VPN

VPN 設定は、L2TP、PPTP、および IPsec に基づいて従来型のシステム全体の VPN を構成するために使用します。 これらの設定は、アプリ別 VPN 設定には適用されません。

以下の表では、macOS デバイスでセキュアな VPN 接続を強制するために必要な接続パラメーターについて説明します。
ポリシー設定 説明
接続タイプ VPN 接続のタイプ。 MaaS360® は、以下の接続タイプをサポートします。
  • L2TP
  • PPTP
  • Cisco (IPsec)
  • Cisco AnyConnect
  • Juniper SSL
  • F5 SSL
  • SonicWall Mobile Connect
  • アルバ・ VIA
  • カスタム SSL
  • IKEv2
VPN接続名 デバイスに表示される VPN 接続の固有の名前。
VPN サーバーのホスト名 VPN サーバーのホスト名です。
リモート ID IKEv2 サーバーを識別するリモート ID。 サポートされる形式は、FQDN、ユーザー FQDN、アドレス、または ASN1DN です。
ローカル ID モバイル・デバイスによって使用されるローカル ID。 サポートされる形式は、FQDN、ユーザー FQDN、アドレス、または ASN1DN です。
VPN ユーザー・アカウント VPN アカウントのユーザー名。 %domain%%username% のようなワイルドカードを提供したり、%username% を使用したりすることができます。
ユーザー認証タイプ VPN サーバーへの接続に使用される認証のタイプ。
  • パスワード: L2TP または PPTP を使用する場合、パスワードを指定する必要があります。
  • RSA SecurID: L2TP 認証の場合、ユーザーは RSA SecurID トークン・カードを使用してネットワークに接続することができます。
  • 証明書
    • ID 証明書
    • VPN オンデマンド: URL に対して常に確立する: コンマ区切りの URL を入力します。 例えば、 .com, .example.comなどです。 URL と一致するドメインまたはホスト名について常に VPN 接続が開始されます。
    • VPN オンデマンド: URL に対して確立しない: コンマ区切りの URL を入力します。 例えば、 .com, .example.comなどです。 これらのドメインまたはホスト名と一致するアドレスについて VPN 接続は開始されません。 既存の VPN 接続は続行します。
    • VPN オンデマンド: URL に対して必要な場合に確立: コンマ区切りの URL を入力します。 例えば、 .com, .example.comなどです。 DNS 参照が失敗した場合のみ、これらのドメインまたはホスト名に一致するアドレスについて VPN 接続が開始されます。
マシン認証タイプ マシンでは、認証のために共有秘密鍵、CSE 認証、または ID 証明書を使用します。
EAP の有効化 デバイスで EAP のみの認証が有効になります。 この設定は、IKEv2 に使用されます。
TLS 最小バージョン EAP-TLS 認証で使用される TLS の最小バージョン。 サポートされる値は 1.0、1.1、または 1.2 です。 値を指定しない場合、デフォルトの最小値は 1.0 です。
TLS 最大バージョン EAP-TLS 認証で使用される TLS の最大バージョン。 サポートされる値は 1.0、1.1、または 1.2 です。 値を指定しない場合、デフォルトの最大値は 1.2 です。
デッド・ピアの検出レート 接続の検出間隔。
リダイレクトを無効にする デバイスで IKEv2 リダイレクトが無効になります。 そうしない場合、サーバーからリダイレクト要求を受け取ると、接続はリダイレクトされます。 デフォルト値はオフです。
モビリティーとマルチホーミングの無効化 デバイスに対して IKEv2 Mobility および Multihoming (MOBIKE) が使用不可になっています。
証明書失効検査の有効化 IKEv2 接続の証明書失効検査が有効になります。 これはベスト・エフォートの失効検査です。サーバー応答のタイムアウトが原因で証明書検査が失敗することはありません。
IPv4/IPv5 内部サブネット属性の使用 ネゴシエーションで IKEv2 構成が使用されます。
Perfect Forward Secrecy の有効化 IKEv2 接続に対して Perfect Forward Secrecy (PFS) が有効になります。
暗号化アルゴリズム 子のセキュリティー・アソシエーションに必要な暗号化アルゴリズム。
保全性アルゴリズム 子のセキュリティー・アソシエーションに必要な保全性アルゴリズム。
Diffie-Hellman グループ Diffie-Hellman グループ番号。
存続時間 (分) SA 存続時間 (鍵再設定間隔) (分)。 有効な値は、10 から 1440 です。
常にオンの VPN (監視下のみ)
  • ユーザーによる自動接続の無効化を許可: ユーザーは、VPN への自動接続を無効にすることができます。
  • デバイスのスリープ中に NAT キープアライブを有効にする: 常にオンの VPN IKEv2 接続で NAT キープアライブのオフロードが有効になります。 キープアライブ・パケットは、パス上に NAT がある IKEv2 接続の NAT マッピングを維持するためにデバイスによって送信されます。 デバイスがウェイク・モードのときは、キープアライブ・パケットは定期的な間隔で送信されます。 デバイスがスリープ・モードのときは、キープアライブ・パケットはハードウェアにオフロードされます。 NAT キープアライブのオフロードは、スリープ・モードのデバイスにワークロードを追加するため、バッテリー寿命に影響を与えます。
  • 携帯電話インターフェースの NAT キープアライブ間隔 (秒): 常にオンの VPN IKEv2 接続の NAT キープアライブ間隔。 この値は、デバイスによって送信されるキープアライブ・オフロード・パケットの間隔を制御します。 最小値は 20 秒です。 キーが指定されない場合、デフォルトは、WiFi では 20 秒、携帯電話インターフェースでは 110 秒です。
  • WiFi インターフェースの NAT キープアライブ間隔 (秒)
  • ボイス・メールの例外: 音声メール・システム・サービスは、常に VPN 上で免除されます。
  • AirPrint の例外: AirPrint システム・サービスは、常に VPN 上で免除されます。
  • キャプティブ Web シートからの VPN トンネル外のトラフィックを許可: VPN トンネル外のキャプティブ Web シートからのネットワーク・トラフィックが許可されます。
  • すべてのキャプティブ・ネットワーキング・アプリからの VPN トンネル外のトラフィックを許可: VPN トンネル外のすべてのキャプティブ・ネットワーキング・アプリからのネットワーク・トラフィックが許可されます。
  • キャプティブ・ネットワーキング・アプリ・バンドル ID: これらのアプリからのネットワーク・トラフィックは、VPN トンネル外で許可されます。 コンマ区切りのアプリ・バンドル ID を入力します。
共有秘密鍵 認証に使用される共有秘密鍵 (パスワード)。 この設定は、L2TP または Cisco IPsec で使用されます。
すべてのトラフィックを送信 すべてのネットワーク・トラフィックが VPN 経由で送信されます。
プロキシー・タイプ 手動プロキシーのタイプを選択する場合、プロキシー・サーバー・ポートおよびオプションのユーザー名とパスワードを含むプロキシー・サーバー・アドレスを指定する必要があります。 自動プロキシーのタイプを選択する場合は、プロキシー (PAC) の URL を入力します。
暗号化レベル 接続で暗号化が有効になります。