Seting MDM IKEv2 untuk peranti Apple
Anda boleh mengkonfigurasikan sambungan IKEv2 untuk iPhone, iPad atau Mac yang didaftarkan dalam penyelesaian pengurusan peranti mudah alih (MDM). Pilih IKEv2 dan pilih VPN Sentiasa Aktif jika anda mahu mengkonfigurasikan muat beban supaya peranti iPhone dan iPad mempunyai sambungan VPN aktif untuk menyambung ke sebarang rangkaian. Anda boleh mengkonfigurasikan VPN Sentiasa Aktif untuk selular dan Wi-Fi secara berasingan atau bersama-sama.
Anda boleh menggunakan seting IKEv2 dalam jadual di bawah dengan muat beban VPN.
Seting | Perihalan | Diperlukan | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nama sambungan | Nama paparan sambungan VPN. | Ya | |||||||||
Nama hos | Alamat IP atau nama domain penuh yang layak (FQDN) pelayan VPN. | Ya | |||||||||
Pengecam Setempat | Nilai ini sepatutnya sepadan dengan identiti sijil pengguna/peranti (Nama Alternatif Subjek atau Nama Biasa Subjek), kerana perlaksanaan pelayan mungkin memerlukan yang sepadan untuk mengesahkan identiti pelanggan. | Ya | |||||||||
Pengecam Kawalan Jauh | Nilai ini sepatutnya sepadan dengan identiti sijil pelayan (Nama Alternatif Subjek atau Nama Biasa Subjek). Nota: Jika nilai ini tidak sepadan dengan identiti sijil pelayan, kunci | Ya | |||||||||
VPN Sentiasa Aktif (Diselia) | Mendayakan VPN Sentiasa Aktif, yang boleh menerowongkan trafik IP kembali ke organisasi anda. Konfigurasi berbeza boleh disediakan untuk Selular dan Wi-Fi. | Tidak | |||||||||
Benarkan menyahdayakan sambungan | Menentukan sama ada pengguna boleh menyahdayakan sambungan VPN Sentiasa Aktif. | Tidak | |||||||||
Guna konfigurasi yang sama | Menentukan sama ada untuk menggunakan konfigurasi yang sama untuk Wi-Fi dan selular. | Tidak | |||||||||
Pengesahan mesin | Pilihan adalah:
| Tidak | |||||||||
Pengesahan lanjutan | Mendayakan Protokol Pengesahan Boleh Diperluas (EAP). Apabila didayakan, pilih daripada kaedah pengesahan berikut:
Nota: Kedua-dua kaedah pengesahan mesti digunakan untuk EAP–PEAP. | Tidak | |||||||||
Putuskan Sambungan bila melahu | Pilihan adalah:
| Tidak | |||||||||
Pengekal NAT | Pengeluaran menghantar pengekal NAT ke perkakasan semasa peranti tidur, yang menyimpan sambungan aktif merentasi kitar tidur peranti. Jika pengekal NAT dipilih, nilai masa selang mesti disetkan. Minimum adalah 20 saat. | Tidak | |||||||||
Kadar pengesanan setara mati | Kekerapan untuk mengesan sambungan tidak responsif. Pilihan adalah:
| Tidak | |||||||||
Ubah Hala | Membenarkan pengubahan hala ke pelayan VPN lain. | Tidak | |||||||||
Mobiliti dan berbilang balik | Membenarkan peranti untuk kekalkan sambungan VPN aktif jika:
| Tidak | |||||||||
Atribut subnet dalaman IPv4 dan IPv6 | Mendayakan kedua-dua terowong IPv4 dan IPv6 untuk sambungan VPN anda. | Tidak | |||||||||
Perfect Forward Secrecy (PFS) | Mendayakan PFS untuk sambungan VPN anda. Berbuat demikian menghalang sesi lepas daripada dinyahsulitkan. | Tidak | |||||||||
Pemeriksaan pembatalan sijil | Membenarkan peranti untuk menyemak sijil yang ia dapat daripada pelayan VPN terhadap Senarai Pembatalan Sijil (CRL). | Tidak | |||||||||
Parameter perkaitan keselamatan (SA) dinamik | Membenarkan konfigurasi kedua-dua parameter IKE dan Anak. Kedua-dua nilai memerlukan atribut berikut:
| Tidak | |||||||||
Pengecualian perkhidmatan | Membenarkan pengecualian perkhidmatan untuk mel suara, AirPrint, mesej MMS dan perkhidmatan selular. Setiap perkhidmatan boleh dikonfigurasikan untuk menggunakan salah satu daripada yang berikut:
| Tidak | |||||||||
Trafik daripada portal web kaptif di luar terowong VPN | Menentukan sama ada trafik dibenarkan daripada portal web kaptif di luar terowong VPN. | Tidak | |||||||||
Trafik daripada semua app rangkaian kaptif di luar terowong VPN | Menentukan sama ada trafik dibenarkan daripada app yang menyambung ke rangkaian jauh. Jika didayakan, app mesti disenaraikan (di bawah). | Tidak | |||||||||
Pengecam pakej app rangkaian kaptif | Mengenal pasti app rangkaian yang dibenarkan di luar terowong VPN. Ia dikenal pasti oleh ID pakejnya. | Tidak | |||||||||
Alamat pelayan DNS | Tatasusunan rentetan alamat IP pelayan DNS. Alamat IP ini mungkin adalah campuran alamat IPv4 dan IPv6. | Tidak | |||||||||
Nama domain utama | Nama domain utama terowong VPN. | Tidak | |||||||||
Domain carian DNS | Senarai rentetan domain yang digunakan untuk nama hos label tunggal layak sepenuhnya. | Tidak | |||||||||
Domain padan tambahan DNS | Senarai rentetan digunakan untuk menentukan permintaan DNS yang menggunakan seting penyelesai DNS terkandung dalam ServerAddresses. Kunci ini digunakan untuk mencipta konfigurasi DNS terpisah yang hanya hos dalam domain tertentu diselesaikan menggunakan penyelesai DNS terowong. Hos tidak berada dalam salah satu domain dalam senarai ini diselesaikan menggunakan penyelesai lalai sistem. | Tidak | |||||||||
Sertakan domain tambahan | Jika palsu, tambah domain dalam senarai domain sepadan tambahan ke senarai domain carian penyelesai. | Tidak | |||||||||
Bezakan unit penghantaran maksimum (MTU), dalam bait | Lalai adalah 1280. | Tidak | |||||||||
Nota: Setiap vendor MDM melaksanakan seting ini secara berbeza. Untuk mengetahui cara seting IKEv2 yang digunakan pada peranti dan pengguna anda, rujuk dokumentasi vendor MDM anda.