MDM-indstillinger til IKEv2 til Apple-enheder
Du kan konfigurere en IKEv2 VPN-forbindelse for en iPhone, iPad eller Mac, der er tilmeldt en løsning til administration af mobile enheder (MDM). Vælg IKEv2, og vælg Altid til-VPN, hvis du vil konfigurere data, der bevirker, at iPhone- og iPad-enheder skal have en aktiv VPN-forbindelse for at oprette forbindelse til et netværk. Du kan konfigurere Altid til-VPN til mobilnetværk og Wi-Fi hver for sig eller til begge dele på en gang.
Du kan bruge IKEv2-indstillingerne i nedenstående tabel med dataene i VPN.
Indstilling | Description | Obligatorisk | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name | VPN-forbindelsens skærmnavn. | Ja | |||||||||
Hostname | VPN-serverens IP-adresse eller fuldstændige domænenavn. | Ja | |||||||||
Local Identifier | Denne værdi skal normalt svare til brugerens eller enhedens certifikatidentitet (alternativt navn på subjekt eller fælles navn på subjekt), fordi serverimplementeringen måske kræver det for at godkende klientens identitet. | Ja | |||||||||
Remote Identifier | Denne værdi skal svare til servercertifikatets identitet (alternativt navn på subjekt eller fælles navn på subjekt). Bemærk: Hvis værdien ikke svarer til servercertifikatets identitet, kan nøglen | Ja | |||||||||
Altid til-VPN (under tilsyn) | Slår Altid til-VPN til, hvilket kan kanalisere al IP-trafik tilbage til din organisation. Der kan indstilles forskellige konfigurationer for mobilnetværk og Wi-Fi. | Nej | |||||||||
Allow disabling connections | Angiver, om brugerne kan slå Altid til-VPN-forbindelsen fra. | Nej | |||||||||
Use same configuration | Angiver, om der skal bruges samme konfiguration til Wi-Fi og mobilnetværk. | Nej | |||||||||
Machine authentication | Der er følgende muligheder:
| Nej | |||||||||
Extended authentication | Slår EAP (Extensible Authentication Protocol) til. Når det er slået til, kan du vælge mellem følgende godkendelsesmetoder:
Bemærk: Begge godkendelsesmetoder skal bruges til EAP–PEAP. | Nej | |||||||||
Disconnect on idle | Der er følgende muligheder:
| Nej | |||||||||
NAT keepalive | Begrænser afsendelse af NAT Keepalive-beskeder til hardware, mens enheden er på vågeblus. Det holder forbindelsen aktiv i de tidsrum, hvor enheden er på vågeblus. Hvis NAT keepalive er valgt, skal der indstilles en intervalværdi. Minimum er 20 sekunder. | Nej | |||||||||
Dead peer detection rate | Hvor ofte der skal søges efter forbindelser, der ikke svarer. Der er følgende muligheder:
| Nej | |||||||||
Redirects | Giver mulighed for omdirigering til en anden VPN-server. | Nej | |||||||||
Mobility and multihoming | Giver enheden mulighed for at holde VPN-forbindelsen aktiv, hvis:
| Nej | |||||||||
IPv4 and IPv6 internal subnet attributes | Aktiverer både IPv4- og IPv6-kanaler til VPN-forbindelsen. | Nej | |||||||||
Perfect Forward Secrecy (PFS) | Slår PFS til for VPN-forbindelsen. Derved forhindres tidligere sessioner i at blive dekrypteret. | Nej | |||||||||
Certificate revocation check | Giver enheden mulighed for at kontrollere de certifikater, den modtager fra VPN-serveren, i forhold til en liste over tilbagekaldte certifikater. | Nej | |||||||||
Dynamic security associations (SA) parameters | Giver mulighed for konfiguration af både IKE- og Child-parametre. Begge værdier kræver følgende egenskaber:
| Nej | |||||||||
Undtagelser for tjenester | Tillader tjenesteundtagelser for telefonbesked, AirPrint, mms'er og mobiltjenester. Hver tjeneste kan konfigureres til at bruge en af følgende:
| Nej | |||||||||
Traffic from captive web portals outside the VPN tunnel | Angiver, om trafik er tilladt fra tvungne webportaler uden for VPN-kanalen. | Nej | |||||||||
Traffic from all captive networking apps outside the VPN tunnel | Angiver, om trafik er tilladt fra apps, der opretter forbindelse til eksterne netværk. Hvis muligheden er slået til, skal du angive appsene nedenfor. | Nej | |||||||||
Captive network app bundle identifiers | Angiver de netværksapps, der er tilladt uden for VPN-kanalen. De identificeres med deres pakke-id. | Nej | |||||||||
DNS-serveradresser | Rækken med IP-adressestrenge til DNS-serveren. IP-adresserne kan være en blanding af IPv4- og IPv6-adresser. | Nej | |||||||||
Primært domænenavn | VPN-kanalens primære domænenavn. | Nej | |||||||||
DNS-søgedomæner | Listen med domænestrenge, der bruges til at gøre værtsnavne med enkeltstående navn fuldt kvalificerede. | Nej | |||||||||
Ekstra DNS-domæner | Listen med domænestrenge, der bruges til at fastslå, hvilke DNS-forespørgsler der bruger de indstillinger for DNS-løsningen, der er indeholdt i ServerAddresses. Denne nøgle bruges til at oprette en opdelt DNS-konfiguration, hvor kun værter i bestemte kanaler fortolkes vha. tunnellens DNS-løsning. Værter uden for domænerne på listen fortolkes vha. systemets standard resolver. | Nej | |||||||||
Include supplemental domains | Hvis værdien er falsk, føjes domænerne på listen med ekstra DNS-domæner til resolverens liste over søgedomæner. | Nej | |||||||||
Varier den maksimale transmissionsenhed (MTU) i byte | Indstillingen er som standard 1280. | Nej | |||||||||
Bemærk: De enkelte MDM-leverandører implementerer disse indstillinger forskelligt. Du kan se, hvordan indstillingerne for IKEv2 anvendes til dine enheder og brugere, i dokumentationen fra din MDM-leverandør.