Kapitel 4 Infrastruktur und Integration 49
Kongurationsprol für permanentes VPN
Ein Kongurationsprol für ein permanentes VPN kann entweder manuell mit einem der
Editoren für Apple-Kongurationsprole (z. B. Prolmanager, Apple Congurator) oder mit einem
Editor eines anderen MDM-Anbieters erstellt werden. Weitere Informationen nden Sie unter
Prolmanager-Hilfe oder Apple Congurator-Hilfe.
Benutzerinteraktionsschlüssel
Damit die Benutzer das permanente VPN nicht deaktivieren können, verbieten Sie das
Entfernen des Prols für das permanente VPN, indem Sie den höchstwertigen Prolschlüssel
„PayloadRemovalDisallowed“ auf „true“ (wahr) einstellen.
Damit die Benutzer das Verhalten des permanenten VPNs nicht ändern können, indem sie andere
Kongurationsprole installieren, verbieten Sie die Installation von Benutzeroberächenprolen, indem
Sie den Schlüssel „allowUICongurationProleInstallation“ der Payload „com.apple.applicationaccess“
auf „false“ (falsch) einstellen. Ihre Organisation kann zusätzliche Einschränkungen mithilfe anderer
unterstützter Schlüssel unter derselben Payload implementieren.
Zertikat-Payloads
•
Server-CA-Zertikat: Wenn Zertikate als Authentizierungsmethode für IKEv2-Tunnel verwendet
werden, sendet der IKEv2-Server das Serverzertikat an das iOS-Gerät, das die Serveridentität
auswertet. Damit das iOS-Gerät das Serverzertikat auswerten kann, benötigt es das Zertikat
der Zertizierungsstelle (CA), die das Serverzertikat ausstellte. Dieses CA-Zertikat kann vorab
auf dem Gerät installiert worden sein. Andernfalls kann Ihre Organisation das CA-Zertikat
des Servers einbeziehen, indem eine Zertikat-Payload für das CA-Zertikat des Servers
erstellt wird.
•
CA-Zertikat(e) von Clients: Wenn Zertikate oder EAP-TLS als Authentizierungsmethode für
IKEv2-Tunnel verwendet werden, sendet das iOS-Gerät seine Clientzertikate an den IKEv2-Server,
der die Clientidentität auswertet. Der Client kann abhängig vom ausgewählten
Implementierungsmodell ein oder zwei Clientzertikate haben. Ihre Organisation muss die
Clientzertikat(e) einbeziehen, indem Payload(s) für die Clientzertikat(e) erstellt werden.
Gleichzeitig muss auf dem IKEv2-Server das CA-Zertikat des Clients (von der Zertizierungsstelle)
installiert sein, damit der IKEv2-Server die Clientidentität auswerten kann.
•
IKEv2-Zertikatunterstützung für permanentes VPN: Derzeit unterstützt IKEv2 für permanente
VPNs nur RSA-Zertikate.
Payload für permanentes VPN
Folgendes gilt für die Payload für permanente VPNs.
•
Die Payload für permanente VPNs kann nur auf betreuten iOS-Geräten installiert werden.
•
Ein Kongurationsprol kann immer nur eine Payload für permanente VPNs enthalten.
•
Es kann jeweils nur ein Kongurationsprol für ein permanentes VPN auf einem iOS-Gerät
installiert werden.
Automatische Verbindung in iOS
Ein permanentes VPN stellt den optionalen Schlüssel „UIToggleEnabled“ bereit, der es Ihrer
Organisation ermöglicht, den Schalter für das automatische Verbinden in den VPN-Einstellungen
zu aktivieren. Wenn dieser Schlüssel im Prol nicht angegeben oder auf 0 eingestellt wird, versucht
das permanente VPN, einen oder zwei VPN-Tunnel zu aktivieren. Wenn dieser Schlüssel auf 1
eingestellt wird, wird der Schalter im VPN-Einstellungsbereich angezeigt, sodass der Benutzer
entscheiden kann, ob er die VPN-Tunnelung ein- oder ausschalten möchte. Wenn der Benutzer
die VPN-Tunnelung ausschaltet, wird kein Tunnel aktiviert; in diesem Fall unterbindet das Gerät
den gesamten IP-Datenverkehr. Das ist hilfreich, wenn keine IP-Erreichbarkeit besteht und der
Benutzer dennoch Anrufe tätigen will. Der Benutzer kann die VPN-Tunnelung ausschalten,
um unnötige Versuche zu vermeiden, einen VPN-Tunnel zu aktivieren.
