AppleデバイスでVPNオンデマンドのアクションパラメータを追加する
アクションパラメータはVPNオンデマンドに関連付けられたネットワークの種類を定義するために役立ちます。これらのアクションパラメータは、照合規則が条件を満たした場合に何を実行するかを定義するために役立ちます。
照合規則
SSL、IKEv2、およびCisco IPSecのすべてのクライアントには、以下の照合規則を1つ以上指定します:
InterfaceTypeMatch: オプション。モバイル通信(iOSおよびiPadOS)を示す文字列「Cellular」、Ethernet(macOS)を示す文字列「Ethernet」、またはWi-Fiを示す文字列「Wi-Fi」。指定されている場合、プライマリインターフェイスのハードウェアが指定されたタイプのものであるときにこの規則は一致します。
SSIDMatch: オプション。現在のネットワークと照合するSSIDの配列。ネットワークがWi-Fiネットワークでない場合、またはそのSSIDが配列にない場合は、照合が失敗します。この鍵とその配列を省略すると、SSIDは無視されます。
DNSDomainMatch: オプション。DNS検索ドメインの配列(文字列)。現在のプライマリネットワークの構成済みDNS検索ドメインが配列に含まれている場合、このプロパティは一致します。ワイルドカードプレフィックス(*)を使用できます。たとえば、*.example.comは、(何らかの文字列).example.comに一致します。
DNSServerAddressMatch: オプション。DNSサーバアドレスの配列(文字列)。プライマリインターフェイスに現在構成されているすべてのDNSサーバアドレスが配列にある場合、このプロパティは一致します。ワイルドカード文字(*)を使用できます。たとえば、1.2.3.* は、1.2.3.で始まるDNSサーバに一致します。
URLStringProbe: オプション。到達可能性をプローブするサーバ。リダイレクションには対応していません。URLは信頼できるHTTPSサーバである必要があります。サーバに到達できることを検証するためにデバイスからGET要求が送信されます。
Actionパラメータ
このキーは必須で、指定されたすべての照合規則が真と評価されたときのVPN動作を定義します。Actionキーの値は以下の通りです:
Connect: 次にネットワーク接続を試みるときに、無条件でVPN接続を開始します。
Disconnect: VPN接続を解除し、要求があっても新しい接続をトリガしません。
Ignore: 既存のVPN接続を残しますが、要求があっても新しい接続をトリガしません。
EvaluateConnection: 接続を試みるたび、ActionParametersを評価します。これを使用する場合、下記のActionParametersキーに評価規則を指定する必要があります。
ActionParametersキー
以下で説明するキーを持つ辞書の配列です。出現順に評価されます。ActionがEvaluateConnectionの場合は必須です。
Domains: 必須。この評価が適用されるドメインを定義する文字列の配列。ワイルドカードプレフィックスを使用できます(例: *.example.com)。
DomainAction: 必須。ドメインのVPN動作を定義します。DomainActionキーの値は以下の通りです:
ConnectIfNeeded: ドメインのDNS解決が失敗した場合、VPNを起動します。たとえば、DNSサーバがドメイン名を解決できないことを示すとき、DNS応答がリダイレクトされた場合、接続が失敗したまたはタイムアウトになった場合などです。
NeverConnect: ドメインに対してVPNをトリガしません。
DomainActionがConnectIfNeededのとき、接続評価辞書に以下のキーを指定することもできます:
RequiredDNSServers: オプション。ドメインを解決するために使用するDNSサーバのIPアドレスの配列。これらのサーバは、デバイスの現在のネットワーク構成の一部である必要はありません。これらのDNSサーバに到達できなかった場合は、VPNがトリガされます。一貫性のある接続のために、内部DNSサーバか、信頼された外部DNSサーバを構成してください。
RequiredURLStringProbe: オプション。GET要求を使用してプローブするHTTPまたはHTTPS(推奨)URL。このサーバのDNS解決が成功した場合は、プローブも成功する必要があります。プローブが失敗した場合は、VPNをトリガします。