AppleデバイスにおけるVPN常時接続の構成プロファイルペイロードの詳細
VPN常時接続の構成プロファイルは、Apple Configurator 2を使って手動で作成することも、MDMソリューションで作成することもできます。「Apple Configurator 2ユーザガイド」を参照するか、任意のMDMベンダーにお問い合わせください。
自動的に接続する
VPN常時接続では、オプションのキーによって、「1個のVPN設定」の「自動接続」トグルを有効にすることができます。このキーがプロファイルに指定されていないか0に設定されていると、VPN常時接続は1つまたは2つのVPNトンネルを確立しようとします。このキーが1に設定されていると、「1個のVPN設定」パネルにトグルが表示され、ユーザはVPNのオン/オフを切り替えられます。ユーザがVPNトンネリングをオフにすると、トンネルは確立されず、デバイスはすべてのIPトラフィックをドロップします。これは、IPとの接続がない状態でユーザが電話をかけようとしている場合に役立ちます。ユーザはVPNトンネリングをオフにすることで、VPN常時接続は必要なときにのみVPNトンネルを確立するようになります。
インターフェイスごとのトンネリング構成配列
「TunnelConfigurations」配列には1つ以上のトンネル構成が必要です。トンネル構成は、モバイルデータ通信専用デバイスのモバイルデータ通信インターフェイス、またはモバイルデータ通信とWi-Fiの両方のインターフェイスに適用されます。ただし、2つのトンネル構成を取り込むこともできます(1つはモバイルデータ通信インターフェイス用、もう1つはWi-Fiインターフェイス用)。
キャプティブトラフィックの例外
VPN常時接続はCaptive AutoLogon(サポートされるキャプティブネットワークに、SIMを流用した証明書などの割り当て済みの証明書を使用して自動でログオンすること)のみに対応しています。
VPN常時接続は以下に対応しているので、キャプティブ処理を制御することもできます:
AllowCaptiveWebSheet:内蔵Captive WebSheet Appからのトラフィックがトンネルの外を通過することを許可するためのキーです。WebSheet Appは、ほかの他社製キャプティブAppがない場合にキャプティブログオンを処理するブラウザです。WebSheetは、応答するキャプティブサーバからのコンテンツをレンダリングできる機能的なブラウザです。このため、このキーを使用するにあたっては、セキュリティ上のリスクを考慮する必要があります。WebSheet Appのトラフィックを許可すると、不正な処理を行う悪質なキャプティブサーバに対してデバイスが脆弱になります。
AllowAllCaptiveNetworkPlugins:該当するすべての他社製キャプティブAppからのトラフィックがトンネルの外を通過することを許可するためのキーです。このキーはAllowedCaptiveNetworkPlugins辞書よりも優先されます。
AllowedCaptiveNetworkPlugins:該当する他社製キャプティブAppのバンドルIDのリストです。他社製キャプティブAppからのトラフィックはトンネルの外の通過を許可されます。AllowAllCaptiveNetworkPluginsキーも構成されている場合は、このリストは適用されません。
サービスの例外
VPN常時接続では、デフォルトですべてのIPトラフィックがトンネリングされます。これには、すべてのローカルトラフィックと、通信事業者のサービスによるトラフィックも含まれます。このため、デフォルトのVPN常時接続では、ローカルのIPサービスまたはIP事業者によるサービスに対応できません。VPN常時接続のサービスの例外を適用することで、サービストラフィックに対するデフォルトの処置を、トンネル外での通過またはドロップのいずれかに変更できます。現在サポートされているサービスの例外は留守番電話とAirPrintです。許可されているアクションは許可(トンネル外の通過を許可)またはドロップ(トンネルに関係なくドロップ)です。
ユーザ操作キー
ユーザがVPN常時接続機能を無効にすることを防ぐには、VPN常時接続プロファイルの削除を禁止してください。これを実行するには、最上位のプロファイルキーPayloadRemovalDisallowedをTRUEに設定します。
ユーザがほかの構成プロファイルをインストールしてVPN常時接続機能を変更することを防ぐには、UIプロファイルのインストールを禁止してください。これを実行するには、com.apple.applicationaccessペイロードの下にあるallowUIConfigurationProfileInstallationキーをFALSEに設定します。このペイロードの下でサポートされるほかのキーを使用することで、追加の制約を適用できます。
証明書ペイロード
認証局(CA)はサーバ証明書の発行元です。
サーバCA証明書:IKEv2トンネル認証方法で証明書を使用する場合、IKEv2サーバはデバイスにサーバ証明書を送信し、デバイスでサーバのIDが検証されます。デバイスでサーバ証明書を検証するには、サーバのCA証明書が必要です。これはすでにインストールされている場合があります。インストールされていない場合は、サーバのCA証明書用の証明書ペイロードを作成することで、サーバCA証明書を取り込むことができます。
クライアントCA証明書:IKEv2トンネル認証方法で証明書またはEAP-TLSを使用する場合、デバイスはIKEv2サーバにクライアント証明書を送信し、IKEv2サーバでクライアントのIDが検証されます。導入モデルに応じて、クライアントには1つまたは2つのクライアント証明書が作成されています。クライアント証明書用の証明書ペイロードを作成することで、クライアント証明書を取り込む必要があります。IKEv2サーバでクライアントのIDを検証するために、IKEv2サーバにクライアントのCA証明書をインストールしておく必要があります。
VPN常時接続のIKEv2証明書の対応状況:VPN常時接続のIKEv2は、RSA、ECDSA256、ECDSA384、ECDSA512、およびEd25519証明書に対応しています。