MDM-instellingen voor IKEv2 voor Apple apparaten
Je kunt een IKEv2-verbinding configureren voor iPhones, iPads en Macs die bij een MDM-oplossing (Mobile Device Management) zijn ingeschreven. Kies 'IKEv2' en selecteer 'Altijd actieve VPN' als je een payload wilt configureren waarbij iPhones en iPads een actieve VPN-verbinding moeten hebben om verbinding met een netwerk te maken. Je kunt de optie 'Altijd actieve VPN' configureren voor mobiel en/of wifi.
De IKEv2-instellingen in de onderstaande tabel kunnen worden gebruikt met de payload 'VPN'.
Instelling | Beschrijving | Vereist | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Verbindingsnaam | De weergegeven naam van de VPN-verbinding. | Ja | |||||||||
Hostnaam | Het IP-adres of de volledige domeinnaam (FQDN) van de VPN-server. | Ja | |||||||||
Lokale ID | Deze waarde moet doorgaans overeenkomen met de certificaatidentiteit van de gebruiker of het apparaat (Subject Alternative Name of Subject Common Name), omdat anders bij sommige serverimplementaties de identiteit van de client niet kan worden gevalideerd. | Ja | |||||||||
Externe ID | Deze waarde moet overeenkomen met de identiteit van het servercertificaat (Subject Alternative Name of Subject Common Name). Opmerking: Als de waarde niet overeenkomt met de identiteit van het servercertificaat, kan de sleutel | Ja | |||||||||
Altijd actieve VPN (Onder toezicht) | Hiermee wordt Altijd actieve VPN ingeschakeld, waarmee alle IP-verkeer naar je organisatie kan worden teruggeleid. Er kunnen verschillende configuraties worden opgezet voor mobiel en wifi. | Nee | |||||||||
Sta uitschakelen verbindingen toe | Hiermee geef je aan of gebruikers de Altijd actieve VPN-verbinding kunnen uitschakelen. | Nee | |||||||||
Gebruik dezelfde configuratie | Hiermee geef je aan of dezelfde configuratie wordt gebruikt voor wifi en mobiel. | Nee | |||||||||
Machinale authenticatie | De opties zijn:
| Nee | |||||||||
Uitgebreide authenticatie | Hiermee schakel je EAP (Extensible Authentication Protocol) in. Als deze optie is ingeschakeld, kies je uit de volgende authenticatiemethoden:
Opmerking: Beide authenticatiemethoden moeten voor EAP–PEAP worden gebruikt. | Nee | |||||||||
Verbreek verbinding indien inactief | De opties zijn:
| Nee | |||||||||
NAT Keepalive | Hiermee wordt het versturen van NAT Keepalives naar de hardware verplaatst wanneer het apparaat zich in de sluimerstand bevindt. Hierdoor blijft de verbinding in stand tijdens sluimercycli van het apparaat. Als NAT Keepalive is geselecteerd, moet er een tijdsintervalwaarde worden ingesteld. De minimumwaarde is 20 seconden. | Nee | |||||||||
DPD-snelheid (Dead Peer Detection) | Hiermee stel je in hoe vaak niet-reagerende verbindingen worden gedetecteerd. De opties zijn:
| Nee | |||||||||
Doorverwijzingen | Dit maakt doorsturen naar een andere VPN-server mogelijk. | Nee | |||||||||
Mobiliteit en multihoming | Hiermee kan het apparaat de VPN-verbinding actief houden als:
| Nee | |||||||||
Interne IPv4/IPv6-subnetkenmerken | Hiermee worden zowel IPv4- als IPv6-tunnels voor je VPN-verbinding ingeschakeld. | Nee | |||||||||
PFS (Perfect Forward Secrecy) | Hiermee wordt PFS voor je VPN-verbinding ingeschakeld. Daarmee wordt voorkomen dat voorgaande sessies kunnen worden ontsleuteld. | Nee | |||||||||
Intrekkingscontrole certificaat | Hiermee kan het apparaat de certificaten die het van de VPN-server ontvangt, controleren aan de hand van een CRL (Certificate Revocation List). | Nee | |||||||||
Dynamische SA-parameters (Security Associations) | Maakt de configuratie van zowel IKE- als onderliggende parameters mogelijk. Voor beide waarden zijn de volgende kenmerken vereist:
| Nee | |||||||||
Uitzonderingen voor voorzieningen | Hiermee sta je uitzonderingen toe voor voorzieningen als voicemail, AirPrint, MMS-berichten en mobiele voorzieningen. Elke voorziening kan worden geconfigureerd voor gebruik van een van de volgende opties:
| Nee | |||||||||
Verkeer van afvangwebportalen buiten de VPN-tunnel | Hiermee geef je aan of verkeer van afvangwebportalen buiten de VPN-tunnel is toegestaan. | Nee | |||||||||
Sta verkeer toe van alle afvangnetwerkapps buiten de VPN-tunnel | Hiermee geef je aan of verkeer is toegestaan van apps die verbinding maken met externe netwerken. Indien ingeschakeld, moeten de apps worden vermeld (hieronder). | Nee | |||||||||
Bundel-ID's afvangnetwerkapp | Hiermee identificeer je de netwerkapps die buiten de VPN-tunnel zijn toegestaan. Deze worden aan de hand van hun bundel-ID geïdentificeerd. | Nee | |||||||||
DNS-serveradressen | De array met tekenreeksen van de IP-adressen van DNS-servers. Deze IP-adressen kunnen een combinatie van IPv4- en IPv6-adressen zijn. | Nee | |||||||||
Primaire domeinnaam | De primaire domeinnaam van de VPN-tunnel. | Nee | |||||||||
DNS-zoekdomeinen | De lijst met tekenreeksen van de domeinen die worden gebruikt om hostnamen met één label volledig te kwalificeren. | Nee | |||||||||
DNS aanvullende overeenkomende domeinen | De lijst met domeinen die wordt geraadpleegd om vast te stellen welke DNS-verzoeken de instellingen voor DNS-omzetting in 'ServerAddresses' gebruiken. Deze sleutel wordt gebruikt om een gesplitste DNS-configuratie te maken waarmee alleen hosts in bepaalde domeinen worden omgezet met de DNS-omzetter van de tunnel. Hosts die geen deel uitmaken van de domeinen in deze lijst worden omgezet met de standaardomzetting van het systeem. | Nee | |||||||||
Voeg aanvullende domeinen toe | Als dit onwaar is, worden de domeinen uit de lijst met aanvullende overeenkomende domeinen toegevoegd aan de lijst met zoekdomeinen van de DNS-omzetting. | Nee | |||||||||
Wijzig de MTU (Maximum Transmission Unit), in bytes | De standaardinstelling is 1280. | Nee |
Opmerking: Elke MDM-leverancier implementeert deze instellingen op een andere manier. Als je wilt weten hoe de instellingen voor de payload 'IKEv2' op je apparaten en gebruikers worden toegepast, raadpleeg je de documentatie van je MDM-leverancier.