Impostazioni MDM IKEv2 per i dispositivi Apple
Puoi configurare la connessione IKEv2 per i dispositivi iPhone, iPad e Mac registrati in una soluzione di gestione dei dispositivi mobili (MDM). Scegli IKEv2 e seleziona “VPN sempre attiva” se vuoi configurare un payload in modo che i dispositivi debbano avere una connessione VPN attiva per poter comunicare con qualsiasi rete. Puoi configurare “VPN sempre attiva” per Wi-Fi e dati cellulari separatamente o insieme. Per una descrizione più dettagliata di queste impostazioni, consulta Configurazione MDM IKEv2 per i dispositivi Apple.
Impostazione | Descrizione | Richiesta |
|---|---|---|
Nome connessione | Il nome visualizzato per la connessione VPN. | Sì |
Nome host | L'indirizzo IP o il nome dominio completo del server VPN. | Sì |
Identificatore locale | Questo valore di solito dovrebbe corrispondere all'identità del certificato dell'utente/dispositivo (Subject Alternative Name o Subject Common Name), in quanto un'implementazione server può richiedere tale corrispondenza per convalidare l'identità del client. | Sì |
Identificatore remoto | Questo valore dovrebbe corrispondere all'identità del certificato del server (Subject Alternative Name o Subject Common Name). Nota: se il valore non corrisponde all'identità del certificato del server, la chiave ServerCertificateCommonName può essere utilizzata per specificare l'identità del certificato del server. | Sì |
VPN sempre attivo (Supervisionato) | Abilita “VPN sempre attivo”, che può instradare tutto il traffico IP verso la tua organizzazione. È possibile impostare configurazioni diverse per Cellulare e Wi-Fi. Consulta Configurazioni “VPN sempre attivo” e Dettagli payload del profilo di configurazione “VPN sempre attivo”. | No |
Consenti disabilitazione connessioni | Specifica se gli utenti possono disabilitare le connessioni con VPN sempre attivo. | No |
Utilizza stessa configurazione | Specifica se utilizzare la stessa configurazione per Wi-Fi e Cellulare. | No |
Autenticazione computer | Le opzioni sono:
| No |
Autenticazione estesa | Abilita il protocollo EAP (Extensible Authentication Protocol). Quando è abilitato, seleziona tra i seguenti metodi di autenticazione:
Nota: per EAP–PEAP è necessario utilizzare entrambi i metodi di autenticazione. | No |
Disconnetti se inattivo | Le opzioni sono:
| No |
Keepalive NAT | Alleggerisce l'invio di keepalive NAT all’hardware mentre il dispositivo è in stato di stop, mantenendo la connessione attiva durante i cicli di stop del dispositivo. Se l’opzione “Keepalive NAT” è selezionata, deve essere impostato un valore temporale. Il valore minimo è 20 secondi. | No |
Frequenza rilevamento dead peer | La frequenza con cui rilevare connessioni che non rispondono. Le opzioni sono:
| No |
Reindirizzamenti | Consente il reindirizzamento verso un altro server VPN. | No |
Mobilità e multihoming | Consente al dispositivo di mantenere attiva la connessione VPN se:
| No |
Attributi sottorete interna IPv4 e IPv6 | Abilita sia il tunnel IPv4 che il tunnel IPv6 per la connessione VPN. | No |
PFS (Perfect Forward Secrecy) | Abilita il PFS per la connessione VPN. Ciò impedisce che le sessioni precedenti vengano decodificate. | No |
Controllo revoca certificati | Consente al dispositivo di controllare i certificati che riceve dal server VPN confrontandoli con un elenco di revoca dei certificati. | No |
Parametri associazione sicurezza dinamica | Consente la configurazione sia dei parametri IKE che dei parametri child. Entrambi i valori richiedono i seguenti attributi:
| No |
Eccezioni di servizio | Consente eccezioni di servizio per segreteria, AirPrint, messaggi MMS e servizi cellulari. Ogni servizio può essere configurato per utilizzare le seguenti opzioni:
| No |
Traffico da portali web Captive fuori dal tunnel VPN | Stabilisce se è consentito il traffico da portali web Captive fuori dal tunnel VPN. | No |
Traffico da tutte le app con reti Captive fuori dal tunnel VPN | Specifica se è consentito il traffico da app che si connettono a reti remote. Se l’opzione è abilitata, le app devono essere incluse nell’apposito elenco (sotto). | No |
Identificatori pacchetti app reti Captive | Identifica le app di rete che possono operare fuori dal tunnel VPN. Vengono identificate dall’ID pacchetto. | No |