Stimmen - 0, Durchschnittliche Bewertung: 0
(
)
)
|
Dieses Gerät hat auch andere Anweisungen:
Anleitung Zusammenfassung
Konfigurationsprofil für permanentes VPN
Ein Konfigurationsprofil für ein permanentes VPN kann entweder manuell mit einem der
Editoren für Apple-Konfigurationsprofile (z. B. Profilmanager, Apple Configurator) oder mit einem
Editor eines anderen MDM-Anbieters erstellt werden. Weitere Informationen finden Sie unter
Profilmanager-Hilfe oder Apple Configurator-Hilfe.
Benutzerinteraktionsschlüssel
Damit die Benutzer das permanente VPN nicht deaktivieren können, verbieten Sie das
Entfernen des Profils für das permanente VPN, indem Sie den höchstwertigen Profilschlüssel
„PayloadRemovalDisallowed“ auf „true“ (wahr) einstellen.
Damit die Benutzer das Verhalten des permanenten VPNs nicht ändern können, indem sie andere
Konfigurationsprofile installieren, verbieten Sie die Installation von Benutzeroberflächenprofilen, indem
Sie den Schlüssel „allowUIConfigurationProfileInstallation“ der Payload „com.apple.applicationaccess“
auf „false“ (falsch) einstellen. Ihre Organisation kann zusätzliche Einschränkungen mithilfe anderer
unterstützter Schlüssel unter derselben Payload implementieren.
Zertifikat-Payloads
• Server-CA-Zertifikat: Wenn Zertifikate als Authentifizierungsmethode für IKEv2-Tunnel verwendet
werden, sendet der IKEv2-Server das Serverzertifikat an das iOS-Gerät, das die Serveridentität
auswertet. Damit das iOS-Gerät das Serverzertifikat auswerten kann, benötigt es das Zertifikat
der Zertifizierungsstelle (CA), die das Serverzertifikat ausstellte. Dieses CA-Zertifikat kann vorab
auf dem Gerät installiert worden sein. Andernfalls kann Ihre Organisation das CA-Zertifikat
des Servers einbeziehen, indem eine Zertifikat-Payload für das CA-Zertifikat des Servers
erstellt wird.
• CA-Zertifikat(e) von Clients: Wenn Zertifikate oder EAP-TLS als Authentifizierungsmethode für
IKEv2-Tunnel verwendet werden, sendet das iOS-Gerät seine Clientzertifikate an den IKEv2-Server,
der die Clientidentität auswertet. Der Client kann abhängig vom ausgewählten
Implementierungsmodell ein oder zwei Clientzertifikate haben. Ihre Organisation muss die
Clientzertifikat(e) einbeziehen, indem Payload(s) für die Clientzertifikat(e) erstellt werden.
Gleichzeitig muss auf dem IKEv2-Server das CA-Zertifikat des Clients (von der Zertifizierungsstelle)
installiert sein, damit der IKEv2-Server die Clientidentität auswerten kann.
• IKEv2-Zertifikatunterstützung für permanentes VPN: Derzeit unterstützt IKEv2 für permanente
VPNs nur RSA-Zertifikate.
Payload für permanentes VPN
Folgendes gilt für die Payload für permanente VPNs.
• Die Payload für permanente VPNs kann nur auf betreuten iOS-Geräten installiert werden.
• Ein Konfigurationsprofil kann immer nur eine Payload für permanente VPNs enthalten.
• Es kann jeweils nur ein Konfigurationsprofil für ein permanentes VPN auf einem iOS-Gerät
installiert werden.
Automatische Verbindung in iOS
Ein permanentes VPN stellt den optionalen Schlüssel „UIToggleEnabled“ bereit, der es Ihrer
Organisation ermöglicht, den Schalter für das automatische Verbinden in den VPN-Einstellungen
zu aktivieren. Wenn dieser Schlüssel im Profil nicht angegeben oder auf 0 eingestellt wird, versucht
das permanente VPN, einen oder zwei VPN-Tunnel zu aktivieren. Wenn dieser Schlüssel auf 1
eingestellt wird, wird der Schalter im VPN-Einstellungsbereich angezeigt, sodass der Benutzer
entscheiden kann, ob er die VPN-Tunnelung ein- oder ausschalten möchte. Wenn der Benutzer
die VPN-Tunnelung ausschaltet, wird kein Tunnel aktiviert; in diesem Fall unterbindet das Gerät
den gesamten IP-Datenverkehr. Das ist hilfreich, wenn keine IP-Erreichbarkeit besteht und der
Benutzer dennoch Anrufe tätigen will. Der Benutzer kann die VPN-Tunnelung ausschalten,
um unnötige Versuche zu vermeiden, einen VPN-Tunnel zu aktivieren.
Kapitel 4 Infrastruktur und Integration
49
...