Réglages MDM IKEv2 pour les appareils Apple
Vous pouvez configurer une connexion IKEv2 pour les iPhone, iPad ou Mac inscrits à une solution de gestion des appareils mobiles (MDM). Choisissez IKEv2 et sélectionnez « VPN permanent » pour configurer des données utiles de sorte que les iPhone et iPad doivent disposer d’une connexion VPN active pour pouvoir se connecter à un réseau. Vous pouvez configurer l’option « VPN permanent » pour les réseaux cellulaires et Wi-Fi, et ce, séparément ou ensemble.
Vous pouvez utiliser les réglages IKEv2 du tableau ci-dessous avec les données utiles VPN.
Réglage | Description | Requis | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nom de connexion | Le nom d’affichage de la connexion VPN. | Oui | |||||||||
Nom d’hôte | L’adresse IP ou le nom de domaine complet (FQDN) du serveur VPN. | Oui | |||||||||
Identifiant local | Cette valeur doit correspondre à l’identité du certificat de l’utilisateur/de l’appareil (Subject Alternative Name ou Subject Common Name), car la mise en place du serveur peut nécessiter que ces deux valeurs correspondent pour valider l’identification du client. | Oui | |||||||||
Identifiant distant | Cette valeur doit correspondre à l’identité du certificat du serveur (Subject Alternative Name ou Subject Common Name). Remarque : si cette valeur ne correspond pas à l’identité du certificat du serveur, la clé | Oui | |||||||||
VPN permanent (Appareils supervisés) | Active le VPN permanent, qui peut créer un tunnel pour rediriger tout le trafic IP vers votre organisation. Différentes configurations peuvent être définies pour les réseaux cellulaires et Wi-Fi. | Non | |||||||||
Autoriser la désactivation des connexions | Indique si les utilisateurs peuvent désactiver la connexion du VPN permanent. | Non | |||||||||
Utiliser la même configuration | Indique si vous voulez utiliser la même configuration pour les réseaux Wi-Fi et cellulaire. | Non | |||||||||
Authentification des machines | Voici les options disponibles :
| Non | |||||||||
Authentification étendue | Active le protocole EAP (Extensible Authentication Protocol). Lorsqu’il est activé, choisissez l’une des méthodes d’authentification suivantes :
Remarque : les deux méthodes d’authentification doivent être utilisées pour le protocole EAP–PEAP. | Non | |||||||||
Déconnexion en cas d’inactivité | Voici les options disponibles :
| Non | |||||||||
Keepalive NAT | Déclenche l’envoi de keepalive NAT au matériel lorsque l’appareil est en veille, ce qui maintient les connexions actives entre les cycles de veille de l’appareil. Si vous sélectionnez keepalive NAT, vous devez définir une valeur temporelle d’intervalle. La valeur minimale est 20 secondes. | Non | |||||||||
Fréquence Dead Peer Detection | Détermine à quelle fréquence les connexions sans réponse doivent être détectées. Voici les options disponibles :
| Non | |||||||||
Redirections | Permet la redirection vers un autre serveur VPN. | Non | |||||||||
Mobilité et multiadressage | Permet à l’appareil de maintenir la connexion VPN active si :
| Non | |||||||||
Attributs de sous-réseau internes IPv4/IPv6 | Active les tunnels IPv4 et IPv6 pour votre connexion VPN. | Non | |||||||||
Confidentialité persistante parfaite (PFS) | Active la PFS pour votre connexion VPN. Ainsi, les sessions précédentes ne peuvent pas être déchiffrées. | Non | |||||||||
Contrôle de révocation des certificats | Permet à l’appareil de vérifier les certificats qu’il reçoit du serveur VPN à l’aide d’une liste des certificats révoquées (CRL). | Non | |||||||||
Paramètres dynamiques des associations de sécurité (SA) | Autorise la configuration des paramètres IKE et Child. Ces deux valeurs requièrent les attributs suivants :
| Non | |||||||||
Exceptions relatives au service | Permet de créer des exceptions relatives au service pour la messagerie, AirPrint, les MMS et les services cellulaires. Chaque service peut être configuré pour utiliser l’un des éléments suivants :
| Non | |||||||||
Trafic provenant de tous les portails web captifs en dehors du tunnel VPN | Indique si vous voulez autoriser le trafic provenant des portails web captifs en dehors du tunnel VPN. | Non | |||||||||
Trafic de toutes les apps de mise en réseau captif hors du tunnel VPN | Indique si vous voulez autoriser le trafic provenant des apps se connectant à des réseaux distants. Lorsque ce réglage est activé, les apps doivent être répertoriées (voir ci-dessous). | Non | |||||||||
Identifiants de paquet d’app de mise en réseau captif | Identifie les apps de mise en réseau qui sont autorisées en dehors du tunnel VPN. Elles sont identifiées par leur identifiant de paquet. | Non | |||||||||
Adresses de serveur DNS | Tableau d’adresses IP de serveurs DNS sous forme de chaînes. Ces adresses IP peuvent être un mélange d’adresses IPv4 et IPv6. | Non | |||||||||
Nom de domaine principal | Le nom de domaine principal du tunnel VPN. | Non | |||||||||
Domaines de recherche DNS | La liste de chaînes de domaine utilisées pour valider pleinement les noms d’hôte à étiquette unique. | Non | |||||||||
Domaines correspondants supplémentaires DNS | La liste de chaînes de domaine utilisée pour déterminer quelles requêtes DNS utilisent les réglages du résolveur DNS contenus dans ServerAddresses. Cette clé sert à créer une configuration DNS scindée dans laquelle seuls les hôtes de certains domaines sont résolus à l’aide du résolveur DNS du tunnel. Les hôtes ne faisant pas partie des domaines de cette liste sont résolus à l’aide du résolveur du système par défaut. | Non | |||||||||
Inclure des domaines supplémentaires | Si la valeur est fausse, annexe les domaines de la liste des domaines correspondants supplémentaires à la liste du résolveur des domaines de recherche. | Non | |||||||||
Faire varier l’unité de transfert maximale (MTU), en octets | La valeur par défaut est égale à 1280. | Non | |||||||||
Remarque : chaque fournisseur de solution MDM met en œuvre ces réglages de sa propre façon. Pour découvrir comment les réglages IKEv2 sont appliqués à vos appareils et utilisateurs, consultez la documentation de votre fournisseur de solution MDM.