VPN

Utilisez les paramètres VPN pour configurer des réseaux VPN standard à l'échelle du système basés sur les protocoles L2TP, PPTP et IPsec. Ces paramètres ne s'appliquent pas aux paramètres VPN par application.

Le tableau suivant décrit les paramètres de connexion qui sont requis pour imposer une connexion VPN sécurisée sur les appareils macOS :
Paramètre de stratégie Description
Type de connexion Type de connexion VPN. MaaS360® prend en charge les types de connexion suivants:
  • L2TP
  • Protocole PPTP (Point-to-Point Tunneling Protocol)
  • Cisco (IPsec)
  • Cisco AnyConnect
  • SSL Juniper
  • SSL F5
  • SonicWall Mobile Connect
  • Aruba VIA ®
  • SSL personnalisé
  • IKEv2
Nom de connexion VPN Nom unique de la connexion VPN qui est affichée sur l'appareil.
Nom d'hôte du serveur VPN Nom d'hôte du serveur VPN.
Identificateur distant Identificateur distant qui identifie le serveur IKEv2. Les formats pris en charge sont le nom de domaine complet (FQDN), le nom de domaine complet de l'utilisateur (User FQDN), l'adresse ou le nom distinctif ASN1DN.
Identificateur local Identificateur local qui est utilisé par l'appareil mobile. Les formats pris en charge sont le nom de domaine complet (FQDN), le nom de domaine complet de l'utilisateur (User FQDN), l'adresse ou le nom distinctif ASN1DN.
Compte utilisateur VPN Nom d'utilisateur du compte VPN. Vous pouvez fournir des caractères génériques tels que %domain%%username% ou utiliser %username%.
Type d'authentification de l'utilisateur Type d'authentification qui est utilisé pour la connexion au serveur VPN :
  • Mot de passe : Vous devez fournir un mot de passe si vous utilisez L2TP ou PPTP.
  • RSA SecurID : Pour l'authentification L2TP, les utilisateurs peuvent utiliser une carte ou un jeton RSA SecurID pour se connecter au réseau.
  • Certificat
    • Certificat d'identité
    • VPN à la demande : Toujours établir une connexion au VPN pour les URL : Entrez des URL séparées par des virgules. Par exemple, .com, .example.com. Une connexion VPN est toujours initiée pour les domaines ou les noms d'hôte qui correspondent aux URL.
    • VPN à la demande : Ne jamais établir de connexion au VPN pour les URL : Entrez des URL séparées par des virgules. Par exemple, .com, .example.com. Une connexion VPN n'est pas initiée pour l'adresse qui correspond à ces domaines ou noms d'hôte. La connexion VPN existante se poursuit.
    • VPN à la demande : Etablir une connexion au VPN uniquement si nécessaire aux URL : Entrez des URL séparées par des virgules. Par exemple, .com, .example.com. Une connexion VPN est initiée pour l'adresse qui correspond à ces domaines ou noms d'hôte uniquement si la recherche DNS échoue.
Type d'authentification de la machine La machine utilise un secret partagé, une authentification CSE ou un certificat d'identité pour l'authentification.
Activer EAP L'authentification EAP uniquement est activée pour l'appareil. Ce paramètre est utilisé pour IKEv2.
Version min. TLS Version minimale de TLS qui est utilisée par l'authentification EAP-TLS. Les valeurs prises en charge sont 1.0, 1.1 ou 1.2. Si aucune valeur n'est spécifiée, la valeur minimale par défaut est 1.0.
Version max. TLS Version maximale de TLS qui est utilisée avec l'authentification EAP-TLS. Les valeurs prises en charge sont 1.0, 1.1 ou 1.2. Si aucune valeur n'est spécifiée, la valeur maximale par défaut est 1.2.
Taux de détection des homologues inactifs Intervalle de détection pour la connexion.
Désactiver les redirections Le réacheminement IKEv2 est désactivé pour l'appareil. Sinon, la connexion est redirigée si une demande de redirection est reçue de la part du serveur. Ce paramètre est désactivé par défaut.
Désactiver la mobilité et le multihébergement IKEv2 Mobility and Multihoming (MOBIKE) est désactivé pour l'appareil.
Activer la vérification des révocations de certificat La vérification des révocations de certificat est activée pour les connexions IKEv2. Il s'agit de la vérification des révocations en mode optimal ; les dépassements de délai de réponse du serveur n'entraînent pas l'échec du certificat.
Utiliser les attributs de sous-réseau interne IPv4/IPv5 Les négociations utilisent la configuration IKEv2.
Activer la confidentialité persistante (PFS) La confidentialité persistante parfaite (PFS - Perfect Forward Secrecy) est activée pour les connexions IKEv2.
Algorithme de chiffrement Algorithme de chiffrement qui est requis pour l'association de sécurité enfant.
Algorithme d'intégrité Algorithme d'intégrité qui est requis pour l'association de sécurité enfant.
Groupe Diffie-Hellman Numéro du groupe Diffie-Hellman.
Durée de vie en minutes Durée de vie SA (intervalle de changement de clé) exprimée en minutes. Les valeurs valides sont comprises entre 10 et 1440.
Activation continue du VPN (supervisé uniquement)
  • Autoriser l'utilisateur à désactiver la connexion automatique : Les utilisateurs peuvent désactiver une connexion automatique au VPN.
  • Activer le signal de présence NAT quand l'appareil est en veille : Le déchargement de signal de présence NAT est activé pour les connexions IKEv2 de type Activation continue du VPN. Les paquets de signal de présence sont envoyés par l'appareil afin de maintenir les mappages NAT pour les connexions IKEv2 dont le chemin comporte un signal de présence NAT. Les paquets de signal de présence sont envoyés à intervalles réguliers lorsque l'appareil est en mode veille. Les paquets de signal de présence sont déchargés sur le matériel lorsqu'un appareil est en mode veille. Les déchargements de signal de présence NAT ont un impact sur la durée de vie de batterie car une charge de travail supplémentaire est ajoutée lorsqu'un appareil est en mode veille.
  • Intervalle de signal de présence NAT pour les interfaces cellulaires (en s.) : Intervalle de signal de présence NAT pour les connexions IKEv2 de type Activation continue du VPN. Cette valeur contrôle l'intervalle pour les paquets de déchargement de signal de présence qui sont envoyés par l'appareil. La valeur minimale est de 20 secondes. Si aucune clé n'est spécifiée, la valeur par défaut est de 20 secondes pour le Wi-Fi et de 110 secondes pour une interface cellulaire.
  • Intervalle de signal de présence NAT pour les interfaces WiFi (en s.)
  • Exception pour la messagerie vocale : Le service de messagerie vocale est exempté de l'activation continue du VPN.
  • Exception pour AirPrint : Le service du système AirPrint est exempté de l'activation continue du VPN.
  • Autoriser le trafic depuis la feuille Web captive hors tunnel VPN : Le trafic réseau est autorisé à partir de la feuille Web captive en dehors du tunnel VPN.
  • Autoriser le trafic depuis toutes les applis réseau captif hors tunnel VPN : Le trafic réseau est autorisé à partir de toutes les applications réseau captif en dehors du tunnel VPN.
  • Identificateurs de bundle d'applis réseau captif : Le trafic réseau à partir de ces applications est autorisé en dehors du tunnel VPN. Entrez des ID de bundle séparés par des virgules.
Secret partagé Secret partagé (mot de passe) qui est utilisé pour l'authentification. Ce paramètre est utilisé pour L2TP ou Cisco IPsec.
Envoyer tout le trafic L'ensemble du trafic réseau est envoyé via le VPN.
Type de proxy Si vous choisissez le type Proxy manuel, vous devez fournir l'adresse de serveur proxy, y compris le port de serveur proxy et éventuellement un nom d'utilisateur et un mot de passe. Si vous choisissez le type Proxy automatique, entrez une URL Proxy (PAC).
Niveau de chiffrement Le chiffrement est activé sur la connexion.