Nastavenia IKEv2 MDM pre Apple zariadenia
Môžete konfigurovať pripojenie IKEv2 VPN pre zariadenia iPhone, iPad alebo Mac zaregistrované do riešenia správy mobilných zariadení (MDM). Ak chcete nakonfigurovať objem dát tak, aby zariadenia iPhone a iPad museli mať aktívne VPN pripojenie, ak sa chcú pripojiť do ľubovoľnej siete, vyberte možnosti IKEv2 a potom Always On VPN. Možnosť Always On VPN môžete nakonfigurovať samostatne pre mobilné a pre Wi-Fi siete, alebo spolu.
Nastavenia IKEv2 v tabuľke nižšie môžete používať s objemom dát VPN.
Nastavenie | Popis | Vyžaduje sa | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name | Zobrazovaný názov VPN pripojenia. | Áno | |||||||||
Hostname | IP adresa alebo plný názov domény (FQDN) VPN servera. | Áno | |||||||||
Local Identifier | Táto hodnota by sa obvykle mala zhodovať s identitou certifikátu užívateľa/zariadenia (Alternatívne meno subjektu alebo Bežné meno subjektu), pretože serverová implementácia môže vyžadovať túto zhodu na overenie identity klienta. | Áno | |||||||||
Remote Identifier | Táto hodnota by sa mala zhodovať s identitou serverového certifikátu (Alternatívne meno subjektu alebo Bežné meno subjektu). Poznámka: Ak táto hodnota nezodpovedá identite certifikátu servera, kľúč | Áno | |||||||||
Vždy zapnuté VPN (Pod dohľadom) | Povolí možnosť Vždy zapnuté VPN, ktorá umožní tunelový prenos všetkých IP prenosov späť do vašej organizácie. Môžete nastaviť rôzne konfigurácie pre Mobilné a Wi-Fi siete. | Nie | |||||||||
Allow disabling connections | Určuje, či užívatelia môžu zakázať vždy zapnuté pripojenie VPN. | Nie | |||||||||
Use same configuration | Určuje, či sa má použiť rovnaká konfigurácia pre Wi-Fi siete a mobilné siete. | Nie | |||||||||
Machine authentication | Možnosti sú:
| Nie | |||||||||
Extended authentication | Povoľuje EAP (Extensible Authentication Protocol). Keď je povolený, vyberte z nasledujúcich metód autentifikácie:
Poznámka: Pre EAP-PEAP sa musia použiť obidve metódy autentifikácie. | Nie | |||||||||
Disconnect on idle | Možnosti sú:
| Nie | |||||||||
NAT keepalive | Odošle pakety NAT keepalive do hardvéru, kým je zariadenie v režime spánku, čím sa pripojenie udržuje aktívne počas spánkových cyklov zariadenia. Ak je vybratá funkcia NAT keepalive, je potrebné nastaviť hodnotu časového intervalu. Minimum je 20 sekúnd. | Nie | |||||||||
Dead peer detection rate | Ako často zisťovať pripojenia bez odozvy. Možnosti sú:
| Nie | |||||||||
Redirects | Umožňuje presmerovanie na iný VPN server. | Nie | |||||||||
Mobility and multihoming | Umožňuje zariadeniu, aby udržiavalo VPN pripojenie aktívne, ak:
| Nie | |||||||||
IPv4 and IPv6 internal subnet attributes | Povolí tunely protokolov IPv4 a IPv6 pre vaše VPN pripojenie. | Nie | |||||||||
Perfect Forward Secrecy (PFS) | Povolí PFS pre vaše VPN pripojenie. Tento krok zabráni tomu, aby sa predchádzajúce relácie dešifrovali. | Nie | |||||||||
Certificate revocation check | Umožňuje zariadeniu, aby skontrolovalo certifikáty, ktoré získa z VPN servera, vo vzťahu k zoznamu zrušených certifikátov (CRL). | Nie | |||||||||
Dynamic security associations (SA) parameters | Umožňuje konfiguráciu parametrov IKE aj Child. Obidve hodnoty vyžadujú nasledujúce atribúty:
| Nie | |||||||||
Výnimky služby | Umožňuje služobné výnimky pre odkazovač, AirPrint, MMS správy a služby mobilných dát. Každú službu je možné nakonfigurovať tak, aby používala nasledovné funkcie:
| Nie | |||||||||
Traffic from captive web portals outside the VPN tunnel | Určuje, či je povolený prenos z uzamknutých webových portálov mimo VPN tunela. | Nie | |||||||||
Traffic from all captive networking apps outside the VPN tunnel | Určuje, či je povolený prenos z aplikácií, ktoré sa pripájajú k vzdialeným sieťam. Ak je táto možnosť povolená, apky musia byť uvedené v zozname (nižšie). | Nie | |||||||||
Captive network app bundle identifiers | Identifikuje sieťové apky, ktoré sú povolené mimo VPN tunela. Identifikujú sa pomocou svojho ID balíka. | Nie | |||||||||
Adresy servera DNS | Pole reťazcov IP adries servera DNS. Tieto IP adresy môžu byť zmesou IPv4 a IPv6 adries. | Nie | |||||||||
Primárny názov domény | Primárny názov domény tunela VPN. | Nie | |||||||||
Vyhľadávacie domény DNS | Zoznam doménových reťazcov používaných na plnú spôsobilosť hostiteľských názvov s jedným popisom. | Nie | |||||||||
Doplnková zhoda domén DNS | Zoznam doménových reťazcov používaných na zistenie, ktoré DNS použijú riešenie DNS obsiahnuté v atribúte ServerAddresses. Tento kľúč slúži na vytvorenie rozdelenej konfigurácie DNS, v ktorej sa analyzujú pomocou riešenia tunelu DNS len hostitelia v istých doménach. Hostitelia, ktorí nie sú v jednej z domén na tomto zozname, sa analyzujú pomocou predvoleného riešenia systému. | Nie | |||||||||
Zahrnutie dodatočných domén | Ak je hodnota false, domény z doplnkového zoznamu zhody domén budú pripojené k zoznamu vyhľadávaných domén prekladača. | Nie | |||||||||
Zmena maximálnej veľkosti prenosových jednotiek (MTU), v bajtoch | Predvolená hodnota je 1280. | Nie | |||||||||
Poznámka: Implementácia týchto nastavení sa u rôznych dodávateľov riešení MDM líši. Informácie o tom, ako sa nastavenia IKEv2 použijú na vaše zariadenia a užívateľov, nájdete v dokumentácii dodávateľa riešenia MDM.