Ρυθμίσεις MDM IKEv2 για συσκευές Apple
Μπορείτε να διαμορφώσετε μια σύνδεση IKEv2 για ένα iPhone, iPad, ή Mac που είναι εγγεγραμμένο σε μια λύση MDM (Διαχείριση φορητών συσκευών). Επιλέξτε IKEv2 και «Πάντα ενεργό VPN» αν επιθυμείτε να διαμορφώσετε ένα φορτίο έτσι ώστε οι συσκευές iPhone και iPad σας να πρέπει να διαθέτουν ενεργή σύνδεση VPN προκειμένου να συνδέονται σε οποιοδήποτε δίκτυο. Μπορείτε να διαμορφώσετε το «Πάντα ενεργό VPN» για κινητό δίκτυο και Wi-Fi ξεχωριστά, ή από κοινού.
Μπορείτε να χρησιμοποιήσετε τις ρυθμίσεις IKEv2 στον παρακάτω πίνακα με το φορτίο «VPN».
Ρύθμιση | Περιγραφή | Απαιτείται | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name | Το εμφανιζόμενο όνομα της σύνδεσης VPN. | Ναι | |||||||||
Όνομα υπολογιστή υπηρεσίας | Η διεύθυνση IP ή το πλήρως προσδιορισμένο όνομα τομέα (FQDN) του διακομιστή VPN. | Ναι | |||||||||
Local Identifier | Αυτή η τιμή πρέπει συνήθως να αντιστοιχεί στο πιστοποιητικό ταυτότητας χρήστη/συσκευής (Subject Alternative Name ή Subject Common Name), εφόσον η ανάπτυξη διακομιστή ενδέχεται να τη ζητήσει για επικύρωση της ταυτότητας διακομιστή. | Ναι | |||||||||
Remote Identifier | Αυτή η τιμή πρέπει να αντιστοιχεί στην ταυτότητα του πιστοποιητικού διακομιστή (Subject Alternative Name ή Subject Common Name). Σημείωση: Αν αυτή η τιμή δεν αντιστοιχεί στην ταυτότητα πιστοποιητικού διακομιστή, το κλειδί | Ναι | |||||||||
Πάντα ενεργό VPN (Επιβλεπόμενο) | Ενεργοποιεί το Πάντα ενεργό VPN, το οποίο μπορεί να διοχετεύσει όλη την κίνηση IP πίσω στον οργανισμό σας. Διαφορετικές ρυθμίσεις παραμέτρων μπορούν να διαμορφωθούν για Κινητό δίκτυο και Wi-Fi. | Όχι | |||||||||
Allow disabling connections | Καθορίζει αν οι χρήστες μπορούν να απενεργοποιούν τη σύνδεση Πάντα ενεργού VPN. | Όχι | |||||||||
Use same configuration | Καθορίζει αν θα χρησιμοποιείται η ίδια ρύθμιση παραμέτρων για Wi-Fi και κινητό δίκτυο. | Όχι | |||||||||
Machine authentication | Οι επιλογές είναι:
| Όχι | |||||||||
Extended authentication | Ενεργοποιεί το πρωτόκολλο ελέγχου ταυτότητας μέσω επέκτασης (Extensible Authentication Protocol - EAP). Όταν είναι ενεργοποιημένο, επιλέξτε κάποια από τις ακόλουθες μεθόδους ελέγχου ταυτότητας:
Σημείωση: Και οι δύο μέθοδοι ελέγχου ταυτότητας πρέπει να χρησιμοποιούνται για EAP–PEAP. | Όχι | |||||||||
Disconnect on idle | Οι επιλογές είναι:
| Όχι | |||||||||
NAT keepalive | Μειώνει το φορτίο αποστολής NAT keepalive σε υλισμικό ενώ η συσκευή βρίσκεται σε κατάσταση ύπνου, κάτι που διατηρεί ενεργοποιημένη τη σύνδεση σε κύκλους ύπνου της συσκευής. Αν είναι επιλεγμένο το NAT keepalive, πρέπει να καθοριστεί τιμή χρονικού διαστήματος. Το ελάχιστο είναι 20 δευτερόλεπτα. | Όχι | |||||||||
Dead peer detection rate | Πόσο συχνά να εντοπίζονται συνδέσεις που δεν ανταποκρίνονται. Οι επιλογές είναι:
| Όχι | |||||||||
Ανακατευθύνσεις | Επιτρέπει την ανακατεύθυνση σε άλλον διακομιστή VPN. | Όχι | |||||||||
Mobility and multihoming | Επιτρέπει στη συσκευή να διατηρεί ενεργή τη σύνδεση VPN αν:
| Όχι | |||||||||
IPv4 and IPv6 internal subnet attributes | Ενεργοποιεί τις σήραγγες IPv4 και IPv6 για τη σύνδεση VPN σας. | Όχι | |||||||||
Perfect Forward Secrecy (PFS) | Ενεργοποιεί το PFS για τη σύνδεση VPN σας. Κάτι τέτοιο αποτρέπει την αποκρυπτογράφηση προηγούμενων συνεδριών. | Όχι | |||||||||
Certificate revocation check | Επιτρέπει στη συσκευή να ελέγχει τα πιστοποιητικά που λαμβάνει από τον διακομιστή VPN έναντι μιας λίστας ανάκλησης πιστοποιητικών (CRL). | Όχι | |||||||||
Dynamic security associations (SA) parameters | Επιτρέπει τη ρύθμιση των παραμέτρων IKE και Child. Και οι δύο τιμές απαιτούν τα ακόλουθα χαρακτηριστικά:
| Όχι | |||||||||
Εξαιρέσεις υπηρεσιών | Επιτρέπει εξαιρέσεις υπηρεσίας για τηλεφωνητή, AirPrint, μηνύματα MMS και υπηρεσίες κινητού δικτύου. Κάθε υπηρεσία μπορεί να διαμορφωθεί για χρήση ενός από τα παρακάτω:
| Όχι | |||||||||
Traffic from captive web portals outside the VPN tunnel | Καθορίζει αν θα επιτρέπεται η κίνηση από πύλες υποδοχής Ιστού εκτός της σήραγγας VPN. | Όχι | |||||||||
Traffic from all captive networking apps outside the VPN tunnel | Καθορίζει αν θα επιτρέπεται η κίνηση από εφαρμογές που συνδέονται σε απομακρυσμένα δίκτυα. Αν είναι ενεργοποιημένο, οι εφαρμογές πρέπει να εμφανίζονται σε λίστα (παρακάτω). | Όχι | |||||||||
Captive network app bundle identifiers | Προσδιορίζει τις εφαρμογές δικτύωσης που επιτρέπονται εκτός της σήραγγας VPN. Προσδιορίζονται από το αναγνωριστικό πακέτου τους. | Όχι | |||||||||
DNS server addresses | H συστοιχία των συμβολοσειρών διευθύνσεων IP διακομιστή DNS. Αυτές οι διευθύνσεις IP μπορούν να είναι μια μείξη από διευθύνσεις IPv4 και IPv6. | Όχι | |||||||||
Primary domain name | Το πρωτεύον όνομα τομέα της σήραγγας VPN. | Όχι | |||||||||
DNS search domains | Η λίστα συμβολοσειρών τομέα που χρησιμοποιούνται για την πλήρη έγκριση ονομάτων υπολογιστή υπηρεσίας μοναδικής ετικέτας. | Όχι | |||||||||
DNS supplemental match domains | Η λίστα συμβολοσειρών τομέων που χρησιμοποιούνται για να καθορίσουν ποια ερωτήματα DNS χρησιμοποιούν τις ρυθμίσεις επίλυσης DNS που περιέχονται στο ServerAddresses. Αυτό το κλειδί χρησιμοποιείται για να δημιουργεί μια διαιρεμένη διαμόρφωση DNS όπου μόνο οι υπολογιστές υπηρεσίας σε συγκεκριμένους τομείς επιλύονται με χρήση της επίλυσης DNS της σήραγγας. Οι υπολογιστές υπηρεσίας που δεν βρίσκονται σε έναν από τους τομείς σε αυτή τη λίστα επιλύονται χρησιμοποιώντας την προεπιλεγμένη επίλυση του συστήματος. | Όχι | |||||||||
Include supplemental domains | Αν είναι ψευδές, προσθέτει τους τομείς που βρίσκονται στη λίστα συμπληρωματικών τομέων αντιστοίχισης στη λίστα τομέων αναζήτησης της επίλυσης. | Όχι | |||||||||
Vary the maximum transmission unit (MTU), in bytes | Από προεπιλογή, είναι 1280. | Όχι | |||||||||
Σημείωση: Κάθε προμηθευτής MDM υλοποιεί αυτές τις ρυθμίσεις με διαφορετικό τρόπο. Για να μάθετε πώς εφαρμόζονται οι ρυθμίσεις IKEv2 στις συσκευές και τους χρήστες σας, συμβουλευτείτε το πληροφοριακό υλικό του προμηθευτή MDM σας.