MDM-instellingen voor IKEv2 voor Apple apparaten
Je kunt een IKEv2-verbinding configureren voor iPhones, iPads en Macs die zijn ingeschreven bij een MDM-oplossing (Mobile Device Management). Kies 'IKEv2' en selecteer 'Altijd actieve VPN' als je een payload wilt configureren waarbij apparaten een actieve VPN-verbinding moeten hebben om een verbinding met een netwerk tot stand te brengen. Je kunt de optie 'Altijd actieve VPN' configureren voor mobiel en/of wifi. Zie IKEv2-configuratie via MDM voor Apple apparaten voor een gedetailleerdere beschrijving van deze instellingen.
Instelling | Beschrijving | Vereist |
|---|---|---|
Verbindingsnaam | De weergegeven naam van de VPN-verbinding. | Ja |
Hostnaam | Het IP-adres of de volledige domeinnaam (FQDN) van de VPN-server. | Ja |
Lokale ID | Deze waarde moet doorgaans overeenkomen met de certificaatidentiteit van de gebruiker of het apparaat (Subject Alternative Name of Subject Common Name), omdat anders bij sommige serverimplementaties de identiteit van de client niet kan worden gevalideerd. | Ja |
Externe ID | Deze waarde moet overeenkomen met de certificaatidentiteit van de server (Subject Alternative Name of Subject Common Name). Opmerking: Als de waarde niet overeenkomt met de certificaatidentiteit, kan de sleutel 'ServerCertificateCommonName' worden gebruikt om de certificaatidentiteit van de server op te geven. | Ja |
Altijd actieve VPN (Onder toezicht) | Hiermee wordt Altijd actieve VPN ingeschakeld, waarmee alle IP-verkeer naar je organisatie kan worden teruggeleid. Er kunnen verschillende configuraties worden opgezet voor mobiel en wifi. Zie Configuraties van Altijd actieve VPN en Payloadinformatie voor een configuratieprofiel voor Altijd actieve VPN. | Nee |
Sta uitschakelen verbindingen toe | Hiermee geef je aan of gebruikers de Altijd actieve VPN-verbinding kunnen uitschakelen. | Nee |
Gebruik dezelfde configuratie | Hiermee geef je aan of dezelfde configuratie wordt gebruikt voor wifi en mobiel. | Nee |
Machinale authenticatie | De opties zijn:
| Nee |
Uitgebreide authenticatie | Hiermee schakel je EAP (Extensible Authentication Protocol) in. Als deze optie is ingeschakeld, kies je uit de volgende methoden voor authenticatie:
Opmerking: Beide methoden voor authenticatie moeten voor EAP–PEAP worden gebruikt. | Nee |
Verbreek verbinding indien inactief | De opties zijn:
| Nee |
NAT Keepalive | Hiermee wordt het versturen van NAT Keepalives naar de hardware verplaatst wanneer het apparaat zich in de sluimerstand bevindt. Hierdoor blijft de verbinding in stand tijdens sluimercycli van het apparaat. Als NAT Keepalive is geselecteerd, moet er een tijdsintervalwaarde worden ingesteld. De minimumwaarde is 20 seconden. | Nee |
DPD-snelheid (Dead Peer Detection) | Hiermee stel je in hoe vaak niet reagerende verbindingen worden gedetecteerd. De opties zijn:
| Nee |
Doorverwijzingen | Dit maakt doorsturen naar een andere VPN-server mogelijk. | Nee |
Mobiliteit en multihoming | Hiermee kan het apparaat de VPN-verbinding actief houden als:
| Nee |
Interne IPv4/IPv6-subnetkenmerken | Hiermee worden zowel IPv4- als IPv6-tunnels voor je VPN-verbinding ingeschakeld. | Nee |
PFS (Perfect Forward Secrecy) | Hiermee wordt PFS voor je VPN-verbinding ingeschakeld. Daarmee wordt voorkomen dat voorgaande sessies kunnen worden ontsleuteld. | Nee |
Intrekkingscontrole certificaat | Hiermee kan het apparaat de certificaten die het van de VPN-server ontvangt, controleren aan de hand van een CRL (Certificate Revocation List). | Nee |
Dynamische SA-parameters (Security Associations) | Maakt de configuratie van zowel IKE- als onderliggende parameters mogelijk. Voor beide waarden zijn de volgende kenmerken vereist:
| Nee |
Uitzonderingen op voorzieningen | Hiermee sta je uitzonderingen toe voor voorzieningen als voicemail, AirPrint, MMS-berichten en mobiele voorzieningen. Elke voorziening kan worden geconfigureerd voor gebruik van een van de volgende opties:
| Nee |
Verkeer van afvangwebportalen buiten de VPN-tunnel | Hiermee geef je aan of verkeer van afvangwebportalen buiten de VPN-tunnel is toegestaan. | Nee |
Sta verkeer toe van alle afvangnetwerkapps buiten de VPN-tunnel | Hiermee geef je aan of verkeer is toegestaan van apps die verbinding maken met externe netwerken. Indien ingeschakeld, moeten de apps worden vermeld (hieronder). | Nee |
Bundel-ID's afvangnetwerkapp | Hiermee identificeer je de netwerkapps die buiten de VPN-tunnel zijn toegestaan. Deze worden aan de hand van hun bundel-ID geïdentificeerd. | Nee |