raz utilizado para
emitir el certificado de servidor del portal.
b. Cree el certificado de CA raz para la emisin de certificados

Puede utilizar certificados autofirmados

en las puertas de enlace e implementar el
2.
certificado de CA raz para los agentes en
la configuracin cliente. Se recomienda
generar todos los certificados del
cortafuegos que aloja el portal e
implementarlos en las puertas de enlace.
Paso 4
c. Genere un nuevo certificado de servidor autofirmado. Repita

este paso para cada puerta de enlace.
En todos los cortafuegos que alojan una puerta de enlace
interna:
Implemente los certificados de servidor autofirmados.
Defina cmo autenticar a los usuarios en Puede utilizar cualquier combinacin de perfiles de certificado o perfiles
el portal y las puertas de enlace.
de autenticacin como sea necesario para garantizar la seguridad del
portal y las puertas de enlace. Los portales y las puertas de enlace
individuales tambin pueden utilizar distintos esquemas de
del certificado)
u OTP)
autenticacin que ha definido en las configuraciones de puerta de enlace
y portal.
235
Paso 5
1.
Cree los perfiles HIP que necesitar para
aplicar la poltica de seguridad en el acceso a
la puerta de enlace.
Consulte Uso de la informacin de host
en la aplicacin de polticas para
obtener ms informacin sobre las
evaluaciones HIP.
2.
Cree objetos HIP para filtrar los datos del host sin procesar
recopilados por los agentes. Por ejemplo, si est interesado en
avisar a usuarios no actualizados sobre los parches que necesitan,
puede que quiera crear un objeto HIP con el que coincidir si el
software de gestin de parches est instalado y que todos los
parches con una gravedad determinada estn actualizados.
Cree los perfiles HIP que tiene pensado usar en sus polticas.
Por ejemplo, si quiere asegurarse de que solo los usuarios de
Windows con parches actualizados puedan acceder a sus
aplicaciones internas, puede que desee adjuntar el siguiente
perfil HIP que coincidir con los hosts a los que NO les falte
ningn parche:
Paso 6
Configure las puertas de enlace internas.
Seleccione Red > GlobalProtect > Puertas de enlace y agregue la

Interfaz
Direccin IP
Perfil de autenticacin o Perfil de configuracin

Observe que no es necesario configurar los ajustes de la configuracin
cliente en las configuraciones de la puerta de enlace (a no ser que desee
establecer las notificaciones HIP) porque las conexiones de tnel no son
necesarias. Consulte Configuracin de una puerta de enlace de
GlobalProtect para ver instrucciones detalladas sobre cmo crear
configuraciones de puerta de enlace.
236
Paso 7

GlobalProtect.

configuracin:
Aunque este ejemplo muestra cmo crear

una configuracin cliente nica que se
implementar para todos los agentes,
puede elegir crear configuraciones
separadas para distintos usos y, a
continuacin, implementarlas segn el
2.
nombre del grupo/usuario o el sistema
operativo en el que se ejecuta el
agente/aplicacin (Android, iOS, Mac o
Windows).
Certificado de servidor: GP-server-cert.pem emitido por
Go Daddy con CN=gp.acme.com
Creacin de una configuracin de cliente de GlobalProtect:

Deteccin de host interno: activada
Mtodo de conexin:
inicio de sesin de usuario
Direccin de puerta de enlace: gpvpn.acme.com

Direccin de puerta de enlace interna: california.acme.com,
newyork.acme.com
3.
Paso 8
Paso 9

de GlobalProtect.
Compile la configuracin del portal.

Cree una poltica de seguridad (Polticas > Seguridad) para

Cree reglas de polticas de seguridad en
cada puerta de enlace para permitir que
habilitar el flujo de trfico entre la zona corp-vpn y la zona
los usuarios de su VPN accedan de forma
l3-fiable.
segura a las aplicaciones.
Cree reglas de polticas habilitadas para HIP o basadas en
usuario/grupo para permitir el acceso granular a sus recursos
internos del centro de datos.
Para obtener visibilidad, cree reglas que permitan a todos los
usuarios un acceso de navegacin Web a la zona l3-nofiable usando
perfiles de seguridad predeterminados que le protejan de amenazas
conocidas.
Paso 10 Guarde la configuracin de

GlobalProtect.
Haga clic en Compilar en el portal y en todas las puertas de enlace.
237
238

GlobalProtect AdminGuide 61-Spanish

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

GlobalProtect AdminGuide 61-Spanish

Uploaded by

Copyright:

Available Formats

Palo Alto Networks

Gua del administrador de GlobalProtect

Gua del administrador

Acerca de esta gua

Para enviar sus comentarios sobre la documentacin, dirjase a: documentation@paloaltonetworks.com.

Palo Alto Networks, Inc.

Configuracin de la infraestructura de GlobalProtect. . . . . . . . . . . . . . . . . . . .9

Configuracin del gestor de seguridad mvil de GlobalProtect . . . . . . . . . . 81

Configuracin del gestor de seguridad mvil para la gestin de dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 91

Verificacin de la configuracin del gestor de seguridad mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

Gestin de dispositivos mviles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

Creacin de polticas de seguridad para aplicacin de trfico de dispositivos mviles. . . . . . . . . . . . . . . . 161

Gestin de datos y aplicaciones comerciales con

Conceptos de la tienda de aplicaciones empresariales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Adicin de aplicaciones gestionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Gua del administrador de GlobalProtect

Configuracin de la tienda de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

Uso de la informacin de host en la aplicacin de polticas. . . . . . . . . . . . . 189

Configuraciones rpidas de GlobalProtect. . . . . . . . . . . . . . . . . . . . . . . . . . 207

Gua del administrador de GlobalProtect

Gua del administrador de GlobalProtect

Descripcin general de GlobalProtect

Acerca de los componentes de GlobalProtect

Qu versiones de sistema operativo del cliente admite GlobalProtect?

Acerca de las licencias de GlobalProtect

Gua del administrador de GlobalProtect

Acerca de los componentes de GlobalProtect

Descripcin general de GlobalProtect

Acerca de los componentes de GlobalProtect

Puertas de enlace de GlobalProtect

Gestor de seguridad mvil de GlobalProtect

Puertas de enlace de GlobalProtect

Gua del administrador de GlobalProtect

Descripcin general de GlobalProtect

Acerca de los componentes de GlobalProtect

El agente de GlobalProtect: Se ejecuta en sistemas Windows y Mac OS y se implementa desde el portal

Gua del administrador de GlobalProtect

Acerca de los componentes de GlobalProtect

Descripcin general de GlobalProtect

Gestor de seguridad mvil de GlobalProtect

Gua del administrador de GlobalProtect

Descripcin general de GlobalProtect

Acerca de los componentes de GlobalProtect

Estado de dispositivo para

Gestionar dispositivo e informar

Gua del administrador de GlobalProtect

Qu versiones de sistema operativo del cliente admite GlobalProtect?

Descripcin general de GlobalProtect

Qu versiones de sistema operativo del cliente admite

Versin mnima de PAN-OS

Apple Mac OS 10.6

Apple Mac OS 10.7

Apple Mac OS 10.8

Apple Mac OS 10.9

Apple Mac OS 10.10

Windows XP (32 bits)

Windows Vista (32 bits y 64 bits)

Windows 7 (32 bits y 64 bits)

Windows 8 (32 bits y 64 bits)

Windows 8,1 (32 bits y 64 bits)

Windows Surface Pro

Apple iOS 6.0*

Apple iOS 7.0*

Apple iOS 8.0*