Параметри MDM IKEv2 для пристроїв Apple
Ви можете конфігурувати з’єднання IKEv2 для пристроїв iPhone, iPad або Mac, які зареєстровано в рішенні з керування мобільними пристроями (MDM). Якщо ви хочете конфігурувати набір даних так, щоб під’єднання до будь-якої мережі вимагало активного VPN-з’єднання на пристроях iPhone та iPad, виберіть IKEv2, а потім виберіть «Always On VPN». Функція «Always On VPN» може бути конфігурована окремо для дзвінків через стільникову мережу, для дзвінків через мережу Wi-Fi або для обох видів дзвінків.
З набором даних VPN можна використовувати параметри IKEv2, наведені в таблиці нижче.
Параметр | Опис | Обов’язково | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name (Назва з’єднання) | Відображувана назва VPN-з’єднання. | Так | |||||||||
Hostname (Ім’я хоста) | IP-адреса або повне доменне ім’я (FQDN) VPN-сервера. | Так | |||||||||
Local Identifier (Локальний ідентифікатор) | Це значення, зазвичай, має відповідати посвідченню сертифіката користувача/пристрою (альтернативна назва суб’єкта або загальна назва суб’єкта), оскільки для реалізації сервера може вимагатися відповідність для підтвердження особи клієнта. | Так | |||||||||
Remote Identifier (Віддалений ідентифікатор) | Це значення має відповідати цифровому сертифікату сервера (альтернативна назва суб’єкта або загальна назва суб’єкта). Примітка. Якщо це значення не відповідає цифровому сертифікату сервера, ви можете вказати цифровий сертифікат сервера за допомогою ключа | Так | |||||||||
Постійна VPN (під наглядом). | Вмикає функцію Always On VPN, дозволяючи тунелювати весь трафік IP до організації. Ви можете використовувати різні конфігурації для стільникової мережі та мереж Wi-Fi. | Ні | |||||||||
Allow disabling connections (Дозволити вимкнення з’єднань) | Цей параметр указує, чи можуть користувачі вимкнути постійне VPN-з’єднання. | Ні | |||||||||
Use same configuration (Використовувати таку ж конфігурацію) | Цей параметр указує, чи має використовуватися та сама конфігурація для з’єднань через Wi-Fi і стільникову мережу. | Ні | |||||||||
Machine authentication (Автентифікація комп’ютера) | Доступні опції:
| Ні | |||||||||
Extended authentication (Розширена автентифікація) | Вмикає протокол Extensible Authentication Protocol (EAP). Після ввімкнення виберіть один із таких методів автентифікації:
Примітка. Для протоколу EAP-PEAP необхідно використовувати обидва методи автентифікації. | Ні | |||||||||
Disconnect on idle (Від’єднуватися, якщо немає активності) | Доступні опції:
| Ні | |||||||||
NAT keepalive | Вивантажує надсилання пакетів NAT keepalive в обладнання, коли пристрій перейшов у режим сну, що дає змогу підтримувати зв’язок між циклами сну пристрою. Якщо NAT keepalive увімкнено, вам потрібно вказати часовий інтервал. Мінімальне значення — 20 секунд. | Ні | |||||||||
Dead peer detection rate (Частота виявлення неактивних зʼєднань) | Як часто виявляти недоступні зʼєднання. Доступні опції:
| Ні | |||||||||
Redirects (Перенаправлення) | Дозволяє перенаправляти зʼєднання до іншого VPN-сервера. | Ні | |||||||||
Mobility and multihoming (Мобільність і багатовузлова структура) | Дозволяє пристрою підтримувати VPN-зʼєднання активним, якщо:
| Ні | |||||||||
IPv4 and IPv6 internal subnet attributes (Атрибути внутрішньої підмережі IPv4 та IPv6) | Вмикає тунелі IPv4 та IPv6 для VPN-зʼєднання. | Ні | |||||||||
Perfect Forward Secrecy (PFS) (Блокування переадресації) | Вмикає функцію PFS для VPN-зʼєднання. Це запобігає розшифруванню попередніх сеансів. | Ні | |||||||||
Certificate revocation check (Перевірка відкликання сертифіката) | Дозволяє пристрою перевіряти дійсність сертифікатів, отриманих від VPN-сервера, за списком відкликань сертифікатів (CRL). | Ні | |||||||||
Dynamic security associations (SA) (Параметри динамічних асоціацій безпеки) | Дозволяє конфігурувати параметри прив’язки IKE та прив’язки до дочірніх елементів. Для обох значень потрібні такі атрибути:
| Ні | |||||||||
Винятки сервісів | Дозволяє винятки голосової пошти, AirPrint, повідомлень MMS і стільникових служб. Кожна служба може бути сконфігурована на використання одного з таких параметрів:
| Ні | |||||||||
Traffic from captive web portals outside the VPN tunnel (Трафік із вебпорталів з авторизацією поза тунелем VPN) | Цей параметр указує, чи дозволено мережевий трафік із вебпорталів з авторизацією за межами тунелю VPN. | Ні | |||||||||
Traffic from all captive networking apps outside the VPN tunnel (Трафік з усіх мережевих програм з авторизацією поза тунелем VPN) | Цей параметр указує, чи дозволено мережевий трафік із програм, які під’єднуються до віддалених мереж. Якщо цей параметр увімкнено, зазначте програми (нижче). | Ні | |||||||||
Captive network app bundle identifiers (Ідентифікатори пакета програми мережі з авторизацією) | Визначає мережеві програми, які дозволені за межами тунелю VPN. Програми розрізняються за своїми ідентифікаторами пакетів. | Ні | |||||||||
DNS server addresses (Адреси серверів DNS) | Масив IP-адрес серверів DNS у вигляді рядків. Ці IP-адреси можуть бути адресами IPv4 та IPv6. | Ні | |||||||||
Primary domain name (Основне доменне ім’я) | Основне доменне ім’я тунелю VPN. | Ні | |||||||||
DNS search domains (Домени пошуку DNS) | Список доменів у вигляді рядків, які використовуються для повного уточнення однорівневих імен хостів. | Ні | |||||||||
DNS supplemental match domains (Допоміжні домени зіставлення DNS) | Список доменних рядків, які використовуються для визначення того, які DNS-запити використовують налаштування засобу зіставлення імен DNS, що містяться в ServerAddresses. Цей ключ використовується для створення розділеної конфігурації DNS, коли тільки хости в певних доменах зіставляються за допомогою засобу зіставлення імен DNS тунелю. Імена хостів, які не входять до жодного з доменів у цьому списку, зіставляються за допомогою стандартного системного засобу зіставлення імен. | Ні | |||||||||
Include supplemental domains (Включати допоміжні домени) | Якщо значення false, розштирює домени в списку допоміжних доменів зіставлення до списку доменів пошуку засобу зіставлення імен. | Ні | |||||||||
Vary the maximum transmission unit (MTU), in bytes (Змінний максимальний розмір пакета в байтах) | Типовий параметр 1280. | Ні | |||||||||
Примітка. Кожен постачальник MDM реалізує ці параметри по-різному. Щоб дізнатися, як різні параметри IKEv2 застосовуються до пристроїв і користувачів, зверніться до документації постачальника MDM.