VPN

Mithilfe der VPN-Einstellungen können Sie traditionelle systemweite VPNs auf der Basis von L2TP, PPTP und IPSec konfigurieren. Diese Einstellungen gelten nicht für VPN-Einstellungen, die pro App definiert werden.

In der folgenden Tabelle sind die Verbindungsparameter beschrieben, die zum Erzwingen einer sicheren VPN-Verbindung auf macOS-Geräten erforderlich sind:
Richtlinieneinstellung Beschreibung
Verbindungstyp Der Typ der VPN-Verbindung. MaaS360® unterstützt die folgenden Verbindungstypen:
  • L2TP
  • PPTP
  • Cisco (IPsec)
  • Cisco AnyConnect
  • Juniper SSL
  • F5-SSL
  • SonicWall Mobile Connect
  • Aruba VIA ®
  • Angepasstes SSL
  • IKEv2
Name der VPN-Verbindung Der eindeutige Name der VPN-Verbindung, die auf dem Gerät angezeigt wird.
Hostname des VPN-Servers Der Hostname des VPN-Servers.
Ferne ID Die ferne ID, die den IKEv2-Server angibt. Die unterstützten Formate sind 'FQDN', 'User FQDN', 'Address' oder 'ASN1DN'.
Lokale ID Die lokale ID, die vom mobilen Gerät verwendet wird. Die unterstützten Formate sind 'FQDN', 'User FQDN', 'Address' oder 'ASN1DN'.
VPN-Benutzerkonto Der Benutzername des VPN-Kontos. Sie können Platzhalterzeichen (z. B. %domain%%username%) angeben oder %username%verwenden.
Benutzerauthentifizierungstyp Der Typ der Authentifizierung, der verwendet wird, um eine Verbindung zum VPN-Server herzustellen:
  • Kennwort: Wenn Sie L2TP oder PPTP verwenden, müssen Sie ein Kennwort angeben.
  • RSA SecurID: Für die L2TP-Authentifizierung können Benutzer eine RSA SecurID-Token-Karte verwenden, um eine Verbindung zum Netz herzustellen.
  • Zertifikat
    • Identitätszertifikat
    • VPN On demand: Für URLs immer einrichten: Geben Sie durch Kommas getrennte URLs ein. Beispiel: .com, .example.com. Eine VPN-Verbindung wird immer für Domänen oder Hostnamen initialisiert, die mit den URLs übereinstimmen.
    • VPN On Demand: Für URLs nie einrichten: Geben Sie URLs ein, die durch Kommas getrennt sind. Beispiel: .com, .example.com. Die VPN-Verbindung wird für Adressen, die den hier aufgelisteten Domänen oder Hostnamen entsprechen, nicht gestartet. Die vorhandene VPN-Verbindung wird fortgesetzt.
    • VPN On Demand: Für URLs einrichten, sofern erforderlich: Geben Sie URLs ein, die durch Kommas getrennt sind. Beispiel: .com, .example.com. Die VPN-Verbindung wird für Adressen, die den hier aufgelisteten Domänen oder Hostnamen entsprechen, nur gestartet, wenn die DNS-Suche fehlschlägt.
Maschinenauthentifizierungstyp Die Maschine verwendet einen geheimen Schlüssel für gemeinsame Nutzung, eine CSE-Authentifizierung oder ein Identitätszertifikat für die Authentifizierung.
EAP aktivieren Die reine EAP-Authentifizierung ist für das Gerät aktiviert. Diese Einstellung wird für IKEv2 verwendet.
Min. TLS-Version Die Mindest-TLS-Version, die für die EAP-TLS-Authentifizierung verwendet werden kann. Die unterstützten Werte sind 1.0, 1.1 oder 1.2. Wenn kein Wert angegeben ist, wird standardmäßig 1.0 als Mindestwert verwendet.
Max. TLS-Version Die maximale TLS-Version, die für die EAP-TLS-Authentifizierung verwendet werden kann. Die unterstützten Werte sind 1.0, 1.1 oder 1.2. Wenn kein Wert angegeben ist, wird standardmäßig 1.2 als Maximalwert verwendet.
Erkennungsrate inaktiver Peers Das Erkennungsintervall für die Verbindung.
Umleitungen inaktivieren Die IKEv2-Umleitung ist für das Gerät inaktiviert. Andernfalls wird die Verbindung umgeleitet, wenn eine Umleitungsanforderung vom Server empfangen wird. Der Standardwert ist "Aus".
Mobilität und Multihoming inaktivieren IKEv2 Mobility and Multihoming (MOBIKE) ist für das Gerät inaktiviert.
Zertifikatswiderrufsprüfung aktivieren Die Zertifikatswiderrufsprüfung ist für IKEv2-Verbindungen aktiviert. Dies ist eine bestmögliche Widerrufsüberprüfung. Zeitlimitüberschreitungen bei Serverantworten führen nicht dazu, dass die Zertifikatsprüfung fehlschlägt.
Interne IPv4/IPv5-Teilnetzattribute verwenden Die Verhandlungen verwenden die IKEv2-Konfiguration.
Absolute vorwärts gerichtete Sicherheit aktivieren Absolute vorwärts gerichtete Sicherheit ist für IKEv2-Verbindungen aktiviert.
Verschlüsselungsalgorithmus Der Verschlüsselungsalgorithmus, der für eine untergeordnete Sicherheitszuordnung erforderlich ist.
Integritätsalgorithmus Der Integritätsalgorithmus, der für eine untergeordnete Sicherheitszuordnung erforderlich ist.
Diffie-Hellman-Gruppe Die Nummer der Diffie-Hellman-Gruppe.
Lebensdauer in Minuten SA-Lebensdauer (Neuverschlüsselungsintervall) in Minuten. Gültige Werte sind 10 bis 1440.
Stets verfügbares VPN (nur überwacht)
  • Inaktivierung der automatischen Verbindungsherstellung durch Benutzer zulassen: Benutzer können eine automatische Verbindung zum VPN inaktivieren.
  • NAT-Keepalive bei inaktivem Gerät aktivieren: Die Auslagerung der NAT-Keepalive-Funktion ist für VPN-IKEv2-Verbindungen aktiviert, die immer aktiv sind. Keepalive-Pakete werden vom Gerät gesendet, um NAT-Zuordnungen für IKEv2-Verbindungen mit NAT im Pfad zu verwalten. Keepalive-Pakete werden in regelmäßigen Intervallen gesendet, wenn das Gerät aktiv ist. Keepalive-Pakete werden auf die Hardware ausgelagert, wenn sich ein Gerät im Ruhemodus befindet. NAT-Keepalive-Offloads wirken sich auf die Akkulebensdauer aus, da eine zusätzliche Workload hinzugefügt wird, wenn sich ein Gerät im Ruhemodus befindet.
  • NAT-Keepalive-Intervall für Mobiltelefonschnittstellen (in Sekunden): Das NAT-Keepalive-Intervall für VPN-IKEv2-Verbindungen, die immer aktiv sind. Dieser Wert steuert das Intervall für die Keepalive-Offload-Pakete, die vom Gerät gesendet werden. Der Mindestwert ist 20 Sekunden. Wenn kein Schlüssel angegeben ist, beträgt der Standardwert 20 Sekunden für Wifi und 110 Sekunden für eine Mobiltelefonschnittstelle.
  • NAT-Keepalive-Intervall für WiFi-Schnittstellen (in Sekunden)
  • Ausnahme für Voicemail: Der Systemservice 'Voice Mail' ist von 'Always-on-VPN' ausgenommen.
  • Ausnahme für AirPrint: Der Systemservice 'AirPrint' ist von 'Always-on-VPN' ausgenommen.
  • Datenverkehr von Captive-Web-Sheets außerhalb des VPN-Tunnels zulassen: Netzverkehr von Captive-Web-Sheets außerhalb des VPN-Tunnels wird zugelassen.
  • Datenverkehr von allen Captive-Netz-Apps außerhalb des VPN-Tunnels zulassen: Netzverkehr von Captive-Netz-Apps außerhalb des VPN-Tunnels wird zugelassen.
  • Bundle-IDs von Captive-Netz-Apps: Netzverkehr von diesen Apps wird außerhalb des VPN-Tunnels zugelassen. Geben Sie durch Kommas getrennte App-Bundle-IDs ein.
Geheimer Schlüssel Der geheime Schlüssel für gemeinsame Nutzung (Kennwort), der für die Authentifizierung verwendet wird. Diese Einstellung wird für L2TP und Cisco IPsec verwendet.
Gesamten Datenverkehr senden Der gesamte Netzverkehr wird über das VPN gesendet.
Proxy-Typ Wenn Sie den manuellen Proxy-Typ auswählen, müssen Sie die Proxy-Server-Adresse, einschließlich des Proxy-Server-Ports, und optional einen Benutzernamen und ein Kennwort angeben. Wenn Sie den automatischen Proxy-Typ auswählen, geben Sie eine Proxy-URL (PAC) ein.
Verschlüsselungsebene Die Verschlüsselung ist für die Verbindung aktiviert.