虚拟专用网络(VPN)
虚拟专用网络(VPN)确保所有数据通过安全隧道传输,这意味着它严格要求身份验证或特殊证书来建立连接。因此,每个企业都倾向于配置 VPN,以确保所有企业数据免受黑客或非授权用户的侵害。VPN 是必需的,用户在工作之外无法访问企业网络。随着移动设备成为生产力的一部分,员工应能在任何地点访问企业数据。作为管理员,您需要为所有受管移动设备配置 VPN。您可以创建并关联 VPN 配置文件到设备。
VPN 和按需 VPN
当在设备上配置了 VPN 配置文件时,用户必须每次在访问安全的企业数据前手动开启移动设备的 VPN 设置。由于 VPN 通过 Wi-Fi 或蜂窝数据运行,每当设备失去互联网连接时,VPN 连接会自动关闭。用户必须手动开启连接以访问企业数据。为解决此问题,您可以选择按需 VPN。顾名思义,只有在特定域名需要时,VPN 连接才会建立,用户无需手动开启 VPN。
您必须指定需要开启 VPN 的域名。您可以用逗号分隔多个域名。下面的表格将帮助您在产品服务器上输入配置 VPN 所需的信息,以便为移动设备配置 VPN。
MDM MSP 支持以下内置 VPN 连接类型:
- L2TP
- PPTP
- IPSec
- IKEv2
除上述内置 VPN 外,Mobile Device Manager Plus MSP 还支持以下插件 VPN。这些 VPN 需要在设备上安装额外应用。
- Cisco AnyConnect Legacy(设备操作系统低于 iOS 10.3)
- Cisco AnyConnect New (设备操作系统为 iOS 10.3 或更高版本)
- Juniper SSL
- F5 Access Legacy
- Pulse Secure
- SonicWALL Mobile Connect
- Aruba VIA
- Check Point Mobile VPN
- F5 Access
- Global Protect Legacy
- Global Protect
- Open VPN
- Citrix SSO
- Citrix VPN
- Custom SSL
注意:这些应用也可以使用 应用配置 功能通过空中配置。
Juniper SSL 应用无法在 App Store 获得。此 VPN 类型仅可配置已安装该应用的设备。若要配置 Custom SSL VPN,管理员必须手动输入应用详细信息。所有其他插件应用可通过 ABM 添加并静默分发到设备。点击 这里 了解更多关于应用分发的信息,点击 这里 了解如何在 iOS 设备上静默安装应用。
证书认证
除了在受管设备上配置 VPN 外,MDM MSP 还提供了使用证书作为认证手段为设备配置 VPN 的选项。我们都知道,身份验证在 VPN 连接建立过程中扮演重要角色,证书被普遍认为比预共享密钥更安全的认证形式。此外,在大型 VPN 网络中,管理大量预共享密钥极为繁琐。证书在此情景下是更具扩展性的替代方案。另外,预共享密钥绑定到 IP 地址,而证书不绑定 IP 地址,确保分配动态 IP 地址的远程用户可使用证书中包含的识别信息进行认证。您可以按照 此处说明 配置证书并大规模分发。 此处说明.
- Cisco AnyConnect 用户指南
- Cisco AnyConnect 管理员指南
以下文档将帮助您在移动设备上配置 Cisco AnyConnect -
配置文件描述
| 配置文件规格 | 描述 |
|---|---|
| VPN | |
| 连接名称 | 指定需在终端用户移动设备上显示的 VPN 名称 |
| 连接类型 | 需启用的连接类型 |
| 服务器名称 / IP 地址 | 服务器主机名或 IP 地址 |
| 本地标识符 (仅当连接类型配置为 IKEv2 时可配置) | 指定用户/设备的证书身份 |
| 远程标识符 (仅当连接类型配置为 IKEv2 时可配置) | 指定服务器的证书身份 |
| 账户 | “访问 VPN 的用户身份验证”(%username%)将获取映射至设备的相应用户名 |
| 域 (仅当连接类型设置为 Juniper SSL/Pulse VPN 时可配置) | 指定认证域。认证域定义用户必须符合的条件以使用 VPN 服务。它是认证资源的集合,包括认证服务器、认证策略等,通常由网络管理员配置。 |
| 角色 (仅当连接类型设置为 Juniper SSL/Pulse VPN 时可配置) | 指定用户角色。用户角色定义用户会话参数(如会话设置)、个性化设置(如书签)及其他开启的访问功能。例如,用户角色可决定用户是否能进行网页浏览。 |
| 用户认证 | 指定用户认证类型为密码或 RSA securID |
| 机器认证 (仅当连接类型设置为 IPSec (Cisco) 时可配置) | 指定用于机器认证的密码 |
| 密码 (仅当用户认证设置为密码时可配置) | 指定用于用户认证的密码 |
| 身份证书 (仅当机器认证设置为证书时可配置) | 指定用于基于证书认证的身份证书。您也可以使用 SCEP 此项。 |
| 包含用户 PIN (仅当机器认证设置为证书时可配置) | 指定是否必须包含用户 PIN。 |
| 组名 (仅当用户认证设置为密码时可配置) | 指定用于识别该组的组名。若启用混合认证,组名须以 [hybrid] 结尾。 |
| 共享密钥 | 指定预共享密钥 |
| 使用混合认证 (仅当机器认证设置为共享密钥时可配置) | 启用混合认证,这是常规认证的安全替代方案 |
| 提示输入密码 (仅当机器认证设置为共享密钥时可配置) | 启用/禁用提示用户输入密码 |
| 加密等级 (仅当连接类型设置为 PPTP 时可配置) | 指定用于用户认证的密码 |
| 发送所有流量 | 通过 VPN 连接路由所有网络流量 |
| 自定义数据 (仅对支持附加配置的连接类型可配置) | 指定自定义数据,为 VPN 连接添加额外配置。 |
| 插件标识符 (仅当连接类型设置为 Custom SSL 时可配置) | 指定插件标识符,用于识别应用并在设备上应用 VPN。 |
| 应用名称 (仅当连接类型设置为 Custom SSL 时可配置) | 指定应用名称。 |
| 高级设置 (仅当连接类型设置为 IKEv2 时可配置) | |
| 节点检测(DPD) 频率 | DPD 用于识别受管设备与 VPN 之间的连接是否已建立。若 DPD 设置为高,验证连接建立的时间间隔非常短;若设置为中或低,时间间隔则增加。 |
| 启用完美前向安全(PFS) | 完美前向安全(PFS)确保即使将来密钥/密码泄露,过去的通信仍然安全。例如,即使有人当前获得密钥/密码,也无法访问之前的通信内容。 |
| 启用证书撤销检查 | 用于验证 CA 是否撤销为特定设备配置的证书。 |
| 禁用 MOBIKE | MOBIKE 确保在设备从一个地址切换至另一个地址时,与 VPN 网关的连接保持活跃。此外,如果主机连接多个网络,MOBIKE 可将流量切换到备用接口,例如当前接口故障时。 |
| 使用内部 IPv4 子网 | 允许/限制使用分发的内部 IPv4 子网属性。 |
| 禁用重定向 | 允许/限制连接从一个 VPN 网关重定向到另一个。 |
| IKE SA 参数(仅当连接类型设置为 IKEv2 时可配置) | |
| Internet 密钥交换安全关联(IKE SA)用于首次建立 VPN 与设备之间的通信,可使用证书/预共享密钥/用户名。 | |
| 加密算法 | 用于建立连接的数据共享加密技术。支持常用加密技术,如 DES、AES、POLY 等。 |
| 完整性算法 | 用于建立连接的数据共享完整性技术。支持常用完整性技术,如 SHA、MD5 等。 |
| Diffie-Hellman 组 | 指定用于密钥交换的 Diffie-Hellman 算法组。 |
| 生命周期(分钟) | 指定建立连接的最长可能时长。 |
| 子 SA 参数(仅当连接类型设置为 IKEv2 时可配置) | |
| 子安全关联(Child SA)用于在 IKE SA 建立 VPN 连接后保护端点间的通信。 | |
| 加密算法 | 用于加密共享数据的加密技术。支持常用加密技术,如 DES、AES、POLY 等。 |
| 完整性算法 | 用于共享数据的完整性算法类型。支持常用完整性技术,如 SHA、MD5 等。 |
| Diffie-Hellman 组 | 指定用于密钥交换的 Diffie-Hellman 算法组。 |
| 生命周期(分钟) | 指定连接保持活跃的最长时长。 |
| 按需 VPN | |
| 启用按需 VPN | 启用后,当需要 VPN 连接访问特定服务器/域且设备不在企业网络内时,VPN 将自动开启。 |
| 指定域名 | 您必须指定启用按需 VPN 的域名列表。可以使用逗号分隔多个域名。 |
| 配置代理 | |
| 代理设置 | 配置 VPN 的代理设置 |
| 服务器 URL (仅当代理设置为自动时可配置) | 指定包含代理 PAC 的 URL。 |
| 服务器 (仅当代理设置为手动时可配置) | 代理服务器名称 |
| 端口 (仅当代理设置为手动时可配置) | 使用的端口号 |
| 用户名 (仅当代理设置为手动时可配置) | 用于身份验证的用户名 |
| 密码 (仅当代理设置为手动时可配置) | 指定要使用的密码。 |
动态变量:
下面提到的动态变量是从注册设备时提供的数据中检索的。
- %username% - 将获取映射到设备的相应用户名