VPN i översikt för driftsättning av Apple-enheter
iOS, iPadOS, macOS, tvOS, watchOS och visionOS kan användas för säkra anslutningar till privata företagsnätverk med hjälp av etablerade VPN-protokoll av branschstandard.
Protokoll som stöds
iOS, iPadOS, macOS, tvOS, watchOS och visionOS har stöd för följande protokoll och autentiseringsmetoder:
IKEv2: Stöd för både IPv4 och IPv6, och för följande:
Autentiseringsmetoder: Delad hemlighet, certifikat, EAP–TLS och EAP–MSCHAPv2
Suite B-kryptering: ECDSA-certifikat, ESP-kryptering med GCM- och ECP-grupper för Diffie–Hellman-gruppen
Ytterligare funktioner: MOBIKE, IKE-fragmentering, serveromdirigering, fragmentation, delad tunnel
iOS, iPadOS, macOS och visionOS har också stöd för följande protokoll och autentiseringsmetoder:
L2TP över IPsec: Användarautentisering med MS–CHAP v2-lösenord, tvåfaktorsautentisering, certifikat och maskinautentisering via delade hemligheter eller certifikat
macOS kan även använda Kerberos-maskinautentisering via delade hemligheter eller certifikat med L2TP över IPsec.
IPsec: Användarautentisering med lösenord, tvåfaktorsautentisering och maskinautentisering via delade hemligheter och certifikat
Om organisationen stöder dessa protokoll krävs ingen ytterligare nätverkskonfiguration eller några tredjepartsappar för att ansluta Apple-enheter till VPN-nätverket.
Stödet inkluderar tekniker som IPv6, proxyservrar och delade tunnlar (split tunneling). Delade tunnlar erbjuder en flexibel VPN-upplevelse vid anslutning till en organisations nätverk.
Utöver detta tillåter ramverket Network Extension att tredjepartsutvecklare skapar en anpassad VPN-lösning för iOS, iPadOS, macOS, tvOS och visionOS. Flera VPN-leverantörer har skapat appar som underlättar konfigurationen av deras tjänster på Apple-enheter. Enheterna kan konfigureras för en specifik lösning genom att installera den tillhörande appen och eventuellt tillhandahålla en konfigurationsprofil med de nödvändiga inställningarna.
VPN On Demand
Med VPN On Demand i iOS, iPadOS, macOS och tvOS kan Apple-enheter automatiskt upprätta en anslutning när det behövs. Det kräver en autentiseringsmetod som inte omfattar interaktion från användaren, till exempel certifikatbaserad autentisering. VPN On Demand konfigureras med nyckeln OnDemandRules i en VPN-nyttolast i konfigurationsprofilen. Regler används i två steg:
Nätverksidentifiering: Definierar VPN-krav som används när enhetens primära nätverksanslutning ändras.
Anslutningsutvärdering: Definierar VPN-krav för en anslutningsbegäran till domännamn vid behov.
Regler kan användas till att göra saker som att:
upptäcka när en Apple-enhet är ansluten till ett internt nätverk utan att VPN krävs
upptäcka när ett okänt Wi-Fi-nätverk används och kräva VPN
starta VPN när en DNS-begäran om ett specifikt domännamn misslyckas.
VPN per app
I iOS, iPadOS, macOS, watchOS och visionOS 1.1 kan VPN-anslutningar upprättas i enskilda appar, vilket ger större kontroll över vilka data som skickas via VPN. Den här möjligheten att dela upp trafiken på appnivå gör det möjligt att hålla isär personlig information och organisationens information för säker nätverksanvändning med interna appar samtidigt som integriteten bevaras för personlig aktivitet på enheten.
VPN per app gör att appar som hanteras med en MDM-lösning kan kommunicera med det privata nätverket via säkra tunnlar, medan ohanterade appar hindras från att använda det privata nätverket. Hanterade appar kan konfigureras med olika VPN-anslutningar för att skydda data ytterligare. En app för offerter kan till exempel använda ett helt annat datacenter än en app för leverantörsskulder.
När du har skapat ett VPN per app för en VPN-konfiguration måste du koppla den anslutningen till apparna som använder den för att skapa säker nätverkstrafik för dessa appar. Du gör det med VPN per app-kopplingsnyttolasten (macOS) eller genom att ange VPN-konfigurationen i appinstallationskommandot (iOS, iPadOS, macOS, visionOS 1.1).
VPN per app kan konfigureras för användning med den inbyggda IKEv2-VPN-klienten i iOS, iPadOS, watchOS och visionOS 1.1. Om du vill få information om stöd för VPN per app i anpassade VPN-lösningar kontaktar du VPN-leverantörerna.
Obs! För att kunna använda VPN per app i iOS, iPadOS, watchOS 10 och visionOS 1.1 måste appen hanteras via MDM.
Always On VPN
Alltid på-VPN som är tillgängligt för IKEv2 ger organisationen full kontroll över iOS- och iPadOS-trafiken genom att all IP-trafik dirigeras genom en tunnel tillbaka till organisationen. Organisationen kan nu övervaka och filtrera trafiken till och från enheter, skydda data inom nätverket och begränsa enheters åtkomst till internet.
Aktivering av Alltid på-VPN kräver enhetsövervakning. När Alltid på-VPN-profilen installerats på en enhet aktiveras Alltid på-VPN utan att användaren behöver göra något, och fortsätter att vara aktiverat (även efter omstart) tills Alltid på-VPN-profilen avinstalleras.
När Alltid på-VPN är aktiverat på en enhet öppnas och stängs VPN-tunneln baserat på gränssnittets IP-status. När gränssnittet får kontakt med ett IP-nätverk försöker det att upprätta en tunnel. När gränssnittet förlorar kontakten med IP-nätverket stängs tunneln.
Alltid på-VPN har även stöd för tunnlar per gränssnitt. För enheter med mobilanslutning skapas en tunnel för varje aktivt IP-gränssnitt (en tunnel för mobildatanätet och en tunnel för Wi-Fi-gränssnittet). Så länge som VPN-tunnlarna är öppna tunnlas all IP-trafik. Trafiken omfattar all IP-routad trafik och all trafik från alla Apple-appar, t.ex. FaceTime och Meddelanden. Om tunnlarna inte är öppna stoppas all IP-trafik.
All trafik som tunnlas från en enhet når en VPN-server. Om du vill kan du använda filtrering och övervakning innan trafiken skickas vidare till målplatsen i organisationens nätverk eller på internet. På samma sätt skickas trafik till enheten till organisationens VPN-server, där filtrering och övervakning kan ske innan informationen vidarebefordras till enheten.
Obs! Apple Watch parkoppling stöds inte med Alltid på-VPN.
Transparent proxy
Transparenta proxyer är en särskild VPN-typ i macOS och kan användas på olika sätt till att övervaka och omvandla nätverkstrafik. Vanliga användningar är lösningar för innehållsfiltrering och förmedling för att komma åt molntjänster. Eftersom det finns mängder av användningsområden är det en bra idé att definiera i vilken turordning dessa proxyer får se och hantera trafik. Du kan till exempel anropa en proxy som filtrerar nätverkstrafik innan du anropar en proxy som krypterar trafiken. Du gör det genom att definiera ordningen i VPN-nyttolasten.