Innstillinger for enhetsadministrering for IKEv2 for Apple-enheter
Du kan konfigurere en IKEv2-tilkobling for brukere med en iPhone, iPad, Mac, Apple Vision Pro eller Apple TV som registreres i en tjeneste for enhetsadministrering. Velg IKEv2 og marker Always On VPN hvis du vil konfigurere en nyttelast slik at enheter må ha en aktiv VPN-forbindelse for å koble til et hvilket som helst nettverk. Du kan konfigurere Always On VPN for mobildata og Wi-Fi separat eller sammen.
Du kan bruke IKEv2-innstillingene i tabellen under med VPN-nyttelasten.
Innstilling | Beskrivelse | Påkrevd | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name | Visningsnavnet for VPN-forbindelsen. | Ja | |||||||||
Hostname | IP-adressen eller det fullt kvalifiserte domenenavnet (FQDN) til VPN-tjeneren. | Ja | |||||||||
Local Identifier | Denne verdien bør vanligvis matche bruker-/enhetssertifikatets identitet (Subject Alternative Name eller Subject Common Name), ettersom tjenerimplementering kan kreve den matchen for å bekrefte klientens identitet. | Ja | |||||||||
Remote Identifier | Denne verdien bør matche tjenersertifikatets identitet (Subject Alternative Name eller Subject Common Name). Merk: Hvis denne verdien ikke matcher tjenersertifikatets identitet, | Ja | |||||||||
Always On VPN (under tilsyn) | Aktiverer Always On VPN, som kan tunnelere all IP-trafikk tilbake til organisasjonen din. Forskjellige konfigurasjoner kan konfigureres for Mobildata og Wi-Fi. | Nei | |||||||||
Allow disabling connections | Spesifiserer om brukere skal kunne deaktivere Always ON VPN-forbindelsen. | Nei | |||||||||
Use same configuration | Spesifiserer om samme konfigurasjon skal brukes for Wi-Fi og mobildata. | Nei | |||||||||
Machine authentication | Valgene er:
| Nei | |||||||||
Extended authentication | Aktiverer Extensible Authentication Protocol (EAP). Når det er aktivert velger du blant følgende autentiseringsmetoder:
Merk: Begge autentiseringsmetodene må brukes for EAP–PEAP. | Nei | |||||||||
Disconnect on idle | Valgene er:
| Nei | |||||||||
NAT keepalive | Flytter sending av NAT-keepalives til maskinvare mens enheten er i dvale, som holder forbindelsen oppe over enhetsdvalesykluser. Hvis NAT-keepalive er valgt, må en intervalltidsverdi angis. Minimum er 20 sekunder. | Nei | |||||||||
Dead peer detection rate | Hvor ofte forbindelser som ikke reagerer gjenkjennes. Valgene er:
| Nei | |||||||||
Redirects | Muliggjør omdirigering til en annen VPN-tjener. | Nei | |||||||||
Mobility and multihoming | Gjør det mulig å holde VPN-forbindelsen aktiv hvis:
| Nei | |||||||||
IPv4 and IPv6 internal subnet attributes | Aktiverer både IPv4- og IPv6-tunneler for VPN-forbindelsen. | Nei | |||||||||
Perfect Forward Secrecy (PFS) | Aktiverer PFS for VPN-forbindelsen. Dette hindrer at tidligere økter dekrypteres. | Nei | |||||||||
Certificate revocation check | Tillater at enheten kontrollerer sertifikatene den mottar fra VPN-tjeneren, mot en Certificate Revocation List (CRL). | Nei | |||||||||
Dynamic security associations (SA) parameters | Tillater konfigurering av både IKE og Child-parameterne. Begge verdiene krever følgende attributter:
| Nei | |||||||||
Service exceptions | Tillater tjenesteunntak for talemeldinger, AirPrint, MMS-meldinger og mobiltjenester. Hver tjeneste kan konfigureres til å bruke ett av følgende:
| Nei | |||||||||
Traffic from captive web portals outside the VPN tunnel | Spesifiserer om trafikk skal tillates fra nettportaler (captive) utenfor VPN-tunnelen. | Nei | |||||||||
Traffic from all captive networking apps outside the VPN tunnel | Spesifiserer om trafikk skal tillates fra apper som kobler til eksterne nettverk. Hvis det er aktivert, må appene være i listen (under). | Nei | |||||||||
Captive network app bundle identifiers | Identifiserer nettverksappene som tillates utenfor VPN-tunnelen. De identifiseres av pakke-ID-en. | Nei | |||||||||
DNS server addresses | Oppstillingen av IP-adresser for DNS-tjenere. Disse IP-adressene kan være en blanding av IPv4- og IPv6-adresser. | Nei | |||||||||
Primary domain name | Hoveddomenenavnet til VPN-tunnellen. | Nei | |||||||||
DNS search domains | Listen med domenestrenger som brukes for å kvalifisere vertsnavn med enkeltetikett fullt ut. | Nei | |||||||||
DNS supplemental match domains | Listen over domenestrenger som brukes til å fastslå hvilke DNS-forespørsler som bruker DNS-resolver-innstillingene i ServerAdresses. Denne nøkkelen brukes for å splitte DNS-konfigurasjoner der kun verter i bestemte domener blir funnet med tunnelens DNS-resolver. Verter som ikke er i en av domenene i denne listen, blir funnet via systemets standardmetode. | Nei | |||||||||
Include supplemental domains | Hvis usann (false), legges domenene i tilleggslisten for domenetreff til i resolverens liste med søkedomener. | Nei | |||||||||
Vary the maximum transmission unit (MTU), in bytes | Standard er 1280. | Nei | |||||||||
Merk: Disse innstillingene implementeres på ulike måter av de forskjellige utviklerne av tjenester for enhetsadministrering. Slå opp i dokumentasjonen fra utvikleren av tjenesten for enhetsadministrering for å finne ut hvordan innstillinger for IKEv2 brukes på enhetene og brukerne dine.