VPN

Use as configurações de VPN para configurar VPNs em todo o sistema tradicionais com base em L2TP, PPTP e IPsec. Essas configurações não se aplicam às configurações de VPN por aplicativo.

A tabela a seguir descreve os parâmetros de conexão necessários para utilizar uma conexão VPN segura em dispositivos macOS:
Configuração de política Descrição
Tipo de conexão O tipo de conexão VPN. MaaS360® suporta os seguintes tipos de conexão:
  • L2TP
  • PPTP
  • Cisco (IPsec)
  • Cisco AnyConnect
  • SSL Juniper
  • F5 SSL
  • SonicWall Mobile Connect
  • Aruba VIA ®
  • SSL customizado
  • IKEv2
Nome de conexão do VPN O nome exclusivo da conexão VPN exibido no dispositivo.
Nome do host do servidor VPN O nome do host do servidor VPN.
Identificador remoto O identificador remoto que identifica o servidor IKEv2. Os formatos suportados são FQDN, User FQDN, Address ou ASN1DN.
Identificador local O identificador local usado pelo dispositivo móvel. Os formatos suportados são FQDN, User FQDN, Address ou ASN1DN.
Conta de usuário do VPN O nome de usuário da conta VPN. É possível fornecer curingas como %domain%%username% ou usar %username%.
Tipo de autenticação do usuário O tipo de autenticação usado para se conectar ao servidor VPN:
  • Senha: deve-se fornecer uma senha no caso de usar L2TP ou PPTP.
  • RSA SecurID: para autenticação L2TP, os usuários podem usar um cartão de token RSA SecurID para se conectar à rede.
  • Certificado
    • Certificado de Identidade
    • VPN On demand: sempre estabelecer para URLs: insira URLs separadas por vírgula. Por exemplo, .com, .example.com Uma conexão VPN é sempre iniciada para domínios ou nomes de host que correspondem às URLs.
    • VPN On demand: nunca estabelecer para URLs: insira URLs separadas por vírgula. Por exemplo, .com, .example.com Uma conexão VPN não é iniciada para o endereço que corresponde a esses domínios ou nomes de host. A conexão VPN existente continua.
    • VPN On demand: estabelecer para URLs, se necessário: insira URLs separadas por vírgula. Por exemplo, .com, .example.com Uma conexão VPN será iniciada para o endereço que corresponder a esses domínios ou nomes de host, somente se a consulta de DNS falhar.
Tipo de autenticação da máquina A máquina usa um segredo compartilhado, uma autenticação de CSE ou um certificado de identidade para autenticação.
Ativar EAP A autenticação somente EAP está ativada para o dispositivo. Essa configuração é usada para IKEv2.
Versão mín. de TLS A versão mínima do TLS usada pela autenticação EAP-TLS. Os valores suportados são 1.0, 1.1 ou 1.2. Se nenhum valor for especificado, o mínimo padrão será 1.0.
Versão máxima de TLS A versão máxima do TLS usada pela autenticação EAP-TLS. Os valores suportados são 1.0, 1.1 ou 1.2. Se nenhum valor for especificado, o máximo padrão será 1.2.
Taxa de Detecção de Peer Morto O intervalo de detecção para a conexão.
Desativar redirecionamentos O redirecionamento de IKEv2 é desativado para o dispositivo. Caso contrário, a conexão será redirecionada se uma solicitação de redirecionamento for recebida do servidor. O valor padrão é off.
Desativar mobilidade e multihoming IKEv2 Mobility e Multihoming (MOBIKE) estão desativados para o dispositivo.
Ativar verificação de revogação de certificado A verificação de revogação de certificado está ativada para conexões IKEv2. Essa é uma verificação de revogação de melhor esforço; os tempos limite de resposta do servidor não fazem com que a verificação de certificado falhe.
Usar atributos de sub-rede interna IPv4/IPv5 As negociações usam a configuração IKEv2.
Ativar sigilo de encaminhamento perfeito O Perfect Forward Secrecy (PFS) é ativado para conexões IKEv2.
Algoritmo de criptografia O algoritmo de criptografia necessário para a Associação de segurança filha.
Algoritmo de integridade O algoritmo de integridade necessário para a Associação de segurança filha.
Grupo Diffie-Hellman O número de Grupo Diffie-Hellman.
Tempo de vida em minutos O tempo de vida de SA (intervalo de rechaveamento) em minutos. Os valores válidos são de 10 a 1440.
Sempre-na VPN (supervisionado apenas)
  • Permitir que o usuário desative a conexão automática: os usuários podem desativar uma conexão automática com a VPN.
  • Ativar keep-alive NAT enquanto o dispositivo está adormecido: a transferência de keep-alive NAT está ativada para conexões VPN IKEv2 Sempre ativas. Os pacotes keep-alive são enviados pelo dispositivo para manter os mapeamentos de NAT para conexões IKEv2 que têm um NAT no caminho. Os pacotes keep-alive são enviados em intervalos regulares quando o dispositivo está no modo ativo. Os pacotes keep-alive são transferidos para o hardware quando um dispositivo está no modo de hibernação. As transferências de keep-alive NAT afetam a vida útil da bateria, uma vez que carga de trabalho extra é incluída quando um dispositivo está no modo de hibernação.
  • Intervalo keep-alive NAT para interfaces de celulares (em segundos): o intervalo keep-alive NAT para conexões VPN IKEv2 Sempre ativas. Esse valor controla o intervalo para pacotes de transferência de keep-alive enviados pelo dispositivo. O valor mínimo é 20 segundos. Se nenhuma chave for especificada, o padrão será de 20 segundos para wi-fi e 110 segundos para uma interface de celular.
  • Intervalo keep-alive NAT para interfaces de wi-fi (em segundos)
  • Exceção para mensagem de voz: o serviço do sistema de mensagem de voz está isento de VPN sempre ativa.
  • Exceção para AirPrint: o serviço do sistema de AirPrint está isento de VPN sempre ativa.
  • Permitir tráfego da planilha da web fixa fora do túnel VPN: o tráfego de rede é permitido na planilha da web fixa fora do túnel VPN.
  • Permitir tráfego de todos os aplicativos de rede fixa fora do túnel VPN: o tráfego de rede é permitido em todos os aplicativos de rede fixa fora do túnel VPN.
  • Identificadores de pacote configurável de app de rede fixa: o tráfego de rede desses aplicativos é permitido fora do túnel VPN. Insira IDs de pacote configurável de app separados por vírgula.
Segredo Compartilhado O segredo compartilhado (senha) usado para autenticação. Essa configuração é usada para L2TP ou Cisco IPsec.
Enviar todo o tráfego Todo o tráfego de rede é enviado por meio da VPN.
Tipo de proxy Caso você escolha o tipo de proxy manual, deve-se fornecer o endereço do servidor proxy, incluindo a porta do servidor proxy e, opcionalmente, um nome de usuário e uma senha. Se você escolher o tipo de proxy automático, insira uma URL de proxy (PAC).
Nível de criptografia A criptografia está ativada na conexão.