Réglages MDM IKEv2 pour les appareils Apple
Vous pouvez configurer une connexion IKEv2 pour les iPhone, iPad et Mac inscrits à une solution de gestion des appareils mobiles (MDM). Choisissez IKEv2 et sélectionnez VPN Toujours activé pour configurer des données utiles où les appareils doivent disposer d’une connexion VPN active pour pouvoir se connecter à un réseau. Vous pouvez configurer l’option VPN Toujours activé pour les réseaux cellulaires et Wi-Fi, et ce, séparément ou ensemble. Pour en savoir plus sur ces réglages, consultez Configuration MDM IKEv2 pour les appareils Apple.
Réglage | Description | Requis |
|---|---|---|
Nom de connexion | Le nom d’affichage de la connexion VPN. | Oui |
Nom d’hôte | L’adresse IP ou le nom de domaine complet (FQDN) du serveur VPN. | Oui |
Identifiant local | Cette valeur doit correspondre à l’identité du certificat de l’utilisateur/de l’appareil (Subject Alternative Name ou Subject Common Name), car la mise en place du serveur peut nécessiter que ces deux valeurs correspondent pour valider l’identification du client. | Oui |
Identifiant distant | Cette valeur doit correspondre à l’identité du certificat du serveur (Subject Alternative Name ou Subject Common Name). Remarque : si cette valeur ne correspond pas à l’identité du certificat du serveur, la clé ServerCertificateCommonName peut être utilisée pour définir l’identité du certificat du serveur. | Oui |
VPN permanent (Appareils supervisés) | Active le VPN permanent, qui peut créer un tunnel pour rediriger tout le trafic IP vers votre organisation. Différentes configurations peuvent être définies pour les réseaux cellulaires et Wi-Fi. Consultez les rubriques Configurations de VPN toujours actif et Détails des données utiles Profil de configuration de VPN toujours actif. | Non |
Autoriser la désactivation des connexions | Indique si les utilisateurs peuvent désactiver la connexion du VPN permanent. | Non |
Utiliser la même configuration | Indique si vous voulez utiliser la même configuration pour les réseaux Wi-Fi et cellulaire. | Non |
Authentification des machines | Voici les options disponibles :
| Non |
Authentification étendue | Active le protocole EAP (Extensible Authentication Protocol). Lorsqu’il est activé, choisissez l’une des méthodes d’authentification suivantes :
Remarque : les deux méthodes d’authentification doivent être utilisées pour le protocole EAP–PEAP. | Non |
Déconnexion en cas d’inactivité | Voici les options disponibles :
| Non |
Keepalive NAT | Déclenche l’envoi de keepalive NAT au matériel lorsque l’appareil est en veille, ce qui maintient les connexions actives entre les cycles de veille de l’appareil. Si vous sélectionnez keepalive NAT, vous devez définir une valeur temporelle d’intervalle. La valeur minimale est 20 secondes. | Non |
Fréquence Dead Peer Detection | Détermine à quelle fréquence les connexions sans réponse doivent être détectées. Voici les options disponibles :
| Non |
Redirections | Permet la redirection vers un autre serveur VPN. | Non |
Mobilité et multiadressage | Permet à l’appareil de maintenir la connexion VPN active si :
| Non |
Attributs de sous-réseau internes IPv4/IPv6 | Active les tunnels IPv4 et IPv6 pour votre connexion VPN. | Non |
Confidentialité persistante parfaite (PFS) | Active la PFS pour votre connexion VPN. Ainsi, les sessions précédentes ne peuvent pas être déchiffrées. | Non |
Contrôle de révocation des certificats | Permet à l’appareil de vérifier les certificats qu’il reçoit du serveur VPN à l’aide d’une liste de révocation de certificats (CRL). | Non |
Paramètres dynamiques des associations de sécurité (SA) | Autorise la configuration des paramètres IKE et Child. Ces deux valeurs requièrent les attributs suivants :
| Non |
Exceptions relatives au service | Permet de créer des exceptions relatives au service pour la messagerie, AirPrint, les MMS et les services cellulaires. Chaque service peut être configuré pour utiliser l’un des éléments suivants :
| Non |
Trafic provenant de tous les portails web captifs en dehors du tunnel VPN | Indique si vous voulez autoriser le trafic provenant des portails web captifs en dehors du tunnel VPN. | Non |
Trafic de toutes les apps de mise en réseau captif hors du tunnel VPN | Indique si vous voulez autoriser le trafic provenant des apps se connectant à des réseaux distants. Lorsque ce réglage est activé, les apps doivent être répertoriées (voir ci-dessous). | Non |
Identifiants de paquet d’app de mise en réseau captif | Identifie les apps de mise en réseau qui sont autorisées en dehors du tunnel VPN. Elles sont identifiées par leur identifiant de paquet. | Non |