Réglages de GAM du protocole IKEv2 pour les appareils Apple
Vous pouvez configurer une connexion IKEv2 pour un iPhone, iPad ou Mac inscrit à une solution de gestion des appareils mobiles (GAM). Choisissez IKEv2 et sélectionnez « VPN permanent » si vous souhaitez configurer une entité qui fait en sorte que les appareils iPhone et iPad doivent posséder une connexion VPN active pour se connecter à un réseau. Vous pouvez configurer la fonctionnalité « VPN permanent » pour les connexions Wi-Fi et cellulaires, séparément ou ensemble.
Vous pouvez utiliser les réglages IKEv2 du tableau ci-dessous avec l’entité VPN.
Réglage | Description | Obligatoire | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nom de connexion | Le nom affiché de la connexion VPN. | Oui | |||||||||
Nom d’hôte | L’adresse IP ou le nom de domaine complet (FQDN) du serveur VPN. | Oui | |||||||||
Identifiant local | Cette valeur devrait habituellement correspondre à l’identité du certificat de l’utilisateur ou de l’appareil (nom alternatif ou commun du sujet), puisque la mise en œuvre du serveur pourrait nécessiter cette correspondance pour valider l’identité du client. | Oui | |||||||||
Identifiant à distance | Cette valeur devrait correspondre à l’identité du certificat du serveur (nom alternatif ou commun du sujet). Remarque : Si cette valeur ne correspond pas à l’identité du certificat du serveur, la clé | Oui | |||||||||
VPN permanent (supervisé) | Ce réglage active le VPN permanent, qui peut créer un tunnel pour rediriger tout le trafic IP vers votre organisation. Les configurations du réseau cellulaire et du réseau Wi-Fi peuvent être différentes. | Non | |||||||||
Autoriser la désactivation de connexions | Indique si les utilisateurs peuvent désactiver la connexion du VPN permanent. | Non | |||||||||
Utiliser la même configuration | Indique si l’appareil utilise la même configuration pour le réseau cellulaire et le réseau Wi-Fi. | Non | |||||||||
Authentification de machine | Les options sont les suivantes :
| Non | |||||||||
Authentification étendue | Le protocole d’authentification extensible (EAP) est activé. Lorsqu’il est activé, choisissez parmi les méthodes suivantes :
Remarque : Il faut utiliser les deux méthodes d’authentification pour le protocole EAP–PEAP. | Non | |||||||||
Déconnecter si inactif | Les options sont les suivantes :
| Non | |||||||||
Paquet de supervision NAT | Ce réglage décharge l’envoi des paquets de supervision NAT au matériel pendant que l’appareil est en veille, ce qui préserve la connexion pendant les cycles de veille des appareils. Si le paquet de supervision NAT est sélectionné, une valeur de temps d’intervalle doit être définie. La valeur minimale est de 20 secondes. | Non | |||||||||
Taux de détection des pairs morts | La fréquence à laquelle les connexions inactives sont détectées. Les options sont les suivantes :
| Non | |||||||||
Redirections | Ce réglage permet la redirection d’un autre serveur VPN. | Non | |||||||||
Mobilité et multihébergement | Ce réglage permet à l’appareil de garder la connexion VPN active si :
| Non | |||||||||
Attributs de sous-réseau interne IPv4 et IPv6 | Ce réglage active des tunnels IPv4 et IPv6 pour votre connexion VPN. | Non | |||||||||
Confidentialité persistante parfaite (PFS) | Ce réglage active la fonctionnalité PFS pour votre connexion VPN. Cela empêche ainsi le déchiffrement des sessions précédentes. | Non | |||||||||
Vérification de révocation de certificats | Ce réglage permet à l’appareil de vérifier les certificats qu’il reçoit du serveur VPN en regard de la liste d’une liste de révocation des certificats (CRL). | Non | |||||||||
Paramètres d’associations de sécurité dynamiques | La configuration des paramètres IKE et enfants est autorisée. Les deux valeurs requièrent les attributs suivants :
| Non | |||||||||
Exceptions relatives au service | Ce réglage permet les exceptions relatives au service pour les services suivants : boîte vocale, AirPrint, messages MMS et réseau cellulaire. Chaque service peut être configuré pour utiliser une des options suivantes :
| Non | |||||||||
Trafic des portails Web captifs à l’extérieur du tunnel VPN | Indique si le trafic est autorisé depuis des portails Web captifs à l’extérieur du tunnel VPN. | Non | |||||||||
Trafic de toutes les apps réseau captives à l’extérieur du tunnel VPN | Indique si le trafic est autorisé depuis les apps qui se connectent à des réseaux à distance. S’il est activé, les apps doivent être indiquées (voir ci-dessous). | Non | |||||||||
Identifiants de paquet d’apps réseau captives | Ce réglage identifie les apps réseau qui sont autorisées à l’extérieur du tunnel VPN. Elles sont identifiées par leur identifiant de paquet. | Non | |||||||||
Adresses de serveurs DNS | Le tableau d’adresses IP de serveurs DNS sous forme de chaînes. Ces adresses IP peuvent-être un mélange d’adresses IPv4 et IPv6. | Non | |||||||||
Nom du domaine principal | Le nom du domaine principal du tunnel VPN. | Non | |||||||||
Domaines de recherche DNS | La liste des chaînes de domaine utilisées pour qualifier complètement les noms d’hôtes à étiquette unique. | Non | |||||||||
Domaines correspondants supplémentaires DNS | La liste de chaînes de domaines utilisés pour déterminer les requêtes DNS qui utilisent les réglages du résolveur DNS contenus dans ServerAddresses. Cette clé est utilisée pour créer une configuration DNS partagée où seuls les hôtes de certains domaines sont résolus à l’aide du résolveur DNS du tunnel. Les hôtes qui n’appartiennent pas à l’un des domaines de cette liste sont résolus à l’aide du résolveur par défaut du système. | Non | |||||||||
Inclure des domaines supplémentaires | Si non, ajoute les domaines de la liste des domaines de correspondance supplémentaires à la liste des domaines de recherche du résolveur. | Non | |||||||||
Modifier le MTU (Maximum Transmission Unit, unité de transfert maximale), en octets | La valeur par défaut est égale à 1280. | Non | |||||||||
Remarque : Chaque fournisseur de GAM met en œuvre ces réglages différemment. Pour découvrir comment les réglages d’une connexion IKEv2 sont appliqués à vos appareils et utilisateurs, consultez la documentation de votre fournisseur de GAM.