Payloadinformatie voor een configuratieprofiel voor Altijd actieve VPN voor Apple apparaten
Een configuratieprofiel voor Altijd actieve VPN kan handmatig worden samengesteld met behulp van Apple Configurator 2 of met een MDM-oplossing. Raadpleeg de Gebruikershandleiding Apple Configurator 2 of neem contact op met je MDM-leverancier.
Automatisch verbinden
Altijd actieve VPN ondersteunt een optionele sleutel waarmee de schakelaar Verbind automatisch kan worden weergegeven in het paneel 'VPN-instellingen'. Als deze sleutel niet is opgegeven in het profiel of is ingesteld op '0', wordt bij Altijd actieve VPN geprobeerd één of twee VPN-tunnels op te zetten. Als deze sleutel is ingesteld op '1', wordt de schakelaar weergegeven in het paneel 'VPN-instellingen' en kan de gebruiker VPN in- of uitschakelen. Als de gebruiker VPN-tunnels uitschakelt, wordt er geen tunnel opgezet en wordt al het IP-verkeer op het apparaat gewist. Dit is handig wanneer het IP-netwerk niet bereikbaar is en de gebruiker toch telefoongesprekken wil voeren. De gebruiker kan in dat geval VPN-tunnels uitschakelen om te voorkomen dat er toch wordt geprobeerd een VPN-tunnel tot stand te brengen.
Matrix voor interface-specifieke tunnelconfiguratie
In de matrix 'TunnelConfigurations' moet minimaal één tunnelconfiguratie zijn opgenomen. Deze configuratie wordt gebruikt voor de mobiele interface voor apparaten die alleen een mobiele-dataverbinding hebben, of voor zowel de mobiele interface als de wifi-interface. Er kunnen echter maximaal twee tunnelconfiguraties worden gebruikt: één voor mobiele interfaces en één voor wifi-interfaces.
Uitzonderingen voor afvangverkeer
Altijd actieve VPN ondersteunt alleen 'Captive AutoLogon' (automatisch inloggen bij ondersteunde afvangnetwerken met vooraf toegewezen identiteitsgegevens, zoals identiteitsgegevens die van SIM zijn afgeleid).
Altijd actieve VPN geeft je ook controle over de afhandeling van afvanglogins dankzij de ondersteuning van:
AllowCaptiveWebSheet: Een sleutel om verkeer van de ingebouwde afvang-WebSheet-app buiten de tunnel om te laten versturen. De WebSheet-app is een browser die afvanglogins afhandelt als er geen afvangapp van een andere leverancier aanwezig is. Je organisatie moet wel rekening houden met het veiligheidsrisico dat deze sleutel met zich meebrengt, aangezien WebSheet een functionele browser is die alle inhoud van de reagerende afvangserver kan weergeven. Wanneer verkeer voor de WebSheet-app wordt toegestaan, wordt het apparaat kwetsbaar voor onjuist werkende of kwaadwillende afvangservers.
AllowAllCaptiveNetworkPlugins: Een sleutel om verkeer van alle bevoegde afvangapps van andere leveranciers buiten de tunnel om te laten versturen. Deze sleutel heeft voorrang op het woordenboek 'AllowedCaptiveNetworkPlugins'.
AllowedCaptiveNetworkPlugins: Een lijst met bundel-ID's van bevoegde afvangapps van andere leveranciers. Verkeer afkomstig van afvangapps van andere leveranciers mag buiten de tunnel om worden verstuurd. Als de sleutel 'AllowAllCaptiveNetworkPlugins' ook is geconfigureerd, wordt deze lijst niet gebruikt.
Uitzonderingen op voorzieningen
Met Altijd actieve VPN wordt standaard al het IP-verkeer via een tunnel geleid, inclusief al het lokale verkeer en het verkeer dat via voorzieningen voor mobiele data wordt verstuurd. Bij de standaardwerking van Altijd actieve VPN is het dus niet mogelijk om lokale IP-voorzieningen of voorzieningen van IP-aanbieders te gebruiken. Met behulp van uitzonderingen op Altijd actieve VPN kan je organisatie de standaardwerking aanpassen door het verkeer van voorzieningen buiten de tunnel om te leiden of te wissen. De uitzonderingen voor voorzieningen die op dit moment worden ondersteund, zijn VoiceMail en AirPrint. De toegestane actie is 'Allow' (om verkeer buiten de tunnel toe te staan) of 'Drop' (om verkeer ongeacht de tunnel te wissen).
Sleutels voor gebruikersinteractie
Om te voorkomen dat gebruikers de functie Altijd actieve VPN uitschakelen, stel je in dat het profiel voor Altijd actieve VPN niet kan worden verwijderd. Dit doe je door de sleutel 'PayloadRemovalDisallowed' op 'true' te zetten. Deze sleutel vind je op het hoogste niveau in het profiel.
Om te voorkomen dat gebruikers de werking van Altijd actieve VPN wijzigen door andere configuratieprofielen te installeren, moet je de installatie van UI-profielen niet toestaan. Dit doe je door de sleutel 'allowUIConfigurationProfileInstallation' op 'false' te zetten onder de payload 'com.apple.applicationaccess'. Je organisatie kan aanvullende beperkingen implementeren door onder dezelfde payload andere ondersteunde sleutels te gebruiken.
Certificaatpayloads
De certificaatautoriteit (CA) is de uitgever van het servercertificaat.
CA-certificaat van server: Als de authenticatie voor de IKEv2-tunnel plaatsvindt aan de hand van certificaten, verstuurt de IKEv2-server het eigen servercertificaat naar het apparaat, dat vervolgens de identiteit van de server valideert. Het apparaat heeft hier wel een zogeheten CA-certificaat voor nodig. Dit is een certificaat met informatie over de certificaatautoriteit (de instantie die het servercertificaat heeft uitgegeven). Mogelijk is dit certificaat al geïnstalleerd. Als dat niet zo is, kan je organisatie het CA-certificaat beschikbaar stellen door er een certificaatpayload voor aan te maken.
CA-certificaat van client: Als de authenticatie voor de IKEv2-tunnel plaatsvindt op basis van certificaten of EAP-TLS, verstuurt het apparaat het eigen clientcertificaat naar de IKEv2-server, die vervolgens de identiteit van de client valideert. De client kan één of twee clientcertificaten hebben, afhankelijk van het implementatiemodel. Je organisatie moet de clientcertificaten beschikbaar stellen door er certificaatpayloads voor aan te maken. De IKEv2-server kan de identiteit van de client alleen valideren als het CA-certificaat van de client op de IKEv2-server is geïnstalleerd.
Certificaten die door IKEv2 worden ondersteund voor Altijd actieve VPN: IKEv2 voor Altijd actieve VPN ondersteunt RSA-, ECDSA256-, ECDSA384-, ECDSA512- en Ed25519-certificaten.