VPN

Utilizza le impostazioni VPN per configurare le VPN tradizionali a livello di sistema in base a L2TP, PPTP e IPsec. Queste impostazioni non si applicano alle impostazioni VPN per app.

La seguente tabella descrive i parametri di connessione richiesti per applicare una connessione VPN sicura sui dispositivi macOS :
Impostazione politica Descrizione
Tipo di connessione Il tipo di connessione VPN. MaaS360® supporta i seguenti tipi di connessione:
  • L2TP
  • PPTP
  • Cisco (IPSec)
  • Cisco AnyConnect
  • SSL Juniper
  • SSL F5
  • SonicWall Mobile Connect
  • Aruba VIA ®
  • SSL personalizzato
  • IKEv2
Nome connessione VPN Il nome univoco della connessione VPN visualizzato sulla periferica.
Nome host del server VPN Il nome host del server VPN.
Identificativo remoto L'identificativo remoto che identifica il server IKEv2 . I formati supportati sono FQDN, FQDN utente, Indirizzo o ASN1DN.
Identificativo locale L'identificativo locale utilizzato dalla periferica mobile. I formati supportati sono FQDN, FQDN utente, Indirizzo o ASN1DN.
Account utente VPN Il nome utente dell'account VPN. È possibile fornire caratteri jolly come %domain%%username%o utilizzare %username%.
Tipo di autenticazione utente Il tipo di autenticazione utilizzato per connettersi al server VPN:
  • Password: è necessario fornire una password se si utilizza L2TP o PPTP.
  • RSA SecurID : per l'autenticazione L2TP, gli utenti possono utilizzare una scheda token RSA SecurID per connettersi alla rete.
  • Certificato
    • Certificato d'identità
    • VPN On demand: stabilisci sempre per gli URL: immetti URL separati da virgole. Ad esempio, .com, .example.com. Una connessione VPN viene sempre avviata per domini o nomi host che corrispondono agli URL.
    • VPN On demand: non stabilire mai gli URL: immettere URL separati da virgole. Ad esempio, .com, .example.com. Non viene avviata una connessione VPN per l'indirizzo che corrisponde a questi domini o nomi host. La connessione VPN esistente continua.
    • VPN On demand: stabilisci se necessario per gli URL: immetti URL separati da virgole. Ad esempio, .com, .example.com. Una connessione VPN viene avviata per l'indirizzo che corrisponde a questi domini o nomi host solo se la ricerca DNS non riesce.
Tipo di autenticazione macchina La macchina utilizza un segreto condiviso, un'autenticazione CSE o un certificato di identità per l'autenticazione.
Abilita EAP L'autenticazione solo EAP è abilitata per il dispositivo. Questa impostazione viene utilizzata per IKEv2.
Versione minima TLS La versione TLS minima utilizzata dall'autenticazione EAP - TLS. I valori supportati sono 1.0, 1.1o 1.2. Se non viene specificato alcun valore, il valore minimo predefinito è 1.0.
Versione massima TLS La versione TLS massima utilizzata dall'autenticazione EAP - TLS. I valori supportati sono 1.0, 1.1o 1.2. Se non viene specificato alcun valore, il valore massimo predefinito è 1.2.
Frequenza di rilevamento dei peer inattivi L'intervallo di rilevamento per la connessione.
Disabilita reindirizzamenti Il reindirizzamento IKEv2 è disabilitato per il dispositivo. Altrimenti, la connessione viene reindirizzata se viene ricevuta una richiesta di reindirizzamento dal server. Per impostazione predefinita, l'opzione è disattivata.
Disabilita mobilità e multihoming IKEv2 Mobility and Multihoming (MOBIKE) è disabilitato per il dispositivo.
Abilita controllo di revoca del certificato Il controllo della revoca del certificato è abilitato per connessioni IKEv2 . Questo è un controllo di revoca del massimo sforzo; i timeout di risposta del server non causano l'esito negativo del controllo del certificato.
Utilizza attributi sottorete interna IPv4 / IPv5 Le negoziazioni utilizzano la configurazione IKEv2 .
Abilita PFS (Perfect Forward Secrecy) PFS (Perfect Forward Secrecy) è abilitata per connessioni IKEv2 .
Algoritmo di crittografia L'algoritmo di codifica richiesto per l'associazione di sicurezza child.
Algoritmo di integrità L'algoritmo di integrità richiesto per l'associazione di sicurezza child.
Gruppo Diffie-Hellman Il numero del gruppo Diffie - Hellman.
Durata in minuti La durata SA (intervallo di rekeying) in minuti. I valori validi sono compresi tra 10 e 1440.
VPN sempre attiva (solo sotto supervisione)
  • Consenti all'utente di disabilitare la connessione automatica: gli utenti possono disabilitare una connessione automatica alla VPN.
  • Abilita keepalive NAT mentre il dispositivo è inattivo: l'offload keepalive NAT è abilitato per le connessioni VPN Always - on IKEv2 . I pacchetti keepalive vengono inviati dalla periferica per mantenere le associazioni di NAT per connessioni IKEv2 che hanno un NAT sul percorso. I pacchetti keepalive vengono inviati a intervalli regolari quando la periferica è in modalità wake. I pacchetti keepalive vengono scaricati sull'hardware quando una periferica è in modalità sospensione. Gli scaricamenti keepalive NAT influiscono sulla durata della batteria poiché il carico di lavoro aggiuntivo viene aggiunto quando un dispositivo è in modalità sospensione.
  • Intervallo keepalive NAT per interfacce cellulari (in sec): l'intervallo keepalive NAT per le connessioni IKEv2 VPN sempre attive. Questo valore controlla l'intervallo per i pacchetti offload keepalive inviati dalla periferica. Il valore minimo è 20 secondi. Se non viene specificata alcuna chiave, il valore predefinito è 20 secondi per il wifi e 110 secondi per un'interfaccia cellulare.
  • Intervallo keepalive NAT per interfacce WiFi (in sec)
  • Eccezione per posta vocale: il servizio di sistema di posta vocale è esente dalla VPN Always - on.
  • Eccezione per AirPrint : Il servizio di sistema AirPrint è esente dalla VPN Always-on.
  • Consenti il traffico dal foglio web captive al di fuori del tunnel VPN: il traffico di rete è consentito dal foglio web captive al di fuori del tunnel VPN.
  • Consenti il traffico da tutte le applicazioni di rete captive al di fuori del tunnel VPN: il traffico di rete è consentito da tutte le applicazioni di rete captive al di fuori del tunnel VPN.
  • Captive Networking App Bundle Identifier: il traffico di rete da queste applicazioni è consentito all'esterno del tunnel VPN. Immettere gli ID bundle app separati da virgole.
Segreto condiviso Il segreto condiviso (password) utilizzato per l'autenticazione. Questa impostazione viene utilizzata per L2TP o Cisco IPsec.
Invia tutto il traffico Tutto il traffico di rete viene inviato tramite VPN.
Tipo di proxy Se si sceglie il tipo di proxy manuale, è necessario fornire l'indirizzo del server proxy che include la porta del server proxy e, facoltativamente, un nome utente e una password. Se si sceglie il tipo di proxy automatico, inserire un URL proxy (PAC).
Livello di crittografia La codifica è abilitata sulla connessione.