Корпоративный VPN на Android нужен, чтобы сотрудник мог безопасно открыть внутренние ресурсы компании: почту, CRM, файлы, Git, Jira или админку. Телефон при этом не должен получать больше доступа, чем требуется для работы.
На Android есть встроенный VPN-клиент, но в компании одной ручной настройки мало. Важнее заранее решить, какие приложения пойдут через туннель, что произойдет при обрыве связи, как выдавать сертификаты и разделять личные данные с рабочими.
Что умеет Android и где искать настройки
Обычный VPN-профиль можно добавить прямо в системе. На многих устройствах путь выглядит так: «Настройки», «Сеть и интернет», «VPN», кнопка «Добавить» или значок плюса. На Samsung похожий раздел часто находится по пути «Настройки», «Подключения», «Другие настройки подключения», «VPN». Производители двигают пункты меню, поэтому поиск по слову VPN часто быстрее инструкции.
Для ручного подключения администратор должен дать тип VPN, адрес сервера, имя профиля, учетные данные, сертификат или общий ключ, если такая схема разрешена политикой безопасности. После сохранения профиль появится в списке VPN, а при подключении Android покажет системный значок VPN.
Ручная настройка подходит для пилота или пары устройств. Для отдела лучше использовать Android Enterprise и MDM: Microsoft Intune, Google Android Management API, Workspace ONE, SOTI, Knox Manage, ManageEngine или другую платформу. Через MDM можно раздать приложение, профиль, сертификаты, DNS, прокси и ограничения без инструкций в чате.
Android Enterprise: work profile, always-on VPN и per-app VPN
В корпоративной настройке Android сначала выбирают модель управления. Для личного телефона обычно подходит work profile: в системе появляется отдельная рабочая область с корпоративными приложениями и данными. Личные приложения остаются отдельно, а компания управляет только рабочей частью.
Для служебных устройств используют полностью управляемый режим или dedicated device, если телефон нужен под одну задачу. В таких схемах администратор получает больше контроля: может установить нужный клиент, запретить изменение VPN, включить постоянное подключение и убрать лишние приложения.
Always-on VPN заставляет Android запускать VPN при старте устройства и держать туннель, пока включен телефон или рабочий профиль. Настройка «Блокировать подключения без VPN» работает как системный kill switch: если туннель не поднялся, приложения не должны выходить в сеть напрямую. На обычном устройстве путь обычно такой: «Настройки», «Сеть и интернет», «VPN», значок настроек рядом с профилем, затем «Постоянная VPN» и «Блокировать подключения без VPN».
Per-app VPN включает туннель только для выбранных приложений. В Android Enterprise для этого используют список разрешенных или исключенных приложений. Если включить разрешенный список и блокировку без VPN, доступ к сети получат только выбранные программы. Для BYOD это часто самый аккуратный вариант: рабочий браузер, почта и CRM идут через туннель, а личные приложения не попадают в корпоративную сеть.
| Режим | Что делает | Где полезен | Минус |
|---|---|---|---|
| Обычный VPN | Профиль включают вручную | Тесты и маленькие команды | Можно забыть подключиться |
| Always-on VPN | Android держит туннель постоянно | Служебные телефоны | Ошибка политики может оставить без сети |
| Блокировка без VPN | Трафик не идет в обход туннеля | Важные системы | Нужны исключения |
| Per-app VPN | Через VPN идут выбранные приложения | Личные Android-устройства | Нужен точный список |
Какие VPN-клиенты использовать в 2026 году
Клиент выбирают по корпоративному шлюзу. Если инфраструктура построена на Cisco, смотрят на Cisco Secure Client. Для Android он поддерживает импорт профилей, MDM-конфигурацию, TLS, DTLS, IPsec IKEv2 NAT-T, full tunnel, split tunnel, split DNS, per-app tunneling и восстановление при смене сети. При этом on-demand VPN по адресу назначения для Android в Cisco не заявлен.
Для Fortinet-среды логичен FortiClient. Android-версия поддерживает SSL VPN и IPsec VPN, включая IKEv2, работает с сертификатами и может получать настройки через MDM. Перед запуском лучше сверить версии FortiOS, FortiGate, FortiClient и EMS.
Если компания использует Palo Alto Networks, обычно выбирают GlobalProtect. На Android приложение можно настроить для always-on VPN, remote access VPN и per-app VPN. Нужна подписка GlobalProtect gateway на межсетевом экране Palo Alto Networks.
Microsoft Tunnel удобен компаниям на Intune, Entra ID и Conditional Access. Важное отличие Android от iOS: на Android Enterprise Microsoft Tunnel может использовать per-app VPN и split tunneling rules независимо или вместе.
OpenVPN Connect работает с профилями .ovpn или настройками, полученными от сервера. WireGuard ценят за скорость и простую архитектуру, но для компании вокруг него нужно отдельно строить выдачу ключей, отзыв доступа, MFA и аудит.
Практическая схема настройки и проверки
Начинать лучше с вопроса, что именно надо открыть с телефона. Для двух внутренних веб-сервисов на личных устройствах обычно хватает work profile и per-app VPN. Для складских терминалов, курьерских смартфонов или устройств инженеров чаще нужен always-on VPN с блокировкой обхода.
Затем выбирают маршрутизацию. Full tunnel отправляет через VPN весь трафик и дает больше контроля, но сильнее нагружает шлюз. Split tunnel пропускает через туннель только внутренние сети и домены, поэтому обычно работает быстрее и не гонит лишний трафик через офис.
DNS надо проверять отдельно. Частая ситуация: внутренний сервер открывается по IP, а по имени нет. Значит, проблема не в приложении VPN, а в DNS-серверах, доменных суффиксах, split DNS или правилах рабочего профиля.
Тестировать профиль нужно не только в офисе. Проверьте домашний Wi-Fi, мобильную сеть, переход между сетями, блокировку экрана, перезагрузку, обновление рабочих приложений из Managed Google Play и работу после смены пароля. Если включена «Блокировка без VPN», убедитесь, что пользователь не остается без сети после обновления клиента.
- Выберите модель: личное устройство с work profile, служебный телефон или dedicated device.
- Определите режим: full tunnel, split tunnel, per-app VPN или always-on VPN.
- Разверните VPN-клиент и профиль через MDM.
- Настройте отдельные учетные записи, MFA и сертификаты.
- Добавьте рабочие приложения и служебные пакеты в правила per-app VPN.
- Проверьте DNS, обновления приложений и работу после перезагрузки.
Итог
Для Android безопасный корпоративный VPN лучше строить вокруг Android Enterprise, MDM, отдельных учетных записей, MFA, сертификатов и понятной маршрутизации. Ручной профиль через «Настройки» годится для проверки, но не для нормального внедрения на десятки устройств.
Для личных смартфонов я бы смотрела на work profile и per-app VPN. Для служебных аппаратов с важным доступом лучше подходят always-on VPN и блокировка подключений без туннеля. Клиент выбирают по тому, какой шлюз, MDM и политика доступа уже есть в компании.
Этот текст можно использовать как справочную основу перед настройкой. В рабочей сети итоговые параметры стоит сверять с политикой безопасности, требованиями поставщиков, правилами обработки трафика и обычной осторожностью.
