Ustawienia MDM dotyczące protokołu IKEv2 na urządzeniach Apple
Możesz skonfigurować połączenie VPN używające protokołu IKEv2 na iPhone'ach, iPadach lub Macach zarejestrowanych w rozwiązaniu MDM. Jeśli chcesz tak skonfigurować pakiet danych, aby łączenie z dowolną siecią wymagało aktywnego połączenia VPN, wybierz IKEv2, a następnie wybierz Always-On VPN. Funkcja VPN Always-On może zostać skonfigurowana osobno dla połączeń przez sieć komórkową, dla połączeń przez sieć Wi-Fi lub dla obu tych rodzajów połączeń.
Z pakietem danych VPN możesz użyć ustawień IKEv2 przedstawionych w poniższej tabeli.
Ustawienie | Opis | Wymagane | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name (Nazwa połączenia) | Wyświetlana nazwa połączenia VPN. | Tak | |||||||||
Hostname (Nazwa hosta) | Adres IP lub w pełni kwalifikowana nazwa domeny (FQDN) serwera VPN. | Tak | |||||||||
Local Identifier (Identyfikator lokalny) | Ta wartość powinna zwykle odpowiadać tożsamości certyfikatu użytkownika/urządzenia (alternatywnej nazwie podmiotu lub zwyczajowej nazwie podmiotu), ponieważ implementacja serwera może wymagać tej zgodności w celu potwierdzenia tożsamości klienta. | Tak | |||||||||
Remote Identifier (Identyfikator zdalny) | Ta wartość powinna odpowiadać tożsamości certyfikatu serwera (alternatywnej nazwie podmiotu lub zwyczajowej nazwie podmiotu). Uwaga: Jeśli ta wartość nie jest zgodna z tożsamością certyfikatu serwera, można podać tożsamość certyfikatu serwera przy użyciu klucza | Tak | |||||||||
VPN Always-On (Nadzorowane) | Włącza funkcję VPN Always-On, pozwalającą na tunelowanie całego ruchu IP do organizacji. Można użyć różnych konfiguracji dla sieci komórkowej i dla sieci Wi‑Fi. | Nie | |||||||||
Allow disabling connections (Pozwalaj na wyłączanie połączeń) | Określa, czy użytkownicy mogą wyłączyć funkcję VPN Always-On. | Nie | |||||||||
Use same configuration (Używaj tej samej konfiguracji) | Określa, czy ta sama konfiguracja ma być używana do połączeń przez Wi‑Fi i do połączeń przez sieć komórkową. | Nie | |||||||||
Machine authentication (Uwierzytelnianie urządzenia) | Dostępne opcje:
| Nie | |||||||||
Extended authentication (Uwierzytelnianie rozszerzone) | Włącza protokół rozszerzonego uwierzytelnienia (EAP). Po włączeniu wybierz jedną z następujących metod uwierzytelniania:
Uwaga: W przypadku protokołu EAP–PEAP muszą być używane obie metody uwierzytelniania. | Nie | |||||||||
Disconnect on idle (Rozłącz przy braku aktywności) | Dostępne opcje:
| Nie | |||||||||
NAT keepalive | Przekazuje wysyłanie pakietów keepalive w sieci NAT do sprzętu, gdy urządzenie jest uśpione, co pozwala na utrzymywanie połączenia między cyklami uśpienia. Po włączeniu NAT keepalive trzeba ustawić interwał czasowy. Minimalna wartość to 20 sekund. | Nie | |||||||||
Dead peer detection rate (Częstotliwość wykrywania nieaktywnych partnerów) | Częstotliwość wykrywania nieodpowiadających połączeń. Dostępne opcje:
| Nie | |||||||||
Redirects (Przekierowanie) | Pozwala na przekierowywanie połączeń do innego serwera VPN. | Nie | |||||||||
Mobility and multihoming (Mobilność i wieloadresowość) | Pozwala urządzeniu na utrzymywanie połączenia VPN w następujących sytuacjach:
| Nie | |||||||||
IPv4 and IPv6 internal subnet attributes (Atrybuty wewnętrznych podsieci IPv4 i IPv6) | Włącza tunele IPv4 oraz IPv6 podczas połączenia VPN. | Nie | |||||||||
Utajnienie przekazywania (PFS, Perfect Forward Secrecy) | Włącza funkcję PFS podczas połączenia VPN. Uniemożliwia to odszyfrowanie wcześniejszych sesji. | Nie | |||||||||
Certificate revocation check (Sprawdzanie unieważnienia certyfikatu) | Pozwala urządzeniu na sprawdzanie ważności certyfikatów otrzymywanych z serwera VPN na podstawie zawartości listy unieważnionych certyfikatów (CRL). | Nie | |||||||||
Dynamic security associations (SA) parameters (Parametry dynamicznych powiązań bezpieczeństwa) | Pozwala na konfigurowanie parametrów powiązań IKE oraz powiązań potomnych. Obie wartości wymagają następujących atrybutów:
| Nie | |||||||||
Wyjątki dla usług | Pozwala na stosowanie wyjątków w usłudze poczty głosowej, AirPrint, wiadomości MMS oraz usług komórkowych. Każda usługa może zostać skonfigurowana do używania jednego z poniższych:
| Nie | |||||||||
Traffic from captive web portals outside the VPN tunnel (Ruch sieciowy z portali uwierzytelniania poza tunelem VPN) | Określa, czy ruch sieciowy z portali uwierzytelniania jest dopuszczany poza tunelem VPN. | Nie | |||||||||
Traffic from all captive networking apps outside the VPN tunnel (Ruch sieciowy ze wszystkich aplikacji uwierzytelniania poza tunelem VPN) | Określa, czy dopuszczany jest ruch sieciowy z aplikacji łączących się z sieciami zdalnymi. Jeśli opcja ta jest włączona, należy utworzyć listę aplikacji (poniżej). | Nie | |||||||||
Captive network app bundle identifiers (Identyfikatory aplikacji uwierzytelniania w sieci) | Identyfikuje aplikacje sieciowe, które są dozwolone poza tunelem VPN. Są one rozróżniane na podstawie identyfikatorów ich pakietów. | Nie | |||||||||
DNS server addresses (Adresy serwerów DNS) | Tablica adresów IP serwerów DNS podanych jako ciągi znaków. Mogą być to adresy IPv4 oraz IPv6. | Nie | |||||||||
Primary domain name (Podstawowa nazwa domeny) | Podstawowa nazwa domeny tunelu VPN. | Nie | |||||||||
DNS search domains (Domeny przeszukiwania DNS) | Lista ciągów znaków domen używanych do jednoznacznego określania nazw hostów o pojedynczej etykiecie (single-label). | Nie | |||||||||
DNS supplemental match domains (Dodatkowe domeny dopasowań DNS) | Lista ciągów domen używanych do określenia, które zapytania DNS korzystają z ustawień mechanizmu rozpoznawania nazw DNS zawartych w adresach serwera. Ten klucz jest używany do tworzenia podzielonej konfiguracji DNS, w której tylko hosty w określonych domenach są rozwiązywane przy użyciu resolwera DNS tunelu. Hosty nienależące do domen z tej listy są rozwiązywane przy użyciu domyślnej systemowej obsługi nazw. | Nie | |||||||||
Include supplemental domains (Dołącz domeny dodatkowe) | Jeśli ma wartość false, dołącza listę domen dodatkowych do listy domen przeszukiwania obsługi nazw (resolvera). | Nie | |||||||||
Vary the maximum transmission unit (MTU), in bytes (Różnicuj MTU, w bajtach) | Domyślne ustawienie to 1280. | Nie | |||||||||
Uwaga: Każdy dostawca rozwiązań MDM wdraża te ustawienia w inny sposób. Aby dowiedzieć się, jak różne ustawienia IKEv2 są stosowane do Twoich urządzeń i użytkowników, zapoznaj się z dokumentacją dostawcy rozwiązania MDM.