MDM-Einstellungen für IKEv2 für Apple-Geräte
Du kannst für iPhone-, iPad- oder Mac-Geräte, die in einer Lösung für die Mobilgeräteverwaltung (MDM) registriert sind, eine IKEv2-Verbindung konfigurieren. Wähle „IKEv2“ und „VPN immer EIN“, wenn du eine Payload konfigurieren möchtest, bei der iPhone- und iPad-Geräte grundsätzlich über eine aktive VPN-Verbindung verfügen müssen, um die Verbindung zu einem Netzwerk herzustellen. Du kannst „VPN immer EIN“ für Mobilfunk- und/oder WLAN-Verbindungen konfigurieren.
Du kannst die IKEv2-Einstellungen in der folgenden Tabelle mit der Payload „VPN“ verwenden.
Einstellung | Beschreibung | Erforderlich | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Verbindungsname | Dies ist der Anzeigename der VPN-Verbindung. | Ja | |||||||||
Hostname | Dies ist die IP-Adresse oder der vollständig qualifizierte Domainname (FQDN) des VPN-Servers. | Ja | |||||||||
Lokale ID | Dieser Wert sollte normalerweise mit der Identität des Benutzer- bzw. Gerätezertifikats („Alternative Name“ bzw. „Common Name“ des Inhabers) übereinstimmen, da die Serverimplementierung möglicherweise diese Übereinstimmung zur Validierung der Identität des Clients erfordert. | Ja | |||||||||
Entfernte ID | Dieser Wert sollte mit der Identität des Serverzertifikats („Alternative Name“ bzw. „Common Name“ des Inhabers) übereinstimmen. Hinweis: Wenn dieser Wert nicht mit der Identität des Serverzertifikats übereinstimmt, kann der Schlüssel „ | Ja | |||||||||
Permanentes VPN (Always On VPN) (Betreut) | Du kannst die Einstellung „VPN immer EIN“ aktivieren, damit der gesamte IP-Datenverkehr zurück an deine Organisation getunnelt werden kann. Für Mobilfunk- und WLAN-Verbindungen können separate Konfigurationen erstellt werden. | Nein | |||||||||
Deaktivieren von Verbindungen erlauben | Hiermit kannst du angeben, ob es Benutzern möglich sein soll, die „VPN immer EIN“-Verbindung zu deaktivieren. | Nein | |||||||||
Dieselbe Tunnelkonfiguration für Mobilfunk und WLAN nutzen | Hiermit kannst du angeben, ob für WLAN- und Mobilfunkverbindungen dieselbe Konfiguration verwendet werden soll. | Nein | |||||||||
Geräte-Authentifizierung | Die Optionen sind:
| Nein | |||||||||
Erweiterte Authentifizierung | Mit dieser Einstellung können EAP (Extensible Authentication Protocol) aktiviert werden. Ist die Einstellung aktiviert, stehen die folgenden Authentifizierungsmethoden zu Auswahl:
Hinweis: Für EAP–PEAP müssen beide Authentifizierungsmethoden verwendet werden. | Nein | |||||||||
Verbindungstrennung bei Inaktivität | Die Optionen sind:
| Nein | |||||||||
NAT-Keepalive | Diese Einstellung bewirkt, dass NAT-Keepalives an die Hardware gesendet werden, solange das Gerät im Ruhezustand ist, damit die Verbindung im Ruhezustand aufrecht erhalten bleibt. Wird NAT-Keepalive aktiviert, muss ein Intervall festgelegt werden. Der Mindestwert liegt bei 20 Sekunden. | Nein | |||||||||
Dead Peer-Erkennungsrate | Diese Einstellung legt fest, wie oft nicht reagierende Verbindungen erkannt werden sollen. Die Optionen sind:
| Nein | |||||||||
Umleitungen | Diese Einstellung ermöglicht die Umleitung an einen anderen VPN-Server. | Nein | |||||||||
Mobilität und Multihoming | Diese Einstellung sorgt dafür, dass das Gerät die VPN-Verbindung in aktivem Zustand behält, wenn:
| Nein | |||||||||
IPv4/IPv6 für interne Teilnetzattribute verwenden | Mit dieser Einstellung kannst du sowohl IPv4- als auch IPv6-Tunnel für deine VPN-Verbindung aktivieren. | Nein | |||||||||
Perfect Forward Secrecy aktivieren | Mit dieser Einstellung kannst du Perfect Forward Secrecy (PFS) für deine VPN-Verbindung aktivieren. Dadurch wird verhindert, dass frühere Sitzungen entschlüsselt werden. | Nein | |||||||||
Zertifikat-Widerrufungsprüfung aktivieren | Diese Einstellung bewirkt, dass das Gerät die Zertifikate, die es vom VPN-Server erhält, anhand einer Zertifikatsperrliste (Certificate Revocation List, CRL) prüft. | Nein | |||||||||
Parameter für dynamische Sicherheitsassoziierung (SA) | Diese Einstellung ermöglicht die Konfiguration sowohl von IKE-Parametern als auch von untergeordneten Parametern. Für beide Werte sind die folgenden Attribute erforderlich:
| Nein | |||||||||
Ausnahmen für Dienste | Diese Einstellung erlaubt Ausnahmen für Voicemail, AirPrint, MMS-Nachrichten und Mobilfunkdienste. Jeder Dienst kann für einen der folgenden Faktoren konfiguriert werden:
| Nein | |||||||||
Netzwerkverkehr aus Captive Websheet außerhalb des VPN-Tunnels erlauben | Diese Einstellung legt fest, ob Netzwerkverkehr aus Captive Websheet-Portalen außerhalb des VPN-Tunnels erlaubt ist. | Nein | |||||||||
Netzwerkverkehr aus allen Captive Network-Apps außerhalb des VPN-Tunnels erlauben | Diese Einstellung legt fest, ob Netzwerkverkehr aus Apps zulässig ist, die Verbindungen zu entfernten Netzwerken herstellen. Wird diese Einstellung aktiviert, müssen die betreffenden Apps aufgelistet werden (siehe unten). | Nein | |||||||||
Paket-ID für Captive Network-App | Diese Einstellung identifiziert die Network-Apps, die außerhalb des Tunnels erlaubt sein sollen. Die Apps werden anhand ihrer Paket-ID identifiziert. | Nein | |||||||||
DNS-Serveradressen | Das Array von DNS-Serveradressen als Strings. Bei diesen IP-Addressen können IPv4- und IPv6-Adressen gemischt sein. | Nein | |||||||||
Name der primären Domain | Dies ist der Name der primären Domain für den VPN-Tunnel. | Nein | |||||||||
DNS-Suchdomains | Die Liste der Domain-Strings, die zur vollständigen Qualifizierung von Single-Label-Hostnamen verwendet werden. | Nein | |||||||||
Zusätzliche DNS-Suchdomains | Die Liste der Domain-Strings, mit deren Hilfe festgestellt wird, welche DNS-Abfragen die in „ServerAddresses“ enthaltenen Einstellungen für die DNS-Auflösung verwenden. Dieser Schlüssel wird verwendet, um eine Split-DNS-Konfiguration zu erstellen, bei der nur Hosts in bestimmten Domains über den DNS-Auflöser des Tunnels aufgelöst werden. Hosts, die sich nicht in einer der aufgelisteten Domains befinden, werden unter Verwendung des Standardauflösers des Systems aufgelöst. | Nein | |||||||||
Ergänzende Domains einschließen | Beim Wert „false“ werden die Domains in der Liste der zusätzlichen Suchdomains an die Liste der Suchdomains des Auflösers angehängt. | Nein | |||||||||
Maximale Übertragungseinheit (MTU, in Byte) variieren | Der Standardwert ist 1280. | Nein | |||||||||
Hinweis: Jeder MDM-Anbieter implementiert diese Einstellungen auf unterschiedliche Weise. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, wie IKEv2-Einstellungen auf Geräte und Benutzer angewendet werden.