Configurări MDM IKEv2 pentru dispozitivele Apple
Puteți configura o conexiune IKEv2 pentru un iPhone, iPad sau Mac înregistrat într‑o soluție de gestionare a dispozitivelor mobile (MDM). Alegeți IKEv2 și selectați Always-on VPN dacă doriți să configurați o sarcină astfel încât dispozitivele iPhone și iPad să trebuiască să aibă o conexiune VPN activă pentru a se conecta la orice rețea. Puteți configura Always-on VPN pentru celular și Wi-Fi separat sau împreună.
Puteți utiliza configurările IKEv2 din tabelul de mai jos cu sarcina VPN.
Configurare | Descriere | Obligatoriu | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name | Numele afișat al conexiunii VPN. | Da | |||||||||
Hostname | Adresa IP sau numele de domeniu complet calificat (FQDN) al serverului VPN. | Da | |||||||||
Local Identifier | De regulă, această valoare trebuie să corespundă identității certificatului utilizatorului/dispozitivului (Nume alternativ subiect sau Nume comun subiect), deoarece implementarea serverului poate necesita această corelare pentru a valida identitatea clientului. | Da | |||||||||
Remote Identifier | Această valoare trebuie să corespundă identității certificatului serverului (Nume alternativ subiect sau Nume comun subiect). Notă: Dacă această valoare nu corespunde identității certificatului serverului, cheia | Da | |||||||||
Always On VPN (Supervizat) | Activează Always-on VPN, care poate crea un tunel pentru redirecționarea întregului trafic IP către organizația dvs. Se pot defini diverse configurări pentru Celular și Wi-Fi. | Nu | |||||||||
Allow disabling connections | Specifică dacă utilizatorii pot dezactiva conexiunea Always-on VPN. | Nu | |||||||||
Use same configuration | Specifică dacă trebuie utilizată aceeași configurare pentru Wi-Fi și conexiunea celulară. | Nu | |||||||||
Machine authentication | Opțiunile sunt următoarele:
| Nu | |||||||||
Extended authentication | Activează protocolul de autentificare extensibilă (EAP). Când este activat, selectați una dintre următoarele metode de autentificare:
Notă: Ambele metode de autentificare trebuie să fie utilizate pentru EAP-PEAP. | Nu | |||||||||
Disconnect on idle | Opțiunile sunt următoarele:
| Nu | |||||||||
NAT keepalive | Declanșează trimiterea pachetelor NAT keepalive la hardware când dispozitivul este adormit, ceea ce menține conexiunea activă între ciclurile de repaus ale dispozitivului. Dacă NAT keepalive este selectat, trebuie să se definească o valoare de timp a intervalului. Valoarea minimă este de 20 de secunde. | Nu | |||||||||
Dead peer detection rate | Frecvența de detectare a conexiunilor care nu răspund. Opțiunile sunt următoarele:
| Nu | |||||||||
Redirects | Permite redirecționarea la un alt server VPN. | Nu | |||||||||
Mobility and multihoming | Permite dispozitivului să mențină conexiunea VPN activă dacă:
| Nu | |||||||||
IPv4 and IPv6 internal subnet attributes | Activează tunelurile IPv4 și IPv6 pentru conexiunea dvs. VPN. | Nu | |||||||||
Perfect Forward Secrecy (PFS) | Activează PFS pentru conexiunea dvs. VPN. Se împiedică astfel decriptarea sesiunilor anterioare. | Nu | |||||||||
Certificate revocation check | Permite dispozitivului să verifice certificatele pe care le primește de la serverul VPN pe baza unei liste de revocare a certificatelor (CRL). | Nu | |||||||||
Dynamic security associations (SA) parameters | Permite configurarea parametrilor IKE și Copil. Ambele valori necesită atributele următoare:
| Nu | |||||||||
Service exceptions | Permite excepțiile de serviciu pentru mesageria vocală, AirPrint, mesajele MMS și serviciile celulare. Fiecare serviciu poate fi configurat pentru a utiliza una dintre următoarele:
| Nu | |||||||||
Traffic from captive web portals outside the VPN tunnel | Specifică dacă se permite traficul de la portalurile web captive în afara tunelului VPN. | Nu | |||||||||
Traffic from all captive networking apps outside the VPN tunnel | Specifică dacă se permite traficul de la aplicații care se conectează la rețelele de la distanță. În cazul activării, aplicațiile trebuie să fie listate (mai jos). | Nu | |||||||||
Captive network app bundle identifiers | Identifică aplicațiile de rețea care sunt permise în afara tunelului VPN. Acestea sunt identificate prin ID-ul lor de pachet. | Nu | |||||||||
DNS server addresses | Matricea de șiruri de adrese IP pentru serverul DNS. Aceste adrese IP pot fi un amestec de adrese IPv4 și IPv6. | Nu | |||||||||
Primary domain name | Numele domeniului principal al tunelului VPN. | Nu | |||||||||
DNS search domains | Lista cu nume de domeniu utilizate pentru calificarea completă a numelor de gazdă cu o singură etichetă. | Nu | |||||||||
DNS supplemental match domains | Lista cu nume de domeniu utilizată pentru a determina interogările DNS care utilizează configurările de rezolvare DNS conținute în ServerAddresses. Această cheie este utilizată pentru a crea o configurație DNS divizată în care doar gazdele din anumite domenii sunt rezolvate folosind rezolvitorul DNS al tunelului. Gazdele care nu sunt în unul dintre domeniile din listă sunt rezolvate folosind rezolvitorul implicit al sistemului. | Nu | |||||||||
Include supplemental domains | Dacă este fals, adaugă domeniile din lista de domenii de corespondență suplimentare la lista de domenii de căutare ale rezolvitorului. | Nu | |||||||||
Vary the maximum transmission unit (MTU), in bytes | Configurarea implicită este 1280. | Nu | |||||||||
Notă: Fiecare furnizor MDM implementează aceste configurări în mod diferit. Pentru a afla cum sunt aplicate configurările IKEv2 pentru dispozitivele și utilizatorii dvs., consultați documentația oferită de furnizorul soluției MDM.