MDM-inställningar för IKEv2 för Apple-enheter
Du kan konfigurera en IKEv2-anslutning för en iPhone, iPad eller Mac som har registrerats i en MDM-lösning. Välj IKEv2 och markera Always On VPN om du vill konfigurera en nyttolast så att iPhone- och iPad-enheter måste ha en aktiv VPN-anslutning för att ansluta till ett nätverk. Du kan konfigurera Alltid på-VPN för mobilnätverk och Wi‑Fi separat eller tillsammans.
Du kan använda IKEv2-inställningarna i tabellen nedan med nyttolasten VPN.
Inställning | Beskrivning | Krävs | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Connection name | VPN-anslutningens visningsnamn. | Ja | |||||||||
Hostname | VPN-serverns IP-adress eller FQDN-namn (fully qualified domain name). | Ja | |||||||||
Local Identifier | Det här värdet ska normalt matcha användar-/enhetscertifikatets identitet (Subject Alternative Name eller Subject Common Name), eftersom serverimplementering kan kräva att dessa stämmer för validering av klientens identitet. | Ja | |||||||||
Remote Identifier | Det här värdet ska matcha servercertifikatets identitet (Subject Alternative Name eller Subject Common Name). Obs! Om värdet inte stämmer med servercertifikatets identitet kan nyckeln | Ja | |||||||||
Always On VPN (övervakad) | Aktiverar Alltid på-VPN som kan dirigera all IP-trafik genom en tunnel tillbaka till organisationen. Olika konfigurationer kan ställas in för mobildata och Wi‑Fi. | Nej | |||||||||
Allow disabling connections | Anger om användarna kan avaktivera Alltid på-VPN-anslutningen. | Nej | |||||||||
Use same configuration | Anger om samma konfiguration ska användas för både Wi‑Fi och mobildata. | Nej | |||||||||
Machine authentication | Alternativen är:
| Nej | |||||||||
Extended authentication | Aktiverar EAP (Extensible Authentication Protocol). När alternativet är aktiverat kan du välja bland följande autentiseringsmetoder:
Obs! Båda autentiseringsmetoderna måste användas för EAP–PEAP. | Nej | |||||||||
Disconnect on idle | Alternativen är:
| Nej | |||||||||
NAT keepalive | NAT keepalives skickas inte till maskinvaran medan enheten är i viloläge, så att anslutningen upprätthålls över flera vilocykler för enheten. Om du väljer NAT keepalive måste ett tidsintervallsvärde anges. Minimum är 20 sekunder. | Nej | |||||||||
Dead peer detection rate | Hur ofta anslutningar som inte svarar ska identifieras. Alternativen är:
| Nej | |||||||||
Redirects | Tillåter omdirigering till en annan VPN-server. | Nej | |||||||||
Mobility and multihoming | Tillåter enheten att hålla VPN-anslutningen aktiv om:
| Nej | |||||||||
IPv4 and IPv6 internal subnet attributes | Aktiverar både IPv4- och IPv6-tunnlar för VPN-anslutningen. | Nej | |||||||||
Perfect Forward Secrecy (PFS) | Aktiverar PFS för VPN-anslutningen. Detta förhindrar avkryptering av tidigare sessioner. | Nej | |||||||||
Certificate revocation check | Tillåter enheten att kontrollera de certifikat den får från VPN-servern mot en certifikatåterkallningslista (CRL). | Nej | |||||||||
Dynamic security associations (SA) parameters | Gör det möjligt att konfigurera både IKE- och Child-parametrar. Båda värdena kräver följande attribut:
| Nej | |||||||||
Tjänsteundantag | Tillåter tjänsteundantag för röstbrevlåda, AirPrint, MMS-meddelanden och mobiltjänster. Varje tjänst kan konfigureras för användning av något av följande:
| Nej | |||||||||
Traffic from captive web portals outside the VPN tunnel | Anger om trafik tillåts från låsta webbportaler utanför VPN-tunneln. | Nej | |||||||||
Traffic from all captive networking apps outside the VPN tunnel | Anger om trafik tillåts från appar som ansluter till fjärrnätverk. Om alternativet aktiveras måste apparna listas (nedan). | Nej | |||||||||
Captive network app bundle identifiers | Identifierar de nätverksappar som är tillåtna utanför VPN-tunneln. De identifieras via sina paket-ID:n. | Nej | |||||||||
DNS server addresses | Arrayen med IP-adressträngar för DNS-servern. De här IP-adresserna kan vara en blandning av IPv4- och IPv6-adresser. | Nej | |||||||||
Primary domain name | Namnet på den primära domänen för VPN-tunneln. | Nej | |||||||||
DNS search domains | Listan med domänsträngar som används till att verifiera värdnamn med en etikett. | Nej | |||||||||
DNS supplemental match domains | Listan med domänsträngar som används till att fastställa vilka DNS-förfrågningar som använder DNS-resolverinställningarna i ServerAddresses. Den här nyckeln används till att skapa en delad DNS-konfiguration där endast värdar i vissa domäner löses med hjälp av tunnelns DND-resolver. Värdar som inte finns i någon av domänerna i den här listan blir lösta med systemets förvalda resolver. | Nej | |||||||||
Include supplemental domains | Bifogar domänerna i tilläggsträffdomänlistan i resolverns lista med sökdomäner om det här är false. | Nej | |||||||||
Vary the maximum transmission unit (MTU), in bytes | Den förvalda inställningen är 1280. | Nej |
Obs! Olika MDM-leverantörer implementerar de här inställningarna på olika sätt. Läs dokumentationen från MDM-leverantören om du vill veta hur IKEv2-inställningar används för dina enheter och användare.