|
|
虚拟专用网络(VPN),顾名思义,是在互联网上建立一个逻辑专用通道,确保只有授权用户才能从任何网络访问组织的机密Web资源。VPN确保所有设备的Web资源通信都在一个安全的通道上进行,防止任何未经授权的访问。VPN还可以提高生产率,因为它确保员工可以在任何地方工作,而不必担心无法访问特定的资源/数据。随着移动设备广泛成为企业生产力的一部分,IT管理员必须在移动设备上配置VPN,而这可以使用MDM轻松高效地完成。
|
应用于作为配置文件所有者提供的设备的VPN配置文件将确保仅来自使用MDM分发的应用的流量可通过VPN路由。VPN将不会应用于容器外的应用。 |
MDM支持以下VPN类型:
| VPN类型 | 三星 | 非三星 | 其他需求(如有) | ||
| 核心安卓/旧版 | 配置文件所有者 | 设备所有者 | |||
| PPTP | 自安卓4.3起支持 |  |
|
|
无 |
| L2TP PSK | 自安卓4.3起支持 | |
|
|
无 |
| IPSec XAuth PSK | 自安卓4.3起支持 | |
|
|
无 |
| IPSec IKEv2 PSK | 自安卓4.3起支持 | |
|
|
无 |
| Cisco AnyConnect | 支持安卓6.0/Knox 5.7或更高版本 | |
 |
|
必须在设备上安装Cisco AnyConnect应用。自动安装此应用 |
| F5 SSL | 支持安卓6.0/Knox 5.7或更高版本 | |
|
|
必须在设备上安装F5 Access应用。自动安装此应用 |
| Pulse Secure | 支持安卓6.0/Knox 5.7或更高版本 | |
|
|
必须在设备上安装Pulse Secure应用。自动安装此应用 |
| Palo Alto | 支持安卓6.0/Knox 5.7或更高版本 | |
|
|
必须在设备上安装Palo Alto应用。自动安装此应用 |
除了默认支持的插件VPN外,还可以配置以下类型的插件VPN
| VPN类型 | 三星 | 非三星 |
| FortiClient IPSEC |  |  |
| Barracuda/ CudaLaunch VPN | | |
| KerioControl VPN | | |
| Sonicwall NETExtender | | |
注意如果您需要获得其他VPN的支持,点击这里提交请求。
要配置VPN策略,您需要配置某些一般参数和特定于某个VPN类型的参数。要了解要为特定VPN类型配置的参数,请从给定的页签中点击VPN类型名称:
配置文件规范 |
描述 |
|---|---|
| 通用参数 | |
连接名称 |
指定名称,该名称需要在终端用户的移动设备上显示为VPN名称。 |
连接类型 |
要在设备上设置的VPN类型。 |
服务器名称/IP地址 |
VPN服务器的主机名或IP地址。 |
| PPTP专用参数 | |
用户名 |
要应用此VPN配置的用户。使用动态变量%username%从注册详细信息中获取用户名。 |
密码 |
指定用于身份验证的密码。 |
允许添加新的VPN |
指定是否可以配置其他VPN。 |
允许修改配置的VPN |
指定设备用户是否可以修改配置的VPN。 |
配置文件规范 |
描述 |
|---|---|
| 通用参数 | |
连接名称 |
指定名称,该名称需要在终端用户的移动设备上显示为VPN名称。 |
连接类型 |
要在设备上设置的VPN类型。 |
服务器名称/IP地址 |
VPN服务器的主机名或IP地址。 |
| L2TP专用参数 | |
用户名 |
要应用此VPN配置的用户。使用动态变量%username%从注册详细信息中获取用户名。 |
密码 |
指定用于身份验证的密码。 |
共享机密 |
指定预共享机密。 |
L2TP密钥 |
指定是否启用L2TP密钥。 |
密钥 |
指定L2TP密钥。 |
允许添加新的VPN |
指定是否可以配置其他VPN。 |
允许修改配置的VPN |
指定设备用户是否可以修改配置的VPN。 |
配置文件规范 |
描述 |
|---|---|
| 通用参数 | |
连接名称 |
指定名称,该名称需要在终端用户的移动设备上显示为VPN名称。 |
连接类型 |
要在设备上设置的VPN类型。 |
服务器名称/IP地址 |
VPN服务器的主机名或IP地址。 |
| IPSec XAuth专用参数 | |
用户名 |
要应用此VPN配置的用户。使用动态变量%username%从注册详细信息中获取用户名。 |
密码 |
指定用于身份验证的密码。 |
共享机密 |
指定预共享机密。 |
允许添加新的VPN |
指定是否可以配置其他VPN。 |
允许修改配置的VPN |
指定设备用户是否可以修改配置的VPN。 |
IPSec标识符 |
>VPN服务器上用户被分配到的组的名称。 |
配置文件规范 |
描述 |
|---|---|
| 通用参数 | |
连接名称 |
指定名称,该名称需要在终端用户的移动设备上显示为VPN名称。 |
连接类型 |
要在设备上设置的VPN类型。 |
服务器名称/IP地址 |
VPN服务器的主机名或IP地址。 |
| IPSec IKEv2专用参数 | |
用户名 |
要应用此VPN配置的用户。使用动态变量%username%从注册详细信息中获取用户名。 |
密码 |
指定用于身份验证的密码。 |
共享机密 |
指定预共享机密。 |
允许添加新的VPN |
指定是否可以配置其他VPN。 |
允许修改配置的VPN |
指定设备用户是否可以修改配置的VPN。 |
IPSec标识符 |
>VPN服务器上用户被分配到的组的名称。 |
配置文件规范 |
描述 |
|---|---|
| 通用参数 | |
连接名称 |
指定名称,该名称需要在终端用户的移动设备上显示为VPN名称。 |
连接类型 |
要在设备上设置的VPN类型。 |
服务器名称/IP地址 |
VPN服务器的主机名或IP地址。 |
| CISCO ANYCONNECT专用参数 | |
连接协议 |
指定用于建立和(或)维护连接的协议类型。 |
身份验证类型 |
指定在建立连接期间管理身份验证的协议。 |
IKE标识 |
指定用于唯一标识用户连接的信息。 |
FIPS模式 |
指定VPN连接/通信是否受FIPS兼容协议控制。 |
严格模式 |
指定是否启用严格模式,以安全建立VPN连接。 |
允许的应用 |
可利用此VPN连接的应用列表。 |
身份证书 |
指定用于基于证书的身份验证的身份证书。 |
始终打开 |
通过启用此功能,可以强制配置的VPN连接始终处于打开状态,而无需用户在每次设备重启时都启动配置。只能为作为“设备所有者”提供的设备配置“始终打开”。 |
VPN锁定 |
当配置的VPN断开/不可用时,启用此选项可限制对其他网络的访问,包括移动数据。只有在启用了“始终打开”时才能配置“VPN锁定”。 |
配置文件规范 |
描述 |
|---|---|
| 通用参数 | |
连接名称 |
指定名称,该名称需要在终端用户的移动设备上显示为VPN名称。 |
连接类型 |
要在设备上设置的VPN类型。 |
服务器名称/IP地址 |
VPN服务器的主机名或IP地址。 |
| F5 SSL专用参数 | |
用户名 |
要应用此VPN配置的用户。使用动态变量%username%从注册详细信息中获取用户名。 |
密码 |
指定用于身份验证的密码。 |
FIPS模式 |
指定VPN连接/通信是否受FIPS兼容协议控制。 |
允许的应用 |
可利用此VPN连接的应用列表。 |
身份证书 |
指定用于基于证书的身份验证的身份证书。 |
Web登陆模式 |
如果启用,则允许设备用户通过Web浏览器连接到VPN。 |
客户端证书密码 |
用于身份验证的客户端证书的密码。 |
绕过应用 |
可以绕过VPN连接的应用列表。 |
允许用户配置VPN |
启用/禁用用户配置VPN。 |
修改配置的VPN |
启用/禁用用户修改之前配置的VPN。 |
要显示的限制消息 |
指定在有限制的情况下显示给用户的消息。 |
始终打开 |
通过启用此功能,可以强制配置的VPN连接始终处于打开状态,而无需用户在每次设备重启时都启动配置。只能为作为“设备所有者”提供的设备配置“始终打开”。 |
VPN锁定 |
当配置的VPN断开/不可用时,启用此选项可限制对其他网络的访问,包括移动数据。只有在启用了“始终打开”时才能配置“VPN锁定”。 |
配置文件规范 |
描述 |
|---|---|
| 通用参数 | |
连接名称 |
指定名称,该名称需要在终端用户的移动设备上显示为VPN名称。 |
连接类型 |
要在设备上设置的VPN类型。 |
服务器名称/IP地址 |
VPN服务器的主机名或IP地址。 |
| PULSE SECURE专用参数 | |
用户名 |
要应用此VPN配置的用户。使用动态变量%username%从注册详细信息中获取用户名。 |
密码 |
指定用于身份验证的密码。 |
备用用户名 |
指定与设备用户关联的备用用户名。 |
域 |
指定身份验证域。身份验证域指定用户使用VPN服务必须遵守的条件。它是一组身份验证资源,包括身份验证服务器、身份验证策略等,通常由网络管理员完成。 |
角色 |
指定用户角色。用户角色是定义用户会话参数(如会话设置)、个性化设置(如书签)和其他已启用的访问功能的实体。例如,用户角色可以定义用户是否可以执行Web浏览。 |
允许的应用 |
可利用此VPN连接的应用列表。 |
身份验证类型 |
指定在建立连接期间管理身份验证的协议。 |
针对配置文件的操作 |
指定是否要创建/删除配置文件。 |
将此配置设置为默认 |
指定是否将此配置文件设为默认。 |
路由类型 |
指定VPN是应用于设备还是应用程序。 |
计算机身份验证 |
启用此选项将在用户登录时自动建立连接,且维护该连接直到用户注销。 |
身份证书 |
指定用于基于证书的身份验证的身份证书。 |
始终打开 |
通过启用此功能,可以强制配置的VPN连接始终处于打开状态,而无需用户在每次设备重启时都启动配置。只能为作为“设备所有者”提供的设备配置“始终打开”。 |
VPN锁定 |
当配置的VPN断开/不可用时,启用此选项可限制对其他网络的访问,包括移动数据。只有在启用了“始终打开”时才能配置“VPN锁定”。 |
配置文件规范 |
描述 |
|---|---|
| 通用参数 | |
连接名称 |
指定名称,该名称需要在终端用户的移动设备上显示为VPN名称。 |
连接类型 |
要在设备上设置的VPN类型。 |
服务器名称/IP地址 |
VPN服务器的主机名或IP地址。 |
| PALO ALTO专用参数 | |
用户名 |
要应用此VPN配置的用户。使用动态变量%username%从注册详细信息中获取用户名。 |
密码 |
指定用于身份验证的密码。 |
允许的应用 |
可利用此VPN连接的应用列表。 |
身份证书 |
指定用于基于证书的身份验证的身份证书。 |
客户端证书密码 |
用于身份验证的客户端证书的密码。 |
路由类型 |
指定VPN是应用于设备还是应用程序。 |
通过限制移除VPN配置文件 |
启用/禁用移除分布式VPN配置文件的限制。 |
始终打开 |
通过启用此功能,可以强制配置的VPN连接始终处于打开状态,而无需用户在每次设备重启时都启动配置。只能为作为“设备所有者”提供的设备配置“始终打开”。 |
VPN锁定 |
当配置的VPN断开/不可用时,启用此选项可限制对其他网络的访问,包括移动数据。只有在启用了“始终打开”时才能配置“VPN锁定”。 |
始终打开的VPN:
启用始终打开的VPN有助于维护被管设备与其组织网络之间的持久连接,而无需用户每次手动连接到VPN。只能为作为“设备所有者”提供的设备配置始终打开的VPN。
身份证书
身份证书可以上传到安全VPN。设备必须有密码保护才能正常工作。以下VPN供应商允许使用证书保护VPN:
要配置证书,
| 另请参阅: | 将配置文件关联到组,将配置文件关联到设备,应用管理,将应用分发到设备,将应用分发到组 |
|
|
