Gambaran keseluruhan VPN untuk pengerahan peranti Apple
Akses selamat pada rangkaian korporat peribadi tersedia pada iOS, iPadOS, macOS, tvOS, watchOS dan visionOS menggunakan protokol rangkaian peribadi maya (VPN) standard industri yang telah diwujudkan.
Protokol disokong
iOS, iPadOS, macOS, tvOS, watchOS dan visionOS menyokong protokol dan kaedah pengesahan berikut:
IKEv2: Sokongan untuk IPv4 dan IPv6 dan yang berikut:
Kaedah pengesahan: Rahsia, sijil, EAP-TLS dan EAP-MSCHAPv2 dikongsi
Kriptografi suit B: Sijil ECDSA, penyulitan ESP dengan GCM dan Kumpulan ECP untuk Kumpulan Diffie-Hellman
Ciri tambahan: MOBIKE, fragmentasi IKE, ubah hala pelayan, terowong pisahan
iOS, iPadOS, macOS dan visionOS juga menyokong protokol dan kaedah pengesahan yang berikut:
L2TP melalui IPsec: Pengesahan pengguna oleh kata laluan MS-CHAP v2, token dua faktor, sijil, pengesahan mesin dengan rahsia atau sijil yang dikongsi
macOS juga boleh menggunakan pengesahan mesin Kerberos dengan rahsia atau sijil yang dikongsi dengan L2TP melalui IPsec.
IPsec: Pengesahan pengguna oleh kata laluan, token dua faktor dan pengesahan mesin dengan rahsia serta sijil yang dikongsi
Jika organisasi anda menyokong protokol ini, tiada konfigurasi rangkaian tambahan atau app pihak ketiga yang diperlukan untuk menyambungkan peranti Apple ke rangkaian persendirian maya anda.
Sokongan termasuk teknologi seperti IPv6, pelayan proksi dan penerowongan pisahan. Penerowongan pisahan memberikan pengalaman VPN fleksibel apabila disambungkan ke rangkaian organisasi.
Selain itu, rangka kerja Sambungan Rangkaian membenarkan pembangun pihak ketiga untuk mencipta penyelesaian VPN tersuai untuk iOS, iPadOS, macOS, tvOS dan visionOS. Beberapa penyedia VPN telah mencipta app untuk membantu mengkonfigurasikan peranti Apple untuk digunakan dengan penyelesaian mereka. Untuk mengkonfigurasikan peranti untuk penyelesaian khusus, pasangkan app bersama penyedia dan secara pilihan, memberikan profil konfigurasi dengan seting yang diperlukan.
VPN Atas Permintaan
Dalam iOS, iPadOS, macOS dan tvOS, VPN Atas Permintaan membenarkan peranti Apple mewujudkan sambungan pada asas mengikut keperluan secara automatik. Ini memerlukan kaedah pengesahan yang tidak melibatkan interaksi pengguna—sebagai contoh, pengesahan berdasarkan sijil. VPN Atas Permintaan dikonfigurasikan menggunakan kunci OnDemandRules dalam muat beban VPN profil konfigurasi. Peraturan boleh digunakan dalam dua peringkat:
Peringkat pengesanan rangkaian: Takrifkan keperluan VPN yang digunakan apabila sambungan rangkaian utama peranti berubah.
Peringkat penilaian sambungan: Takrifkan keperluan VPN untuk permintaan sambungan untuk nama domain pada asas mengikut keperluan.
Peraturan boleh digunakan untuk perkara seperti:
Kenali apabila peranti Apple bersambung ke rangkaian dalaman dan VPN tidak diperlukan
Kenali apabila rangkaian Wi-Fi tidak dikenali digunakan dan memerlukan VPN
Mulakan VPN apabila permintaan DNS untuk nama domain tertentu gagal
VPN mengikut app
Dalam iOS, iPadOS, macOS, watchOS dan visionOS 1.1, sambungan VPN boleh diwujudkan pada asas mengikut app, yang memberikan kawalan yang lebih khusus pada jenis data yang melalui VPN. Kemampuan untuk mengasingkan trafik pada aras app ini membenarkan pemisahan data peribadi daripada data organisasi—mengakibatkan perangkaian selamat untuk app yang digunakan secara dalaman, sambil mengekalkan privasi aktiviti peranti peribadi pada masa yang sama.
VPN mengikut app membenarkan setiap app yang diurus oleh komunikasi penyelesaian pengurusan peranti mudah alih (MDM) dengan rangkaian peribadi menggunakan terowong selamat, sementara mengecualikan app tidak terurus daripada menggunakan rangkaian peribadi. App Terurus boleh dikonfigurasikan dengan sambungan VPN berbeza untuk melindungi data dengan lebih lanjut. Sebagai contoh, app sebut harga jualan mungkin menggunakan pusat data yang berbeza sepenuhnya daripada app akaun boleh dibayar.
Selepas mencipta VPN mengikut app untuk sebarang konfigurasi VPN, anda perlu mengaitkan sambungan tersebut dengan app yang menggunakannya untuk melindungi trafik rangkaian untuk app tersebut. Anda melakukan ini dengan muat beban pemetaan VPN mengikut app (macOS) atau dengan menentukan konfigurasi VPN dalam perintah pemasangan app (iOS, iPadOS, macOS, visionOS 1.1).
VPN mengikut app boleh dikonfigurasikan untuk bekerja dengan klien VPN IKEv2 terbina dalam iOS, iPadOS, watchOS dan visionOS 1.1. Untuk mendapatkan maklumat tentang sokongan VPN mengikut app dalam penyelesaian VPN tersuai, hubungi vendor VPN anda.
Nota: Untuk menggunakan VPN mengikut app dalam iOS, iPadOS, watchOS 10 dan visionOS 1.1, app mestilah diurus oleh MDM.
VPN Sentiasa Aktif
VPN Sentiasa Aktif yang tersedia untuk IKEv2 memberikan organisasi anda kawalan penuh pada trafik iOS dan iPadOS dengan menerowongkan semua trafik IP kembali ke organisasi. Organisasi anda kini boleh memantau dan menapis trafik ke dan daripada peranti, melindungi data dalam rangkaian anda dan mengehadkan akses peranti ke internet.
Pengaktifan VPN Sentiasa Aktif memerlukan penyeliaan peranti. Selepas profil VPN Sentiasa Aktif dipasang pada peranti, VPN Sentiasa Aktif diaktifkan tanpa interaksi pengguna secara automatik dan ia kekal aktif (termasuk merentasi mula semula) sehingga profil VPN Sentiasa Aktif dinyahpasang.
Dengan VPN Sentiasa Aktif diaktifkan pada peranti, pemaparan dan pemusnahan terowong VPN terikat dengan keadaan IP antara muka. Apabila antara muka mendapat kecapaian rangkaian IP, ia cuba untuk mewujudkan terowong. Apabila keadaan IP antara muka tidak aktif, terowong dimusnahkan.
VPN Sentiasa Aktif juga menyokong terowong per antara muka. Untuk peranti dengan sambungan selular, terdapat satu terowong untuk setiap antara muka IP aktif (satu terowong untuk antara muka selular dan satu terowong untuk antara muka Wi-Fi). Selagi terowong VPN dinaikkan, semua trafik IP diterowongkan. Trafik menyertakan semua trafik dihalakan IP dan semua trafik diskop IP (trafik daripada app pihak pertama seperti FaceTime dan Mesej). Jika terowong tidak dinaikkan, semua trafik IP diputuskan.
Semua trafik yang diterowongkan daripada peranti mencapai pelayan VPN. Anda boleh menggunakan penapisan pilihan dan olahan pemantauan sebelum memajukan trafik ke destinasinya dalam rangkaian organisasi anda atau ke internet. Begitu juga, trafik ke peranti dihalakan ke pelayan VPN organisasi anda, yang proses penapisan dan pemantauan mungkin digunakan sebelum dimajukan ke peranti.
Nota: Pemasangan Apple Watch tidak disokong dengan VPN Sentiasa Aktif.
Proksi lutsinar
Proksi lutsinar ialah jenis VPN istimewa pada macOS dan boleh digunakan dalam cara yang berbeza untuk memantau dan menukar trafik rangkaian. Kes penggunaan biasa ialah penyelesaian dan broker penapis kandungan untuk mengakses perkhidmatan awan. Disebabkan oleh pelbagai penggunaan, sebaik-baiknya tentukan tertib proksi ini boleh melihat dan mengendalikan trafik. Sebagai contoh, anda mahu menggunakan penapisan proksi trafik rangkaian sebelum menggunakan proksi yang menyulitkan trafik. Anda boleh melakukan ini dengan mentakrifkan tertib dalam muat beban VPN.