AppleデバイスのIKEv2のMDM設定
モバイルデバイス管理(MDM)ソリューションに登録されているiPhone、iPad、またはMacのIKEv2接続を構成できます。iPhoneおよびiPadデバイスがネットワークに接続するためにアクティブなVPN接続が必要となるペイロードを構成する場合は、「IKEv2」を選択し、「VPN常時接続」を選択します。「VPN常時接続」は、データ通信とWi-Fiについて個別に、または一緒に構成できます。
VPNペイロードでは以下の表のIKEv2設定を使用できます。
設定 | 説明 | 必須 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
接続名 | VPN接続の表示名。 | はい | |||||||||
ホスト名 | VPNサーバのIPアドレスまたは完全修飾ドメイン名(FQDN)。 | はい | |||||||||
ローカル識別子 | この値は、通常はユーザ/デバイス証明書の識別情報(サブジェクト代替名またはサブジェクトコモンネーム)に一致します。これは、サーバ実装でクライアントの識別情報を検証するときに一致する必要があることがあるためです。 | はい | |||||||||
リモート識別子 | この値は、サーバ証明書の識別情報(サブジェクト代替名またはサブジェクトコモンネーム)に一致する必要があります。 注記: この値がサーバ証明書の識別情報に一致しない場合は、サーバ証明書の識別情報を指定するために | はい | |||||||||
VPN常時接続 (監視対象) | 「VPN常時接続」を有効にします。組織に戻されるすべてのIPトラフィックをトンネリングできます。モバイルデータ通信とWi-Fiに異なる構成を設定できます。 | いいえ | |||||||||
接続を無効にすることを許可 | ユーザが「VPN常時接続」を無効にできるかどうかを指定します。 | いいえ | |||||||||
同じ構成を使用 | Wi-Fiとモバイルデータ通信に同じ構成を使用するかどうかを指定します。 | いいえ | |||||||||
コンピュータ認証 | 以下のオプションを選択できます:
| いいえ | |||||||||
拡張認証 | EAP(Extensible Authentication Protocol)を有効にします。有効になっているときは、以下の認証方式から選択します:
注記: EAP–PEAPの場合は両方の認証方式を使用する必要があります。 | いいえ | |||||||||
待機時に接続解除 | 以下のオプションを選択できます:
| いいえ | |||||||||
NAT keepalive | デバイスのスリープ中のハードウェアへのNAT Keepaliveの送信をオフロードします。デバイススリープサイクルをまたがって接続が維持されます。NAT Keepaliveが選択されている場合は、間隔時間値が設定されている必要があります。最小値は20秒です。 | いいえ | |||||||||
DPD(デッドピア検出)のレート | 未応答の接続を検出する頻度。以下のオプションを選択できます:
| いいえ | |||||||||
リダイレクト | ほかのVPNサーバへのリダイレクトを許可します。 | いいえ | |||||||||
モバイル環境とマルチホーミング | 以下の場合にデバイスがVPN接続を維持することを許可します:
| いいえ | |||||||||
IPv4とIPv6の内部サブネット属性を使用 | VPN接続でIPv4およびIPv6トンネルの両方を有効にします。 | いいえ | |||||||||
PFS(Perfect Forward Secrecy) | VPN接続でPFSを有効にします。これにより、過去のセッションが暗号化解除されることを防ぎます。 | いいえ | |||||||||
証明書失効チェック | デバイスが、VPNサーバから取得した証明書を証明書失効リスト(CRL)に対してチェックすることを許可します。 | いいえ | |||||||||
ダイナミックSA(Security Association)パラメータ | IKEおよびChildパラメータの両方の構成に対応します。どちらの値にも以下の属性が必要です:
| いいえ | |||||||||
サービスの例外 | 留守番電話、AirPrint、MMSメッセージ、およびモバイル通信サービスでサービス例外を許可します。各サービスを以下のいずれかを使用するように構成できます:
| いいえ | |||||||||
VPNトンネル外からのキャプティブWebポータルのトラフィック | VPNトンネル外のキャプティブWebポータルからのトラフィックが許可されるかどうかを指定します。 | いいえ | |||||||||
VPNトンネル外からのすべてのキャプティブネットワークアプリのトラフィック | リモートネットワークに接続するアプリからのトラフィックが許可されるかどうかを指定します。有効になっている場合は、これらのアプリ(下)が指定されている必要があります。 | いいえ | |||||||||
キャプティブネットワークアプリのバンドルID | VPNトンネル外で許可されるネットワークアプリを識別します。バンドルIDで識別されます。 | いいえ | |||||||||
DNSサーバアドレス | DNSサーバのIPアドレスの配列(文字列)。これらのIPアドレスではIPv4とIPv6アドレスを組み合わせることができます。 | いいえ | |||||||||
プライマリドメイン名 | VPNトンネルのプライマリドメイン名。 | いいえ | |||||||||
DNS検索ドメイン | 単一ラベルのホスト名の完全修飾に使用されるドメイン文字列のリスト。 | いいえ | |||||||||
DNS追加一致ドメイン | ServerAddressesに含まれるDNSリゾルバ設定を使用するDNSクエリーを特定するために使用されるドメイン文字列のリスト。このキーは、トンネルのDNSリゾルバを使って特定のドメインのホストのみが解決される分割DNS構成を作成するために使用されます。このリストのいずれかのドメインにないホストは、システムのデフォルトリゾルバを使用して解決されます。 | いいえ | |||||||||
追加ドメインを含める | Falseの場合、追加一致ドメインリストにあるドメインがリゾルバの検索ドメインリストに追加されます。 | いいえ | |||||||||
MTU(Maximum Transmission Unit)を変える(バイト単位) | デフォルト値は1280です。 | いいえ | |||||||||
注記: 各MDMベンダーは、これらの設定を異なる方法で実装します。お使いのデバイスおよびユーザで適用されるIKEv2設定については、MDMベンダーの資料を参照してください。