Definições de MDM de IKEv2 para dispositivos Apple
Pode configurar definições de ligação VPN IKEv2 para um iPhone, iPad ou Mac registados numa solução de gestão de dispositivos móveis (MDM). Selecione IKEv2 e selecione “VPN sempre ligada” caso pretenda configurar uma carga útil para que seja necessário que os dispositivos iPhone e iPad tenham uma ligação VPN ativa para estabelecer ligação a qualquer rede. É possível configurar a “VPN sempre ligada” para ligações de dados móveis e Wi-Fi, em separado ou em conjunto.
É possível usar as definições de IKEv2 da tabela abaixo com a carga útil de VPN.
Definição | Descrição | Necessário | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name (Nome da ligação) | O nome de apresentação da ligação VPN. | Sim | |||||||||
Hostname (Nome de host) | O endereço IP ou nome de domínio inteiramente qualificado (FQDN) do servidor VPN. | Sim | |||||||||
Local Identifier (Identificador local) | Este valor deverá normalmente corresponder à identidade do certificado do utilizador/dispositivo (“Nome alternativo do sujeito” ou “Nome comum do sujeito”), uma vez que a implementação do servidor pode exigir essa correspondência para validar a identidade do cliente. | Sim | |||||||||
Remote Identifier (Identificador remoto) | Este valor deverá corresponder à identidade do certificado do servidor (“Nome alternativo do sujeito” ou “Nome comum do sujeito”). Nota: caso este valor não corresponda à identidade do certificado do servidor, pode ser usada a chave | Sim | |||||||||
Always On VPN (VPN sempre ligada) (Supervised) (Com supervisão) | Ativa a “VPN sempre ligada”, que pode reencaminhar todo o tráfego de IP de volta para a sua organização. Podem ser efetuadas configurações diferentes para “Rede móvel” e Wi-Fi. | Não | |||||||||
Allow disabling connections (Permitir desativação de ligações) | Especifica se os utilizadores podem desativar a ligação “VPN sempre ligada”. | Não | |||||||||
Use same configuration (Usar a mesma configuração) | Especifica se pretende usar a mesma configuração para Wi-Fi e dados móveis. | Não | |||||||||
Machine authentication (Autenticação do computador) | As opções são:
| Não | |||||||||
Extended authentication (Autenticação ampliada) | Ativa o protocolo de autenticação extensível (EAP). Se ativar esta opção, o iOS suporta os seguintes métodos de autenticação:
Nota: ambos os métodos de autenticação devem ser usados para EAP–PEAP. | Não | |||||||||
Disconnect on idle (Desligar quando inativo) | As opções são:
| Não | |||||||||
NAT keepalive | Não envia NAT keepalives para o hardware enquanto o dispositivo está em pausa, o que mantém a ligação ativa durante os ciclos de inatividade do dispositivo. Se NAT keepalive estiver selecionado, é necessário definir um valor de intervalo de tempo. O mínimo são 20 segundos. | Não | |||||||||
Dead peer detection rate (Taxa DPD) | Frequência de deteção de ligações que não respondem. As opções são:
| Não | |||||||||
Redirects (Redirecionamentos) | Permite o redirecionamento para outro servidor VPN. | Não | |||||||||
Mobility and multihoming (Mobilidade e multihoming) | Permite que o dispositivo mantenha a ligação VPN ativa se:
| Não | |||||||||
IPv4 and IPv6 internal subnet attributes (Atributos de sub-rede interna IPv4 e IPv6) | Ativa os túneis IPv4 e IPv6 para a ligação VPN. | Não | |||||||||
Perfect Forward Secrecy (PFS) | Ativa PFS para a ligação VPN. Impede que sessões antigas sejam decifradas. | Não | |||||||||
Certificate revocation check (Verificação de revogação de certificados) | Permite que o dispositivo compare os certificados que recebe do servidor VPN com a Lista de Revogação de Certificados (CRL). | Não | |||||||||
Dynamic security associations (SA) parameters (Parâmetros de associações de segurança dinâmicas) | Permite a configuração de parâmetros IKE e Criança. Ambos os valores exigem os seguintes atributos:
| Não | |||||||||
Service exceptions (Exceções de serviço) | Permite exceções de serviço para voicemail, AirPrint, mensagens MMS e serviços de dados móveis. Cada serviço pode ser configurado para usar uma das seguintes opções:
| Não | |||||||||
Traffic from captive web portals outside the VPN tunnel (Tráfego de portais web cativos fora do túnel VPN) | Especifica se é permitido tráfego de portais web cativos fora do túnel VPN. | Não | |||||||||
Traffic from all captive networking apps outside the VPN tunnel (Tráfego de todas as aplicações de rede cativas fora do túnel VPN) | Especifica se é permitido tráfego de aplicações que estabelecem ligação a redes remotas. Se estiver ativo, as aplicações têm de estar ligadas (em baixo). | Não | |||||||||
Captive network app bundle identifiers (Identificadores de pacote de aplicação de rede cativa) | Identifica as aplicações de rede que são permitidas fora do túnel VPN. São identificados pelo respetivo ID de pacote. | Não | |||||||||
DNS server addresses (Endereços do servidor DNS) | A sequência de cadeias de endereço IP do servidor DNS. Estes endereços IP podem ser uma mistura de endereços IPv4 e IPv6. | Não | |||||||||
Primary domain name (Nome do domínio principal) | O nome do domínio principal do túnel VPN. | Não | |||||||||
DNS search domains (Domínios de pesquisa do DNS) | A lista de cadeias de domínio usada para qualificar totalmente os nomes de hosts de etiqueta única. | Não | |||||||||
DNS supplemental match domains (Domínios de correspondência suplementares do DNS) | Uma lista de cadeias de domínio usada para determinar que consultas de DNS usa as definições de resolução DNS contidas no ServerAddresses. Esta chave é usada para criar uma configuração DNS dividida em que apenas os hosts em determinados domínios são resolvidos com a resolução DNS do túnel. Os hosts num dos domínios na lista são resolvidos com a resolução padrão do sistema. | Não | |||||||||
Include supplemental domains (Incluir domínios suplementares) | Se for falso, adiciona os domínios na lista de domínios de correspondência suplementares à lista de domínios de pesquisa da resolução. | Não | |||||||||
Vary the maximum transmission unit (MTU), in bytes (Variar a unidade de transmissão máxima (MTU), em bytes) | A predefinição é 1280. | Não | |||||||||
Nota: cada fornecedor de MDM implementa essas definições de forma diferente. Para saber como as várias definições de IKEv2 são aplicadas aos seus dispositivos e utilizadores, consulte a documentação do seu fornecedor de MDM.