Operation Manual

ManualsBrandsApple ManualsOtheriOS Implementierung

Kapitel 4 Infrastruktur und Integration 49

Kongurationsprol für permanentes VPN

Ein Kongurationsprol für ein permanentes VPN kann entweder manuell mit einem der

Editoren für Apple-Kongurationsprole (z. B. Prolmanager, Apple Congurator) oder mit einem

Editor eines anderen MDM-Anbieters erstellt werden. Weitere Informationen nden Sie unter

Prolmanager-Hilfe oder Apple Congurator-Hilfe.

Benutzerinteraktionsschlüssel

Damit die Benutzer das permanente VPN nicht deaktivieren können, verbieten Sie das

Entfernen des Prols für das permanente VPN, indem Sie den höchstwertigen Prolschlüssel

„PayloadRemovalDisallowed“ auf „true“ (wahr) einstellen.

Damit die Benutzer das Verhalten des permanenten VPNs nicht ändern können, indem sie andere

Kongurationsprole installieren, verbieten Sie die Installation von Benutzeroberächenprolen, indem

Sie den Schlüssel „allowUICongurationProleInstallation“ der Payload „com.apple.applicationaccess“

auf „false“ (falsch) einstellen. Ihre Organisation kann zusätzliche Einschränkungen mithilfe anderer

unterstützter Schlüssel unter derselben Payload implementieren.

Zertikat-Payloads

•

Server-CA-Zertikat: Wenn Zertikate als Authentizierungsmethode für IKEv2-Tunnel verwendet

werden, sendet der IKEv2-Server das Serverzertikat an das iOS-Gerät, das die Serveridentität

auswertet. Damit das iOS-Gerät das Serverzertikat auswerten kann, benötigt es das Zertikat

der Zertizierungsstelle (CA), die das Serverzertikat ausstellte. Dieses CA-Zertikat kann vorab

auf dem Gerät installiert worden sein. Andernfalls kann Ihre Organisation das CA-Zertikat

des Servers einbeziehen, indem eine Zertikat-Payload für das CA-Zertikat des Servers

erstellt wird.

•

CA-Zertikat(e) von Clients: Wenn Zertikate oder EAP-TLS als Authentizierungsmethode für

IKEv2-Tunnel verwendet werden, sendet das iOS-Gerät seine Clientzertikate an den IKEv2-Server,

der die Clientidentität auswertet. Der Client kann abhängig vom ausgewählten

Implementierungsmodell ein oder zwei Clientzertikate haben. Ihre Organisation muss die

Clientzertikat(e) einbeziehen, indem Payload(s) für die Clientzertikat(e) erstellt werden.

Gleichzeitig muss auf dem IKEv2-Server das CA-Zertikat des Clients (von der Zertizierungsstelle)

installiert sein, damit der IKEv2-Server die Clientidentität auswerten kann.

•

IKEv2-Zertikatunterstützung für permanentes VPN: Derzeit unterstützt IKEv2 für permanente

VPNs nur RSA-Zertikate.

Payload für permanentes VPN

Folgendes gilt für die Payload für permanente VPNs.

•

Die Payload für permanente VPNs kann nur auf betreuten iOS-Geräten installiert werden.

•

Ein Kongurationsprol kann immer nur eine Payload für permanente VPNs enthalten.

•

Es kann jeweils nur ein Kongurationsprol für ein permanentes VPN auf einem iOS-Gerät

installiert werden.

Automatische Verbindung in iOS

Ein permanentes VPN stellt den optionalen Schlüssel „UIToggleEnabled“ bereit, der es Ihrer

Organisation ermöglicht, den Schalter für das automatische Verbinden in den VPN-Einstellungen

zu aktivieren. Wenn dieser Schlüssel im Prol nicht angegeben oder auf 0 eingestellt wird, versucht

das permanente VPN, einen oder zwei VPN-Tunnel zu aktivieren. Wenn dieser Schlüssel auf 1

eingestellt wird, wird der Schalter im VPN-Einstellungsbereich angezeigt, sodass der Benutzer

entscheiden kann, ob er die VPN-Tunnelung ein- oder ausschalten möchte. Wenn der Benutzer

die VPN-Tunnelung ausschaltet, wird kein Tunnel aktiviert; in diesem Fall unterbindet das Gerät

den gesamten IP-Datenverkehr. Das ist hilfreich, wenn keine IP-Erreichbarkeit besteht und der

Benutzer dennoch Anrufe tätigen will. Der Benutzer kann die VPN-Tunnelung ausschalten,

um unnötige Versuche zu vermeiden, einen VPN-Tunnel zu aktivieren.