IKEv2 MDM-beállítások Apple-eszközökhöz
Mobileszköz-felügyeleti (MDM) megoldásba regisztrált iPhone-ok, iPadek és Macek számára IKEv2 kapcsolatot is konfigurálhat. Válassza ki az IKEv2 lehetőséget, és jelölje be a Mindig bekapcsolt VPN beállítást, ha olyan adatcsomagot szeretne konfigurálni, ahol az iPhone- és iPad-eszközök csak aktív VPN-kapcsolattal tudnak bármely hálózathoz csatlakozni. A Mindig bekapcsolt VPN funkciót mobiladathálózati- és Wi-Fi-kapcsolatokhoz külön-külön vagy együtt is konfigurálhatja.
Használhatja az alábbi táblázatban található IKEv2-beállításokat a VPN adatcsomaggal.
Beállítás | Leírás | Kötelező | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name (Kapcsolat neve) | A VPN-kapcsolat megjelenített neve. | Igen | |||||||||
Hostname (Állomásnév) | A VPN-szerver IP-címe vagy teljesen minősített doménneve (FQDN). | Igen | |||||||||
Local Identifier (Helyi azonosító) | Ennek az értéknek többnyire egyeznie kell a felhasználó/eszköz tanúsítványának identitásával (Alany alternatív neve vagy Alany általános neve), mivel a kliens identitásának ellenőrzéséhez a telepített szerver előírhatja ezt az egyezést. | Igen | |||||||||
Remote Identifier (Távoli azonosító) | Ennek az értéknek többnyire egyeznie kell a szerver tanúsítványának identitásával (Alany alternatív neve vagy Alany általános neve). Megjegyzés: Ha az érték nem egyezik a szerver tanúsítványának identitásával, akkor a | Igen | |||||||||
Mindig bekapcsolt VPN (Adminisztrált) | Engedélyezi az Mindig bekapcsolt VPN beállítást, amellyel a teljes IP-forgalom a szervezethez küldhető vissza. Különböző konfigurációk adhatók meg mobiladat-hálózat és Wi-Fi esetén. | Nem | |||||||||
Allow disabling connections (Kapcsolatok letiltásának engedélyezése) | Megadhatja, hogy a felhasználók letilthatják-e a Mindig bekapcsolt VPN-kapcsolatot. | Nem | |||||||||
Use same configuration (Azonos konfiguráció használata) | Megadhatja, hogy a Wi-Fi és a mobilhálózat azonos konfigurációt használjon-e. | Nem | |||||||||
Machine authentication (Géphitelesítés) | A lehetőségek a következők:
| Nem | |||||||||
Extended authentication (Kibővített hitelesítés) | Engedélyezi a Kibővíthető hitelesítési protokollt (EAP). Ha be van kapcsolva, az alábbi hitelesítési módszerekből választhat:
Megjegyzés: EAP–PEAP esetén mindkét hitelesítési módot használni kell. | Nem | |||||||||
Disconnect on idle (Kapcsolat bontása tétlenség esetén) | A lehetőségek a következők:
| Nem | |||||||||
NAT keepalive (NAT életben tartása) | Tehermentesíti a NAT életben tartásának hardverre való küldését, amikor az eszköz alszik, ami által a kapcsolat életben marad az eszközök alvó ciklusai között is. Ha a NAT életben tartása be van jelölve, időintervallumot kell megadni. A minimális érték a 20 másodperc. | Nem | |||||||||
Dead peer detection rate (Nem működő társak észlelési sűrűsége) | Annak a beállítása, hogy a rendszer milyen gyakorisággal észlelje a nem válaszoló kapcsolatokat. A lehetőségek a következők:
| Nem | |||||||||
Redirects (Átirányítások) | Engedélyezi a másik VPN-szerverre való átirányítást. | Nem | |||||||||
Mobility and multihoming (Mobilitás és redundáns kapcsolatok) | Engedélyezi az eszköznek a VPN-kapcsolat életben tartását, ha:
| Nem | |||||||||
IPv4 and IPv6 internal subnet attributes (IPv4 és IPv6 belső alhálózati attribútumok) | Engedélyezi mind az IPv4-, mind az IPv6-alagutakat a VPN-kapcsolathoz. | Nem | |||||||||
Perfect Forward Secrecy (PFS) | Engedélyezi a PFS használatát a VPN-kapcsolat számára. A beállítás megakadályozza, hogy a korábbi munkamenetek titkosítása vissza legyen fejtve. | Nem | |||||||||
Certificate revocation check (Tanúsítvány-visszavonási ellenőrzés) | Engedélyezi, hogy eszköz tanúsítvány-visszavonási listán (CRL) ellenőrizze a VPN-szervertől kapott tanúsítványokat. | Nem | |||||||||
Dynamic security associations (SA) parameters (Dinamikus biztonságtársítások (SA) paraméterei) | Engedélyezheti mind az IKE, mind a Child paraméterek konfigurálását. Mindkét értékhez szükségesek a következő attribútumok:
| Nem | |||||||||
Szolgáltatások kivételei | Szolgáltatási kivételeket engedélyez a hangposta, az AirPrint, az MMS-üzenetek és mobilszolgáltatások számára. Minden szolgáltatás konfigurálható a következők egyikének használatára:
| Nem | |||||||||
Traffic from captive web portals outside the VPN tunnel (A VPN-alagúton kívüli, előfizetéses webportálokról származó forgalom) | Megadhatja, hogy a VPN-alagúton kívüli, előfizetéses webportálokról származó forgalom engedélyezve legyen-e. | Nem | |||||||||
Traffic from all captive networking apps outside the VPN tunnel (A VPN-alagúton kívüli, összes, előfizetéses hálózatot használó appból származó forgalom) | Megadhatja, hogy engedélyezve legyen-e a forgalom a távoli hálózatokra csatlakozó appok számára. Ha engedélyezve van, az appokat fel kell sorolni (alább). | Nem | |||||||||
Captive network app bundle identifiers (Előfizetéses hálózatok appcsomag-azonosítói) | Azonosítja a hálózati forgalmat bonyolító appokat, amelyek engedélyezve vannak a VPN-alagúton kívül. A csomagazonosítójuk azonosítja őket. | Nem | |||||||||
DNS server addresses (DNS-szervercímek) | DNS-szerver IP-címek tömbje karakterláncként. Ezek az IP-címek IPv4 és IPv6 címekből állhatnak össze. | Nem | |||||||||
Elsődleges domén név | A VPN-alagút elsődleges doménneve. | Nem | |||||||||
DNS keresési domének | Az egycímkés hosztnevek teljeskörű minősítéséhez használt domén karakterláncok listája. | Nem | |||||||||
DNS kiegészítő illeszkedési domének | Azoknak a domén-karakterláncoknak a listája, amelyek segítségével megállapítható, mely DNS-lekérdezések használják a ServerAddressesben található DNS-feloldó beállításokat. Ezzel a kulccsal létrehozható egy olyan osztott DNS-konfiguráció, amely esetében kizárólag az adott doméneken található hosztok használják a csatorna DNS-feloldóját. A listában található doméneken kívül eső hosztok a rendszer alapértelmezett feloldója által kerülnek feloldásra. | Nem | |||||||||
Kiegészítő domének belefoglalása | Ha hamis, csatolja hozzá a kiegészítő illeszkedési domének listájában található doméneket a keresési domének feloldó listájához. | Nem | |||||||||
A maximális átviteli egység (MTU) változtatása, bájtban | Az alapértelmezett érték 1280. | Nem | |||||||||
Megjegyzés: Az MDM-gyártók különbözőképpen valósítják meg ezeket a beállításokat. Ha szeretné megismerni, hogyan kerülnek az IKEv2-beállítások alkalmazásra az eszközein és felhasználóin, tekintse meg az MDM-szolgáltató dokumentációját.