|
|
虚拟专用网络(VPN)确保所有数据通过安全通道传输,这意味着严格要求身份验证或特殊证书来建立连接性。因此,每个企业都倾向于配置VPN,以确保所有企业数据不受黑客或未经验证的用户的攻击。VPN是必不可少的,没有VPN,用户就无法在办公室以外访问公司网络,而由于移动设备已经成为生产工具,员工需要从任何地点获取公司数据。作为管理员,您需要为所有被管移动设备配置VPN。您可以创建VPN配置文件并将其关联到设备。
在设备上配置VPN配置文件时,用户每次都必须打开移动设备上的VPN设置才能访问受保护的公司数据。由于VPN在WiFi或移动数据上运行,所以每当设备失去与互联网的连接时,VPN连接就会自动关闭,用户必须手动打开,才能访问公司数据。为解决这个问题,您可以选择VPN On-Demand。顾名思义,VPN连接只在特定域需要时建立,无需用户手动打开。
您必须指定应该为其打开VPN的域,可以用逗号分隔要添加的多个域。下表帮助您输入需要在产品服务器上输入的内容,以便为移动设备配置VPN。
MDM支持以下内置VPN连接类型:
除上述内置VPN外,Mobile Device Manager Plus还支持以下插入式VPN。这些VPN需要在设备上安装额外的应用。
注意:也可以使用应用配置功能无线配置这些应用。
|
App Store中没有Juniper SSL应用。只能为已包含该应用的设备配置此VPN类型。要配置自定义SSL VPN,管理员必须手动输入应用详细信息。所有其他插件应用都可以使用ABM添加并静默分发到设备。点击这里了解有关应用分发的更多信息,点击这里了解如何在iOS设备中静默安装应用。 |
除在被管设备上配置VPN外,MDM还为您提供了在设备上使用证书作为身份验证手段来配置VPN的选项。众所周知,身份验证在建立VPN连接中起着重要作用,而证书通常被认为是比预共享密钥更安全的身份验证形式。而且,在大型VPN网络中,管理大量的预共享密钥可能很麻烦,在这种情况下,证书是一种更具可扩展性的替代方案。此外,预共享密钥绑定到IP地址,但证书不绑定到IP地址,从而确保具有动态分配IP地址的远程用户可以使用证书中包含的标识信息进行身份验证。您可以参阅这里配置证书,并按照这里批量分发。
|
以下文档将帮助您在移动设备上配置Cisco AnyConnect - |
配置文件说明 |
描述 |
|---|---|
VPN |
|
连接名称 |
指定名称,该名称需要在终端用户的移动设备上显示为VPN名称。 |
连接类型 |
要启用的连接类型。 |
服务器名称/IP地址 |
服务器的主机名或IP地址。 |
本地标识符(仅当连接类型配置为IKEv2时才能配置) |
指定用户/设备的证书标识。 |
远程标识符(仅当连接类型配置为IKEv2时才能配置) |
指定服务器的证书标识。 |
账户 |
访问VPN的用户身份验证,(%username%)将获得映射到设备的相应用户名。 |
域(仅当连接类型设置为Juniper SSL/Pulse VPN时才能配置) |
指定身份验证域。身份验证域指定用户使用VPN服务必须遵守的条件。它是一组身份验证资源,包括身份验证服务器、身份验证策略等,通常由网络管理员完成。 |
角色(仅当连接类型设置为Juniper SSL/Pulse VPN时才能配置) |
指定用户角色。用户角色是定义用户会话参数(如会话设置)、个性化设置(如书签)和其他已启用的辅助功能的实体。例如,用户角色可以定义用户是否可以执行Web浏览。 |
用户身份验证 |
将用户身份验证类型指定为密码或RSA securID。 |
计算机身份验证(仅当连接类型设置为IPSec(Cisco)时才能配置) |
指定用于计算机身份验证的密码。 |
密码(仅当用户身份验证设置为密码时才能配置) |
指定用于用户身份验证的密码。 |
身份证书(仅当计算机身份验证设置为证书时才能配置) |
指定用于基于证书的身份验证的身份证书。您也可以使用SCEP。 |
包含用户PIN(仅当计算机身份验证设置为证书时才能配置) |
指定是否必须包含用户PIN。 |
组名(仅当用户身份验证设置为密码时才能配置) |
指定用于标识组的组名。如果启用了混合身份验证,则组必须以[hybrid]结尾。 |
共享机密 |
指定预共享机密。 |
使用混合身份验证(仅当计算机身份验证设置为共享机密时才能配置) |
启用混合身份验证,这是常规身份验证的安全替代方案。 |
提示输入密码(仅当计算机身份验证设置为共享机密时才能配置) |
启用/禁用用户的提示密码。 |
加密级别(仅当连接类型设置为PPTP时才能配置) |
指定要用于用户身份验证的密码。 |
发送所有流量 |
通过VPN连接路由所有网络流量。 |
自定义数据(只能为支持附加配置的连接类型配置) |
指定自定义数据以包含VPN连接的其他配置。 |
插件标识符(仅当连接类型设置为自定义SSL时才能配置) |
指定插件标识符以标识应用并在设备上应用VPN。 |
应用名称(仅当连接类型设置为自定义SSL时才能配置) |
指定应用名称。 |
高级设置(仅当连接类型设置为IKEv2时才能配置) |
|
失效对端检测(DPD)率 |
DPD用于标识被管设备与VPN之间的连接是否已建立。如果DPD设置为高,则验证连接建立的时间间隔很短。如果设置为中或低,则时间间隔将增加。 |
启用完全正向保密(PFS) |
完全正向保密(PFS)是一种属性,它可以确保过去通信的安全性,以防将来密钥/密码被泄露。例如,即使有人现在获得了访问密钥/密码,也不能用于访问以前的通信。 |
启用证书吊销检查 |
这可用于验证CA是否已吊销为特定设备提供的证书。 |
禁用MOBIKE |
MOBIKE确保在从一个地址移动到另一个地址时,与VPN网关的连接处于活动状态。此外,在主机连接到多个网络的情况下,如果当前使用的接口停止工作,MOBIKE可用于将流量移动到另一个接口。 |
使用内部IPv4子网 |
允许/限制分发的内部IPv4子网属性的使用。 |
禁用重定向 |
允许/限制连接从一个VPN网关重定向到另一个。 |
IKE SA参数(仅当连接类型设置为IKEv2时才能配置) |
|
互联网密钥交换安全关联(IKE SA)用于首次在VPN和设备之间建立通信,可以使用证书/预共享密钥/用户名。 | |
加密算法 |
用于共享数据以建立连接的加密技术。支持DES、AES、POLY等常用加密技术。 |
完整性算法 |
用于共享数据以建立连接的完整性技术。支持SHA、MD5等常用完整性技术。 |
Diffie-Hellman组 |
指定用于密钥交换的Diffie-Hellman算法组。 |
生命期(分钟) |
指定要建立的连接的最长持续时间。 |
Child SA参数(仅当连接类型设置为IKEv2时才能配置) |
|
| 子安全关联(IKE SA)用于在IKE SA期间建立VPN连接后保护终端之间发生的通信。 | |
加密算法 |
用于加密共享数据的加密技术。支持DES、AES、POLY等常用加密技术。 |
完整性算法 |
要对共享的数据使用的完整性算法的类型。支持SHA、MD5等常用完整性技术。 |
Diffie-Hellman组 |
指定用于密钥交换的Diffie-Hellman算法组。 |
生命期(分钟) |
指定连接处于活动状态的最长持续时间。 |
| VPN On-Demand | |
|---|---|
启用VPN On Demand |
启用此选项后,当需要VPN连接才能访问特定服务器/域而设备不在公司网络中时,将在VPN上进行切换。 |
指定域 |
您必须指定应按需启用VPN的域列表,可以使用逗号分隔输入多个域名。 |
配置代理 |
|
代理设置 |
配置VPN的代理设置。 |
服务器URL(仅当代理设置为自动时才能配置) |
指定包含代理PAC的URL。 |
服务器(仅当代理设置为手动时才能配置) |
代理服务器名称。 |
端口(仅当代理设置为手动时才能配置) |
要使用的端口号。 |
用户名(仅当代理设置为手动时才能配置) |
用于身份验证的用户名。 |
密码(仅当代理设置为手动时才能配置) |
指定要使用的密码。 |
以下提到的动态变量是从注册设备时提供的数据中检索的。
%username% - 将获得映射到设备的相应用户名。
| 另请参阅: | 将配置文件关联到组,将配置文件关联到设备,应用管理,将应用分发到设备,将应用分发到组 |
|
|
