Stratégie VPN
La stratégie VPN configure les paramètres de réseau privé virtuel (VPN) permettant aux appareils de se connecter de manière sécurisée aux ressources d’entreprise. Vous pouvez configurer la stratégie VPN pour les plates-formes suivantes. Chaque plate-forme requiert des valeurs différentes, qui sont décrites en détail dans cet article.
Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour de plus amples informations, consultez la section Stratégies d’appareil.
Remarque :
Citrix SSO pour Android et iOS s’appelle désormais Citrix Secure Access. Nous mettons à jour notre documentation de manière à refléter ce changement de nom.
Configuration requise pour les réseaux Per App VPN
Vous configurez la fonctionnalité Per App VPN pour les plates-formes suivantes via des stratégies VPN :
- iOS
- macOS
- Android (ancien administrateur de l’appareil)
Pour Android Enterprise, utilisez la stratégie Configurations gérées pour configurer les profils VPN.
Des options Per App VPN sont disponibles pour certains types de connexion. Le tableau suivant indique quand les options Per App VPN sont disponibles.
Plateforme | Type de connexion | Remarque |
---|---|---|
iOS | Cisco Legacy AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA, Citrix SSO ou SSL personnalisé | |
macOS | Cisco AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA ou SSL personnalisé | |
Android (ancien administrateur de l’appareil) | Citrix SSO |
Pour créer une stratégie Per App VPN pour les appareils iOS et Android (ancien administrateur de l’appareil) à l’aide de l’application Citrix SSO, vous devez effectuer des étapes supplémentaires, en plus de la configuration de stratégie VPN. En outre, vous devez vérifier que les conditions préalables suivantes sont remplies :
- NetScaler Gateway sur site
- Les applications suivantes sont installées sur l’appareil :
- Citrix SSO
- Citrix Secure Hub
Voici un workflow général pour configurer une stratégie Per App VPN pour les appareils iOS et Android à l’aide de l’application Citrix SSO :
-
Configurez la stratégie VPN selon les instructions de cet article.
-
Pour iOS, consultez la section Configurer le protocole Citrix SSO pour iOS. Après avoir configuré le protocole Citrix SSO pour iOS via une stratégie VPN, vous devez également créer une stratégie d’attributs d’application pour associer une application à la stratégie Per App VPN. Pour de plus amples informations, consultez la section Configurer une stratégie Per App VPN.
- Pour le champ Type d’authentification pour la connexion, si vous sélectionnez Certificat, vous devez d’abord configurer l’authentification basée sur les certificats pour Citrix Endpoint Management. Consultez la section Authentification certificat client ou certificat + domaine.
-
Pour Android (administration anciens appareils), consultez la section Configurer le protocole Citrix SSO pour Android.
- Pour le champ Type d’authentification pour la connexion, si vous sélectionnez Certificat ou Mot de passe et certificat, vous devez d’abord configurer l’authentification basée sur les certificats pour Citrix Endpoint Management. Consultez la section Authentification certificat client ou certificat + domaine.
-
-
Configurez Citrix ADC pour accepter le trafic provenant du réseau Per App VPN. Pour de plus amples informations, consultez la section Full VPN setup on NetScaler Gateway.
Paramètres iOS
Le type de connexion VPN Citrix dans la stratégie VPN pour iOS ne prend pas en charge iOS 12. Effectuez ces étapes pour supprimer votre stratégie VPN existante et créer une stratégie VPN avec le type de connexion Citrix SSO :
- Supprimez votre stratégie VPN pour iOS.
- Ajoutez une stratégie VPN pour iOS avec les paramètres suivants :
- Type de connexion : Citrix SSO
- Activer Per App VPN : Activé
- Type de fournisseur : Tunnel de paquet
- Ajoutez une stratégie d’attributs d’application pour iOS. Sous Identifiant Per App VPN, sélectionnez iOS_VPN.
- Nom de la connexion : entrez un nom pour la connexion.
-
Type de connexion : dans la liste, sélectionnez le protocole à utiliser pour cette connexion. La valeur par défaut est L2TP.
- L2TP : Layer 2 Tunneling Protocol avec authentification par clé pré-partagée.
- PPTP : protocole PPTP.
- IPSec : votre connexion VPN d’entreprise.
-
Cisco Legacy AnyConnect : ce type de connexion requiert que le client Cisco Legacy AnyConnect VPN soit installé sur la machine utilisateur. Cisco élimine progressivement le client Cisco Legacy AnyConnect, basé sur une infrastructure VPN désormais obsolète.
Pour utiliser le client Cisco AnyConnect actuel, utilisez un Type de connexion de SSL personnalisé. Pour plus d’informations sur les paramètres requis, consultez « Configurer le protocole SSL personnalisé » dans cette section.
- Juniper SSL : client Juniper Networks SSL VPN.
- F5 SSL : client F5 Networks SSL VPN.
- SonicWALL Mobile Connect : client VPN Dell unifié pour iOS.
- Aruba VIA : client Aruba Networks Virtual Internet Access.
- IKEv2 (iOS uniquement) : Internet Key Exchange version 2 pour iOS uniquement.
- AlwaysOn IKEv2 : accès Always On à l’aide de IKEv2.
- Double configuration AlwaysOn IKEv2 : accès Always On à l’aide de la double configuration iKEv2.
- Citrix SSO: Client Citrix SSO pour iOS 12 et versions ultérieures.
- SSL personnalisé : Secure Sockets Layer personnalisé. Ce type de connexion est requis pour le client Cisco AnyConnect disposant d’un bundle ID com.cisco.anyconnect. Réglez l’option Nom de la connexion sur Cisco AnyConnect. Vous pouvez également déployer la stratégie VPN et activer un filtre NAC (Network Access Control) pour les appareils iOS. Le filtre NAC bloque une connexion VPN pour les appareils sur lesquels des applications non conformes sont installées. La configuration nécessite des paramètres spécifiques pour la stratégie VPN d’iOS, comme décrit dans la section iOS suivante. Pour plus d’informations sur les autres paramètres requis pour activer le filtre NAC, voir Contrôle d’accès réseau.
Les sections suivantes répertorient les options de configuration pour chacun des types de connexion précédents.
Configurer le protocole L2TP pour iOS
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
- Sélectionnez Authentification par mot de passe ou Authentification RSA SecurID.
- Secret partagé : entrez la clé de secret partagé IPsec.
- Envoyer tout le trafic : sélectionnez cette option pour envoyer tout le trafic via le VPN. La valeur par défaut est Désactivé.
Configurer le protocole PPTP pour iOS
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
- Sélectionnez Authentification par mot de passe ou Authentification RSA SecurID.
-
Niveau de chiffrement : dans la liste, sélectionnez un niveau de chiffrement. La valeur par défaut est Aucun.
- Aucun : le chiffrement n’est pas utilisé.
- Automatique : utilise le niveau de chiffrement le plus élevé pris en charge par le serveur.
- Maximum (128 bits) : utilise toujours le cryptage 128 bits.
- Envoyer tout le trafic : sélectionnez cette option pour envoyer tout le trafic via le VPN. La valeur par défaut est Désactivé.
Configurer le protocole IPsec pour iOS
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
- Type d’authentification pour la connexion : dans la liste, sélectionnez Secret partagé ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Secret partagé.
- Si vous sélectionnez Secret partagé, configurez les paramètres suivants :
- Nom du groupe : entrez un nom de groupe (facultatif).
- Secret partagé : entrez une clé de secret partagé (facultatif).
- Utiliser une authentification hybride : indiquez si vous souhaitez utiliser l’authentification hybride. Avec l’authentification hybride, le serveur s’authentifie auprès du client, puis le client s’authentifie auprès du serveur. La valeur par défaut est Désactivé.
- Demander le mot de passe : indiquez si les utilisateurs doivent être invités à entrer leur mot de passe lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : sélectionnez cette option pour demander aux utilisateurs d’entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
- Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé.
- Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
- Domaines safari : cliquez sur Ajouter pour ajouter un nom de domaine Safari.
Configurer le protocole Cisco Legacy AnyConnect pour iOS
Pour passer du client Cisco Legacy AnyConnect au nouveau client Cisco AnyConnect, utilisez le protocole SSL personnalisé.
- Identificateur de bundle de fournisseur : pour le client Legacy AnyConnect, le bundle ID est com.cisco.anyconnect.gui.
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
- Groupe : entrez un nom de groupe (facultatif).
-
Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
- Inclure tous les réseaux : sélectionnez si vous souhaitez autoriser tous les réseaux à utiliser cette connexion. La valeur par défaut est Désactivé.
- Exclure les réseaux locaux : sélectionnez si vous souhaitez exclure les réseaux locaux de l’utilisation de la connexion ou autoriser les réseaux. La valeur par défaut est Désactivé.
-
Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
- Type de fournisseur : indiquez si le VPN par application est fourni en tant que Proxy d’application ou Tunnel de paquet. La valeur par défaut est Proxy d’application.
-
Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer le protocole SSL Juniper pour iOS
- Identificateur de bundle de fournisseur : si votre profil VPN par application contient l’identificateur de bundle d’une application avec plusieurs fournisseurs VPN du même type, spécifiez le fournisseur à utiliser ici.
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
- Domaine : entrez un nom de domaine (facultatif).
- Rôle : entrez un nom de rôle (facultatif).
- Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
- Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
- Type de fournisseur : indiquez si le VPN par application est fourni en tant que Proxy d’application ou Tunnel de paquet. La valeur par défaut est Proxy d’application.
- Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer le protocole F5 SSL pour iOS
- Identificateur de bundle de fournisseur : si votre profil VPN par application contient l’identificateur de bundle d’une application avec plusieurs fournisseurs VPN du même type, spécifiez le fournisseur à utiliser ici.
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
-
Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
-
Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
- Type de fournisseur : indiquez si le VPN par application est fourni en tant que Proxy d’application ou Tunnel de paquet. La valeur par défaut est Proxy d’application.
-
Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer le protocole SonicWALL pour iOS
- Identificateur de bundle de fournisseur : si votre profil VPN par application contient l’identificateur de bundle d’une application avec plusieurs fournisseurs VPN du même type, spécifiez le fournisseur à utiliser ici.
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
- Groupe ou domaine de connexion : entrez un groupe ou domaine de connexion (facultatif).
-
Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
-
Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous définissez cette option sur Activé, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
- Type de fournisseur : indiquez si le VPN par application est fourni en tant que Proxy d’application ou Tunnel de paquet. La valeur par défaut est Proxy d’application.
-
Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer le protocole Ariba VIA pour iOS
- Identificateur de bundle de fournisseur : si votre profil VPN par application contient l’identificateur de bundle d’une application avec plusieurs fournisseurs VPN du même type, spécifiez le fournisseur à utiliser ici.
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
-
Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
-
Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
-
Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer les protocoles IKEv2 pour iOS
Cette section contient les paramètres utilisés pour les protocoles IKEv2, AlwaysOn IKEv2 et Double configuration AlwaysOn IKEv2. Pour le protocole Double configuration AlwaysOn IKEv2, configurez tous ces paramètres pour les réseaux cellulaires et Wi-Fi.
-
Autoriser l’utilisateur à désactiver la connexion automatique : pour les protocoles AlwaysOn. Indiquez si vous souhaitez permettre aux utilisateurs de désactiver la connexion automatique au réseau sur leurs appareils. La valeur par défaut est Désactivé.
-
Nom d’hôte ou adresse IP du serveur : entrez le nom ou l’adresse IP du serveur VPN.
-
Identifiant local : nom de domaine complet ou adresse IP du client IKEv2. Ce champ est obligatoire.
-
Identifiant distant : nom de domaine complet ou adresse IP du serveur VPN. Ce champ est obligatoire.
-
Authentification de l’appareil : choisissez Secret partagé, Certificat ou Certificat d’appareil basé sur l’identité de l’appareil pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Secret partagé.
-
Si vous choisissez Secret partagé, entrez une clé de secret partagé (facultatif).
-
Si vous choisissez Certificat, choisissez les Infos d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
-
Si vous choisissez Certificat d’appareil basé sur l’identité de l’appareil, choisissez le type d’identité de l’appareil à utiliser. La valeur par défaut est IMEI. Pour utiliser cette option, importez des certificats de façon groupée à l’aide de l’API REST. Consultez la section Effectuer un chargement groupé de certificats avec l’API REST. Disponible uniquement lorsque vous sélectionnez Toujours sur IKEv2.
-
-
Authentification étendue activée : indiquez si vous souhaitez activer le protocole d’authentification étendue (EAP). Si vous choisissez Activé, tapez le compte d’utilisateur et le mot de passe d’authentification.
-
Intervalle DPD : choisissez la fréquence à laquelle un appareil homologue est contacté pour vous assurer qu’il reste accessible. La valeur par défaut est Aucun. Les options sont les suivantes :
-
Aucun : désactive DPD.
-
Faible : contacte l’homologue toutes les 30 minutes.
-
Moyen : contacte l’homologue toutes les 10 minutes.
-
Élevé : contacte l’homologue toutes les minutes.
-
-
Désactiver la mobilité et le multihoming : sélectionnez cette option pour désactiver cette fonctionnalité.
-
Utilisez les attributs du sous-réseau interne IPv4/IPv6 : choisissez si vous souhaitez activer cette fonctionnalité.
-
Désactiver les redirections : choisissez si vous souhaitez désactiver les redirections.
-
Activer procédure de secours : si cette option est activée, ce paramètre permet à un tunnel de transporter le trafic admissible à l’assistance Wi-Fi sur des données cellulaires et nécessite un VPN. La valeur par défaut est Désactivé.
-
Activer Keepalive NAT lorsque l’appareil est en veille : pour les protocoles AlwaysOn. Les paquets Keepalive maintiennent les mappages NAT pour les connexions IKEv2. La puce envoie ces paquets à intervalle régulier lorsque l’appareil est éveillé. Si ce paramètre est On, la puce envoie des paquets Keepalive même lorsque l’appareil est en veille. L’intervalle par défaut est de 20 secondes via Wi-Fi et de 110 secondes via réseau cellulaire. Vous pouvez modifier l’intervalle en utilisant le paramètre Intervalle Keepalive NAT.
-
Intervalle Keepalive NAT (secondes) : la valeur par défaut est de 20 secondes.
-
Activer PFS (Perfect Forward Secrecy) : choisissez si vous souhaitez activer cette fonctionnalité.
-
Adresses IP des serveurs DNS : facultatif. Une liste des chaînes d’adresses IP du serveur DNS. Ces adresses IP peuvent inclure un mélange d’adresses IPv4 et IPv6. Cliquez sur Ajouter pour saisir une adresse.
-
Nom de domaine : facultatif. Domaine principal du tunnel.
-
Domaines de recherche : facultatif. Liste de chaînes de domaines utilisés pour donner des noms d’hôte complets uniques.
-
Ajouter des domaines de correspondance supplémentaires à la liste de résolution : facultatif. Détermine si les domaines figurant dans la liste des domaines correspondants supplémentaires doivent être ajoutés à la liste des domaines de recherche pour la résolution. La valeur par défaut est Activé.
-
Domaines correspondant supplémentaires : facultatif. Liste des chaînes de domaines utilisés pour déterminer les requêtes DNS qui devront utiliser les paramètres de résolution DNS contenus dans les adresses de serveur DNS. Cette clé crée une configuration split DNS où uniquement les hôtes de certains domaines sont résolus à l’aide de la résolution DNS du tunnel. Les hôtes ne se trouvant pas dans l’un des domaines de cette liste sont résolus à l’aide de la résolution par défaut du système.
Si ce paramètre contient une chaîne vide, cette chaîne est utilisée en tant que domaine par défaut. Cette solution permet à une configuration de split-tunnel de diriger toutes les requêtes DNS vers les serveurs de VPN DNS avant les serveurs DNS principaux. Si le tunnel VPN est l’itinéraire par défaut du réseau, les serveurs DNS répertoriés deviennent la résolution par défaut. Dans ce cas, la liste des domaines correspondants supplémentaires est ignorée.
-
Paramètres IKE SA et Paramètres SA enfants : configurez ces paramètres pour chaque option d’association de sécurité (SA) :
-
Algorithme de chiffrement : dans la liste, sélectionnez l’algorithme de chiffrement IKE à utiliser. La valeur par défaut est 3DES.
-
Algorithme d’intégrité : dans la liste, sélectionnez l’algorithme d’intégrité à utiliser. La valeur par défaut est SHA-256.
-
Groupe Diffie Hellman : dans la liste, sélectionnez le numéro du groupe Diffie Hellman. La valeur par défaut est 2.
-
Durée de vie d’IKE en minutes : entrez un nombre entier compris entre 10 et 1440 représentant la durée de vie SA (rekey interval). La valeur par défaut est 1440 minutes.
-
-
Exceptions de service : pour les protocoles AlwaysOn. Les exceptions de service sont des services du système auxquels n’est pas appliquée l’option VPN toujours connecté. Configurez ces paramètres d’exceptions de service :
-
Messagerie vocale : dans la liste, sélectionnez la façon dont l’exception des messages vocaux est traitée. La valeur par défaut est Autoriser le trafic via le tunnel.
-
AirPrint : dans la liste, sélectionnez la façon dont l’exception AirPrint est traitée. La valeur par défaut est Autoriser le trafic via le tunnel.
-
Autoriser le trafic en provenance de websheets captifs en dehors du tunnel VPN : sélectionnez cette option pour autoriser les utilisateurs à se connecter à des points d’accès en dehors du tunnel VPN. La valeur par défaut est Désactivé.
-
Autoriser le trafic en provenance de toutes les applications de réseaux captifs en dehors du tunnel VPN : sélectionnez cette option pour autoriser toutes les applications de réseau de point d’accès en dehors du tunnel VPN. La valeur par défaut est Désactivé.
-
Bundle ID d’applications de réseaux captifs : pour chaque identificateur de bundle d’applications de réseau auquel les utilisateurs sont autorisés à accéder, cliquez sur Ajouter et entrez le bundle ID de réseau de point d’accès. Cliquez sur Enregistrer pour enregistrer le bundle ID d’application.
-
-
Per App VPN : configurez ces paramètres pour les types de connexion IKEv2.
- Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé.
- Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
- Domaines safari : cliquez sur Ajouter pour ajouter un nom de domaine Safari.
-
Configuration du proxy : choisissez la façon dont la connexion VPN transite via un serveur proxy. La valeur par défaut est Aucun.
Configurer le protocole Citrix SSO pour iOS
Le client Citrix SSO est disponible dans le portail Apple Store.
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
-
Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
-
Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous définissez cette option sur Activé, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
- Type de fournisseur : indiquez si le VPN par application est fourni en tant que Proxy d’application ou Tunnel de paquet. La valeur par défaut est Proxy d’application.
- Type de fournisseur : définissez sur Tunnel de paquet.
-
Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
-
XML personnalisé : pour chaque paramètre XML personnalisé que vous souhaitez ajouter, cliquez sur Ajouter et spécifiez les paires clé/valeur. Les paramètres disponibles sont les suivants :
- disableL3 : désactive le VPN au niveau du système. Autorise uniquement le Per App VPN. Aucune valeur n’est requise.
- user agent : associe à cette stratégie toute stratégie NetScaler Gateway qui cible les clients de plug-in VPN. La valeur de cette clé est automatiquement ajoutée au plug-in VPN pour les requêtes initiées par le plug-in.
Configurer le protocole SSL personnalisé pour iOS
Pour passer du client Cisco Legacy AnyConnect au client Cisco AnyConnect :
- Configurez la stratégie VPN avec le protocole SSL personnalisé. Déployez la stratégie sur les appareils iOS.
- Chargez le client Cisco AnyConnect depuis https://apps.apple.com/us/app/cisco-secure-client/id1135064690, ajoutez l’application à Citrix Endpoint Management et déployez l’application sur les appareils iOS.
- Supprimez l’ancienne stratégie VPN des appareils iOS.
Paramètres :
- Identifiant SSL personnalisé (format DNS inverse) : définissez sur le bundle ID. Pour le client Cisco AnyConnect, utilisez com.cisco.anyconnect.
- Identificateur de bundle de fournisseur : si l’application spécifiée dans Identifiant SSL personnalisé a plusieurs fournisseurs VPN du même type (Proxy d’application ou Tunnel de paquet), spécifiez cet identificateur de bundle. Pour le client Cisco AnyConnect, utilisez com.cisco.anyconnect.
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
-
Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur Activé, consultez la section Configurer les options de l’activation VPN sur demande pour iOS.
- Inclure tous les réseaux : sélectionnez si vous souhaitez autoriser tous les réseaux à utiliser cette connexion. La valeur par défaut est Désactivé.
- Exclure les réseaux locaux : sélectionnez si vous souhaitez exclure les réseaux locaux de l’utilisation de la connexion ou autoriser les réseaux. La valeur par défaut est Désactivé.
-
Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous définissez cette option sur Activé, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
- Type de fournisseur : un type de fournisseur indique si le fournisseur est un service VPN ou un service de proxy. Pour le service VPN, choisissez Tunnel de paquet. Pour le service de proxy, choisissez Proxy d’application. Pour le client Cisco AnyConnect, choisissez Tunnel de paquet.
-
Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
-
XML personnalisé : pour chaque paramètre XML personnalisé que vous souhaitez ajouter, cliquez sur Ajouter, puis procédez comme suit :
- Nom du paramètre : entrez le nom du paramètre à ajouter.
- Valeur : entrez la valeur associée au nom du paramètre.
- Cliquez sur Enregistrer pour enregistrer le paramètre ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer la stratégie VPN pour prendre en charge NAC
- Le type de connexion SSL personnalisé est requis pour la configuration du filtre NAC.
- Spécifiez VPN comme nom de connexion.
- Pour Identifiant SSL personnalisé, tapez com.citrix.NetScalerGateway.ios.app
- Pour Identificateur de bundle de fournisseur, tapez com.citrix.NetScalerGateway.ios.app.vpnplugin
Les valeurs des étapes 3 et 4 proviennent de l’installation de Citrix SSO requise pour le filtrage NAC. Vous ne configurez pas de mot de passe d’authentification. Pour plus d’informations sur l’utilisation de la fonction NAC, voir Contrôle d’accès réseau.
Configurer les options de l’activation VPN sur demande pour iOS
- Domaine sur demande : pour chaque domaine et action à exécuter lorsque les utilisateurs s’y connectent, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
-
Action : dans la liste, sélectionnez l’une des actions possibles :
- Toujours établir : le domaine déclenche toujours une connexion VPN.
- Ne jamais établir : le domaine ne déclenche jamais de connexion VPN.
- Établir si nécessaire : le domaine déclenche une tentative de connexion VPN si la résolution du nom de domaine échoue. L’échec se produit lorsque le serveur DNS ne peut pas résoudre le domaine, redirige la connexion vers un autre serveur ou expire.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
-
Règles On Demand
-
Action : dans la liste, sélectionnez l’action à exécuter. La valeur par défaut est EvaluateConnection. Les actions possibles sont les suivantes :
- Autoriser : autoriser la connexion VPN sur demande.
- Connexion : démarrez une connexion VPN sans condition.
- Déconnecter : désactiver la connexion VPN et ne pas se reconnecter à la demande tant que la règle est active.
- EvaluateConnection : évaluer la matrice ActionParameters pour chaque connexion.
- Ignorer : conserver toute connexion VPN en cours mais ne pas se reconnecter à la demande tant que la règle est active.
-
DNSDomainMatch : pour chaque domaine avec lequel la liste de domaines de recherche d’un appareil peut correspondre, cliquez sur Ajouter et procédez comme suit :
- Domaine DNS : entrez le nom du domaine. Vous pouvez utiliser le préfixe générique « \* » pour la correspondance avec multiples domaines. Par exemple,*.exemple.com peut correspondre à mondomaine.exemple.com, tondomaine.exemple.com et sondomaine.exemple.com.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
-
DNSServerAddressMatch : pour chaque adresse IP à laquelle n’importe quel des serveurs DNS spécifiés du réseau peut correspondre, cliquez sur Ajouter et procédez comme suit :
- Adresse du serveur DNS : entrez l’adresse du serveur DNS que vous souhaitez ajouter. Vous pouvez utiliser le suffixe générique «\*» pour la correspondance avec des serveurs DNS. Par exemple, 17.* correspond à n’importe quel serveur DNS u sous-réseau de classe A.
- Cliquez sur Enregistrer pour enregistrer l’adresse du serveur DNS ou cliquez sur Annuler pour ne pas l’enregistrer.
-
InterfaceTypeMatch : dans la liste, sélectionnez le type de matériel d’interface réseau principal utilisé. La valeur par défaut est Non spécifié. Valeurs possibles :
- Non spécifié : correspondance avec n’importe quel matériel d’interface réseau. Cette option est la valeur par défaut.
- Ethernet : correspondance uniquement avec le matériel d’interface réseau Ethernet.
- Wi-Fi : correspondance uniquement avec le matériel d’interface réseau Wi-Fi.
- Cellulaire : correspondance uniquement avec le matériel d’interface réseau cellulaire.
-
SSIDMatch : pour chaque SSID à faire correspondre avec le réseau actuel, cliquez sur Ajouter et procédez comme suit.
- SSID : entrez le SSID à ajouter. Si le réseau n’est pas un réseau Wi-Fi, ou si le SSID ne s’affiche pas, la correspondance échoue. Laissez cette liste vide pour une correspondance avec n’importe quel SSID.
- Cliquez sur Enregistrer pour enregistrer le SSID ou cliquez sur Annuler pour ne pas l’enregistrer.
- URLStringProbe : entrez une adresse URL à récupérer. Si cette adresse URL est correctement récupérée sans redirection, cette règle correspond.
-
ActionParameters : Domains : pour chaque domaine que EvaluateConnection doit vérifier, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
-
ActionParameters : DomainAction : dans la liste, sélectionnez le comportement du VPN pour les domaines ActionParameters : Domains spécifiés. La valeur par défaut est ConnectIfNeeded. Les actions possibles sont les suivantes :
- ConnectIfNeeded : le domaine déclenche une tentative de connexion VPN si la résolution du nom de domaine échoue. L’échec se produit lorsque le serveur DNS ne peut pas résoudre le domaine, redirige la connexion vers un autre serveur ou expire.
- NeverConnect : le domaine ne déclenche jamais de connexion VPN.
-
Action Parameters: RequiredDNSServers : pour chaque serveur DNS à utiliser pour résoudre les domaines spécifiés, cliquez sur Ajouter et procédez comme suit :
- Serveur DNS : valide uniquement si ActionParameters : DomainAction = ConnectIfNeeded. Saisissez l’adresse IP du serveur DNS. Ce serveur peut résider en dehors de la configuration réseau actuelle de l’appareil. Si le serveur DNS n’est pas accessible, une connexion VPN est établie en réponse. Assurez-vous que le serveur DNS est un serveur DNS interne ou un serveur DNS externe de confiance.
- Cliquez sur Enregistrer pour enregistrer le serveur DNS ou cliquez sur Annuler pour ne pas l’enregistrer.
- ActionParameters : RequiredURLStringProbe : si vous le souhaitez, entrez une adresse URL HTTP ou HTTPS (recommandé) à interroger, à l’aide d’un requête GET. Si le nom d’hôte de l’adresse URL ne peut pas être résolu, si le serveur est inaccessible ou si le serveur ne répond pas, une connexion VPN est établie. Valide uniquement si ActionParameters : DomainAction = ConnectIfNeeded.
-
OnDemandRules : XML content : entrez, ou copiez et collez, les règles on demand de la configuration XML.
- Cliquez sur Vérifier dict. pour valider le code XML. Le texte XML valide s’affiche sous la zone de texte Contenu XML si le fichier XML est valide. S’il n’est pas valide, un message d’erreur s’affiche.
-
Action : dans la liste, sélectionnez l’action à exécuter. La valeur par défaut est EvaluateConnection. Les actions possibles sont les suivantes :
-
Proxy
-
Configuration du proxy : dans la liste, sélectionnez la façon dont la connexion VPN transite via un serveur proxy. La valeur par défaut est Aucun.
- Si vous avez sélectionné Manuel, configurez les paramètres suivants :
- Nom d’hôte ou adresse IP du serveur proxy : entrez le nom d’hôte ou l’adresse IP du serveur proxy. Ce champ est obligatoire.
- Port du serveur proxy : entrez le numéro de port du serveur proxy. Ce champ est obligatoire.
- Nom d’utilisateur : entrez un nom d’utilisateur pour le serveur proxy (facultatif).
- Mot de passe : entrez un mot de passe pour le serveur proxy (facultatif).
- Si vous configurez Automatique, configurez ce paramètre :
- URL du serveur proxy : entrez l’adresse URL du serveur proxy. Ce champ est obligatoire.
- Si vous avez sélectionné Manuel, configurez les paramètres suivants :
-
Configuration du proxy : dans la liste, sélectionnez la façon dont la connexion VPN transite via un serveur proxy. La valeur par défaut est Aucun.
-
Paramètres de stratégie
-
Supprimer la stratégie : choisissez une méthode de planification de la suppression de la stratégie. Les options disponibles sont Sélectionner une date et Délai avant suppression (en heures).
- Sélectionner une date : cliquez sur le calendrier pour sélectionner la date spécifique de la suppression.
- Délai avant suppression (en heures) : saisissez un nombre, en heures, jusqu’à ce que la suppression de la stratégie ait lieu. Disponible uniquement pour iOS 6.0 et versions ultérieures.
-
Supprimer la stratégie : choisissez une méthode de planification de la suppression de la stratégie. Les options disponibles sont Sélectionner une date et Délai avant suppression (en heures).
Configurer une stratégie Per App VPN
Des options Per App VPN pour iOS sont disponibles pour ces types de connexion : Cisco Legacy AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Aruba VIA, Citrix VPN, Citrix SSO et SSL personnalisé.
Pour configurer une stratégie Per App VPN :
-
Dans Configurer > Stratégies d’appareil, créez une stratégie VPN. Par exemple :
-
Dans Configurer > Stratégies d’appareil, créez une stratégie d’attributs d’application pour associer une application à la stratégie Per App VPN. Pour Identifiant Per App VPN, choisissez le nom de la stratégie VPN créée à l’étape 1. Pour Bundle ID d’application gérée, choisissez dans la liste d’applications ou entrez le bundle ID d’application. (Si vous déployez une stratégie d’inventaire des applications iOS, la liste des applications contient des applications).
Paramètres macOS
- Nom de la connexion : entrez un nom pour la connexion.
-
Type de connexion : dans la liste, sélectionnez le protocole à utiliser pour cette connexion. La valeur par défaut est L2TP.
- L2TP : Layer 2 Tunneling Protocol avec authentification par clé pré-partagée.
- PPTP : protocole PPTP.
- IPSec : votre connexion VPN d’entreprise.
- Cisco AnyConnect : client Cisco AnyConnect VPN.
- Juniper SSL : client Juniper Networks SSL VPN.
- F5 SSL : client F5 Networks SSL VPN.
- SonicWALL Mobile Connect : client VPN Dell unifié pour iOS.
- Aruba VIA : client Aruba Networks Virtual Internet Access.
- Citrix VPN : client Citrix VPN.
- SSL personnalisé : Secure Sockets Layer personnalisé.
Les sections suivantes répertorient les options de configuration pour chacun des types de connexion précédents.
Configurer le protocole L2TP pour macOS
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
- Sélectionnez Authentification par mot de passe, Authentification RSA SecurID, Authentification Kerberos ou Authentification CryptoCard. La valeur par défaut est Authentification par mot de passe.
- Secret partagé : entrez la clé de secret partagé IPsec.
- Envoyer tout le trafic : sélectionnez cette option pour envoyer tout le trafic via le VPN. La valeur par défaut est Désactivé.
Configurer le protocole PPTP pour macOS
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
- Sélectionnez Authentification par mot de passe, Authentification RSA SecurID, Authentification Kerberos ou Authentification CryptoCard. La valeur par défaut est Authentification par mot de passe.
-
Niveau de chiffrement : sélectionnez le niveau de chiffrement souhaité. La valeur par défaut est Aucun.
- Aucun : le chiffrement n’est pas utilisé.
- Automatique : utilise le niveau de chiffrement le plus élevé pris en charge par le serveur.
- Maximum (128 bits) : utilise toujours le cryptage 128 bits.
- Envoyer tout le trafic : sélectionnez cette option pour envoyer tout le trafic via le VPN. La valeur par défaut est Désactivé.
Configurer le protocole IPsec pour macOS
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
-
Type d’authentification pour la connexion : dans la liste, sélectionnez Secret partagé ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Secret partagé.
- Si vous sélectionnez l’authentification Secret partagé, configurez les paramètres suivants :
- Nom du groupe : entrez un nom de groupe (facultatif).
- Secret partagé : entrez une clé de secret partagé (facultatif).
- Utiliser une authentification hybride : indiquez si vous souhaitez utiliser l’authentification hybride. Avec l’authentification hybride, le serveur s’authentifie auprès du client, puis le client s’authentifie auprès du serveur. La valeur par défaut est Désactivé.
- Demander le mot de passe : indiquez si les utilisateurs doivent être invités à entrer leur mot de passe lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Si vous avez sélectionné l’authentification Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : sélectionnez cette option pour demander aux utilisateurs d’entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur ON, consultez la section Configurer les options de l’activation VPN sur demande.
- Si vous sélectionnez l’authentification Secret partagé, configurez les paramètres suivants :
Configurer le protocole Cisco AnyConnect pour macOS
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
- Groupe : entrez un nom de groupe (facultatif).
-
Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur ON, consultez la section Configurer les options de l’activation VPN sur demande.
-
Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
-
Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer le protocole SSL Juniper pour macOS
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
- Domaine : entrez un nom de domaine (facultatif).
- Rôle : entrez un nom de rôle (facultatif).
-
Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur ON, consultez la section Configurer les options de l’activation VPN sur demande.
-
Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si une connexion Per App VPN est déclenchée automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
-
Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer le protocole F5 SSL pour macOS
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
-
Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur ON, consultez la section Configurer les options de l’activation VPN sur demande.
-
Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
-
Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer le protocole SonicWall Mobile Connect pour macOS
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
- Groupe ou domaine de connexion : entrez un groupe ou domaine de connexion (facultatif).
-
Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur ON, consultez la section Configurer les options de l’activation VPN sur demande.
-
Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si une connexion Per App VPN est déclenchée automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
-
Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer le protocole Ariba VIA pour macOS
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN.
- Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
-
Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur ON, consultez la section Configurer les options de l’activation VPN sur demande.
-
Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si une connexion Per App VPN est déclenchée automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est Désactivé.
-
Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer le protocole SSL personnalisé pour macOS
- Identifiant SSL personnalisé (format DNS inverse) : entrez l’identifiant SSL au format DNS inverse. Ce champ est obligatoire.
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
-
Compte d’utilisateur : entrez un compte d’utilisateur (facultatif).
- Type d’authentification pour la connexion : dans la liste, sélectionnez Mot de passe ou Certificat pour le type d’authentification à utiliser pour cette connexion. La valeur par défaut est Mot de passe.
- Si vous activez Mot de passe, saisissez un mot de passe d’authentification facultatif dans le champ Mot de passe d’authentification.
- Si vous avez sélectionné Certificat, configurez les paramètres suivants :
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser. La valeur par défaut est Aucun.
- Exiger PIN à la connexion : indiquez si les utilisateurs doivent être invités à entrer leur code PIN lorsqu’ils se connectent au réseau. La valeur par défaut est Désactivé.
- Activer VPN sur demande : indiquez si une connexion VPN doit être déclenchée lorsque les utilisateurs se connectent au réseau. La valeur par défaut est Désactivé. Pour de plus amples informations sur la configuration de paramètres lorsque Activer VPN sur demande est réglé sur ON, consultez la section Configurer les options de l’activation VPN sur demande.
-
Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est Désactivé. Si vous activez cette option, configurez les paramètres suivants :
- Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau.
-
Domaines Safari : pour chaque domaine Safari qui peut déclencher une connexion Per App VPN que vous souhaitez inclure, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
-
XML personnalisé : pour chaque paramètre XML personnalisé que vous souhaitez ajouter, cliquez sur Ajouter, puis procédez comme suit :
- Nom du paramètre : entrez le nom du paramètre à ajouter.
- Valeur : entrez la valeur associée au nom du paramètre.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer les options de l’activation VPN sur demande
-
Domaine sur demande : pour chaque domaine et action à exécuter lorsque les utilisateurs s’y connectent, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
-
Action : dans la liste, sélectionnez l’une des actions possibles :
- Toujours établir : le domaine déclenche toujours une connexion VPN.
- Ne jamais établir : le domaine ne déclenche jamais de connexion VPN.
- Établir si nécessaire : le domaine déclenche une tentative de connexion VPN si la résolution du nom de domaine échoue. L’échec se produit lorsque le serveur DNS ne peut pas résoudre le domaine, redirige la connexion vers un autre serveur ou expire.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
-
Règles On Demand
-
Action : dans la liste, sélectionnez l’action à exécuter. La valeur par défaut est EvaluateConnection. Les actions possibles sont les suivantes :
- Autoriser : autoriser la connexion VPN sur demande.
- Connecter : établir une connexion VPN sans condition.
- Déconnecter : désactiver la connexion VPN et ne pas se reconnecter à la demande tant que la règle est active.
- EvaluateConnection : évaluer la matrice ActionParameters pour chaque connexion.
- Ignorer : conserver toute connexion VPN en cours mais ne pas se reconnecter à la demande tant que la règle est active.
-
DNSDomainMatch : pour les domaines avec lesquels la liste de domaines de recherche d’un appareil peut correspondre, cliquez sur Ajouter et procédez comme suit :
- Domaine DNS : entrez le nom du domaine. Vous pouvez utiliser le préfixe générique « \* » pour la correspondance avec multiples domaines. Par exemple,*.exemple.com peut correspondre à mondomaine.exemple.com, tondomaine.exemple.com et sondomaine.exemple.com.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
-
DNSServerAddressMatch : pour chaque adresse IP à laquelle n’importe quel des serveurs DNS spécifiés du réseau peut correspondre, cliquez sur Ajouter et procédez comme suit :
- Adresse du serveur DNS : entrez l’adresse du serveur DNS que vous souhaitez ajouter. Vous pouvez utiliser le suffixe générique «\*» pour la correspondance avec des serveurs DNS. Par exemple, 17.* correspond à n’importe quel serveur DNS u sous-réseau de classe A.
- Cliquez sur Enregistrer pour enregistrer l’adresse du serveur DNS ou cliquez sur Annuler pour ne pas l’enregistrer.
-
InterfaceTypeMatch : dans la liste, cliquez sur le type de matériel d’interface réseau principal utilisé. La valeur par défaut est Non spécifié. Valeurs possibles :
- Non spécifié : correspondance avec n’importe quel matériel d’interface réseau. Cette option est la valeur par défaut.
- Ethernet : correspondance uniquement avec le matériel d’interface réseau Ethernet.
- Wi-Fi : correspondance uniquement avec le matériel d’interface réseau Wi-Fi.
- Cellulaire : correspondance uniquement avec le matériel d’interface réseau cellulaire.
-
SSIDMatch : pour chaque SSID à faire correspondre avec le réseau actuel, cliquez sur Ajouter et procédez comme suit.
- SSID : entrez le SSID à ajouter. Si le réseau n’est pas un réseau Wi-Fi, ou si le SSID ne s’affiche pas, la correspondance échoue. Laissez cette liste vide pour une correspondance avec n’importe quel SSID.
- Cliquez sur Enregistrer pour enregistrer le SSID ou cliquez sur Annuler pour ne pas l’enregistrer.
- URLStringProbe : entrez une adresse URL à récupérer. Si cette adresse URL est correctement récupérée sans redirection, cette règle correspond.
-
ActionParameters : Domains : pour chaque domaine que EvaluateConnection doit vérifier, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
-
ActionParameters : DomainAction : dans la liste, sélectionnez le comportement du VPN pour les domaines ActionParameters : Domains spécifiés. La valeur par défaut est ConnectIfNeeded. Les actions possibles sont les suivantes :
- ConnectIfNeeded : le domaine déclenche une tentative de connexion VPN si la résolution du nom de domaine échoue. L’échec se produit lorsque le serveur DNS ne peut pas résoudre le domaine, redirige la connexion vers un autre serveur ou expire.
- NeverConnect : le domaine ne déclenche jamais de connexion VPN.
-
Action Parameters: RequiredDNSServers : pour chaque serveur DNS à utiliser pour résoudre les domaines spécifiés, cliquez sur Ajouter et procédez comme suit :
- Serveur DNS : valide uniquement si ActionParameters : DomainAction = ConnectIfNeeded. Tapez l’adresse IP du serveur DNS à ajouter. Ce serveur peut résider en dehors de la configuration réseau actuelle de l’appareil. Si le serveur DNS n’est pas accessible, une connexion VPN est établie en réponse. Ce serveur DNS doit être un serveur DNS interne ou un serveur DNS externe de confiance.
- Cliquez sur Enregistrer pour enregistrer le serveur DNS ou cliquez sur Annuler pour ne pas l’enregistrer.
- ActionParameters : RequiredURLStringProbe : si vous le souhaitez, entrez une adresse URL HTTP ou HTTPS (recommandé) à interroger, à l’aide d’un requête GET. Si le nom d’hôte de l’adresse URL ne peut pas être résolu, si le serveur est inaccessible ou si le serveur ne répond pas, une connexion VPN est établie. Valide uniquement si ActionParameters : DomainAction = ConnectIfNeeded.
-
OnDemandRules : XML content : entrez, ou copiez et collez, les règles on demand de la configuration XML.
- Cliquez sur Vérifier dict. pour valider le code XML. Le texte XML valide s’affiche sous la zone de texte Contenu XML si le fichier XML est valide. S’il n’est pas valide, un message d’erreur s’affiche.
-
Action : dans la liste, sélectionnez l’action à exécuter. La valeur par défaut est EvaluateConnection. Les actions possibles sont les suivantes :
-
Proxy
-
Configuration du proxy : dans la liste, sélectionnez la façon dont la connexion VPN transite via un serveur proxy. La valeur par défaut est Aucun.
- Si vous avez sélectionné Manuel, configurez les paramètres suivants :
- Nom d’hôte ou adresse IP du serveur proxy : entrez le nom d’hôte ou l’adresse IP du serveur proxy. Ce champ est obligatoire.
- Port du serveur proxy : entrez le numéro de port du serveur proxy. Ce champ est obligatoire.
- Nom d’utilisateur : entrez un nom d’utilisateur pour le serveur proxy (facultatif).
- Mot de passe : entrez un mot de passe pour le serveur proxy (facultatif).
- Si vous configurez Automatique, configurez ce paramètre :
- URL du serveur proxy : entrez l’adresse URL du serveur proxy. Ce champ est obligatoire.
- Si vous avez sélectionné Manuel, configurez les paramètres suivants :
-
Configuration du proxy : dans la liste, sélectionnez la façon dont la connexion VPN transite via un serveur proxy. La valeur par défaut est Aucun.
-
Paramètres de stratégie
-
Supprimer la stratégie : choisissez une méthode de planification de la suppression de la stratégie. Les options disponibles sont Sélectionner une date et Délai avant suppression (en heures).
- Sélectionner une date : cliquez sur le calendrier pour sélectionner la date spécifique de la suppression.
- Délai avant suppression (en heures) : saisissez un nombre, en heures, jusqu’à ce que la suppression de la stratégie ait lieu.
- Autoriser l’utilisateur à supprimer la stratégie : vous pouvez sélectionner quand les utilisateurs peuvent supprimer la stratégie de leur appareil. Sélectionnez Toujours, Code secret requis ou Jamais dans le menu. Si vous sélectionnez Code secret requis, saisissez un code dans le champ Mot de passe de suppression.
- Étendue du profil : indiquez si cette stratégie s’applique à un utilisateur ou à un système entier. La valeur par défaut est Utilisateur. Cette option est disponible uniquement sur macOS 10.7 et versions ultérieures.
-
Supprimer la stratégie : choisissez une méthode de planification de la suppression de la stratégie. Les options disponibles sont Sélectionner une date et Délai avant suppression (en heures).
Paramètres Android (DA hérité)
Configurer le protocole Cisco AnyConnect VPN pour Android
- Nom de la connexion : entrez un nom pour la connexion au VPN Cisco AnyConnect. Ce champ est obligatoire.
- Nom du serveur ou adresse IP : entrez le nom ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
- Infos d’identification de l’identité : dans la liste, sélectionnez des Informations d’identification de l’identité.
- Serveur VPN de sauvegarde : entrez les informations du serveur VPN de sauvegarde.
- Groupe d’utilisateurs : entrez les informations relatives au groupe d’utilisateurs.
-
Réseaux fiables
-
Stratégie de VPN automatique : activez ou désactivez cette option pour définir la façon dont le VPN réagit aux réseaux approuvés et non approuvés. Si cette option est activée, configurez les paramètres suivants :
-
Stratégie pour réseau fiable : dans la liste, sélectionnez la stratégie souhaitée. La valeur par défaut est Déconnecter. Les options possibles sont les suivantes :
- Déconnecter : le client met fin à la connexion VPN dans le réseau approuvé. Il s’agit du réglage par défaut.
- Connecter : le client initie une connexion VPN dans le réseau approuvé.
- Ne rien faire : le client n’exécute aucune action.
- Mettre en pause : met la session VPN en pause lorsqu’un utilisateur accède à un réseau configuré comme approuvé après avoir établi une session VPN à l’extérieur du réseau approuvé. Lorsque l’utilisateur quitte le réseau approuvé, la session reprend. Ce paramètre élimine le besoin de créer une nouvelle session VPN après avoir quitté un réseau approuvé.
-
Stratégie pour réseau non fiable : dans la liste, sélectionnez la stratégie souhaitée. La valeur par défaut est Connecter. Les options possibles sont les suivantes :
- Connecter : le client initie une connexion VPN dans le réseau non approuvé.
- Ne rien faire : le client démarre une connexion VPN dans le réseau non approuvé. Cette option désactive le VPN permanent.
-
Stratégie pour réseau fiable : dans la liste, sélectionnez la stratégie souhaitée. La valeur par défaut est Déconnecter. Les options possibles sont les suivantes :
-
Domaines approuvés : pour chaque suffixe de domaine que l’interface réseau possède lorsque le client est dans le réseau approuvé, cliquez sur Ajouter et procédez comme suit :
- Domaine : entrez le domaine à ajouter.
- Cliquez sur Enregistrer pour enregistrer le domaine ou cliquez sur Annuler pour ne pas l’enregistrer.
-
Serveurs approuvés : pour chaque adresse de serveur que l’interface réseau possède lorsque le client est dans le réseau approuvé, cliquez sur Ajouter et procédez comme suit :
- Serveurs : entrez le serveur à ajouter.
- Cliquez sur Enregistrer pour enregistrer le serveur ou cliquez sur Annuler pour ne pas l’enregistrer.
-
Stratégie de VPN automatique : activez ou désactivez cette option pour définir la façon dont le VPN réagit aux réseaux approuvés et non approuvés. Si cette option est activée, configurez les paramètres suivants :
Configurer le protocole Citrix SSO pour Android
-
Nom de la connexion : entrez un nom pour la connexion VPN. Ce champ est obligatoire.
-
Nom du serveur ou adresse IP : entrez le nom de domaine complet ou l’adresse IP du NetScaler Gateway.
-
Type d’authentification pour la connexion : choisissez un type d’authentification et renseignez les champs qui s’affichent pour le type :
-
Nom d’utilisateur et Mot de passe : saisissez vos informations d’identification VPN pour les Types d’authentification, Mot de passe ou Mot de passe et certificat. Facultatif. Si vous ne fournissez les informations d’identification VPN, l’application Citrix VPN vous invite à entrer un nom d’utilisateur et un mot de passe.
-
Infos d’identification de l’identité : s’affiche pour les Types d’authentification Certificat ou Mot de passe et certificat. Dans la liste, sélectionnez des infos d’identification de l’identité.
-
-
Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. Si vous n’activez pas le per app VPN, tout le trafic transite via le tunnel VPN de Citrix. Si vous activez le per app VPN, spécifiez les paramètres suivants. La valeur par défaut est Désactivé.
- Liste verte ou Liste rouge : si l’option Liste verte est sélectionnée, toutes les applications de la liste verte transitent via ce VPN. Si l’option Liste rouge est sélectionnée, toutes les applications sauf celles figurant sur la liste rouge transitent via ce VPN.
- Liste des applications : les applications d’une liste d’autorisation ou d’une liste de blocage. Cliquez sur Ajouter et tapez une liste de noms de paquetages d’applications séparés par des virgules.
-
XML personnalisé : cliquez sur Ajouter, puis entrez les paramètres personnalisés. Citrix Endpoint Management prend en charge ces paramètres pour Citrix VPN :
- DisableUserProfiles : facultatif. Pour activer ce paramètre, entrez Yes pour Value. Si ce paramètre est activé, Citrix Endpoint Management n’affiche aucune connexion VPN ajoutée par l’utilisateur et l’utilisateur ne peut pas ajouter de connexion. Ce paramètre est une restriction globale et s’applique à tous les profils VPN.
- userAgent : valeur de chaîne. Vous pouvez spécifier une chaîne d’agent utilisateur personnalisée à envoyer dans chaque requête HTTP. La chaîne d’agent utilisateur spécifiée est ajoutée à l’agent utilisateur Citrix VPN existant.
- IsAlwaysOnVpn : facultatif. Cette propriété détermine si le profil VPN est un profil VPN Always ON ou non. Définissez-la sur Oui pour indiquer que le profil VPN est un profil VPN Always On, toujours actif. La valeur par défaut est Non. Un seul profil VPN peut avoir cette propriété définie sur Oui pour que le VPN Always On fonctionne comme prévu.
Configurer les VPN pour prendre en charge NAC
- Définissez Type de connexion sur SSL personnalisé pour configurer le filtre NAC.
- Spécifiez VPN comme nom de connexion.
- Pour XML personnalisé, cliquez sur Ajouter et procédez comme suit :
- Nom du paramètre : saisissez XenMobileDeviceId. Il s’agit de l’ID d’appareil à utiliser pour le contrôle d’accès au réseau en fonction de l’inscription de l’appareil dans Citrix Endpoint Management. Si Citrix Endpoint Management s’inscrit et gère l’appareil, la connexion VPN est autorisée. Sinon, l’authentification est refusée au moment de l’établissement du VPN.
- Valeur : tapez DeviceID_${device.id} qui est la valeur du paramètre XenMobileDeviceId.
- Cliquez sur Enregistrer pour enregistrer le paramètre.
Configurer les VPN pour Android Enterprise
Pour configurer des VPN pour les appareils Android Enterprise, créez une stratégie Configurations gérées par Android Entreprise pour l’application Citrix SSO. Consultez la section Configurer les profils VPN pour Android Enterprise.
Paramètres Android Enterprise
- Activer VPN Always On : indiquez si le VPN Always On est activé. La valeur par défaut est Désactivé. Lorsque cette option est activée, la connexion VPN reste active jusqu’à ce que l’utilisateur se déconnecte manuellement.
- Package VPN : tapez le nom du package de l’application VPN utilisée par les appareils.
- Activer le verrouillage : si cette option est désactivée, aucune application ne peut accéder au réseau si aucune connexion VPN n’existe. Si cette option est activée, les applications que vous configurez dans le paramètre suivant peuvent accéder au réseau, même si aucune connexion VPN n’existe. Disponible pour les appareils Android 10 et versions ultérieures.
- Applications exclues du verrouillage : cliquez sur Ajouter pour entrer les noms des packages d’application pour lesquels vous souhaitez contourner le paramètre de verrouillage.
Paramètres Windows Desktop/Tablet
- Nom de la connexion : entrez un nom pour la connexion Ce champ est obligatoire.
- Type de profil : dans la liste, sélectionnez Natif ou Plug-in. La valeur par défaut est Natif.
-
Configurer le type de profil natif : ces paramètres s’appliquent au VPN intégré aux appareils Windows des utilisateurs.
- Adresse du serveur : entrez le nom de domaine complet ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
- Mémoriser les informations d’identification : sélectionnez cette option si vous souhaitez mettre en cache les informations d’identification. La valeur par défaut est Désactivé. Lorsque cette option est activée, les informations d’identification sont mises en cache dès que possible.
- Suffixe DNS : entrez le suffixe DNS.
-
Type de tunnel : dans la liste, sélectionnez le type de tunnel VPN à utiliser. La valeur par défaut est L2TP. Les options possibles sont les suivantes :
- L2TP : Layer 2 Tunneling Protocol avec authentification par clé pré-partagée.
- PPTP : protocole PPTP.
- IKEv2 : Internet Key Exchange version 2.
-
Méthode d’authentification : dans la liste, sélectionnez la méthode d’authentification à utiliser. La valeur par défaut est EAP. Les options possibles sont les suivantes :
- EAP : protocole d’authentification étendue.
- MSChapV2: Use the Microsoft Challenge-Handshake Authentication Protocol for mutual authentication. Cette option n’est pas disponible lorsque vous sélectionnez IKEv2 pour le type de tunnel.
-
Méthode EAP : dans la liste, sélectionnez la méthode EAP à utiliser. La valeur par défaut est TLS. Ce champ n’est pas disponible lorsque l’authentification MSChapV2 est activée. Les options possibles sont les suivantes :
- TLS : Transport Layer Security
- PEAP : Protected Extensible Authentication Protocol
- Réseaux approuvés : entrez une liste de réseaux séparés par des virgules qui ne nécessitent pas de connexion VPN pour l’accès. Par exemple, lorsque les utilisateurs se trouvent sur le réseau sans fil de votre entreprise, ils peuvent accéder directement aux ressources protégées.
- Exiger un certificat de carte à puce : sélectionnez cette option pour exiger un certificat de carte à puce. La valeur par défaut est Désactivé.
- Sélectionner automatiquement le certificat client : sélectionnez cette option pour choisir automatiquement le certificat client à utiliser pour l’authentification. La valeur par défaut est Désactivé. Cette option n’est pas disponible lorsque vous activez Exiger un certificat de carte à puce.
- VPN toujours connecté : sélectionnez cette option pour spécifier si la connexion VPN est toujours activée. La valeur par défaut est Désactivé. Lorsque cette option est activée, la connexion VPN reste active jusqu’à ce que l’utilisateur se déconnecte manuellement.
- Ne pas utiliser le VPN pour les adresses locales : entrez l’adresse et le numéro de port pour permettre à des ressources locales pour contourner le serveur proxy.
-
Configurer les paramètres du type de profil plug-in : ces paramètres s’appliquent aux plug-ins VPN obtenus à partir du Windows Store et installés sur les appareils des utilisateurs.
- Adresse du serveur : entrez le nom de domaine complet ou l’adresse IP du serveur VPN. Ce champ est obligatoire.
- Mémoriser les informations d’identification : sélectionnez cette option si vous souhaitez mettre en cache les informations d’identification. La valeur par défaut est Désactivé. Lorsque cette option est activée, les informations d’identification sont mises en cache dès que possible.
- Suffixe DNS : entrez le suffixe DNS.
- ID de l’application cliente : entrez le nom de famille du package pour le plug-in VPN.
- XML du profil du plug-in : sélectionnez le profil de plug-in VPN personnalisé en cliquant sur Parcourir et accédez à l’emplacement du fichier. Contactez le fournisseur du plug-in pour des informations sur le format et plus de détails.
- Réseaux approuvés : entrez une liste de réseaux séparés par des virgules qui ne nécessitent pas de connexion VPN pour l’accès. Par exemple, lorsque les utilisateurs se trouvent sur le réseau sans fil de votre entreprise, ils peuvent accéder directement aux ressources protégées.
- VPN toujours connecté : sélectionnez cette option pour spécifier si la connexion VPN est toujours activée. La valeur par défaut est Désactivé. Lorsque cette option est activée, la connexion VPN reste active jusqu’à ce que l’utilisateur se déconnecte manuellement.
- Ne pas utiliser le VPN pour les adresses locales : entrez l’adresse et le numéro de port pour permettre à des ressources locales pour contourner le serveur proxy.
Paramètres Amazon
- Nom de la connexion : entrez un nom pour la connexion
-
Type de VPN : sélectionnez le type de connexion. Les options possibles sont les suivantes :
- L2TP PSK : Layer 2 Tunneling Protocol (L2TP) avec authentification par clé pré-partagée. Il s’agit du réglage par défaut.
- L2TP RSA : Layer 2 Tunneling Protocol avec authentification RSA.
- IPSEC XAUTH PSK : Internet Protocol Security (IPSec) avec clé pré-partagée et authentification étendue
- IPSEC HYBRID RSA : Internet Protocol Security (IPSec) avec authentification RSA hybride
- PPTP : protocole PPTP.
Les sections suivantes répertorient les options de configuration pour chacun des types de connexion précédents.
Configurer les paramètres L2TP PSK pour Amazon
- Adresse du serveur : entrez l’adresse IP du serveur VPN.
- Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
- Mot de passe : entrez un mot de passe (facultatif).
- Secret L2TP : entrez la clé du secret partagé.
- Identificateur IPSec : entrez le nom de la connexion VPN que les utilisateurs voient sur leurs appareils lors de la connexion.
- Clé pré-partagée IPSec : entrez la clé secrète.
- Domaines de recherche DNS : entrez les domaines avec lesquels la liste des domaines de recherche de l’appareil d’un utilisateur peut effectuer une correspondance.
- Serveurs DNS : entrez les adresses IP des serveurs DNS à utiliser pour résoudre les domaines spécifiés.
-
Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
- Route de transfert : entrez l’adresse IP de la route de transfert.
- Cliquez sur Enregistrer pour enregistrer la route ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer les paramètres L2TP RSA pour Amazon
- Adresse du serveur : entrez l’adresse IP du serveur VPN.
- Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
- Mot de passe : entrez un mot de passe (facultatif).
- Secret L2TP : entrez la clé du secret partagé.
- Domaines de recherche DNS : entrez les domaines avec lesquels la liste des domaines de recherche de l’appareil d’un utilisateur peut effectuer une correspondance.
- Serveurs DNS : entrez les adresses IP des serveurs DNS à utiliser pour résoudre les domaines spécifiés.
- Certificat serveur : dans la liste, sélectionnez le certificat serveur à utiliser.
- Certificat CA : dans la liste, sélectionnez le certificat CA à utiliser.
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser.
-
Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
- Route de transfert : entrez l’adresse IP de la route de transfert.
- Cliquez sur Enregistrer pour enregistrer la route ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer les paramètres IPSEC XAUTH PSK pour Amazon
- Adresse du serveur : entrez l’adresse IP du serveur VPN.
- Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
- Mot de passe : entrez un mot de passe (facultatif).
- Identificateur IPSec : entrez le nom de la connexion VPN que les utilisateurs voient sur leurs appareils lors de la connexion.
- Clé pré-partagée IPSec : entrez la clé de secret partagé.
- Domaines de recherche DNS : entrez les domaines avec lesquels la liste des domaines de recherche de l’appareil d’un utilisateur peut effectuer une correspondance.
- Serveurs DNS : entrez les adresses IP des serveurs DNS à utiliser pour résoudre les domaines spécifiés.
-
Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
- Route de transfert : entrez l’adresse IP de la route de transfert.
- Cliquez sur Enregistrer pour enregistrer la route ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer les paramètres IPSEC AUTH RSA pour Amazon
- Adresse du serveur : entrez l’adresse IP du serveur VPN.
- Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
- Mot de passe : entrez un mot de passe (facultatif).
- Domaines de recherche DNS : entrez les domaines avec lesquels la liste des domaines de recherche de l’appareil d’un utilisateur peut effectuer une correspondance.
- Serveurs DNS : entrez les adresses IP des serveurs DNS à utiliser pour résoudre les domaines spécifiés.
- Certificat serveur : dans la liste, sélectionnez le certificat serveur à utiliser.
- Certificat CA : dans la liste, sélectionnez le certificat CA à utiliser.
- Infos d’identification de l’identité : dans la liste, sélectionnez les informations d’identification de l’identité à utiliser.
-
Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
- Route de transfert : entrez l’adresse IP de la route de transfert.
- Cliquez sur Enregistrer pour enregistrer la route ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer les paramètres IPSEC HYBRID RSA pour Amazon
- Adresse du serveur : entrez l’adresse IP du serveur VPN.
- Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
- Mot de passe : entrez un mot de passe (facultatif).
- Domaines de recherche DNS : entrez les domaines avec lesquels la liste des domaines de recherche de l’appareil d’un utilisateur peut effectuer une correspondance.
- Serveurs DNS : entrez les adresses IP des serveurs DNS à utiliser pour résoudre les domaines spécifiés.
- Certificat serveur : dans la liste, sélectionnez le certificat serveur à utiliser.
- Certificat CA : dans la liste, sélectionnez le certificat CA à utiliser.
-
Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
- Route de transfert : entrez l’adresse IP de la route de transfert.
- Cliquez sur Enregistrer pour enregistrer la route ou cliquez sur Annuler pour ne pas l’enregistrer.
Configurer les paramètres PPTP pour Amazon
- Adresse du serveur : entrez l’adresse IP du serveur VPN.
- Nom d’utilisateur : entrez un nom d’utilisateur (facultatif).
- Mot de passe : entrez un mot de passe (facultatif).
- Domaines de recherche DNS : entrez les domaines avec lesquels la liste des domaines de recherche de l’appareil d’un utilisateur peut effectuer une correspondance.
- Serveurs DNS : entrez les adresses IP des serveurs DNS à utiliser pour résoudre les domaines spécifiés.
- Cryptage PPP (MPPE) : sélectionnez cette option si vous souhaitez activer le cryptage de données avec Microsoft Point-to-Point Encryption (MPPE). La valeur par défaut est Désactivé.
-
Routes de transfert : si votre serveur VPN d’entreprise prend en charge les routes de transfert, pour chaque route de transfert à utiliser, cliquez sur Ajouter et procédez comme suit :
- Route de transfert : entrez l’adresse IP de la route de transfert.
- Cliquez sur Enregistrer pour enregistrer la route ou cliquez sur Annuler pour ne pas l’enregistrer.