Laitehallinnan IKEv2-asetukset Apple-laitteille
Voit määrittää IKEv2-yhteyden sellaisen iPhonen, iPadin, Macin, Apple Vision Pron tai Apple TV:n käyttäjille, joka on rekisteröity laitehallintapalveluun. Valitse IKEv2 ja valitse Aina päällä ‑VPN, jos haluat määrittää tietosisällön siten, että laitteilla täytyy olla aktiivinen VPN-yhteys, jotta ne voivat muodostaa yhteyden mihinkään verkkoon. Aina päällä ‑VPN voidaan määrittää mobiili- ja Wi-Fi-yhteyksille erikseen tai yhdessä.
Voit käyttää VPN-tietosisällön kanssa alla olevan taulukon IKEv2-asetuksia.
Asetus | Kuvaus | Vaaditaan | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name | VPN-yhteyden näytettävä nimi. | Kyllä | |||||||||
Hostname | VPN-palvelimen IP-osoite tai täydellinen domainnimi (FQDN). | Kyllä | |||||||||
Local Identifier | Tämän arvon on yleensä vastattava käyttäjän/laitteen varmenteen identiteettiä (Subject Alternative Name tai Subject Common Name), koska palvelintoteutus saattaa edellyttää kyseistä vastaavuutta asiakkaan identiteetin vahvistamiseksi. | Kyllä | |||||||||
Remote Identifier | Tämän arvon tulisi vastata palvelimen varmenteen identiteettiä (Subject Alternative Name tai Subject Common Name). Huomaa: Jos tämä arvo ei vastaa palvelimen varmenteen identiteettiä, palvelimen varmenteen identiteetti voidaan määrittää käyttämällä | Kyllä | |||||||||
Always On VPN (valvottu) | Ottaa käyttöön Aina päällä -VPN:n, jolla voidaan tunneloida kaikki IP-liikenne takaisin organisaatioon. Mobiiliverkolle ja Wi-Fille voidaan tehdä eri määritykset. | Ei | |||||||||
Allow disabling connections | Määrittää voivatko käyttäjät ottaa Aina päällä -VPN-yhteyden pois päältä. | Ei | |||||||||
Use same configuration | Määrittää, käytetäänkö Wi-Fille ja mobiiliyhteydelle samaa määritystä. | Ei | |||||||||
Machine authentication | Valittavissa ovat seuraavat vaihtoehdot:
| Ei | |||||||||
Extended authentication | Sallii laajennettavan todentamisprotokollan (EAP). Kun tämä on sallittu, valitse seuraavista todentamismenetelmistä:
Huomaa: Molempia tunnistautumismenetelmiä on käytettävä EAP–PEAP:lle. | Ei | |||||||||
Disconnect on idle | Valittavissa ovat seuraavat vaihtoehdot:
| Ei | |||||||||
NAT keepalive | Lähettää NAT keepalive -viestejä laitteistolle laitteen ollessa nukkumassa, mikä pitää yhteyden päällä laitteiden leposyklien aikana. Jos NAT keepalive on valittuna, syklin aika-arvo on asetettava. Minimi on 20 sekuntia. | Ei | |||||||||
Dead peer detection rate | Kuinka usein havaitaan yhteyksiä, jotka eivät vastaa. Valittavissa ovat seuraavat vaihtoehdot:
| Ei | |||||||||
Redirects | Sallii uudelleenohjauksen toiselle VPN-palvelimelle. | Ei | |||||||||
Mobility and multihoming | Sallii laitteen pitää VPN-yhteyden aktiivisena, jos:
| Ei | |||||||||
IPv4 and IPv6 internal subnet attributes | Ottaa käyttöön sekä IPv4- että IPv6-tunnelit VPN-yhteydellesi. | Ei | |||||||||
Perfect Forward Secrecy (PFS) | Sallii PFS:n VPN-yhteydelle. Sen tekeminen estää edellisten istuntojen salauksen purkamisen. | Ei | |||||||||
IPv4 and IPv6 internal subnet attributes | Sallii laitteen tarkistaa VPN-palvelimelta saamansa varmenteet kumottujen varmenteiden luettelosta (CRL). | Ei | |||||||||
Dynamic security associations (SA) parameters | Sallii IKE- ja Child-parametrien määrittämisen. Molemmat arvot vaativat seuraavat attribuutit:
| Ei | |||||||||
Service exceptions | Sallii palvelupoikkeukset puhepostille, AirPrintille, MMS-viesteille ja mobiilipalveluille. Jokainen palvelu voidaan määrittää käyttämään yhtä seuraavista:
| Ei | |||||||||
Traffic from captive web portals outside the VPN tunnel | Määrittää, sallitaanko liikenne suljetuista verkkoportaaleista, jotka ovat VPN-tunnelin ulkopuolella. | Ei | |||||||||
Traffic from all captive networking apps outside the VPN tunnel | Määrittää, sallitaanko liikenne apeista, jotka yhdistävät eri verkkoihin. Jos tämä on sallittu, apit on luetteloitava (alla). | Ei | |||||||||
Captive network app bundle identifiers | Tunnistaa verkko-apit, jotka ovat sallittuja VPN-tunnelin ulkopuolella. Ne voidaan tunnistaa nipun tunnisteista. | Ei | |||||||||
DNS server addresses | DNS-palvelimen IP-osoitteen pakka merkkijonoina. Nämä IP-osoitteet voivat olla sekoitus IPv4- ja IPv6-osoitteita. | Ei | |||||||||
Primary domain name | VPN-tunnelin ensisijainen domainnimi. | Ei | |||||||||
DNS search domains | Luettelo domainmerkkijonoista, joita käytetään yksipaikkaisten palvelinnimien täyteen hyväksyntään. | Ei | |||||||||
DNS supplemental match domains | Domainmerkkijonojen luettelo, jota käytetään määrittämään, mitkä DNS-kyselyt käyttävät ServerAddresses-avaimen sisältämiä DNS-resolveriasetuksia. Tällä avaimella luodaan jaettu DNS-määritys, jossa vain tiettyjen domainien palvelimille käytetään tunnelin DNS-resolveria. Palvelimille, jotka eivät ole jollain tämän luettelon domaineista, käytetään järjestelmän oletusresolveria. | Ei | |||||||||
Include supplemental domains | Jos tämä on epätosi, muiden sopivien domainien luettelossa olevat domainit lisätään resolverin hakudomainien luetteloon. | Ei | |||||||||
Vary the maximum transmission unit (MTU), in bytes | Oletus on 1280. | Ei | |||||||||
Huomaa: Kukin laitehallintapalvelun kehittäjä toteuttaa näitä asetuksia omalla tavallaan. Jos haluat tietää, miten IKEv2-asetuksia käytetään laitteillesi ja käyttäjillesi, tutustu kehittäjän laitehallintapalvelua koskevaan dokumentaatioon.