Ajustes de IKEv2 de MDM para dispositivos Apple
Puedes configurar una conexión VPN IKEv2 de iPhone, iPad o Mac inscritos en una solución de gestión de dispositivos móviles (MDM). Selecciona IKEv2 y “VPN siempre activada” si deseas configurar una carga útil de modo que los dispositivos iPhone y iPad deban tener una conexión VPN activa para conectarse a cualquier red. Puedes configurar “VPN siempre activada” para datos móviles y Wi-Fi de manera independiente o conjunta.
Con la carga útil VPN puedes usar los ajustes de IKEv2.
Ajuste | Descripción | Obligatorio | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nombre de la conexión | El nombre visible de la conexión VPN. | Sí | |||||||||
Nombre de host | La dirección IP o el nombre de dominio completo (FQDN) del servidor VPN. | Sí | |||||||||
Identificador local | Normalmente, este valor coincide con la identidad del certificado del usuario/dispositivo (nombre alternativo del sujeto o nombre común del sujeto), ya que a veces la implementación del servidor requiere que estos valores coincidan para validar la identidad del cliente. | Sí | |||||||||
Identificador remoto | Este valor debe coincidir con la identidad del certificado del servidor (nombre alternativo del sujeto o nombre común del sujeto). Nota: Si este valor no coincide con la identidad del certificado del servidor, la clave | Sí | |||||||||
VPN siempre activada (Supervisado) | Activa la función “VPN siempre activada”, que puede enviar todo el tráfico IP de vuelta a la empresa a través de un túnel. Se pueden configurar distintas configuraciones para Móvil y Wi-Fi. | No | |||||||||
Permitir la desactivación de las conexiones | Especifica si los usuarios pueden desactivar la conexión “VPN siempre activada”. | No | |||||||||
Usar misma configuración | Especifica si se debe utilizar la misma configuración para Wi-Fi y datos móviles. | No | |||||||||
Autenticación del equipo | Las opciones disponibles son:
| No | |||||||||
Autenticación ampliada | Activa Extensible Authentication Protocol (EAP). Cuando está opción está activada, es preciso seleccionar un método de autenticación de entre los siguientes:
Nota: Deben utilizarse ambos métodos de autenticación para EAP–PEAP. | No | |||||||||
Desconectar si está inactivo | Las opciones disponibles son:
| No | |||||||||
Keepalive de NAT | Mantiene el envío de paquetes keepalive NAT al hardware mientras el dispositivo está en reposo, lo que mantiene la conexión activa a lo largo de los ciclos de reposo del dispositivo. Si la función keepalive de NAT está seleccionada, se debe definir un valor de intervalo. El mínimo es 20 segundos. | No | |||||||||
Velocidad de detección de par inactivo | Frecuencia con la que se deben detectar las conexiones sin respuesta. Las opciones disponibles son:
| No | |||||||||
Redireccionamientos | Permite redirigir a otro servidor VPN. | No | |||||||||
Movilidad y multihoming | Permite mantener el dispositivo conectado a la red VPN en los siguientes casos:
| No | |||||||||
Atributos de subred interna IPv4 e IPv6 | Activa los túneles IPv4 y IPv6 para la conexión VPN. | No | |||||||||
Confidencialidad directa perfecta (PFS) | Activa PFS para la conexión VPN. Esta opción impide desencriptar sesiones pasadas. | No | |||||||||
Comprobación de revocación de certificados | Permite que el dispositivo compruebe si los certificados que recibe del servidor VPN figuran en una lista de revocación de certificados (CRL). | No | |||||||||
Parámetros de asociaciones de seguridad (SA) dinámicas | Permite configurar tanto los parámetros de IKE como los secundarios. Ambos valores requieren los atributos siguientes:
| No | |||||||||
Excepciones de servicio | Permite las excepciones del servicio para el buzón de voz, AirPrint, los mensajes MMS y los servicios móviles. Cada servicio se puede configurar para que utilice alguna de las siguientes opciones:
| No | |||||||||
Tráfico de portales web cautivos fuera del túnel VPN | Especifica si está permitido el tráfico desde portales web cautivos externos al túnel VPN. | No | |||||||||
Tráfico desde todas las apps de redes cautivas fuera del túnel VPN | Especifica si está permitido el tráfico desde apps que se conectan a redes remotas. Si el ajuste está activado, se genera una lista de las apps (a continuación). | No | |||||||||
Identificadores del paquete de apps de red cautiva | Identifica las apps de red que están permitidas fuera del túnel VPN. Se identifican por el ID de paquete. | No | |||||||||
Direcciones del servidor DNS | La matriz de cadenas de direcciones IP del servidor DNS. Estas direcciones IP pueden ser una combinación de direcciones IPv4 e IPv6. | No | |||||||||
Nombre de dominio primario | El nombre de dominio primario del túnel VPN. | No | |||||||||
Dominios de búsqueda DNS | La lista de cadenas de dominio usadas para validar por completo los nombres de host de una sola etiqueta. | No | |||||||||
Dominios de combinación complementarios DNS | La lista de cadenas de dominio usadas para determinar qué consultas DNS utilizan los ajustes de resolución de DNS en ServerAddresses. Esta clave se usa para crear una configuración de DNS dividido en la que solo se resuelven los hosts de determinados dominios usando la resolución de DNS del túnel. Los hosts que no están en uno de los dominios de esta lista se resuelven usando la resolución por omisión del sistema. | No | |||||||||
Incluir dominios suplementarios | Si es falso, añade los dominios de la lista de dominios complementarios coincidentes a la lista de resolución de dominios de búsqueda. | No | |||||||||
Variar la unidad de transmisión máxima (MTU), en bytes | El valor por omisión es el 1280. | No | |||||||||
Nota: Cada proveedor de MDM implementa estos ajustes de forma diferente. Para ver cómo se aplican los ajustes de IKEv2 a tus dispositivos y usuarios, consulta la documentación de tu proveedor de MDM.