Ajustes de IKEv2 em dispositivos Apple em MDM
Você pode configurar uma conexão IKEv2 para um iPhone, iPad ou Mac que esteja registrado em uma solução de gerenciamento de dispositivos móveis (MDM). Escolha IKEv2 e selecione VPN Sempre Ativa se desejar configurar um payload para que os dispositivos iPhone e iPad precisem ter uma conexão VPN ativa para se conectar a qualquer rede. Você pode configurar a VPN Sempre Ativa em conexões celulares e Wi‑Fi separadamente ou em conjunto.
Você pode usar os ajustes de IKEv2 da tabela abaixo com o payload VPN.
Ajuste | Descrição | Obrigatório | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Connection name | O nome de exibição da conexão VPN. | Sim | |||||||||
Nome do host | O endereço IP ou o nome de domínio totalmente qualificado (FQDN) do servidor VPN. | Sim | |||||||||
Local Identifier | Normalmente, este valor deve coincidir com a identidade do certificado do usuário/dispositivo (Nome Alternativo de Sujeito ou Nome Comum de Sujeito), já que a implementação do servidor pode exigir tal correspondência para validar a identidade do cliente. | Sim | |||||||||
Remote Identifier | Este valor deve coincidir com a identidade do certificado do servidor (Nome Alternativo de Sujeito ou Nome Comum de Sujeito). Nota: se este valor não coincidir com a identidade do certificado do servidor, a chave | Sim | |||||||||
VPN Sempre Ativa (Supervisionada); | Ativa a opção VPN Sempre Ativa, que pode encapsular todo o tráfego de IP de volta para a organização. Configurações diferentes podem ser definidas para Cellular e Wi-Fi. | Não | |||||||||
Allow disabling connections | Especifica se os usuários podem desativar a conexão VPN Sempre Ativa. | Não | |||||||||
Use same configuration | Especifica se a mesma configuração será usada para Wi-Fi e celular. | Não | |||||||||
Machine authentication | As opções são:
| Não | |||||||||
Extended authentication | Ativa o Protocolo de Autenticação Extensível (EAP). Quando ativado, selecione um dos seguintes métodos de autenticação:
Nota: ambos os métodos de autenticação precisam ser usados para EAP–PEAP. | Não | |||||||||
Disconnect on idle | As opções são:
| Não | |||||||||
NAT keepalive | Este offload ocorre ao enviar keepalives NAT para o hardware enquanto o dispositivo está em repouso, o que mantém a conexão ativa entre os seus ciclos de repouso. Se keepalive NAT estiver selecionado, o valor do tempo de intervalo deve ser definido. O mínimo é 20 segundos. | Não | |||||||||
Dead peer detection rate | Frequência de detecção de conexões que não respondem. As opções são:
| Não | |||||||||
Redirects | Permite o redirecionamento a outro servidor de VPN. | Não | |||||||||
Mobility and multihoming | Permite que o dispositivo mantenha a conexão VPN ativa se:
| Não | |||||||||
IPv4 and IPv6 internal subnet attributes | Ativa os túneis IPv4 e IPv6 para a conexão VPN. | Não | |||||||||
Perfect Forward Secrecy (PFS) | Ativa o PFS para a conexão VPN. Isso evita que as sessões passadas sejam decriptografadas. | Não | |||||||||
Certificate revocation check | Permite que o dispositivo verifique os certificados que obtém do servidor VPN em relação à Certificate Revocation List (CRL). | Não | |||||||||
Dynamic security associations (SA) parameters | Permite a configuração dos parâmetros IKE e Filho. Ambos os valores requerem os seguintes atributos:
| Não | |||||||||
Exceções de serviço | Permite exceções de serviço para voicemail, AirPrint, mensagens MMS e serviços de celular. Cada serviço pode ser configurado para usar uma das seguintes opções:
| Não | |||||||||
Traffic from captive web portals outside the VPN tunnel | Especifica se o tráfego de portais web controlados por fora do túnel VPN é permitido. | Não | |||||||||
Traffic from all captive networking apps outside the VPN tunnel | Especifica se o tráfego de apps que se conectam a redes remotas é permitido. Se esta opção estiver ativada, os apps precisam ser listados (abaixo). | Não | |||||||||
Captive network app bundle identifiers | Identifica os apps de rede que têm permissão fora do túnel VPN. Eles são identificados pelo ID do pacote. | Não | |||||||||
DNS server addresses | A matriz de strings contendo os endereços IP de servidores DNS. Esses endereços IP podem ser uma combinação de endereços IPv4 e IPv6. | Não | |||||||||
Primary domain name | O nome do domínio primário do túnel VPN. | Não | |||||||||
DNS search domains | A lista de strings de domínio usadas para qualificar completamente hostnames de rótulo único. | Não | |||||||||
DNS supplemental match domains | A lista de strings de domínio usadas para determinar quais consultas DNS usam os ajustes de resolução de DNS contidos em ServerAddresses. Esta chave é usada para criar uma configuração de DNS dividido em que somente hosts de determinados domínios são resolvidos usando a resolução de DNS do túnel. Os hosts que não estiverem em um dos domínios desta lista são resolvidos com a resolução padrão do sistema. | Não | |||||||||
Include supplemental domains | Se falso, acrescenta os domínios na lista de domínios de correspondência suplementar à lista de domínios de busca de resolução. | Não | |||||||||
Vary the maximum transmission unit (MTU), in bytes | O padrão é 1280. | Não | |||||||||
Nota: cada fornecedor de MDM implementa esses ajustes de maneira diferente. Para saber como os ajustes de IKEv2 são aplicados aos seus dispositivos e usuários, consulte a documentação do fornecedor do MDM.