Ajustes de IKEv2 em dispositivos Apple em MDM
Você pode configurar uma conexão IKEv2 para usuários de um iPhone, iPad, Mac ou Apple Vision Pro e para uma Apple TV registrada em uma solução de gerenciamento de dispositivos móveis (MDM). Escolha IKEv2 e selecione VPN Sempre Ativa se desejar configurar um payload para que os dispositivos precisem ter uma conexão VPN ativa para se conectar a qualquer rede. Você pode configurar a VPN Sempre Ativa em conexões celulares e Wi‑Fi separadamente ou em conjunto.
Você pode usar os ajustes de IKEv2 da tabela abaixo com o payload VPN.
Ajuste | Descrição | Obrigatório | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name | O nome de exibição da conexão VPN. | Sim | |||||||||
Nome do host | O endereço IP ou o nome de domínio totalmente qualificado (FQDN) do servidor VPN. | Sim | |||||||||
Local Identifier | Normalmente, este valor deve coincidir com a identidade do certificado do usuário/dispositivo (Nome Alternativo de Sujeito ou Nome Comum de Sujeito), já que a implementação do servidor pode exigir tal correspondência para validar a identidade do cliente. | Sim | |||||||||
Remote Identifier | Este valor deve coincidir com a identidade do certificado do servidor (Nome Alternativo de Sujeito ou Nome Comum de Sujeito). Nota: se este valor não coincidir com a identidade do certificado do servidor, a chave | Sim | |||||||||
VPN Sempre Ativa (Supervisionada); | Ativa a opção VPN Sempre Ativa, que pode encapsular todo o tráfego de IP de volta para a organização. Configurações diferentes podem ser definidas para Cellular e Wi-Fi. | Não | |||||||||
Allow disabling connections | Especifica se os usuários podem desativar a conexão VPN Sempre Ativa. | Não | |||||||||
Use same configuration | Especifica se a mesma configuração será usada para Wi-Fi e celular. | Não | |||||||||
Machine authentication | As opções são:
| Não | |||||||||
Extended authentication | Ativa o Protocolo de Autenticação Extensível (EAP). Quando ativado, selecione um dos seguintes métodos de autenticação:
Nota: ambos os métodos de autenticação precisam ser usados para EAP–PEAP. | Não | |||||||||
Disconnect on idle | As opções são:
| Não | |||||||||
NAT keepalive | Este offload ocorre ao enviar keepalives NAT para o hardware enquanto o dispositivo está em repouso, o que mantém a conexão ativa entre os seus ciclos de repouso. Se keepalive NAT estiver selecionado, o valor do tempo de intervalo deve ser definido. O mínimo é 20 segundos. | Não | |||||||||
Dead peer detection rate | Frequência de detecção de conexões que não respondem. As opções são:
| Não | |||||||||
Redirects | Permite o redirecionamento a outro servidor de VPN. | Não | |||||||||
Mobility and multihoming | Permite que o dispositivo mantenha a conexão VPN ativa se:
| Não | |||||||||
IPv4 and IPv6 internal subnet attributes | Ativa os túneis IPv4 e IPv6 para a conexão VPN. | Não | |||||||||
Perfect Forward Secrecy (PFS) | Ativa o PFS para a conexão VPN. Isso evita que as sessões passadas sejam decriptografadas. | Não | |||||||||
Certificate revocation check | Permite que o dispositivo verifique os certificados que obtém do servidor VPN em relação à Certificate Revocation List (CRL). | Não | |||||||||
Dynamic security associations (SA) parameters | Permite a configuração dos parâmetros IKE e Filho. Ambos os valores requerem os seguintes atributos:
| Não | |||||||||
Exceções de serviço | Permite exceções de serviço para voicemail, AirPrint, mensagens MMS e serviços de celular. Cada serviço pode ser configurado para usar uma das seguintes opções:
| Não | |||||||||
Traffic from captive web portals outside the VPN tunnel | Especifica se o tráfego de portais web controlados por fora do túnel VPN é permitido. | Não | |||||||||
Traffic from all captive networking apps outside the VPN tunnel | Especifica se o tráfego de apps que se conectam a redes remotas é permitido. Se esta opção estiver ativada, os apps precisam ser listados (abaixo). | Não | |||||||||
Captive network app bundle identifiers | Identifica os apps de rede que têm permissão fora do túnel VPN. Eles são identificados pelo ID do pacote. | Não | |||||||||
DNS server addresses | A matriz de strings contendo os endereços IP de servidores DNS. Esses endereços IP podem ser uma combinação de endereços IPv4 e IPv6. | Não | |||||||||
Primary domain name | O nome do domínio primário do túnel VPN. | Não | |||||||||
DNS search domains | A lista de strings de domínio usadas para qualificar completamente hostnames de rótulo único. | Não | |||||||||
DNS supplemental match domains | A lista de strings de domínio usadas para determinar quais consultas DNS usam os ajustes de resolução de DNS contidos em ServerAddresses. Esta chave é usada para criar uma configuração de DNS dividido em que somente hosts de determinados domínios são resolvidos usando a resolução de DNS do túnel. Os hosts que não estiverem em um dos domínios desta lista são resolvidos com a resolução padrão do sistema. | Não | |||||||||
Include supplemental domains | Se falso, acrescenta os domínios na lista de domínios de correspondência suplementar à lista de domínios de busca de resolução. | Não | |||||||||
Vary the maximum transmission unit (MTU), in bytes | O padrão é 1280. | Não | |||||||||
Nota: cada desenvolvedor de MDM implementa esses ajustes de maneira diferente. Para saber como os ajustes de IKEv2 são aplicados aos seus dispositivos e usuários, consulte a documentação do desenvolvedor do MDM.