Definições de MDM de IKEv2 para dispositivos Apple
Pode configurar uma ligação IKEv2 para utilizadores de um iPhone, iPad, Mac ou Apple Vision Pro e de uma Apple TV registada numa solução de gestão de dispositivos móveis (MDM). Selecione IKEv2 e selecione “VPN sempre ligada” caso pretenda configurar uma carga útil para que seja necessário que os dispositivos tenham uma ligação VPN ativa para estabelecer ligação a qualquer rede. É possível configurar a “VPN sempre ligada” para ligações de dados móveis e Wi-Fi, em separado ou em conjunto.
É possível usar as definições de IKEv2 da tabela abaixo com a carga útil de VPN.
Definição | Descrição | Necessário | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name (Nome da ligação) | O nome de apresentação da ligação VPN. | Sim | |||||||||
Hostname (Nome de host) | O endereço IP ou nome de domínio inteiramente qualificado (FQDN) do servidor VPN. | Sim | |||||||||
Local Identifier (Identificador local) | Este valor deverá normalmente corresponder à identidade do certificado do utilizador/dispositivo (“Nome alternativo do sujeito” ou “Nome comum do sujeito”), uma vez que a implementação do servidor pode exigir essa correspondência para validar a identidade do cliente. | Sim | |||||||||
Remote Identifier (Identificador remoto) | Este valor deverá corresponder à identidade do certificado do servidor (“Nome alternativo do sujeito” ou “Nome comum do sujeito”). Nota: caso este valor não corresponda à identidade do certificado do servidor, pode ser usada a chave | Sim | |||||||||
Always On VPN (VPN sempre ligada) (Supervised) (Com supervisão) | Ativa a “VPN sempre ligada”, que pode reencaminhar todo o tráfego de IP de volta para a sua organização. Podem ser efetuadas configurações diferentes para “Rede móvel” e Wi-Fi. | Não | |||||||||
Allow disabling connections (Permitir desativação de ligações) | Especifica se os utilizadores podem desativar a ligação “VPN sempre ligada”. | Não | |||||||||
Use same configuration (Usar a mesma configuração) | Especifica se pretende usar a mesma configuração para Wi-Fi e dados móveis. | Não | |||||||||
Machine authentication (Autenticação do computador) | As opções são:
| Não | |||||||||
Extended authentication (Autenticação ampliada) | Ativa o protocolo de autenticação extensível (EAP). Se ativar esta opção, o iOS suporta os seguintes métodos de autenticação:
Nota: ambos os métodos de autenticação devem ser usados para EAP–PEAP. | Não | |||||||||
Disconnect on idle (Desligar quando inativo) | As opções são:
| Não | |||||||||
NAT keepalive | Não envia NAT keepalives para o hardware enquanto o dispositivo está em pausa, o que mantém a ligação ativa durante os ciclos de inatividade do dispositivo. Se NAT keepalive estiver selecionado, é necessário definir um valor de intervalo de tempo. O mínimo são 20 segundos. | Não | |||||||||
Dead peer detection rate (Taxa DPD) | Frequência de deteção de ligações que não respondem. As opções são:
| Não | |||||||||
Redirects (Redirecionamentos) | Permite o redirecionamento para outro servidor VPN. | Não | |||||||||
Mobility and multihoming (Mobilidade e multihoming) | Permite que o dispositivo mantenha a ligação VPN ativa se:
| Não | |||||||||
IPv4 and IPv6 internal subnet attributes (Atributos de sub-rede interna IPv4 e IPv6) | Ativa os túneis IPv4 e IPv6 para a ligação VPN. | Não | |||||||||
Perfect Forward Secrecy (PFS) | Ativa PFS para a ligação VPN. Impede que sessões antigas sejam decifradas. | Não | |||||||||
Certificate revocation check (Verificação de revogação de certificados) | Permite que o dispositivo compare os certificados que recebe do servidor VPN com a Lista de Revogação de Certificados (CRL). | Não | |||||||||
Dynamic security associations (SA) parameters (Parâmetros de associações de segurança dinâmicas) | Permite a configuração de parâmetros IKE e Criança. Ambos os valores exigem os seguintes atributos:
| Não | |||||||||
Service exceptions (Exceções de serviço) | Permite exceções de serviço para voicemail, AirPrint, mensagens MMS e serviços de dados móveis. Cada serviço pode ser configurado para usar uma das seguintes opções:
| Não | |||||||||
Traffic from captive web portals outside the VPN tunnel (Tráfego de portais web cativos fora do túnel VPN) | Especifica se é permitido tráfego de portais web cativos fora do túnel VPN. | Não | |||||||||
Traffic from all captive networking apps outside the VPN tunnel (Tráfego de todas as aplicações de rede cativas fora do túnel VPN) | Especifica se é permitido tráfego de aplicações que estabelecem ligação a redes remotas. Se estiver ativo, as aplicações têm de estar ligadas (em baixo). | Não | |||||||||
Captive network app bundle identifiers (Identificadores de pacote de aplicação de rede cativa) | Identifica as aplicações de rede que são permitidas fora do túnel VPN. São identificados pelo respetivo ID de pacote. | Não | |||||||||
DNS server addresses (Endereços do servidor DNS) | A sequência de cadeias de endereço IP do servidor DNS. Estes endereços IP podem ser uma mistura de endereços IPv4 e IPv6. | Não | |||||||||
Primary domain name (Nome do domínio principal) | O nome do domínio principal do túnel VPN. | Não | |||||||||
DNS search domains (Domínios de pesquisa do DNS) | A lista de cadeias de domínio usada para qualificar totalmente os nomes de hosts de etiqueta única. | Não | |||||||||
DNS supplemental match domains (Domínios de correspondência suplementares do DNS) | Uma lista de cadeias de domínio usada para determinar que consultas de DNS usa as definições de resolução DNS contidas no ServerAddresses. Esta chave é usada para criar uma configuração DNS dividida em que apenas os hosts em determinados domínios são resolvidos com a resolução DNS do túnel. Os hosts num dos domínios na lista são resolvidos com a resolução padrão do sistema. | Não | |||||||||
Include supplemental domains (Incluir domínios suplementares) | Se for falso, adiciona os domínios na lista de domínios de correspondência suplementares à lista de domínios de pesquisa da resolução. | Não | |||||||||
Vary the maximum transmission unit (MTU), in bytes (Variar a unidade de transmissão máxima (MTU), em bytes) | A predefinição é 1280. | Não | |||||||||
Nota: cada programador de MDM implementa essas definições de forma diferente. Para saber como as várias definições de IKEv2 são aplicadas aos seus dispositivos e utilizadores, consulte a documentação do seu programador de MDM.