Aperçu du VPN pour le déploiement d’appareils Apple
L’accès sécurisé aux réseaux d’entreprise privés est disponible sous iOS, iPadOS, macOS, tvOS, watchOS et visionOS au moyen de protocoles de réseau privé virtuel (VPN) standard bien établis.
Protocoles pris en charge
iOS, iPadOS, macOS, tvOS, watchOS et visionOS prennent en charge les méthodes d’authentification et les protocoles suivants :
IKEv2 : Prise en charge d’IPv4 et d’IPv6, et des éléments suivants :
Méthodes d’authentification : Secret partagé, certificats, EAP-TLS et EAP-MSCHAPv2
Algorithmes de chiffrement Suite B : Certificats ECDSA, chiffrement ESP avec GCM et Groupes ECP pour le groupe Diffie-Hellman
Fonctionnalités supplémentaires : MOBIKE, fragmentation IKE, redirection du serveur, séparation des flux
iOS, iPadOS, macOS et visionOS prennent aussi en charge les méthodes d’authentification et les protocoles suivants :
L2TP sur IPsec : Authentification des utilisateurs par mot de passe MS-CHAP v2, jeton à deux facteurs, certificat et authentification des appareils par secret partagé ou certificat
macOS peut également utiliser l’authentification des appareils Kerberos par secret partagé ou certificat avec L2TP sur IPsec.
IPsec : Authentification des utilisateurs par mot de passe, jeton à deux facteurs et authentification des appareils par secret partagé et certificats
Si votre organisation prend en charge ces protocoles, aucune autre configuration réseau ni aucune app tierce ne sont nécessaires pour connecter les appareils Apple à votre réseau privé virtuel.
Les technologies comme le protocole IPv6, les serveurs mandataires et la tunnellisation partagée sont également prises en charge. La tunnellisation partagée offre une expérience VPN flexible lors de la connexion aux réseaux d’une organisation.
De plus, le cadre d’application d’extension du réseau permet aux développeurs tiers de créer une solution VPN personnalisée pour iOS, iPadOS, macOS, tvOS et visionOS. Plusieurs fournisseurs de solutions VPN ont créé des apps qui simplifient la configuration des appareils Apple en vue d’une utilisation avec leur solution. Pour configurer un appareil en vue d’une utilisation avec une solution en particulier, installez l’app du fournisseur correspondante et, le cas échéant, fournissez un profil de configuration comprenant les réglages nécessaires.
VPN sur demande
Sous iOS, iPadOS, macOS et tvOS, le VPN sur demande permet aux appareils Apple d’établir automatiquement une connexion sécurisée lorsque cela est nécessaire. Il requiert une méthode d’authentification qui n’implique pas d’interaction avec l’utilisateur, par exemple l’authentification par certificats. Le VPN sur demande est configuré à l’aide de la clé OnDemandRules dans l’entité VPN d’un profil de configuration. Les règles s’appliquent en deux étapes :
Étape de détection du réseau : Définit les exigences VPN s’appliquant en cas de changement de la connexion réseau principale de l’appareil.
Étape d’évaluation de la connexion : Définit les exigences VPN pour les demandes de connexion auprès de noms de domaines, en fonction des besoins.
Les règles peuvent être utilisées pour effectuer les opérations ci-dessous :
Déterminer qu’un appareil Apple est connecté à un réseau interne et que la connexion VPN n’est pas nécessaire.
Déterminer qu’un réseau Wi-Fi inconnu est utilisé et que la connexion VPN est nécessaire
Démarre le VPN en cas d’échec d’une demande de nom de domaine spécifique auprès du serveur DNS.
VPN par app
Sous iOS, iPadOS, macOS et watchOS et visionOS 1.1, les connexions VPN peuvent être établies par l’app, ce qui permet un contrôle plus précis sur les données transmises par le VPN. Cette capacité à discriminer le trafic au niveau des apps permet de séparer les données personnelles de celles de l’organisation. Elle offre par conséquent un réseautage sécuritaire pour les apps utilisées à l’interne tout en préservant la confidentialité de l’activité des appareils personnels.
Le VPN par app permet à chaque app gérée par une solution de gestion des appareils mobiles (GAM) de communiquer avec le réseau privé par un tunnel sécurisé et empêche les apps non gérées d’utiliser ce même réseau. Pour protéger davantage les données, les apps gérées peuvent être configurées avec des connexions VPN différentes. Par exemple, une app de devis de vente pourrait utiliser un centre de données complètement différent d’une app de compte fournisseur.
Après la création d’un VPN par app pour toute configuration VPN, vous devez associer cette connexion aux apps qui l’utiliseront afin de sécuriser le trafic réseau de ces apps. Vous le faites grâce à l’entité de mappage VPN par app (macOS) ou en indiquant la configuration VPN dans la commande d’installation de l’app (iOS, iPadOS, macOS et visionOS 1.1).
La fonctionnalité VPN par app peut être configurée pour fonctionner avec le client VPN intégré IKEv2 sous iOS, iPadOS, watchOS et visionOS 1.1. Pour en savoir plus sur la prise en charge du VPN par app dans les solutions VPN personnalisées, communiquez avec vos fournisseurs VPN.
Remarque : Pour utiliser le VPN par app sous iOS, iPadOS, watchOS 10 et visionOS 1.1, une app doit être gérée par la GAM.
VPN permanent
Le VPN permanent compatible avec IKEv2 offre à votre organisation un contrôle complet sur le trafic des appareils iOS et iPadOS en créant un tunnel pour rediriger tout le trafic IP vers l’organisation. Votre organisation peut maintenant contrôler et filtrer le trafic entrant et sortant de ses appareils, sécuriser les données au sein de son réseau et restreindre l’accès à Internet des appareils.
Pour activer le VPN permanent, les appareils doivent être supervisés. Une fois le profil VPN permanent installé sur un appareil, il est automatiquement activé sans intervention de l’utilisateur. Il reste activé (y compris entre les redémarrages) jusqu’à ce que le profil VPN permanent soit désinstallé.
Si le VPN permanent est activé sur un appareil, l’utilisation ou non du tunnel VPN est liée à l’état du protocole IP de l’interface. Lorsque l’interface a accès à un réseau IP, elle tente d’établir un tunnel. Lorsque l’état du protocole IP de l’interface se dégrade, le tunnel est désactivé.
Le VPN permanent prend également en charge les tunnels par interface. Pour les appareils dotés de connexions cellulaires, il y a un tunnel par interface IP active (un tunnel pour l’interface cellulaire et un tunnel pour l’interface Wi-Fi). Tant que les tunnels VPN sont actifs, tout le trafic IP est acheminé par celui-ci. Le trafic comprend tout le trafic IP acheminé et ciblé (le trafic provenant d’apps Apple telles que FaceTime et Messages). Si les tunnels ne sont pas actifs, tout le trafic IP est interrompu.
Tout le trafic acheminé à partir d’un appareil atteint un serveur VPN. Vous pouvez appliquer des traitements de filtrage et de contrôle avant de transférer le trafic vers sa destination au sein du réseau de votre organisation ou sur Internet. De la même manière, le trafic arrivant sur l’appareil est acheminé vers le serveur VPN de votre organisation, où des processus de filtrage ou de contrôle peuvent être appliqués avant que le trafic ne soit transféré vers l’appareil.
Remarque : Le jumelage de l’Apple Watch n’est pas pris en charge avec le VPN permanent.
Serveur mandataire transparent
Les serveurs mandataires transparents sont un type particulier de VPN dans macOS. Ils peuvent être utilisés de différentes façons pour surveiller et transformer le trafic réseau. Ils sont notamment utilisés pour filtrer le contenu ou comme intermédiaires pour accéder à des services infonuagiques. En raison de la variété d’utilisations possibles, il est préférable de définir l’ordre dans lequel ces serveurs mandataires peuvent voir et gérer le trafic. Par exemple, il est préférable d’utiliser un serveur mandataire pour filtrer le trafic réseau avant d’en utiliser un qui chiffre le trafic en question. Vous pouvez choisir l’ordre dans l’entité VPN.