Nastavení MDM pro IKEv2 v zařízeních Apple
Pro iPhony, iPady a počítače Mac zaregistrované ve službě správy mobilních zařízení (MDM) můžete nakonfigurovat připojení IKEv2. Chcete‑li datovou část nakonfigurovat tak, aby zařízení iPhone a iPad musela mít pro připojení k libovolné síti aktivní připojení VPN, vyberte položku IKEv2 a potom volbu Always On VPN. Funkci Always On VPN můžete nastavit pro mobilní připojení a pro Wi‑Fi samostatně nebo společně.
V datové části VPN lze použít položky nastavení IKEv2 uvedené v následující tabulce.
Nastavení | Popis | Povinná | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name | Zobrazovaný název VPN připojení. | Ano | |||||||||
Hostname | IP adresa nebo úplný doménový název (FQDN) VPN serveru. | Ano | |||||||||
Local Identifier | Tato hodnota by měla obvykle odpovídat identitě certifikátu uživatele/zařízení (Subject Alternative Name nebo Subject Common Name), protože implementace serveru může tuto shodu požadovat pro ověření identity klienta. | Ano | |||||||||
Remote Identifier | Tato hodnota by měla odpovídat identitě certifikátu serveru (Subject Alternative Name nebo Subject Common Name). Poznámka: Pokud se tato hodnota neshoduje s identitou certifikátu serveru, lze identitu zadat pomocí klíče | Ano | |||||||||
Funkce „VPN vždy zapnuto“ (zařízení pod dohledem) | Aktivuje trvale zapnutou VPN, která může předávat veškerý IP provoz tunelovým propojením zpět do vaší organizace. Pro mobilní připojení a Wi‑Fi lze nastavit různé konfigurace. | Ne | |||||||||
Allow disabling connections | Určuje, zda můžou uživatelé trvale zapnutou VPN deaktivovat. | Ne | |||||||||
Use same configuration | Určuje, zda má být pro Wi‑Fi a mobilní připojení použita stejná konfigurace. | Ne | |||||||||
Machine authentication | Možnosti jsou následující:
| Ne | |||||||||
Extended authentication | Zapíná protokol EAP (Extensible Authentication Protocol). Pokud je tato volba zapnutá, vyberte některou z následujících metod ověřování:
Poznámka: V případě protokolu EAP‑PEAP je nutné použít obě metody ověřování. | Ne | |||||||||
Disconnect on idle | Možnosti jsou následující:
| Ne | |||||||||
NAT keepalive | V době, kdy zařízení spí, aktivuje odesílání udržovacích zpráv NAT pomocí hardwaru, takže připojení zůstává zachované i během spánkových cyklů zařízení. Pokud je vybrána volba NAT keepalive, je nutné nastavit hodnotu časového intervalu. Minimální hodnota je 20 sekund. | Ne | |||||||||
Dead peer detection rate | Určuje, jak často mají být detekována nereagující připojení. Možnosti jsou následující:
| Ne | |||||||||
Redirects | Umožňuje přesměrování na jiný VPN server. | Ne | |||||||||
Mobility and multihoming | Umožňuje zařízení udržovat aktivní VPN připojení v následujících případech:
| Ne | |||||||||
IPv4 and IPv6 internal subnet attributes | Zapíná pro VPN připojení tunelové propojení IPv4 i IPv6. | Ne | |||||||||
Perfect Forward Secrecy (PFS) | Zapíná pro VPN připojení funkci PFS. Tato funkce brání dešifrování předchozích relací. | Ne | |||||||||
Certificate revocation check | Umožňuje zařízení kontrolovat certifikáty, které obdrží od VPN serveru, podle seznamu odvolaných certifikátů (CRL). | Ne | |||||||||
Dynamic security associations (SA) parameters | Umožňuje nastavit parametry IKE a podřízené položky. Obě hodnoty vyžadují následující atributy:
| Ne | |||||||||
Výjimky pro služby | Povoluje výjimky pro služby záznamníku, AirPrintu, MMS zpráv a mobilního připojení. Pro každou službu lze nastavit některou z následujících voleb:
| Ne | |||||||||
Traffic from captive web portals outside the VPN tunnel | Určuje, zda bude povolen datový provoz ze záchytných webových portálů mimo VPN tunel. | Ne | |||||||||
Traffic from all captive networking apps outside the VPN tunnel | Určuje, zda bude povolen datový provoz z aplikací, které se připojují k vzdáleným sítím. Je‑li tato volba zapnutá, je nutné uvést seznam aplikací (níže). | Ne | |||||||||
Captive network app bundle identifiers | Určuje síťové aplikace, kterým je povolen provoz mimo VPN tunel. K identifikaci aplikací se používají ID jejich balíků. | Ne | |||||||||
DNS server addresses | Pole řetězců určujících IP adresy DNS serverů. Tyto IP adresy mohou obsahovat kombinaci IPv4 a IPv6 adres. | Ne | |||||||||
Primary domain name | Primární název domény pro VPN tunel. | Ne | |||||||||
DNS search domains | Seznam doménových řetězců, použitých k úplné kvalifikaci hostitelských názvů s jedním popiskem. | Ne | |||||||||
DNS supplemental match domains | Seznam doménových řetězců používaných k určení DNS dotazů, které využijí nastavení překladače DNS obsažené v položce ServerAddresses. Tento klíč se používá k vytvoření rozdělené konfigurace DNS, kdy se pomocí tunelového překladače DNS rozpoznávají pouze hostitelé v určitých doménách. Hostitelé, kteří se nenacházejí v některé z domén v tomto seznamu, jsou rozpoznáváni výchozím překladačem systému. | Ne | |||||||||
Include supplemental domains | Má‑li hodnotu nepravda, budou domény z doplňkového seznamu shody domén připojeny k seznamu vyhledávaných domén překladače. | Ne | |||||||||
Vary the maximum transmission unit (MTU), in bytes | Variabilní maximální přenosová jednotka MTU v bajtech. Standardní hodnota je 1280. | Ne | |||||||||
Poznámka: Implementace těchto položek nastavení se u různých dodavatelů MDM liší. Informace o tom, jak se položky nastavení IKEv2 uplatní u vašich zařízení a uživatelů, najdete v dokumentaci od dodavatele služby MDM.