虚拟私人网络(VPN)确保所有数据通过安全隧道传输,这意味着它严格要求身份验证或特殊证书来建立连接。因此,每个企业都倾向于配置VPN,以确保所有企业数据免受黑客或未经授权用户的侵害。VPN是必需的,没有它,用户无法在远离工作地点时访问企业网络。由于移动设备已成为生产力的一部分,企业数据应能让员工随时随地访问。作为管理员,您需要为所有受管理的移动设备配置VPN。您可以创建并关联VPN配置到设备。
当VPN配置在设备上完成时,用户每次访问受保护的企业数据前都必须手动打开移动设备上的VPN设置。由于VPN通过Wi-Fi或蜂窝数据运行,每次设备失去互联网连接时,VPN连接都会自动关闭。用户必须手动开启VPN以访问企业数据。为了解决此问题,您可以选择按需VPN。如其名所示,VPN连接仅在特定域需要时建立,用户无需手动开启VPN。
您必须指定应开启VPN的域名。您可以用逗号分隔多个域。下表将帮助您输入配置VPN至移动设备所需的产品服务器信息。
Endpoint Central支持以下内置VPN连接类型:
除上述内置VPN外,Endpoint Central还支持以下插件VPN。这些VPN需在设备上安装额外应用程序。
注意:这些应用程序也可以通过App Configurations功能进行无线配置。
Juniper SSL应用程序在App Store不可用。此VPN类型仅能配置到设备中已安装此应用的设备。配置Custom SSL VPN时,管理员必须手动输入应用详细信息。所有其他插件应用可以使用ABM添加并静默分发至设备。点击此处了解更多关于App分发的信息,并点击 此处 了解如何在iOS设备上静默安装应用。
除了在受管理设备上配置VPN外,Endpoint Central还提供使用证书作为身份验证手段在设备上配置VPN的选项。身份验证在建立VPN连接中起着重要作用,证书通常被认为比预共享密钥更安全。此外,在大型VPN网络中,管理大量预共享密钥可能十分复杂,证书在此情况下是更具可扩展性的替代方案。另外,预共享密钥绑定到IP地址,而证书不绑定IP地址,确保了具有动态分配IP地址的远程用户可使用证书中包含的身份信息进行认证。您可以按照此处说明配置证书,并按照此处说明大规模分发。
| 配置规范 | 描述 |
|---|---|
| VPN | |
| 连接名称 | 指定需在终端用户移动设备上显示的VPN名称 |
| 连接类型 | 要启用的连接类型 |
| 服务器名称 / IP地址 | 服务器的主机名或IP地址 |
| 本地标识符 (仅在连接类型配置为IKEv2时可配置) | 指定用户/设备的证书身份 |
| 远程标识符 (仅在连接类型配置为IKEv2时可配置) | 指定服务器的证书身份 |
| 帐号 | “用户认证以访问VPN”(%username%)将获取映射到设备的适当用户名 |
| 域 (仅在连接类型设置为Juniper SSL/Pulse VPN时可配置) | 指定认证域。认证域指定用户必须满足的条件以使用VPN服务。它是认证资源的集合,包括认证服务器、认证策略等,通常由网络管理员设置。 |
| 角色 (仅在连接类型设置为Juniper SSL/Pulse VPN时可配置) | 指定用户角色。用户角色定义用户会话参数(如会话设置)、个性化设置(如书签)及其他启用的访问功能。例如,用户角色可定义用户是否能执行网页浏览。 |
| 用户认证 | 指定用户认证类型为密码或RSA securID |
| 机器认证 (仅在连接类型设置为IPSec(Cisco)时可配置) | 指定用于机器认证的密码 |
| 密码 (仅在用户认证设置为密码时可配置) | 指定用于用户认证的密码 |
| 身份证书 (仅在机器认证设置为证书时可配置) | 指定用于基于证书认证的身份证书。您也可以使用SCEP。 |
| 包含用户PIN (仅在机器认证设置为证书时可配置) | 指定是否必须包含用户PIN |
| 组名 (仅在用户认证设置为密码时可配置) | 指定用于标识组的组名。若启用混合认证,组名必须以 [hybrid] 结尾 |
| 共享密钥 | 指定预共享密钥 |
| 使用混合认证 (仅在机器认证设置为共享密钥时可配置) | 启用混合认证,这是常规认证的安全替代方案 |
| 提示输入密码 (仅在机器认证设置为共享密钥时可配置) | 启用/禁用提示用户输入密码 |
| 加密级别 (仅在连接类型设置为PPTP时可配置) | 指定用于用户认证的密码 |
| 发送所有流量 | 将所有网络流量通过VPN连接路由 |
| 自定义数据 (仅可为支持附加配置的连接类型配置) | 指定自定义数据以加入VPN连接的额外配置 |
| 插件标识符 (仅在连接类型设置为Custom SSL时可配置) | 指定插件标识符以识别应用并在设备上应用VPN |
| 应用名称 (仅在连接类型设置为Custom SSL时可配置) | 指定应用名称 |
| 高级设置 (仅在连接类型设置为IKEv2时可配置) | |
| 死对等检测(DPD) 频率 | DPD用于识别管理设备与VPN之间的连接是否建立。若DPD设置为高,则验证连接建立的时间间隔极短。若设置为中或低,时间间隔则延长。 |
| 启用完美前向安全(PFS) | 完美前向安全(PFS)是确保过去通信安全的属性,即使将来密钥/密码被泄露,过去的通信依然安全。例如,即使现在有人获得密钥/密码,也不能访问之前的通信内容。 |
| 启用证书吊销检查 | 用于验证CA是否吊销了为特定设备配置的证书 |
| 禁用MOBIKE | MOBIKE确保设备地址变更时VPN网关连接保持活跃。此外,当主机连接多个网络时,MOBIKE可用于将流量转移到另一接口,例如当前接口失效时。 |
| 使用内部IPv4子网 | 允许/限制分发的内部IPv4子网属性使用 |
| 禁用重定向 | 允许/限制从一个VPN网关重定向连接到另一个网关 |
| IKE SA参数(仅在连接类型设置为IKEv2时可配置) | |
| 互联网密钥交换安全关联(IKE SA)用于首次建立VPN与设备之间的通信,可使用证书/预共享密钥/用户名 | |
| 加密算法 | 用于共享数据以建立连接的加密技术。支持常见加密技术如DES、AES、POLY等。 |
| 完整性算法 | 用于共享数据以建立连接的完整性技术。支持常见完整性技术如SHA、MD5等。 |
| Diffie-Hellman组 | 指定用于密钥交换的Diffie-Hellman算法组别 |
| 生命周期(分钟) | 指定连接建立的最大可能持续时间 |
| 子SA参数(仅在连接类型设置为IKEv2时可配置) | |
| 子安全关联(Child SA)用于在IKE SA建立VPN连接后,保护端点之间的通信 | |
| 加密算法 | 用于加密共享数据的加密技术。支持常见加密技术如DES、AES、POLY等。 |
| 完整性算法 | 用于共享数据的完整性算法类型。支持常见完整性技术如SHA、MD5等。 |
| Diffie-Hellman组 | 指定用于密钥交换的Diffie-Hellman算法组别 |
| 生命周期(分钟) | 指定连接保持活动的最长持续时间 |
| 按需VPN | |
| 启用按需VPN | 启用后,当需要VPN连接以访问特定服务器/域且设备不在企业网络内时,自动开启VPN |
| 指定域名 | 指定应启用按需VPN的域名列表。可用逗号分隔输入多个域名。 |
| 配置代理 | |
| 代理设置 | 配置VPN代理设置 |
| 服务器URL (仅在代理设置为自动时可配置) | 指定包含代理PAC的URL |
| 服务器 (仅在代理设置为手动时可配置) | 代理服务器名称 |
| 端口 (仅在代理设置为手动时可配置) | 使用的端口号 |
| 用户名 (仅在代理设置为手动时可配置) | 认证用用户名 |
| 密码 (仅在代理设置为手动时可配置) | 指定使用的密码 |
