MDM-indstillinger til IKEv2 til Apple-enheder
Du kan konfigurere en IKEv2-forbindelse for brugere af en iPhone, iPad, Mac, Apple Vision Pro eller et Apple TV, der er tilmeldt en løsning til administration af mobile enheder (MDM). Vælg IKEv2, og vælg Altid til-VPN, hvis du vil konfigurere data, der bevirker, at enheder skal have en aktiv VPN-forbindelse for at oprette forbindelse til et netværk. Du kan konfigurere Altid til-VPN til mobilnetværk og Wi-Fi hver for sig eller til begge dele på en gang.
Du kan bruge IKEv2-indstillingerne i nedenstående tabel med dataene i VPN.
Indstilling | Beskrivelse | Obligatorisk | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name | VPN-forbindelsens skærmnavn. | Ja | |||||||||
Hostname | VPN-serverens IP-adresse eller fuldstændige domænenavn. | Ja | |||||||||
Local Identifier | Denne værdi skal normalt svare til brugerens eller enhedens certifikatidentitet (alternativt navn på subjekt eller fælles navn på subjekt), fordi serverimplementeringen måske kræver det for at godkende klientens identitet. | Ja | |||||||||
Remote Identifier | Denne værdi skal svare til servercertifikatets identitet (alternativt navn på subjekt eller fælles navn på subjekt). Bemærk: Hvis værdien ikke svarer til servercertifikatets identitet, kan nøglen | Ja | |||||||||
Altid til-VPN (under tilsyn) | Slår Altid til-VPN til, hvilket kan kanalisere al IP-trafik tilbage til din organisation. Der kan indstilles forskellige konfigurationer for mobilnetværk og Wi-Fi. | Nej | |||||||||
Allow disabling connections | Angiver, om brugerne kan slå Altid til-VPN-forbindelsen fra. | Nej | |||||||||
Use same configuration | Angiver, om der skal bruges samme konfiguration til Wi-Fi og mobilnetværk. | Nej | |||||||||
Machine authentication | Der er følgende muligheder:
| Nej | |||||||||
Extended authentication | Slår EAP (Extensible Authentication Protocol) til. Når det er slået til, kan du vælge mellem følgende godkendelsesmetoder:
Bemærk: Begge godkendelsesmetoder skal bruges til EAP–PEAP. | Nej | |||||||||
Disconnect on idle | Der er følgende muligheder:
| Nej | |||||||||
NAT keepalive | Begrænser afsendelse af NAT Keepalive-beskeder til hardware, mens enheden er på vågeblus. Det holder forbindelsen aktiv i de tidsrum, hvor enheden er på vågeblus. Hvis NAT keepalive er valgt, skal der indstilles en intervalværdi. Minimum er 20 sekunder. | Nej | |||||||||
Dead peer detection rate | Hvor ofte der skal søges efter forbindelser, der ikke svarer. Der er følgende muligheder:
| Nej | |||||||||
Redirects | Giver mulighed for omdirigering til en anden VPN-server. | Nej | |||||||||
Mobility and multihoming | Giver enheden mulighed for at holde VPN-forbindelsen aktiv, hvis:
| Nej | |||||||||
IPv4 and IPv6 internal subnet attributes | Aktiverer både IPv4- og IPv6-kanaler til VPN-forbindelsen. | Nej | |||||||||
Perfect Forward Secrecy (PFS) | Slår PFS til for VPN-forbindelsen. Derved forhindres tidligere sessioner i at blive dekrypteret. | Nej | |||||||||
Certificate revocation check | Giver enheden mulighed for at kontrollere de certifikater, den modtager fra VPN-serveren, i forhold til en liste over tilbagekaldte certifikater. | Nej | |||||||||
Dynamic security associations (SA) parameters | Giver mulighed for konfiguration af både IKE- og Child-parametre. Begge værdier kræver følgende egenskaber:
| Nej | |||||||||
Undtagelser for tjenester | Tillader tjenesteundtagelser for telefonbesked, AirPrint, mms'er og mobiltjenester. Hver tjeneste kan konfigureres til at bruge en af følgende:
| Nej | |||||||||
Traffic from captive web portals outside the VPN tunnel | Angiver, om trafik er tilladt fra tvungne webportaler uden for VPN-kanalen. | Nej | |||||||||
Traffic from all captive networking apps outside the VPN tunnel | Angiver, om trafik er tilladt fra apps, der opretter forbindelse til eksterne netværk. Hvis muligheden er slået til, skal du angive appsene nedenfor. | Nej | |||||||||
Captive network app bundle identifiers | Angiver de netværksapps, der er tilladt uden for VPN-kanalen. De identificeres med deres pakke-id. | Nej | |||||||||
DNS-serveradresser | Rækken med IP-adressestrenge til DNS-serveren. IP-adresserne kan være en blanding af IPv4- og IPv6-adresser. | Nej | |||||||||
Primært domænenavn | VPN-kanalens primære domænenavn. | Nej | |||||||||
DNS-søgedomæner | Listen med domænestrenge, der bruges til at gøre værtsnavne med enkeltstående navn fuldt kvalificerede. | Nej | |||||||||
Ekstra DNS-domæner | Listen med domænestrenge, der bruges til at fastslå, hvilke DNS-forespørgsler der bruger de indstillinger for DNS-løsningen, der er indeholdt i ServerAddresses. Denne nøgle bruges til at oprette en opdelt DNS-konfiguration, hvor kun værter i bestemte kanaler fortolkes vha. tunnellens DNS-løsning. Værter uden for domænerne på listen fortolkes vha. systemets standard resolver. | Nej | |||||||||
Include supplemental domains | Hvis værdien er falsk, føjes domænerne på listen med ekstra DNS-domæner til resolverens liste over søgedomæner. | Nej | |||||||||
Varier den maksimale transmissionsenhed (MTU) i byte | Indstillingen er som standard 1280. | Nej | |||||||||
Bemærk: De enkelte MDM-udviklere implementerer disse indstillinger forskelligt. Du kan se, hvordan indstillingerne til IKEv2 anvendes til dine enheder og brugere, i dokumentationen fra din MDM-udvikler.