Impostazioni MDM IKEv2 per i dispositivi Apple
Puoi configurare la connessione IKEv2 per iPhone, iPad o Mac registrati a una soluzione di gestione dei dispositivi mobili (MDM). Scegli IKEv2 e seleziona “VPN sempre attiva” se vuoi configurare un payload in modo che iPhone e iPad debbano avere una connessione VPN attiva per poter comunicare con qualsiasi rete. Puoi configurare “VPN sempre attiva” per Wi-Fi e dati cellulari separatamente o insieme.
Puoi usare le impostazioni IKEv2 nella tabella di seguito con il payload VPN.
Impostazione | Descrizione | Richiesta | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nome connessione | Il nome visualizzato per la connessione VPN. | Sì | |||||||||
Nome host | L’indirizzo IP o il nome dominio completo del server VPN. | Sì | |||||||||
Identificatore locale | Questo valore di solito dovrebbe corrispondere all’identità del certificato dell’utente/dispositivo (Subject Alternative Name o Subject Common Name), in quanto un’implementazione server può richiedere tale corrispondenza per convalidare l’identità del client. | Sì | |||||||||
Identificatore remoto | Questo valore dovrebbe corrispondere all’identità del certificato del server (Subject Alternative Name o Subject Common Name). Nota: se il valore non corrisponde all’identità del certificato del server, la chiave | Sì | |||||||||
VPN sempre attivo (Supervisionato) | Abilita “VPN sempre attivo”, che può instradare tutto il traffico IP verso la tua organizzazione. È possibile impostare configurazioni diverse per Cellulare e Wi-Fi. | No | |||||||||
Consenti disabilitazione connessioni | Specifica se gli utenti possono disabilitare le connessioni con VPN sempre attivo. | No | |||||||||
Utilizza stessa configurazione | Specifica se utilizzare la stessa configurazione per Wi-Fi e Cellulare. | No | |||||||||
Autenticazione computer | Le opzioni sono:
| No | |||||||||
Autenticazione estesa | Abilita il protocollo EAP (Extensible Authentication Protocol). Quando è abilitato, seleziona tra i seguenti metodi di autenticazione:
Nota: per EAP–PEAP è necessario utilizzare entrambi i metodi di autenticazione. | No | |||||||||
Disconnetti se inattivo | Le opzioni sono:
| No | |||||||||
Keepalive NAT | Alleggerisce l’invio di keepalive NAT all’hardware mentre il dispositivo è in stato di standby, mantenendo la connessione attiva durante i cicli di standby del dispositivo. Se l’opzione “Keepalive NAT” è selezionata, deve essere impostato un valore temporale. Il valore minimo è 20 secondi. | No | |||||||||
Frequenza rilevamento dead peer | La frequenza con cui rilevare connessioni che non rispondono. Le opzioni sono:
| No | |||||||||
Reindirizzamenti | Consente il reindirizzamento verso un altro server VPN. | No | |||||||||
Mobilità e multihoming | Consente al dispositivo di mantenere attiva la connessione VPN se:
| No | |||||||||
Attributi sottorete interna IPv4 e IPv6 | Abilita sia il tunnel IPv4 che il tunnel IPv6 per la connessione VPN. | No | |||||||||
PFS (Perfect Forward Secrecy) | Abilita il PFS per la connessione VPN. Ciò impedisce che le sessioni precedenti vengano decrittografate. | No | |||||||||
Controllo revoca certificati | Consente al dispositivo di controllare i certificati che riceve dal server VPN confrontandoli con un elenco di revoca dei certificati. | No | |||||||||
Parametri associazione sicurezza dinamica | Consente la configurazione sia dei parametri IKE che dei parametri child. Entrambi i valori richiedono i seguenti attributi:
| No | |||||||||
Eccezioni di servizio | Consente eccezioni di servizio per segreteria, AirPrint, messaggi MMS e servizi cellulari. Ogni servizio può essere configurato per utilizzare le seguenti opzioni:
| No | |||||||||
Traffico da portali web Captive fuori dal tunnel VPN | Stabilisce se è consentito il traffico da portali web Captive fuori dal tunnel VPN. | No | |||||||||
Traffico da tutte le app con reti Captive fuori dal tunnel VPN | Specifica se è consentito il traffico da app che si connettono a reti remote. Se l’opzione è abilitata, le app devono essere incluse nell’apposito elenco (sotto). | No | |||||||||
Identificatori pacchetti app reti Captive | Identifica le app di rete che possono operare fuori dal tunnel VPN. Vengono identificate dall’ID pacchetto. | No | |||||||||
Indirizzi server DNS | L’array dell’indirizzo IP del server DNS sotto forma di stringhe. Tali indirizzi IP possono essere un misto di indirizzi IPv4 e IPv6. | No | |||||||||
Nome dominio principale | Il nome dominio principale del tunnel VPN. | No | |||||||||
Domini di ricerca DNS | L’elenco delle stringhe di dominio usate per qualificare completamente i nomi di host con etichetta unica. | No | |||||||||
Domini di corrispondenza supplementari DNS | L’elenco delle stringhe di dominio usate per determinare quali query DNS usano le impostazioni della risoluzione DNS contenute in ServerAddresses. Questa chiave viene usata per creare una configurazione DNS divisa in cui solo gli host in certi domini vengono risolti usando la risoluzione DNS del tunnel. Gli host che non si trovano in uno dei domini in questo elenco vengono risolti usando la risoluzione predefinita del sistema. | No | |||||||||
Include domini supplementari | Se il valore è falso, aggiunge i domini contenuti nell’elenco dei domini di corrispondenza supplementari all’elenco dei domini di ricerca della risoluzione. | No | |||||||||
Varia il MTU (maximum transmission unit), in byte | Di default è impostato su 1280. | No | |||||||||
Nota: ogni fornitore MDM implementa queste impostazioni in modo diverso. Per sapere come le impostazioni IKEv2 vengono applicate ai tuoi dispositivi, consulta la documentazione del fornitore MDM.