Détails des données utiles du profil de configuration de VPN toujours actif pour les appareils Apple
Un profil de configuration VPN toujours actif peut être composé manuellement ou à l’aide d’Apple Configurator 2, ou il peut être créé par une solution MDM. Consultez le Guide de l’utilisateur d’Apple Configurator 2 ou contactez votre fournisseur de solution MDM favori.
Connexion automatique
VPN toujours actif fournit une clé facultative permettant d’activer un commutateur Connexion automatique dans les réglages VPN. Si cette clé n’est pas définie dans le profil ou si elle est définie sur 0, VPN toujours actif tente d’activer un ou deux tunnels VPN. Si la clé est définie sur 1, le commutateur correspondant apparaît dans la sous-fenêtre Réglages VPN et l’utilisateur peut activer ou désactiver le VPN. Si l’utilisateur désactive la création de tunnels VPN, aucun tunnel n’est établi et l’appareil interrompt l’ensemble du trafic IP. Cela est utile lorsqu’il n’y a aucun trafic IP accessible et que l’utilisateur souhaite malgré tout passer des appels téléphoniques. L’utilisateur peut désactiver la création de tunnel VPN pour éviter les tentatives inutiles.
Tableau de configuration de tunnel par interface
Dans le tableau TunnelConfigurations, au moins une configuration de tunnel est requise. Elle est appliquée à l’interface cellulaire pour les appareils n’utilisant que ce type de connexion, ou sinon, aux interfaces Wi-Fi et cellulaire. Cependant, deux configurations de tunnel peuvent être incluses : une pour les interfaces Wi-Fi et une pour les interfaces cellulaires.
Exceptions propres au trafic captif
VPN toujours actif prend uniquement en charge l’authentification automatique pour les réseaux captifs (connexion automatique avec des informations de connexion préattribuées, telles que les informations obtenues à partir de la carte SIM).
VPN toujours actif fournit également un contrôle sur la gestion des réseaux captifs en prenant en charge les clés suivantes :
AllowCaptiveWebSheet : Clé permettant au trafic provenant de l’app captive WebSheet intégrée de passer en dehors du tunnel. L’app WebSheet est un navigateur prenant en charge la connexion aux réseaux captifs si aucune autre app captive tierce n’est présente. Nous conseillons aux organisations d’évaluer le risque que présente l’utilisation de cette clé d’un point de vue sécuritaire, étant donné que WebSheet est un navigateur fonctionnel capable de rendre tout contenu provenant du serveur captif répondant. L’autorisation du trafic provenant de l’app WebSheet rend l’appareil vulnérable face aux serveurs captifs malveillants ou ne se comportant pas comme attendu.
AllowAllCaptiveNetworkPlugins : Clé permettant au trafic de toutes les apps captives tierces autorisées de passer en dehors du tunnel. Cette clé prend le dessus par rapport au dictionnaire AllowedCaptiveNetworkPlugins.
AllowedCaptiveNetworkPlugins : Liste d’identifiants de paquet d’apps captives tierces autorisées. Le trafic provenant des apps captives tierces est autorisé en dehors du tunnel. Si la clé AllowAllCaptiveNetworkPlugins est également configurée, cette liste n’est pas appliquée.
Exceptions relatives au service
Les tunnels VPN toujours actif sont par défaut réservés au trafic IP, notamment l’ensemble du trafic local, ainsi que le trafic des services de l’opérateur fournissant les données cellulaires. Par conséquent, le comportement par défaut du VPN toujours actif ne prend pas en charge les services IP locaux ni les services IP d’opérateur. Les exceptions de service VPN toujours actif permettent à votre établissement de modifier le traitement par défaut du trafic des services, afin de le faire passer en dehors du tunnel ou de l’interrompre. Actuellement, les exceptions de service prises en charge sont VoiceMail et AirPrint, et les actions autorisées sont « allow » (pour autoriser le trafic en dehors du tunnel) ou « drop » (pour interrompre le trafic indépendamment du tunnel).
Clés relatives aux interactions utilisateur
Pour empêcher les utilisateurs de désactiver VPN toujours actif, interdisez la suppression du profil VPN toujours actif. Pour ce faire, définissez la clé de profil de premier niveau PayloadRemovalDisallowed sur vrai.
Pour empêcher les utilisateurs de modifier le comportement de VPN toujours actif en installant d’autres profils de configuration, interdisez l’installation de profils d’interface utilisateur. Pour cela, définissez la clé « allowUIConfigurationProfileInstallation » sur faux dans les données utiles com.apple.applicationaccess. Votre établissement peut implémenter des restrictions supplémentaires à l’aide d’autres clés prises en charge dans les mêmes données utiles.
Données utiles de certificat
L’autorité de certification (AC) est l’entité qui émet le certificat de serveur.
Certificat d’autorité de certification de serveur : Si la méthode d’authentification du tunnel IKEv2 utilise des certificats, le serveur IKEv2 envoie son certificat de serveur à l’appareil, ce qui valide l’identité du serveur. Pour que l’appareil valide le certificat de serveur, il a besoin du certificat de l’autorité de certification du serveur, qui peut déjà avoir été installé. Si ce n’est pas le cas, votre établissement peut inclure le certificat de l’autorité de certification du serveur en créant des données utiles de certificat pour lui.
Certificat d’autorité de certification de client : Si la méthode d’authentification du tunnel IKEv2 utilise des certificats ou EAP-TLS, l’appareil envoie ses certificats client au serveur IKEv2, validant ainsi l’identité du client. Le client peut avoir un ou deux certificats client, en fonction du modèle de déploiement. Votre établissement doit inclure les certificats client en créant des données utiles de certificat pour ceux-ci. Pour que le serveur IKEv2 valide l’identité du client, il doit disposer du certificat d’autorité de certification du client installé.
Prise en charge du certificat IKEv2 pour le VPN toujours actif : VPN toujours actif IKEv2 prend en charge les certificats RSA, ECDSA256, ECDSA384, ECDSA512 et Ed25519.