虚拟专用网络(VPN)
虚拟专用网络(VPN) 确保所有数据通过安全通道传输。这意味着建立连接时必须严格进行身份验证或使用特殊证书。因此,每个企业都倾向于配置 VPN,以确保所有企业数据免受黑客或未经授权用户的侵害。VPN 是必需的,没有它用户无法在工作外访问企业网络。随着移动设备成为生产力的一部分,企业数据应便于员工从任何地方访问。作为管理员,您需要为所有托管的移动设备配置 VPN。您可以创建并将 VPN 配置文件关联到设备。
VPN 与按需 VPN
当在设备上配置 VPN 配置文件时,用户每次访问安全的企业数据前都必须手动开启移动设备上的 VPN 设置。由于 VPN 运行在 Wi-Fi 或蜂窝数据之上,每次设备丢失互联网连接时,VPN 连接会自动关闭。用户必须手动开启 VPN 以访问企业数据。为了解决此问题,您可以选择按需 VPN。顾名思义,只有当特定域需要时才建立 VPN 连接,用户无需手动打开 VPN。
您必须指定需要启用 VPN 的域。多个域可用逗号分隔。以下表格将协助您在产品服务器上输入配置 VPN 所需的信息。
MDM 支持以下内置 VPN 连接类型:
- L2TP
- PPTP
- IPSec
- IKEv2
除上述内置 VPN 外,Mobile Device Manager Plus 还支持以下插件 VPN。这些 VPN 需要在设备上安装额外的应用程序。
注意:这些应用也可以通过 应用配置 功能进行无线配置。
Juniper SSL 应用在 App Store 中不可用。此 VPN 类型只能为已安装该应用的设备配置。要配置自定义 SSL VPN,管理员必须手动输入应用详情。其他插件应用可通过 ABM 添加并静默分发至设备。点击 此处 了解更多关于应用分发的信息,点击 此处 了解如何在 iOS 设备上静默安装应用。
使用证书进行身份验证
除了在托管设备上配置 VPN 外,MDM 还提供使用证书作为身份验证手段在设备上配置 VPN 的选项。身份验证在建立 VPN 连接中起重要作用,证书通常被认为比预共享密钥更安全的身份验证形式。此外,对于大型 VPN 网络,管理大量预共享密钥可能繁琐。证书在这种情况下是更具可扩展性的替代方案。此外,预共享密钥绑定 IP 地址,但证书不绑定 IP 地址,确保使用动态分配 IP 地址的远程用户可以利用证书中包含的身份信息进行身份验证。您可以如 此处所述 进行配置并大规模分发证书。 此处所述.
- 以下文档将帮助您在移动设备上配置 Cisco AnyConnect—
- Cisco AnyConnect 用户指南
- Cisco AnyConnect 管理员指南
配置文件描述
| 配置文件规范 | 描述 |
|---|---|
| VPN | |
| 连接名称 | 指定需显示为 VPN 名称的名称,显示在终端用户的移动设备上 |
| 连接类型 | 需启用的连接类型 |
| 服务器名称/IP 地址 | 服务器主机名或 IP 地址 |
| 本地标识符 (仅当连接类型配置为 IKEv2 时可设置) | 指定用户/设备的证书身份 |
| 远程标识符 (仅当连接类型配置为 IKEv2 时可设置) | 指定服务器的证书身份 |
| 账户 | “访问 VPN 的用户身份验证”(%username%) 将自动获取映射到设备的适当用户名 |
| 域 (仅当连接类型设置为 Juniper SSL/Pulse VPN 时可配置) | 指定身份验证域。身份验证域规定用户必须满足的条件才能使用 VPN 服务。它是身份验证资源的集合,包括身份验证服务器、身份验证策略等,通常由网络管理员设置。 |
| 角色 (仅当连接类型设置为 Juniper SSL/Pulse VPN 时可配置) | 指定用户角色。用户角色定义用户会话参数(如会话设置)、个性化设置(如书签)及其他启用的访问功能。例如,用户角色可能定义用户是否允许进行网页浏览。 |
| 用户身份验证 | 指定用户身份验证类型为密码或 RSA securID |
| 机器身份验证 (仅当连接类型设置为 IPSec(Cisco) 时可配置) | 指定用于机器身份验证的密码 |
| 密码 (仅当用户身份验证设置为密码时可配置) | 指定用于用户身份验证的密码 |
| 身份证书 (仅当机器身份验证设置为证书时可配置) | 指定用于基于证书身份验证的身份证书。您也可以使用 SCEP 进行此操作。 |
| 包含用户 PIN (仅当机器身份验证设置为证书时可配置) | 指定是否必须包含用户 PIN。 |
| 组名 (仅当用户身份验证设置为密码时可配置) | 指定用于识别组的组名。如果启用混合身份验证,组名必须以 [hybrid] 结尾 |
| 共享密钥 | 指定预共享密钥 |
| 使用混合身份验证 (仅当机器身份验证设置为共享密钥时可配置) | 启用混合身份验证,这是一种安全的替代常规身份验证的方法 |
| 提示输入密码 (仅当机器身份验证设置为共享密钥时可配置) | 启用/禁用提示用户输入密码 |
| 加密级别 (仅当连接类型设置为 PPTP 时可配置) | 指定用于用户身份验证的密码 |
| 发送所有流量 | 所有网络流量均通过 VPN 连接路由 |
| 自定义数据 (仅对支持附加配置的连接类型可配置) | 指定包含对 VPN 连接进行附加配置的自定义数据。 |
| 插件标识符 (仅当连接类型设置为自定义 SSL 时可配置) | 指定插件标识符以识别应用并在设备上应用 VPN。 |
| 应用名称 (仅当连接类型设置为自定义 SSL 时可配置) | 指定应用名称。 |
| 高级设置 (仅当连接类型设置为 IKEv2 时可配置) | |
| 死点检测(DPD) 率 | DPD 用于确定托管设备与 VPN 之间的连接是否建立。DPD 设置为高时,验证连接时间间隔极短;设置为中或低时,时间间隔相应增加。 |
| 启用完美向前保密(PFS) | 完美向前保密(PFS) 是一种性质,确保即使将来密钥/密码被泄露,之前的通信也保持安全。例如,即使当前有人获得密钥/密码,也无法访问之前的通信。 |
| 启用证书撤销检查 | 用于验证 CA 是否吊销了为特定设备提供的证书。 |
| 禁用 MOBIKE | MOBIKE 确保在从一个地址移动到另一个地址时,VPN 网关连接保持活动。此外,如果主机连接到多个网络,MOBIKE 可将流量切换到另一个接口,例如当前接口停止工作时。 |
| 使用内部 IPv4 子网 | 允许/限制使用内部 IPv4 子网属性分发。 |
| 禁用重定向 | 允许/限制从一个 VPN 网关重定向连接到另一个。 |
| IKE SA 参数(仅当连接类型设置为 IKEv2 时可配置) | |
| 互联网密钥交换安全关联(IKE SA) 用于首次在 VPN 与设备之间建立通信,使用证书/预共享密钥/用户名。 | |
| 加密算法 | 用于共享数据以建立连接的加密技术。支持常见加密技术如 DES、AES、POLY 等。 |
| 完整性算法 | 用于共享数据以建立连接的完整性技术。支持常见完整性技术如 SHA、MD5 等。 |
| Diffie-Hellman 组 | 指定用于密钥交换的 Diffie-Hellman 算法组。 |
| 生命周期(分钟) | 指定连接的最大持续时间。 |
| 子 SA 参数(仅当连接类型设置为 IKEv2 时可配置) | |
| 子安全关联(Child SA) 用于在 IKE SA 建立 VPN 连接后保护终端间的通信。 | |
| 加密算法 | 用于加密共享数据的加密技术。支持常见加密技术如 DES、AES、POLY 等。 |
| 完整性算法 | 用于共享数据的完整性算法类型。支持常见完整性技术如 SHA、MD5 等。 |
| Diffie-Hellman 组 | 指定用于密钥交换的 Diffie-Hellman 算法组。 |
| 生命周期(分钟) | 指定连接保持活动的最大持续时间。 |
| 按需 VPN | |
| 启用按需 VPN | 启用后,当访问特定服务器/域需要 VPN 连接而设备不在企业网络时,自动开启 VPN。 |
| 指定域名 | 您必须指定按需启用 VPN 的域名列表。多个域名可用逗号分隔。 |
| 配置代理 | |
| 代理设置 | 配置 VPN 的代理设置 |
| 服务器 URL (仅当代理设置为自动时可配置) | 指定包含代理 PAC 的 URL。 |
| 服务器 (仅当代理设置为手动时可配置) | 代理服务器名称 |
| 端口 (仅当代理设置为手动时可配置) | 指定使用的端口号 |
| 用户名 (仅当代理设置为手动时可配置) | 用于身份验证的用户名 |
| 密码 (仅当代理设置为手动时可配置) | 指定使用的密码。 |
动态变量:
- 以下动态变量基于设备注册时提供的数据获取。
- %username% - 将自动获取映射到设备的适当用户名