Operation Manual

ManualsBrandsApple ManualsOtheriOS Implementierung

Hoofdstuk 4 Infrastructuur en integratie 49

Conguratieproel voor Altijd actieve VPN

Een conguratieproel voor Altijd actieve VPN kan handmatig worden samengesteld met een

Apple editor voor conguratieproelen (zoals Proelbeheer), met Apple Congurator, of via een

MDM-oplossing van een andere leverancier. Zie Proelbeheer Help of Apple Congurator Help

voor meer informatie.

Sleutels voor gebruikersinteractie

Om te voorkomen dat gebruikers de functie Altijd actieve VPN uitschakelen, moet u instellen

dat het profiel voor Altijd actieve VPN niet kan worden verwijderd door de sleutel

'PayloadRemovalDisallowed' op 'true' te zetten. Deze sleutel vindt u op het hoogste niveau in

het proel.

Om te voorkomen dat gebruikers de werking van Altijd actieve VPN wijzigen door andere

conguratieproelen te installeren, moet u de installatie van UI-proelen onmogelijk maken

door de sleutel 'allowUICongurationProleInstallation' op 'false' te zetten onder de payload

'com.apple.applicationaccess'. Uw organisatie kan aanvullende beperkingen implementeren door

onder dezelfde payload andere ondersteunde sleutels te gebruiken.

Certicaatpayloads

•

CA-certicaat van server: Als de identiteitscontrole voor de IKEv2-tunnel plaatsvindt aan de

hand van certicaten, verstuurt de IKEv2-server het eigen servercerticaat naar het iOS-

apparaat, dat vervolgens de identiteit van de server controleert. Het iOS-apparaat heeft hier

wel een zogeheten CA-certicaat voor nodig. Dit is een certicaat met informatie over de

certicaatautoriteit (de instantie die het servercerticaat heeft uitgegeven). Het CA-certicaat

van de server is mogelijk al eerder op het apparaat geïnstalleerd. Als dat niet zo is, kan uw

organisatie het CA-certicaat beschikbaar stellen door een certicaatpayload aan te maken

voor het CA-certicaat van de server.

•

CA-certicaten van clients: Als de identiteitscontrole voor de IKEv2-tunnel plaatsvindt op

basis van certicaten of EAP-TLS, verstuurt het iOS-apparaat het eigen clientcerticaat naar

de IKEv2-server, die vervolgens de identiteit van de client controleert. De client kan één

of twee clientcerticaten hebben, afhankelijk van het geselecteerde implementatiemodel.

Uw organisatie moet het certicaat of de certicaten beschikbaar stellen door een of meer

payloads aan te maken. Tegelijkertijd is het zo dat de IKEv2-server de clientidentiteit alleen

kan controleren als het CA-certicaat van de client is geïnstalleerd. Dit is een certicaat met

informatie over de certicaatautoriteit (de instantie die het clientcerticaat heeft uitgegeven).

•

Certicaten die door IKEv2 worden ondersteund voor Altijd actieve VPN: Op dit moment worden

door IKEv2 alleen RSA-certicaten ondersteund voor Altijd actieve VPN.

Payload voor Altijd actieve VPN

Het volgende geldt voor de payload voor Altijd actieve VPN.

•

De payload voor Altijd actieve VPN kan alleen worden geïnstalleerd op iOS-apparaten die

onder supervisie staan

•

Een conguratieproel kan maar één payload voor Altijd actieve VPN bevatten

•

Er kan maar één conguratieproel voor Altijd actieve VPN tegelijk zijn geïnstalleerd op een

iOS-apparaat